銀行卡盜刷黑色產業:一天發3萬木馬簡訊月入十幾萬

感謝關注，

偽基站發木馬簡訊「設局」，釣魚網站誘導用戶填寫銀行密碼，「洗料人」通過多個渠道盜刷「洗白」

5月9日，最高人民法院通報了《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。

這是兩高首次就打擊侵犯公民個人信息犯罪出台司法解釋。根據此次司法解釋，非法獲取、出售公民個人信息，情節嚴重者可獲刑。

「近年來，侵犯公民個人信息犯罪仍處於高發態勢，而且與電信網路詐騙、敲詐勒索、綁架等犯罪呈合流態勢，社會危害更加嚴重。」最高法相關人士稱。

我們幾乎每個人，都曾被推銷電話、詐騙簡訊騷擾過。去年發生的「徐玉玉案」，即是個人信息遭侵犯導致的「惡果」。

在此節點，新京報推出關於「個人信息泄露」的系列調查報道。我們將通過對航空、徵信、銀行卡等領域的調查，以期找到個人信息泄露的源頭。

直到5月23日收到電子賬單，劉曉靜（化名）才發現自己的信用卡被盜刷了。「我在今年2月底申請的卡，5月初激活的，但5月4日就在不知情的情況下被刷走了一筆1990元的賬單，此後又有好幾筆被轉走。」她告訴新京報記者。

劉曉靜不知道的是，她的信用卡信息已經泄露了，泄露渠道極有可能是在登錄銀行網站填寫信息時，遭到了虛假網站「釣魚」。

新京報記者調查了解到，在銀行卡盜刷的黑色產業鏈中，1990元只能算一筆「小買賣」:從偽基站群發木馬簡訊誘導用戶點擊鏈接，到釣魚網站和攔截碼「釣出」用戶信息，再到「洗料人」通過多種通道將錢「洗白」分贓，銀行卡盜刷產業鏈已經分出了涇渭分明的三塊「業務」，每個業務上的黑產從業者各司其職，在幾乎為零的成本背後，是「月入十幾萬」的利潤誘惑。

偽基站發詐騙簡訊

一小時收費500元，包天4500

6月6日，打開手提電腦，看著屏幕里的數字在3秒內從0跳到34，旁邊的一部安卓手機發出了「滴滴」的簡訊提示音，小張知道，偽基站已經開始正常運作了。

屏幕上的數字顯示的是他手中設備向外發送出的簡訊數量，每一個數字的跳動都意味著附近有人接收到了他發出的信息。

「並不是每個人都會看這條簡訊，」小張說，「但總有人會看，也有人會點擊裡面的鏈接。」

當天，小張發出的信息是「工商銀行積分兌換活動開始，尊敬的用戶，您可用積分4678分，兌換467.8元，點擊官網鏈接兌換，」簡訊中還附有一個開頭為95588的網站鏈接。

與正常的銀行提示不同的是，裡面的鏈接指向的並非工行官網，而是一個釣魚網站，只要進入這個網站並下載所謂的安全控制項，點擊人的銀行卡信息就會泄露出去。

也許，1000個人中只有100個人會去看這條信息，100個人里只有10個人會點擊鏈接，但對小張來說，只要有10個人點擊，就夠了。

因為小張一天平均可以發出的信息數量，是三萬條。

一位互聯網黑產從業者表示，偽基站是銀行卡盜刷產業鏈的上游，「偽基站，顧名思義，是可以偽裝成運營商基站的設備。它一般由主機和筆記本電腦、簡訊群發器、簡訊發信機等相關設備組成，可以搜取以其為中心、一定半徑範圍內的手機卡信息，並任意冒用他人手機號碼強行向用戶手機發送編輯好的信息，偽裝成10086、四大行客服都可以。」

小張在接到發「黑料」的業務時都顯得很謹慎。

「你要發的內容是黑的還是白的？黑的要多收費。」6月6日，小張這樣詢問前來諮詢「業務」的記者。

上述互聯網黑產從業者透露，所謂「黑」就是發送含有詐騙內容的簡訊，而「白」則是商戶促銷等信息。在收到「發送黑料」的回復后，小張表示，一小時收費500元。「一般的老闆都包天，從上午九點半發到晚上八點半，一天收費4500。」若按此計算，小張一個月可以獲得十三萬多的收入。

6月4日，新京報記者曾聯繫到幾家賣偽基站的「科技公司」，公司老闆稱，基站有車載式，也有背包式，一台基站視功率、大小不同價格也不同，在6000元至1萬元間浮動，「價格不算貴，而且只要你找到了好老闆，一天就可以回本。」

小張的設備屬於「車載式」，他說，只要把設備放在車裡，然後去人流密集的地方把設備打開兜圈子就行。「有時會遇到警車，只要機靈點，及時把設備關掉就可以了。」

但現在偽基站越來越容易被檢測出來。2016年4月，360公司在首都網路安全日展會上曾展示了偽基站追蹤系統，北京地圖上顯示出了許多黃點和紅點，從圖中可以看到東城區和朝陽區的「點」最多，據介紹，這些都是偽基站活動的痕迹。

