陈易璨,李文德
(1.西南政法大学 刑事侦查学院,重庆 401120;2.四川省公安厅 刑侦局,四川 成都 610000)
司法实践中,所谓“盗刷某某银行卡案”是指公安机关在侦办该类案件过程中根据其凸显的犯罪行为特征而约定俗成的一种称谓,并非准确的法律术语。从字面解释来看,“盗”为偷窃,即用不正当的手段营私或谋取;而“刷”一字在汉语解释中含有“擦拭”的意思。综合而言,银行卡在磁卡机上移动而表现出类似于刷的动作,因而叫做刷卡。盗刷银行卡类犯罪主要是指犯罪分子在受害人不知情的情况下,通过窃取受害人手机、身份和银行卡等信息后,利用受害人银行卡进行消费或取现的犯罪形式。下文就该类犯罪形式结合以下三起案件进行具体说明。
2015 年12 月16 日,广元市公安局利州区分局接到受害人张某报案称:2015 年12 月15日19 时许,张某手机接到一短信链接,其点击后便再无法收到短信,次日便发现自己的3 张银行卡先后被转走14 904 元、11 699.8 元、23 192元,以上资金分别通过快线支付、易宝支付等方式转走,共计人民币49 795 元。接到报警后,广元市利州区分局立即成立专案组开展侦查工作。办案民警先后奔赴广东、广西、江西、江苏、贵州、福建、安徽等地进行调查取证,并于2016年3-4 月,将犯罪嫌疑人张振华、卢富、韦杰雄等10 人抓获。经查,自2015 年4 月以来,犯罪嫌疑人张振华等人通过发送含有木马病毒链接的短信,非法获取信息后绑定第三方支付平台进行盗刷,然后通过网上购买充值卡等变现,受害者遍及18 个省市,涉案金额达1000 余万元。目前,制作木马病毒的嫌疑人在逃。
曾某于 2015 年 8 月 24 日接到号码为“+04006695566”的手机来电,对方自称为中国银行用卡工作人员,可以通过“虚拟消费”方式为其提高信用卡额度。随后曾某手机连续收到数十条“虚拟消费”的验证码,并将验证码告知对方。直到9 月1 日,曾某发现两张信用卡被盗刷70 000 余元。接到报警后,德阳市开发区两级公安机关经艰苦工作,于2016 年8 月在湖北打掉一个犯罪窝点,将犯罪嫌疑人沈良基、沈金霞等7 人抓获。经查2015 年7 月至2016 年7 月,该犯罪团伙利用发送伪基站短信预留电话或网络改号软件,通过打电话的方式,冒充中国银行信用卡中心客服人员,以提升信用卡额度为由,套取受害人身份信息、银行卡信息和验证卡,后在网上购买充值卡等倒卖变现。
2017 年4 月9 日,成都市民吴某报案称其在家中接到一自称唯品会网站客服电话(归属地重庆),对方以购买伪劣商品主动退款为由,诱使受害人识别关注骗子发送的二维码后登陆了一个“唯品会的退款网站”,然后按页面显示输入其身份证号、银行卡账号、网银密码、退款密码、手机号和手机验证码,后发现其银行卡分4次共被盗刷138 808 元。
以上三起案例中,犯罪分子利用不同的犯罪手法获取了受害者的账户信息,广元“张某银行卡被盗刷案”的主要特点是利用“伪基站”发送木马链接短信致使受害人手机“中毒”,德阳“曾某银行卡被盗刷案”的主要特点是利用网络改号软件拨打电话方式诱使受害人上当受骗,成都“吴某银行卡被盗刷案”的主要特点是以购物退货为幌子诱使受害人登陆钓鱼网站泄露了个人信息。综合三类案件的特点归纳出盗刷银行卡类案件的总体特点如下。
由于现代科学技术水平的不断提高,银行卡被盗刷的手段愈加智能化、复杂化,这给侦查人员带来了极大挑战。纵观以前的银行卡类犯罪行为,主要是通过在ATM机前安装微型电子摄像探头来窥探用户的银行密码,从而达成作案目的。而随着国家打击金融犯罪水平的不断提高,以往的作案手法已被渐渐淘汰。结合当下电子支付和电子钱包的普及范围越来越广,并且存在一定的安全隐患,这就给犯罪分子提供了可乘之机,利用高科技水平和手段来进行银行卡盗刷。[1]
