窃取数千支付宝数据倒卖牟利 检察官陶建民揭秘“数据裸奔”背后的黑色产业链

 

  从网上下载某知名网站的海量邮箱账号数据,犯罪嫌疑人覃斐等人通过邮箱盗窃支付宝账号,经过“洗库”方式进行进一步提炼筛选,经过层层交易整合,获取支付宝信息非法牟利……

  互联网金融快速发展,越来越多的人热衷于通过微信、支付宝等工具转账,随着科技手段的发达,侵财犯罪案件的花样也在翻新,有的人恰好钻了高科技的空子,利用不法手段,从他人的支付宝里盗取钱财。

  确实如此。如今微信支付、支付宝的使用人群非常广泛,老百姓出门只要带个手机,逛街吃饭一键搞定。然而科技总是存在漏洞的,近年来,利用支付宝实施盗窃的案件在全国各地频频发生,被害人大多是在不知情的情况下被人盗刷。比如,支付时扫描手机支付宝上的二维码,不需要输入密码,坏人就会用偷来的手机盗刷支付宝,导致失主损失大量的钱财。还有就是熟人作案,盗用朋友的信息注册支付宝,成功绑定了银行卡再盗走卡内钱财。

  今天讲的这个案子就有些科技含量,一个黑客团伙利用“洗库”手段窃取了数千条支付宝数据,倒卖牟利并形成了黑色产业链。

据最新发布的《中国互联网络发展状况统计报告》显示,截至2017年6月,中国网民规模达到7.51亿,其中,手机支付用户达到5.02亿。

  那么,先来给大家普及一下网络专业知识吧,“洗库”是什么概念?不会是跟“洗钱”有关吧?

  呵呵,还真不是的。

  说到“洗库”这个术语,就不能不说“撞库”。黑客通过收集互联网已泄露的用户和密码信息,将得到的数据刷其他网站进行尝试登陆,这个过程就叫“撞库”。在取得大量的用户数据之后,通过一系列的技术手段和黑色产业链将有价值的用户数据变现,通常被称为“洗库”。另外还有“脱库”“拖库”等术语。

  这应该属于黑客的“独门绝招”吧?

  对的!

  黑客真是无孔不入,哪些信息容易被不法分子利用呢?

  大家常用的邮箱账户会成为黑客的下手目标,比如今天聊到的这起案子就是很有特点,根据犯罪嫌疑人覃斐交待,某网站的用户数据库意外泄露,事后所涉及的用户规模达到了超千万级。

 

黑客离百姓并不遥远,覃斐如同隐形的“网络大盗”时刻准备窃取用户个人信息数据。

  我的天哪!真是印证了那句话,往往最平常的、最熟悉的却最被我们忽略。

  是啊!在我们的生活中,总有一些微不足道的事情被我们忽略。但是,越是被我们忽略的,往往又是最重要的,稍不慎,就有可能酿成悲剧。

  本案中,覃斐搜索下载了海量的注册邮箱账户和密码,保存在电脑和微云、百度云盘里。至于说下载了多少,覃斐自己都“记不清”。在审查过程中,覃斐满不在乎地跟我们说:“信息要多收、越多越好,等到申报的时候可以用得上,多挣些……”

  经查,犯罪嫌疑人覃斐通过软件对原始邮箱数据进行技术处理,梳理分类出邮箱所关联的游戏账户、绑定邮箱的支付宝账户在QQ上出售。从去年6月份到今年6月份,非法牟利五、六万元。

  上网时,我们都会认为设置的邮箱、账户、密码只有自己知道,仅凭“偷来的”一个邮箱账户能造成多大的危害啊?

  确实如此,不少人存在着相同的认识误区。其实,网上有些人不仅知道这些密码,还靠倒卖这些信息赚钱。

  精明的黑客仅仅凭借一个邮箱账户,就可以非法获取支付宝登陆邮箱账号、登陆密码、支付密码、支付宝注册人姓名、身份证号码……大量的信息,手段之高超乎想象!

  比如,犯罪嫌疑人通过网页的隐藏元素查看身份证号码,一开始,覃斐并没有觉得自己犯了法,他说:“一般人都看不懂,在我眼里,这些账号就可以卖钱,做这个事情不用固定时间,坐等来钱,当然是挺舒服的。”

互联网给人们生活带来便捷的同时又隐藏巨大风险。

  这么说,大家的隐私不就透明了吗?

  是的,“互联网+大数据”正在影响我们的生活,同时,“数据裸奔”时代让个人隐私也成了最公开的隐私。

  姓名、身份证号、电话、住址等隐私和个人信息一旦上了网都有被泄露的风险,以本案为例,覃斐将梳理好的原始邮箱账号和密码以每千万条1000元的价格,分别卖给中间商张驰和李达等人,这群人利用软件层层过滤出支付宝账户、支付宝密码,然后以每条3—5元出售,粗略统计下共卖出三、四千条支付宝数据。如果支付宝账号的等级达到钻石级,则每条可卖到六、七十元。

  我们的隐私还真是不值钱,呵呵!这些泄露的信息又是如何被利用的?

