拦截短信改密码 支付宝账户遭盗窃
近年网络支付正在消费领域快速普及,但在中国个人信息保护制度不健全、消费者安全意识薄弱的现状下,利用网络犯罪的手段层出不穷,网络账户蕴藏的风险也在逐渐积累。
5月15日,西安中院就一起利用支付宝平台漏洞的网络盗窃案作出终审判决。其中首犯处盗窃罪获刑5年又5个月。向他们售卖陕西电信用户号码及密码的人士,也因犯非法获取公民个人信息罪,被处有期徒刑9个月。
此前2013年10月,海南5名青年利用电信网上营业厅和支付宝平台漏洞,进入他人账户盗取资金。他们先是购买他人手机号和密码,进而开通短信拦截功能,之后在机主毫无察觉的情况下下,修改其支付宝密码。短短19天内,就将59位支付宝用户的23万余元资金窃走。
法庭称:陕西电信和支付宝(中国)网络技术有限公司已在第一时间修补了相关漏洞。
事实上,随着互联网的发展,现代通信、网络诈骗犯罪发案也呈逐年上升趋势。多起案件显示,收购支付宝信息、伪造身份证、持假证办理手机卡、盗取支付宝账户余额等繁琐的过程已形成犯罪产业链,业内人称之为“洗宝”,消费者需提高风险防范意识。
案情
上述5名利用网络漏洞实施盗窃的年轻人,有4人为“80后”,都来自儋州——这个地处海南的地级市,近年来被曝出多起本地人参与网络诈骗和盗窃案。
法庭的审理查明了他们的盗窃过程。
无业青年朱武进和潜水教练郑毅是这起网络盗窃案的主犯,也是他们发现了支付宝网络平台的漏洞。
他们的第一步,是寻找那些开通了支付宝账号的手机号码。
2013年10月7日,在淘宝网上,他们找到了一个叫李观钦的广东人。李观钦从淘宝网一卖家处购买了10个陕西电信用户的手机号码,将其提供给朱武进等人。
朱、郑二人在支付宝平台查询系统里筛选,发现其中一个号码开通了支付宝账户。
第二步,他们转向电信网上营业厅。利用号码和对应密码登陆系统,激活手机用户的短信拦截功能,再经设置、专门拦截支付宝和银行客服给这个号码发送的短信。
第三步,回到支付宝平台。他们输入已被动过手脚的手机号码,然后点击“忘记登陆密码”。很快,支付宝系统将更改账户密码的验证码以短信方式发送出来。
最后,他们用拦截得到的验证码修改支付宝账户密码,然后将支付宝账户和关联银行卡内的存款39950元,转入自己的银行账户。
初试成功后,朱、郑二人再次找到李观钦。李观钦将他以3500元从淘宝网上买来的1万个手机号码,加价500元卖给朱、郑二人。朱、郑再按上述步骤,如法炮制。
为了提升效率,朱、郑又找来保险公司的业务员陈兆祥。陈兆祥为此制作“按键精灵”程序用以筛选号码。之后,他们又拉进来两个人充当帮手。技术配合上人力,他们筛选的速度大大加快。
短短19天内,他们用相同手法盗窃了59人,全部金额达23万余元。其中一位受害者,支付宝账号关联的银行卡中,有12万元被取走,为数目最大的一笔。
2013年10月10日到10月26日之间,陆续有受害者向西安警方报案。
该年11月初,5名盗窃者在海南被抓获。2014年4月,为他们提供手机号码的李观钦也被抓获。
警方还进行了侦查实验,确认盗窃程序和作案手段。
今年5月15日,西安市中级人民法院对这起网络盗窃案作出了终审判决。法院认定主犯为朱武进,犯有盗窃罪,判处有期徒刑5年又5个月,罚金25万元。另外4人也都分别被判刑。
而通过淘宝购买1万个电信号码提供给盗窃者的李观钦,则被法院以“非法获取公民个人信息罪”,判处有期徒刑9个月。
据此案法官吴冬介绍:案件审理过程中,支付宝(中国)网络技术有限公司风险管理部向法庭提供了相关资料。其中包括受害人的详细资料和账户异常资料。
案卷显示:支付宝(中国)网络技术有限公司自2013年10月9日起,曾通过内部监控制度陆续发现多名西安地区会员账户内资金异常。支付宝通过技术平台锁定了盗窃支付宝账户的电脑,确定陕西电信用户受害人余彦利等人支付宝账户23万多元被盗的事实。查询银行账户及清单材料证实,支付宝公司提供的被查用于转账的银行账号共计12个。
这起案件暴露出第三方支付平台上存在的漏洞。财新记者了解到:2013年10月,西安警方就通知了支付宝以及陕西电信,要求他们弥补漏洞。事后,支付宝取消了相关查询功能,而陕西电信也对设置短信拦截功能进行了改进。
该案二审判决书后附有一则“判后寄语”。法官在其中建议:链接支付宝的用户最好使用数字和字母组合的高级别密码,给支付宝账户申请手机数字证书等安全措施,可对密码进行加密,有效防止木马程序截取键盘记录。个人的主要银行账户不要开通网银以及第三方支付平台,如已开通则不要储存过多现金。为支付方便,可以把需要用的钱放在第三方平台,但不要捆绑银行卡。同时,不要在没有加密的wifi环境下使用手机支付,也不要安装来路不明的软件。
法官特别提到:手机应当设置开机密码,因为破解密码需要时间,一旦手机丢失,多一道密码保护就会减少一些风险。
MORE>> 深度阅读