由于我国步入科技发展新时期,云计算和大数据技术开始普遍进入人们的生活,互联网的普及和应用提供了更多可进行违法犯罪的温床。不少犯罪分子通过网络平台不正当获取公民的个人信息,从而更加便捷地盗刷银行卡。区别于传统的作案形式,这种犯罪模式没有固定的区域规律可循,犯罪分子在任何地方都可以通过互联网来实现银行卡信息盗取。在某些特殊渠道和方式的作用下,网络id和电话号码可以通过高技术水平进行伪造,使得侦查人员无法准确定位犯罪分子的所在地和区域,给办案带来了一定的难度和挑战。而从犯罪分子的角度来看,凭借公开的互联网平台可以通过设置后台计算机程序软件来进行诈骗信息的制作和各种相关程序,不再拘泥于单线的人工服务电话,且电子银行等信息支付平台给犯罪分子提供了快速转移账款的便利条件。[2]犯罪分子仅在遥遥万里之外就可以精准获取公民的个人信息,包括手机通话记录、个人定位信息、车辆停放地等动态化信息,极大提高了诈骗行为的成功率。
犯罪分子一般通过网络勾联,互相并不见面,但分工精细、配合默契,有的专门负责窃取公民银行卡信息的,有的专门负责克隆银行卡,有的专门负责进行盗刷的,相互之间协作紧密、速度飞快,赃款可能在极短时间内被转移。比如在德阳“曾某银行卡被盗刷案”中,据犯罪嫌疑人沈良基等人交代,在网上联系嫌疑人发送伪基站短信非常方便,一旦套取受害人的身份信息和银行卡信息后,就可以花钱在网上联系其他嫌疑人盗刷或者进行复制。
司法实践中,由于盗刷银行卡类案件属于新型的犯罪形式,基于投入成本大、办案难度大等原因,基层公安机关普遍存在不愿办、不会办以及不善办此类案件的情况。当前,对该类犯罪的打击已经成为公安机关侦查办案中的难点以及重点。因此,侦破此类案件需要对相关侦查对策有进一步针对性的提升,根本之路是要走专业化打击的道路。
1.熟悉掌握个人银行卡信息泄露方式
(1)利用ATM或POS机刷卡时进行窃取。这种方式是通过在ATM或POS机上安装能够识别和读取银行卡信息的特殊操作器,导致用户在进行银行卡服务过程中信息被窃取。在一些黑市买卖中,凡是从POS机上提取到的用户信息卖价都相对较高,原因在于此类用户信息的使用价值比较高。事实上,由犯罪分子从POS机上提取的用户信息一般都会静待半年以上的时间才会被卖出,目的是为了让用户能够在固定时期内尽可能产生较多的消费记录,如此一来让侦查人员无法准确定位是哪台POS机泄露了银行卡信息,从而增加了追捕犯罪人员的难度。[3]而在通过这一系列的前期操作之后,犯罪分子就可以放心大胆地从用户的银行卡内盗取资金。
(2)利用木马程序盗取信息。该种信息盗取的方式多分两种,一种是犯罪分子直接向受害者发送含有木马链接的“伪基站”短信,受害人点击安装木马导致手机中毒进而将银行发送的验证码信息直接发送给犯罪分子,或者自行搜索手机上的相关信息发送给犯罪分子,其银行卡就会被据此转账或进行消费。有的木马病毒甚至能读取受害人整个通讯录信息并向其通讯录好友群发钓鱼短信,进而造成木马不断蔓延。另一种盗取信息的常见方式就是利用木马程序在用户的网络银行以及游戏id密码中安装木马病毒,犯罪分子在实际检测到该用户的用户信息密码之后,立即在后台进行密码窃取。由于互联网技术的更新,网络病毒的种类愈加繁多且难以破解,各种新兴技术的升级使得银行卡被盗取的方式更加多样化,成功率也更高。一旦用户的账号密码被黑客所截取,随之而来的就是用户的计算机被黑客进行扩散性感染。当网页进行跳转之后,黑客就会直接从用户的网上银行中进行转账,从而实现网络化银行卡密码截取。[4]在此过程中,由于黑客所植入的病毒是通过用户个人本机中所打开的页面,相关的数据保护都保存在用户本机中,这种方式让黑客能够直接跳过用户的本机数据保护程序,更加直接实现账户盗取。