一家販賣偽基站設備的「科技公司」在廣告上赫然顯示，目前已經推出了可以過殺毒軟體、智能手機甚至包含「安全自毀系統」的新型偽基站。

「我們針對偽基站其實一直在升級防範類的軟體，但是有時我們研製了一款軟體出來，就發現偽基站已經更新了好幾代了。」一家安全防護科技公司的研究人員說。

木馬攔截用戶簡訊

釣魚網站1000元「租」一個月

當小張通過偽基站將簡訊轟炸式發送到手機用戶手中時，不知情點擊簡訊鏈接的用戶就會掉入小張的「僱主」們精心設計的騙局中。

資深黑客「驚雲」（化名）就是小張的僱主之一。6月2日，新京報記者聯繫到了「驚雲」。在黑客圈混了四五年，「驚雲」精通源代碼編寫和網站搭建，但他最主要的業務卻是開發釣魚網站。

在「驚雲」演示的一款「工商銀行釣魚搭配攔截碼演示」視頻中，他製作了一個域名為「95588」的網站，網站界面幾乎和工商銀行官網一模一樣。

談到做網站的價碼，「驚雲」說：「搭建釣魚網站1000元一個月，手機簡訊攔截碼500一個月，手機感染軟體周租帶鏈接整套1200一周。」

「域名是可以自己編寫的，把95588、95555這種銀行客服電話寫進去是很容易的，只不過後綴不能是.com，只能用別的。」他說，「我們只要在這個網站里加上『積分兌換』之類的內容，誘導『魚』來填寫賬戶密碼就好了。」

「驚雲」所說的「魚」，指的就是受騙填寫自己銀行卡信息的手機用戶。

在「驚雲」的演示中，當他在釣魚網站點擊「積分兌換」選項時，會出現要求填寫用戶身份證、手機號、銀行卡賬戶和密碼的選項，填寫完后，這些信息都會發到「驚雲」的另一個軟體後台。「這樣，『魚』就上鉤了。」

用戶填寫完這些信息后，釣魚網站還會以「需要安裝安全控制項」為名誘導用戶安裝手機木馬。「不管『魚』填寫安裝還是不安裝，手機木馬都會自動開始安裝，這樣我們就可以把簡訊攔截木馬植入到用戶手機中。」「驚雲」說。

在銀行卡盜刷黑市裡，用戶的身份證、手機號、銀行卡賬戶和密碼被稱為「四大件」，被植入了手機簡訊攔截木馬的用戶，黑客可以輕易攔截用戶的手機信息，接收手機驗證碼，被稱為「攔截料」。在不少從事地下交易的QQ群里，「攔截料」往往被明碼標價出售。

「驚雲」本身既向人出售釣魚網站，自己也通過釣魚網站獲取他人的銀行卡信息，並轉手出售「攔截料」賺錢。

烏雲網的白帽子黑客曾經就釣魚網站發布報告，稱釣魚網站程序其實都很簡單，重點是在界面的裝修上，比如做成銀行或運營商的樣子。「這個鏈條中有專門的售賣團隊，一套程序價格是幾百塊左右。提供程序的技術團隊會給洗錢師保證一系列的技術服務，包括VPS伺服器設置，網站建設甚至簡單的系統安全防護」。

烏雲網報告指出，為騙人而生的釣魚網站本身也需要「系統安全防護」的原因是因為，釣魚網站程序幾乎全部存在「後門」，而如果有其他黑客通過這個「後門」同樣獲取了「魚」的銀行卡信息，就有可能把「攔截料」取走。很多釣魚網站主人一天給偽基站「信使」發一萬左右的工資，但取回來的「魚」被別人盜走提前「洗」了，導致收益入不敷出。現在不少黑產從業者也在努力學習ASP程序的「後門」清理技術。

6月2日，銀行業協會銀行卡專業委員會發布了《銀行卡產業發展藍皮書（2017）》。報告稱，通過攻擊手機移動端，以欺詐手段盜取銀行卡的風險明顯提高。據公安部對部分省市的統計，涉及網路的銀行卡犯罪案件，近年的年增長速度達到40%以上。

某黑產群「洗料人」在招攬生意。

多種通道「洗料」

「洗料人」與「料主」六四分成

在黑市中，銀行卡信息被統稱為「料」。其中，有驗證碼的「料」被稱為「攔截料」，從博彩網站以黑客技術「拖庫」出來的「料」叫做「菠菜料」，而通過POS機或者直接在ATM機上安裝盜竊軟體取得的料叫做「軌道料」。