  一旦下游的买家张小文等人拿到张驰处理好的数据,会采取技术手段更改支付宝的登录、支付密码。陈竹等数据处理商们还要经过再完善、处理,一番深加工后,将支付宝账号卖给刷单炒信的“客户”,他们会用于“苹果36技术”盗刷牟利。至此,一套“洗库”流程完成。

  所以说,支付宝虽然方便,但毕竟不能完完全全识别自己真正的“主人”,大家伙最好关闭小额免密功能,并设置复杂不易破解的密码,对于异地登陆等异常情况提高警惕。另外,身份证、银行卡号、短信验证码这些信息和支付宝账户安全密切相关,一定要小心谨慎,否则,一个不眨眼,就可能面临意想不到的损失。

图表:安全网上支付四大技巧 新华社发

  估计“洗库”只是前奏吧。

  其实倒卖公民个人信息有一个黑色产业链,从个人信息非法采集到非法出售、购买转售再到非法利用的各个环节,都可能出现非法侵害的情况。

  在这个领域,公民信息售价是可观的,一些从网站流出的一手数据售价在3—5元,不法分子掌握数据处理技术后,进一步将其提炼,包装成业务,“市价”最高的能卖到60元/条。

  这个源头包括哪些方面?怎样去控制源头呢?

  控制源头首先是自己必须“扎好篱笆桩”。因为网上购物、收发电子邮件、注册app账号、扫描二维码、出门在外连接公共场所的wifi等等,都有可能将个人信息泄露出去。其次,一些重要系统和网站在长期的经营中,逐渐形成并积累各自的用户信息数据库,有的因管理不善也会导致泄露。

  比如,前面谈到的那家泄露过用户数据的网站有一款游戏对会员“很敏感”,相比于普通游戏就是过度采集用户信息。当用户注册的时候就开始获取用户的身份证号、邮箱账号、支付宝账号、输入密码、支付密码等大量数据。

由于本案涉及到很多网络专业知识,陶建民经常要一边研读本案卷宗一边上网查询“新名词”。

  这些泄露的个人信息流落出去,会不会来个二次伤害,造成连锁反应?

  公民隐私被严重侵犯、个人信息数据被非法买卖,带来的危害是显而易见的,包括经济、名誉、个人信用等方面。比如电信诈骗、刷单炒信、盗卡交易、垃圾短信,这些都会让受害人防不胜防。

  那么,今天谈到的这起支付宝账号“洗库”案中,犯罪嫌疑人覃斐等人是否已受到法律制裁?

  犯罪嫌疑人覃斐、张驰、李达、陈竹、张小文五人被批准逮捕后,目前已被诉至法院,等待他们的将是法律的严惩。

  希望这些人改过自新后,能把聪明用在正道上。谈完了案子,能否再介绍一下检察机关是如何下定决心严防严控、铁腕治理侵犯公民个人信息犯罪行为的。

  早在2016年8月,省院案管部门曾经通报称,2009年《刑法修正案(七)》新增设“出售、非法提供公民个人信息”、“非法获取公民个人信息”罪名后,江苏检察机关共受理这一类案件106件232人。2015年11月1日起,最新施行的《刑法修正案(九)》将以上罪名取消,取而代之“侵犯公民个人信息罪”,大半年就受理该类案件30件53人。

曾经的黑客风云人物已被批准逮捕,他们必将接受法律的严惩。

  值得一提的是,2017年6月1日起施行的两高(即最高检、最高法)《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,为打击侵犯公民个人信息犯罪又提供了强大的法律武器。

  这几年,侵犯公民个人信息犯罪案件被有效控制,咱们执法机关的打击力度可见一斑。大家想要避免这些“坑”,除了从源头上预防,那些隐藏的风险应该如何把控防范呢?

  在提高自我保护意识之外,亟待健全系统化的防护体系,捍卫大数据时代的个人信息安全。

  老百姓在上网的时候首先要提高安全意识,多做防护措施,警惕过度收集个人信息的平台、网站,不管是注册邮箱、QQ等通讯软件,还是网络游戏,都不要设置相同的账号和密码。

  目前,网络服务公司对于公民敏感信息、注册数据保护全部采用加密技术处理,接下来,各家公司还要继续加强数据保护关键技术的升级建设,提高敏感数据泄露等安全隐患的监测发现与处置能力。

  检察官建议:

 

  公民的个人信息保护任重道远。法律层面,需制定保护公民个人信息的专门法规,对个人信息的采集、使用、处理予以立法;行业层面,建立重点领域的行业自律机制,切实做好保密义务;技术层面,加快大数据安全保障关键技术的推行,降低信息泄露的潜在风险;司法实践层面,从渠道销售端严厉打击非法数据倒卖行为。

(特别感谢徐云刚对本文的大力支持 另注:文中涉案人均为化名;文中部分插图来自网络)

 

往期回顾

更多>>