近日,上海公安机关侦破一起利用移动支付通道盗刷信用卡诈骗案,嫌疑人非法获取身份证号、银行卡号等公民个人信息后,采取“撞库”方式,非法获取平台用户的账号、登录密码甚至支付密码等信息,再以虚假交易等方式盗取资金,并以多种方式进行套现。据警方介绍,目前已发现本案中疑似被盗刷信用卡300余张,涉案金额300余万元。
“信息泄露+黑客攻击”非接触式盗刷信用卡
2017年4月,上海市公安局经侦总队接到某第三方支付平台报案:有不法分子利用移动支付通道盗刷他人信用卡资金,涉嫌信用卡诈骗。接报后,经侦总队迅即会同浦东分局组成联合专案组,对此案开展立案侦查。
侦查员及时向资金流向涉及的电商平台,以及涉案POS机涉及的第三方支付机构获取盗刷交易相关数据,并以关键词为主要线索对全市范围内同类型案件串并,发现疑似被盗刷信用卡300余张,涉案金额300余万元。
2017年11月,上海警方在江西、湖南、四川、河南、江苏、浙江等六省分别实施收网行动,一举抓获徐某、许某、段某等10余名犯罪嫌疑人,收缴作案用手机、电脑50余部,银行卡100余张,POS机70余台。上一举抓获徐某、许某、段某等10余名犯罪嫌疑人,收缴作案用手机、电脑50余部、银行卡100余张,POS机70余台。
警方对犯罪团伙藏身窝点进行搜查
经查,2017年3月至4月,以犯罪嫌疑人徐某、段某等人为首的犯罪团伙,通过张某等人非法购得大量公民信息,通过互联网聊天软件结识许某等专业编程人员编写黑客软件。犯罪团伙再利用上述非法获取的公民信息和扫码黑客软件,攻击移动支付平台数据库,非法获取平台用户的账号、登录密码甚至支付密码等信息。
获取这些关键信息后,以徐某为首的犯罪團伙利用上述信息登录移动支付通道的手机app,在线上商店疯狂购买各类易变现商品,如:电子数码产品、充值卡、景点门票等。而以段某为首的犯罪团伙则采取线下变现的方式,根据窃取到的公民信息注册生成大量二维支付码,随后利用虚假身份购买大量POS机,通过POS机扫描支付码完成盗刷,成功将被害人信用卡内的资金转移到犯罪嫌疑人控制的结算卡内,最后再由犯罪嫌疑人章某等人通过全国各地的ATM机进行取现。
目前,本案犯罪嫌疑人因涉嫌信用卡诈骗罪,已被公安机关执行逮捕。同时,公安机关已对公民信息泄露源头开展深入打击。
部分移动支付平台遭“撞库”攻击
上海市公安局经侦总队一支队副支队长徐勤表示,区别于一些常规银行卡案件,这起案件中犯罪团伙并不直接接触受害人信用卡,而是通过攻击第三方支付平台,利用先前获取的公民个人信息,通过黑客攻击等手段,盗取受害人的移动支付平台的个人账号。“这些移动支付账户都绑定着银行卡,获取了移动平台的账号、密码等信息,就等于犯罪团伙控制着你的银行卡和信用卡,可以随意进行消费。”
据警方介绍,本案中许多受害人在不同平台使用的网络账号和密码都是一样的,这给了犯罪分子可乘之机。徐勤说,“比如你的微博、微信和你的支付平台账号一样的话,有些平台的防火系统很好,不容易攻破,但也有些防火等级不高,它一旦被攻破,犯罪团伙就可能通过该账号密码进行‘撞库,从而攻破你的网络支付账号。”在这起案件中,警方侦查发现几类常见的支付平台皆有被“撞库”成功的情形。