(3)利用钓鱼网站盗取信息。经相关用户反映,经常收到电信联通等客服电话或是银行发来的相关短信,在实际操作登陆后被要求输入个人信息密码。实则这都是犯罪分子为了实现诈骗而精心包装的骗术。比如用户手机中日常下载的360 后台监管软件,一些钓鱼网站在12 个小时内就会有超过一亿次点击量。而这些钓鱼网站的背后都要求用户输入真实信息和密码,一旦用户将所要求的信息填写完整,犯罪分子就能快速从用户的账户里提取资金,并通过不正当的手段进行非法转移。[5]
(4)利用WIFI 盗取持卡人信息。犯罪分子在公共场所、公共区域内布设免费 WIFI,只要持卡人使用该WIFI 进行网上交易,其相应的银行卡信息及个人信息会被犯罪分子获取。一个WIFI 的安全性主要取决于架设者是否安全,如果WIFI 来源于犯罪分子的陷阱架设,用户一旦接入,则其所有互联网的数据都可以被犯罪分子进行监听或窃取。
(5)利用“撞库”窃取。“撞库”顾名思义是指犯罪分子对互联网数据库的一种攻击模式,是犯罪分子在某些平台或是盗取形式下将用户已经泄露的相关密码和信息进行收集,尝试利用相关信息进行登录操作其他网站,以便得到用户更多的私人信息。而犯罪分子对互联网数据库的这种攻击方式能否成功完全取决于用户是否在不同网站注册了相同的信息和密码。很多现实情况反映出使用相同信息和密码进行注册的用户非常之多,比如一些常用软件微博、微信、淘宝、腾讯等很多用户都使用相同的注册信息和密码。以微博与微信进行比较,虽然属于两种不同的社交平台,但如果用户所使用的账号和密码都是同一种,那么犯罪分子在掌握一个账号和密码之后,就会很快破译出另一个社交平台的账号和密码。综上所述,进行这种撞库窃取用户信息的方式屡试不爽,成功率极高。究其根本,最大的原因还是在于用户在注册 App 时将个人账号信息和密码设置成了同一种,没有进行相对复杂的排列组合,这就给犯罪分子提供了可乘之机,个人信息被盗取的风险性不断增加。
2.掌握银行卡被盗刷途径
一种是犯罪分子通过向用户手机发送木马中毒进而拦截验证码保护,从而实现银行卡内的资金转移。众所周知,短信验证码是金融服务机构在用户进行重要操作时如修改密码、大量金额转账存取时,向用户在银行预存的绑定手机号发送验证码的操作。而想要成功获取验证码,犯罪分子惯用手段就是向用户手机中发送木马病毒。只要用户点击病毒链接,犯罪分子就会在后台进行短信验证码的截取。在得到用户的个人信息后犯罪分子会将银行卡绑定在第三方支付平台上,此时用户既无法收到短信验证码的消息也收不到银行取款消费记录。在这一系列操作之下,用户很难在短时间内发现钱财被窃取,等到反应过来进行报案时,犯罪分子早已无迹可循。
另一种方式是犯罪分子进行近距离间信号干扰从而实现手机短信验证码的拦截。虽然手机木马病毒是犯罪分子最惯常的犯罪手段,但却不是唯一的方式。由于科学技术的高速发展,出现了比木马病毒更为便捷高效的信息获取方式,即通过特殊的改装材料来让手机短时间内接收不到信号。但是这种方式也有着非常大的制约条件,犯罪分子必须在距离用户手机1km 以内,才能实现近距离间的信号干扰。因此在操作过程中,犯罪分子通常会通过送快递或者外卖的方式拨打用户的电话,准确得到用户的地址信息,然后就能在 1km 的范围以内实现对用户短信验证码消息的截取。
3.掌握盗刷银行卡的犯罪产业链及“黑话”
