一夜蒸发的百万存款

林莉丽

隔空取物，听上去是武侠小说里才会有的高级“功夫”，事实上我们身边也有这样的“灵异事件”。但它并不是什么武功，而是极其恶劣的犯罪行为。这一次被犯罪分子盯上的，则是银行卡里的存款。

所有存款一夜蒸发

江西省瑞金市年轻白领丁小姐，在新天地附近一家外企上班。2015年9月的一天清晨，她起床后看见手机上有两条来自银行和手机运营商的短信，发送时间分别是凌晨3：43和4：12。第一条短信说的是她的招商银行一网通在修改密码，第二条是来自运营商的短信，提示丁小姐开通了短信过滤和短信保管两个功能。对于凌晨三四点正处于熟睡之中的丁小姐来说，根本不可能主动开通这两项根本不熟悉的功能。那么究竟是谁动了她的银行卡，并向手机运营商开通了新业务呢？丁小姐惊醒之余，出于谨慎，她查了一下自己的银行账户，瞬间惊出一身冷汗，账户内10万多元的余额在一夜间归零， 但蹊跷的是，银行的余额变动提醒她一次都没有收到。丁小姐定下心神，马上挂失了这张银行卡，并拨打了 110 报警。

噩梦其实才刚刚开始。没多久，丁小姐就收到她的另一张浦发银行信用卡通过微信推送给她一条消息，告知她消费被刷900多元。接着，惊魂未定的丁小姐接二连三地接收到类似的信息。更令她感到不寒而栗的是，挂失了这两张卡之后，并没有使自己的资金摆脱被劫的命运。之后的48小时内，她发现自己名下的另两张储蓄卡，在她完全不知情的情况下，又分别申请了两笔贷款共计十几万，这意味着，她不仅金融身份被人盗用，所有的余额变动，业务办理等通知短信和动态密码也都被拦截了。一夜之间，丁小姐变得身无分文，还背上了高额的欠债。所幸，丁小姐立即致电银行说明了情况，银行暂停了此笔贷款业务。

随后，丁小姐立即冻结了所有的卡，并一同关闭了微信、支付宝等所有的线上支付，但这些都不能消除她发自内心的恐惧，因为真正的恐惧恰恰是你无法控制局面。丁小姐坦言，“事发后，我一开始都失眠，因为我很害怕，不知道问题到底出在哪里，我的信息到底是在哪个环节被泄露了，而且这个泄露只涉及我的银行卡吗？还是我其他方面也会有问题？”

当承办检察官向丁小姐了解案情时，她这样说道：“从收到可疑短信，到自己所有账户被彻底洗劫一空，甚至欠下高额的债务，整个过程只有两天，这期间我没有点击任何不明链接，平时也相当注重网络安全，所有涉及转账都用U盾，上网也使用专业版网上银行……”那么她的密码到底是怎么被破解的呢？回想起来，所有这些不可思议的事件都是从凌晨收到的那两条蹊跷的短信开始的。

野蛮“撞库”和云端保存

据后来侦查发现，丁小姐收到的第一条短信是来自银行的。也就是说在那个时候，犯罪分子已经登录了她的网银，并试图更改她名下储蓄卡的关联手机。那么她的网银密码又是怎么流出去的呢？这就是犯罪分子利用一些扫号软件进行撞（数据）库获取的。“撞库”是黑客的专业术语，指的是通过扫描网站或者分析现有数据，尝试批量登陆其他网站后，得到一系列可以登录的用户名和密码。一旦这些网站的安全措施不到位，被攻破了，后台的数据被获取了，那么用户的手机号码和密码组合就直接泄露了。这种所谓的撞库，就是用不停快速尝试的方法，破解用户的账号和密码。这种简单粗暴的方法，直接获取了用户最关键的登录信息，相当于窃取了用户的网络身份。犯罪分子会根据软件自动记录撞库成功的手机号和密码，把它们一一对应起来，生成一个文本文档。

就这样，丁小姐的银行卡密码被犯罪分子轻易攻破了，但这还不足以使她的所有积蓄都一夜蒸发。犯罪分子要把钱拿到手，关键的一点还得突破至关重要的一把钥匙：随机的短信验证码，这直接导致丁小姐会收到第二条短信。犯罪分子用丁小姐手机开通的短信过滤和短信保管功能，其中，短信过滤可以设置关键词和来信号码，这样丁小姐就收不到所有的余额变动通知和动态验证码了；短信保管则可以把用户接收到的短信同步保存在云端，这样一来犯罪分子就能进入短信保管的保管箱，提取到这个动态验证码。如此一来，丁小姐的钱就这样神不知鬼不觉地被转走了。