盗刷银行卡并非是几个犯罪分子单独完成的,目前已经在网上形成了一条庞大的黑色产业链,分工也越来越专业,有窃取信息、实施盗刷、转账洗钱等环节,因此侦查人员应对该类犯罪相关产业链的各个环节进行了解并掌握,为后续追赃提供正确的侦查方向。另外,由于该类犯罪团伙内部之间有专门的“黑话”以逃避侦查,比如“料”主要指银行卡账号、密码,磁卡人信息及绑定手机号四大类信息(俗称CVV四大件),其中的“内料”指国内卡,“外料”指境外卡,“轨道料”指通过改装POS机得到的银行卡信息,“下料”即指非法搜集CVV四大件信息,“洗料”指将盗刷的资金转账、套现、洗白等。[6]只有熟悉了犯罪分子之间的“黑话”用语,才能在侦查活动中占领较为主动的优势,灵活应对犯罪分子的反侦查行为。
对该类犯罪分子的打击,不能按照传统的案件侦破方法,要整合银行、运营商、第三方支付公司和互联网技术公司的资源优势,不断总结盗刷银行类案件侦破的经验和教训,针对不同的盗刷银行卡案件手法,明确侦查思路和方向。
1.详细询问受害人,做好询问笔录,并录入公安部电信诈骗侦办平台。首先要仔细询问受害人的银行卡资金是以哪种方式被盗刷的,资金是被提现还是被犯罪分子进行购物,以确定被盗刷的资金是否有条件冻结止付。其次是要询问受害人近期是否在网上或者手机客户端点击过不明链接、是否在POS 机进行刷卡消费,是否登陆过来源不明的网站等,以此明确信息泄露和盗刷的方式,并将案件信息及时录入公安部电信诈骗侦办平台开展串并侦查工作。
2.开展资金流侦查工作。无论犯罪分子如何狡猾和隐藏自己的身份,无论其如何划转、洗白被盗刷的资金,其最终的目的都是以获利为目的。犯罪分子最终是要和被盗刷的资金联系在一起的,因此这也极易成为破案的突破口。侦查人员要尽早找到犯罪分子和涉案资金的联系。一是直接调取受害人银行账户信息,明确资金流向,二是通过银联JASS 系统进行查询。JASS 系统功能强大,反馈迅速,只要犯罪分子跨行操作就会留下痕迹,通过查询可迅速获取ATM 机取款、犯罪分子第三方支付绑定的 POS 机消费等重要线索。针对反馈的ATM 机取款信息,可迅速安排侦查人员调取视频,开展视频追踪。针对POS 机刷卡消费线索,要区分不同情况,综合分析甄别。有的属于犯罪分子真实刷卡消费的情况,可派侦查人员继续进行调查。目前很多案件反映出大量POS 机是由上海点佰趣信息科技有限公司、上海德颐网络技术有限公司等第三方支付平台发放出来的。虽然有商户名称,但所谓的公司、申请人信息都是冒用的,所谓的商户信息毫无侦查价值。在此情况下,最有价值的线索是追查POS 机刷卡后资金的流向,即从第三方支付公司调取POS 机绑定的银行卡、对手账号等信息,同时调取转账者的IP 地址、MAC 地址和经纬度等信息。第三种方式是直接到犯罪分子套现的网上商城、点卡平台等进行调查,获取更多线索。目前四川省破获的多起盗刷银行卡类案件即是通过资金流追踪,从而确定犯罪分子网上商城消费的真实信息。
3.开展网络信息侦查工作。由于犯罪分子进行盗刷作案过程中,往往借助钓鱼网站、木马链接等获取受害者个人信息,也据此留下了侦查线索。在此类案件侦查过程中,特别需要网安部门和刑侦部门开展合成作战,即通过对木马链接和钓鱼网站的溯源追踪以获取有价值的线索。由于犯罪分子作案成功后往往迅速关闭钓鱼网站、毁掉痕迹,因此对此类信息的溯源中特别强调及时性。[7]目前,一些互联网公司如360 公司、阿里巴巴、腾讯等依据其自身技术和人才优势,针对公安机关的需求正在研发一些支撑溯源的系统或工具,具有极大的应用空间。比如近期外地公安机关破获的一起盗刷银行卡案件,即依托360公司的技术优势,及时对木马传播源头进行追踪,确定了木马绑定的邮箱和手机信息,从而打开了案件突破口。