自助换卡以假乱真

经警方调查，类似的手法在全国已经作案多起，这种新骗术手法简单而隐蔽，如果不能尽快破案，将会演变为极大的金融安全隐患。就在警方马不停蹄地调查取证的时候，升级版的作案新手法又出现了。这次的受害人陈先生是一名国企高管，他同样损失惨重，在一夜间被转走了28万元。这里面1万元是工资，还有27万元是刚刚到期的理财。与此同时，全国各地还有几名和陈先生同样遭遇的被害人。令人咂舌的是，他们都发现了手机曾一度突然不在服务状态。

原来，在警方的提醒下，运营商发现安全漏洞，关闭了相关的短信过滤和保管功能。原本以为，犯罪分子会有所收敛，但他们又“开发”了全新的作案手法：换卡。犯罪分子攻破了受害人的网上营业厅之后，以受害人的“名义”申请了4G换卡业务。犯罪分子利用受害者的手机号和密码登录营业厅，申请升级手机SIM卡，而运营商一般默认登录人就是持卡人本人，再加上随机动态码的验证，因而跳过更多身份验证的环节直接就可以把卡快递到指定的地址。这原本是一项便民的服务，但被利用，此时持卡人的登录密码已经被攻破，验证码和短信通知也已经被拦截。所以新卡在持卡人毫不知情的情况下，被寄到了不法分子的手上。当新卡一旦被激活，真正的持卡人手上的这张卡就自动失效了。

攻破3.2亿条个人信息

案件一个个地涌现，那么作案的犯罪分子究竟在哪里？钱又被他们转去了哪里呢？警方调查后发现，丁小姐和陈先生的钱都被转到了一个名为“章一丹”的福建省农村信用社账户，然后在短时间内又分发到了几十上百个下级账户。这是典型的电信诈骗手法，这些账户遍布全国，追踪难度极大，破案成本也相当高。黄浦警方奔赴全国调取了相关账户的取款记录和监控录像，在茫茫人海中锁定了一个最有嫌疑的账户，并立即赶往海南儋州。

经过仔细分析后，警方判断对象很有可能再次取款，于是决定在附近守株待兔。就这样，经过好几天的调查和跟踪，黄浦警方终于抓到了本案的第一个犯罪嫌疑人，杨水建。但杨水建只是個取款人，他身后更隐藏着元凶巨恶。警方顺藤摸瓜，找到了这个犯罪团伙的其他案犯，唐春模、童可立和辛道煌。令人惊讶的是，这种不需要与受害人通话或短信，甚至也不需要受害人配合转账或点击任何链接，便可以将对方的资金全部获取的始作俑者，竟然是几个初中学历的80、90后。正是这几个不起眼的年轻人，自2015年8月至9月，这短短的一个月期间，已经从7名被害人的账户中转账或消费人民币170余万元。

警方在抓捕其中一名嫌犯辛道煌时，他还正埋头进行数据撞库和切割的工作。更令警方瞪目结舌的是，从嫌犯租赁的服务器上查获了3.2亿条个人信息，都是手机号码、密码、身份证等组合，而且全是他们扫号扫出来的结果。如果按照我国平均每人拥有一个手机号码来算，3.2亿条信息，意味着每四个人当中就有一个人的信息已经被泄露或者被攻破。这是一个海量数字，攻破这么多账户信息的竟只有四个人。

2016年11月，黄浦区人民检察院对被告人童可立等四人以信用卡诈骗罪、侵犯公民个人信息罪提起公诉。起诉书指控的犯罪事实表明，被告人唐春模负责队伍召集和统筹，童可立负责扫码撞库，辛道煌将他撞库获取的数据进行分割整理剔除后，再交还给童可立，由童可立进行具体的营业厅及网银转账操作，非法所得分发到几百个下级账户后，最终由杨水建安排马仔进行取款。今年5月24日，黄浦法院一审对被告人童可立、唐春模、杨水建三人以信用卡诈骗罪和侵犯公民个人信息罪两罪判罚，分别判处十五年、十六年和九年有期徒刑；对被告人辛道煌以侵犯公民个人信息罪判处有期徒刑四年。至此，这一手法简单而隐蔽，社会危害性极大的沪上知名电信诈骗案画上了一个句号。

手机运营商和银行系统，是我们个人信息和财产安全链条中最重要的两环。记得有人开玩笑地说，要想账户不被盗，最简单的方式是不要开通网络版和手机版，因为一旦多一个平台，安全性就降低一分。但如今是信息飞速发展的时代，有多少人能抵挡住便利的诱惑，继续耐着性子去营业厅排队办理业务呢？安全和便利，永远都是天平的两端，任何一头都不应该被忽视。所以，要想大家的“辛苦钱”都不被贼惦记，无论是用户本人、银行还是运营商，都必须扎紧篱笆，时刻提防不法分子的入侵。

编辑：成韵 chengyunpipi@126.com