4.开展审讯深挖、串并案件,彻底打掉上下游灰色产业链。公安机关在侦办盗刷银行卡类案件中,往往能够比较容易打掉盗刷或取款的其中一个环节。但由于各犯罪环节之间对犯罪分子真实个人信息较难及时全面掌握,从而导致打掉犯罪各链条的难度也相对较大。因此,在侦查过程中要注重串并案件,同时注意收集各环节中不同犯罪分子之间的聊天、通讯记录等线索,深入经营,追溯源头,把窃取信息者、提供技术支撑等各个环节的嫌疑人都深挖出来,从而固定相关证据,以便后续追诉环节中按信用卡诈骗或盗窃罪的共犯处理,彻底摧毁灰色产业链。
1.提高储户风险意识,培养良好用卡习惯
第一,由于芯片卡具有更高的安全性,因此磁条卡持卡人应进行及时更换,同时应注意不要将银行卡的所有密码都设置为同一个。除此之外,持卡人应对境内外消费额度、单次及单天交易金额进行设置,如需绑定手机支付及网上支付,可额外申请一张低额度的银行卡,避免银行卡被盗刷造成的损失过大。第二,持卡人应注意在公共场所刷卡或进行网上支付时,不要连接不需密码就可免费连接的不知名的无线网络。如在公共场所需要用到无线网络时,可在移动设备上下载安全保护软件,其次连接正规商家提供的无线网,在选择时应与商家确认好,避免连接的是与商家名字相似的钓鱼无线网络。在连接公共场所网络时,应尽量避免进行网络支付,尽可能少使用涉及到金钱交易的应用软件。如果不可避免的需要用到网络支付,在允许的情况下尽量使用手机移动数据进行网上支付。[8]第三,持卡人应保管好自己的银行卡,避免卡被盗窃或遗失。刷卡输入密码时要进行遮挡,如在刷卡过程中出现刷卡失败进行多次重刷时,需注意是否存在特殊情况,要在第一时间内查询系统提示刷卡失败的原因。第四,持卡人使用储蓄银行卡进行现金提取时,应尽量选择银行附近的取款机,在取款前观察机器周围是否存在不明装置,如果不确认周围环境的安全性,可拨打银行客服电话求证,保证周围环境的安全性。
2.重视网络安全风险,规范网络支付行为
(1)确保所使用的电子设备安全。持卡人在进行日常网上或手机支付时,应当关闭手机或电脑自动连接无线网络的设置,避免外出时无意连接到存在安全隐患的无线网络,从而被盗取自身携带的移动设备信息及资金。在将手机或电脑连接公共安全网络时,应将与其他移动设备共享文件及资源的相关权限进行关闭,避免设备信息外泄。与此同时,持卡人可以在其相关电子设备上安装防毒及防钓鱼等安全软件,并对这类软件进行定期更新,及时修复安全漏洞,保证相关软件始终处于当前阶段最新版本,提高其安全防护性。另外,网络浏览器也需要及时更新及下载安全补丁,持卡人在网站浏览过程中有时需要进行页面信息登录,此时大部分浏览器存在自带的“保存密码”功能,持卡人应选择不自动保存从而避免浏览器信息泄露。最后,持卡人在公共网络中使用浏览器时,应尽量通过https协议手动输入网址进入网站,不要点击不明来源的网络地址,降低钓鱼网站出现的风险性。[9]
(2)确保支付密码或支付介质安全。持卡人在设置手机银行、网上银行支付密码时,应设置较为复杂的密码体系,涵盖诸多不同类型的密码,例如数字、符号、字母等以此降低密码外泄的风险系数。其次,持卡人在进行安全支付时,应确认支付认证工具的来源及安全程度,例如工商银行用户在使用手机银行时,可用二代U盾,其具有液晶屏幕和物理确认键,具有更高的安全性。[10]用户在支付过程中可看到液晶屏幕显示的信息,确认后点击确认键进行支付,避免不法分子利用木马程序盗刷银行资金。
(3)及时有效识别钓鱼短信或邮件。持卡人应谨慎辨别陌生号码发来含有网站地址链接的短信或邮件,如需填写个人信息及支付密码,一定要确认号码来源后再作决定,避免进入钓鱼网站导致个人信息泄露。由于一般的银行业务办理信息多数情况下都会在白天发送,且银行短信号码比较统一,都是五位数,前三位为955,因此深夜或凌晨收到的金融信息以及收到信息的号码增加区号或其他数字多数为欺诈短信。[11]即使号码与银行号码一致也可能是不法分子通过伪基站软件进行伪装发送,此时持卡人需根据信息内容进行辨别。另外,由于银行支付密码器涵盖支付的所有组件,具体包括数字键盘、内置电源、外带显示屏、密码生成芯片,因此持卡人在使用时不需安装其他应用程序,也不用进行维护、升级与校准。而且,持卡人刷卡或获得相应的消费积分,用于兑换礼品或在消费时会抵扣一定的金额,但是不能当现金使用,这样一来持卡人如果收到关于支付密码器升级、下载程序、兑换现金等信息则均为欺诈信息。
一般来说,银行卡涉及诸多内容与信息,仅依靠银行或持卡人很难完全保证银行卡及个人信息的安全性,需要社会各方的共同努力。基于现在的发展形势,一方面需要对无线网络进行严格管理,通过路由监管技术来加强公共网络的安全性;在上网时进行实名认证,出现问题时可确定到具体人员;在连接网络时向用户发送连接安全通告,告知其正在连接无线网络。另一方面,政府也需要加强对电信诈骗的监管和打击,严肃处理违法违规行为,例如违规群发短信、假设伪基站、售卖改装软件等,为网络支付营造安全的环境,保证银行卡及持卡人信息安全。
加强银行合规操作,提高风险防控能力。银行应基于自身层面加强文化建设,提倡正规、安全的经营方式,对员工进行安全教育,从思想道德层面上提高员工对网络安全的认识,大力宣传《商业银行法》、《反洗钱法》等法律法规,灌输员工法律观念。其次应合理规范员工的操作与行为,日常工作要符合银行内部规章制度。柜台人员在办理银行卡时,需对用户的身份证进行仔细核对,部分业务要求客户本人亲自办理,要确保身份证信息与办理人员一致以及提醒用户应设置安全强度较高的密码。除此之外,银行人员还应告知用户需妥善管理银行卡,在银行卡丢失或被盗刷的第一时间致电银行客服电话进行挂失等,加强用户的安全信息。
为了防止银行卡在使用过程中安全信息外露,从而被不法分子利用,再加上随着科学技术的发展,磁条卡自身技术水平及安全保证较低,容易被复制和盗刷,银行等金融机构应大力发展金融IC 卡并在日常业务办理中以此为主。与此同时,还应提高银行卡使用过程中所涉及的相关技术水平,技术身份识别技术、银行卡异动检测预警、自助机具安全管理等,从科技层面来提高银行卡的安全性。可在政策允许的情况下制定相应机制,发现用户存在盗刷行为后第一时间冻结银行卡,减少用户损失。
银行等金融机构应完善加强客户信息安全保护机制,银行可在特殊环节中采取机控模式,从而尽量规避客户信息被泄露的可能性;也可研发出新的银行卡保密技术,加强对芯片卡的推广与应用,提高银行卡自身的安全性。金融机构对其业务办理所涉及的 ATM、CRS、POS 机等各类机器应进行定期排查,按期升级各类电子软件的应用系统,及时排除存在的安全隐患,营造安全的用卡环境。
面对现阶段金融犯罪的高发态势,社会各方都应当参与到防控银行卡盗刷工作中。这不仅仅局限于强化金融机构和业务办理人的风险防范责任,同时也对现阶段的法律体系以及政府监管提出了更高的要求。由于现阶段的法律法规对银行的要求越来越严苛,存在“同案不同判”的特殊现象,在法律公平性上存在偏颇。因此立法机关也应制定完善的法律体系来明确银行卡被盗刷后银行与持卡人的具体责任,提高主体责任意识,以此来加强对客户信息安全的保障,减少信息泄露及银行卡被盗刷的可能性。尤其针对售卖违法设备、信息贩卖、资金销赃、银行卡盗用等犯罪行为要确定其应承担的刑罚责任,以此进行严厉打击。
政府应建立起公安、金融监、金融机构等协同合作机制,提高对银行卡盗刷案件的防控效率。只有全社会各界力量注入对银行金融类犯罪的打击活动中,才能实现对金融秩序的高效维护,保证国家金融稳定的常态发展。