不管從哪種途徑「出料」，最後都需要藉助一些「通道」把銀行卡中的錢盜刷出來，這被稱作「洗料」。

不管是偽基站也好，釣魚網站也好，都是竊取用戶銀行卡信息的手段，但把銀行卡中的錢「安全」提取出來，往往需要藉助專業「洗料人」所掌握的「通道」。

「驚雲」直言，最為「傳統」的洗料通道是直接取現，這類「洗料人」被稱為「取手團隊」，具體手法是通過技術直接複製一張與銀行卡原持有人一模一樣的銀行卡出來，然後找人直接去ATM機取款。「這些人總是最先被抓的，我曾經跟一個取手團隊合作過，後來覺得太危險了就叫他們刪除了我的聯繫方式。」

「現在，做通道的人都是金融行業從業者比較多，或者是熟悉金融行業的人士。因為從金融系統或者第三方支付平台上將錢『划走』比較安全，風險也比較小。」「驚雲」說。

6月8日，新京報記者以出料為名聯繫到一QQ名為「誠信為本」的專業「洗料人」。據他介紹，這一行的「行規」基本是開釣魚網站的「料主」把出的「料」先提供給洗料人，洗料人通過自己的通道將銀行卡里的錢提取出來，所獲款項再與「料主」按一定比例分成，一般是隔天回款。

「誠信為本」表示他走的是「銀行通道」，和「料主」按6：4分成。「我6你4，如果做得久了，老客戶我們可以按照5：5分成。」他向新京報記者出示了一個顯示時間為6月7日的招商銀行的電子回單，「我們可以出四大行以及招行、浦發的儲蓄卡，宗旨是一條料出到底，絕不跑單。」

但實際上，「料主」與「洗料人」之間常常發生「黑吃黑」，「料主」給了「洗料人」錢之後，「洗料人」獨吞利潤的案例也不鮮見。

6月8日，在一個從事黑料交易的QQ群中，一位「料主」與「洗料人」就發生了爭執。「料主」稱已把「料」發給了洗料人，但「洗料人」隔了三天都沒回款。「洗料人」則喊冤稱「錢還在，我根本沒有洗這個料」。

「實際上，任何擁有手機簡訊許可權，能通過銀行卡卡號和密碼進行轉賬操作的平台，都可以作為『洗料』的通道，不同的是安全與否。」一位了解互聯網黑產的人士告訴新京報記者。

該人士介紹，目前流行的「通道」包括開通快捷支付的各類網上銀行系統，以及遊戲幣、卡盟話費或者其他第三方平台。

新京報記者查閱多份「信用卡詐騙」相關判決書後發現，在獲得「料主」提供的銀行卡信息后，「洗料人」可以利用上述信息騙取銀行客服的信任，修改或增加被害人信用卡所綁定的手機號碼，或者直接攔截被害人的手機簡訊。而「洗料人」在法院當庭供述的洗料「通道」包括支付寶、微信、易付寶、「去哪兒網」賬戶、「攜程網」賬戶、電子加油卡賬戶等第三方支付平台。

難題：

「盜刷很難判斷泄露環節在哪裡」

5月9日，最高人民法院與最高人民檢察院聯合發布《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。《解釋》明確，非法獲取、出售或者提供公民個人信息違法所得五千元以上，即應當認定為刑法第二百五十三條之一規定的「情節嚴重」，可處三年以下有期徒刑或者拘役，並處或者單處罰金。

360手機衛士安全專家葛健向新京報記者表示，2017年第一季度，360手機衛士攔截的垃圾簡訊中，有1100萬條偽基站簡訊，占垃圾簡訊攔截總量的0.5%。一季度，360互聯網安全中心共截獲安卓平台新增惡意程序樣本222.8萬個，隱私竊取類木馬佔比7.9%。

葛健稱，360提供的數據顯示，2017年第一季度，偽基站簡訊在所有垃圾簡訊中的比例，相較於2016年第一季度（6.6%）、2016年全年（4%）有了明顯下降。這說明通過公安機關、電信運營商、安全廠商等相關政府、企業聯合打擊治理后，偽基站簡訊得到了有效的治理。

21CN聚投訴在3月發布的銀行卡盜刷大數據顯示，2016年度，銀行卡盜刷全網公開的投訴量共7095次，累計造成客戶經濟損失1.83億元。2016年工商銀行全年盜刷投訴量1923次，成為盜刷投訴第一大戶，佔總投訴量的25.6%，涉案金額3874.8萬元。

北京盈科律師事務所方超強律師表示，一般用戶銀行卡信息泄露后遭到盜刷，很難判斷泄露環節在哪裡。但銀行卡在盜刷時總會有IP地址顯示，銀行卡持有人只要證明銀行卡被盜刷時的IP地址和本人當時所在地址不一致，就可以證明這單交易非本人操作，從而獲得銀行理賠。

「在實際維權過程中，如果銀行卡持有人舉證證明銀行卡確實遭到盜刷，且過錯是銀行方面的漏洞，是可以獲得銀行賠償的。不過在釣魚網站泄露信息被盜刷的情況並不屬於銀行本身存在漏洞，只能說騙術過於高明，在這樣的情況下，銀行不需承擔責任。」方超強表示。

6月8日，新京報記者撥打工商銀行及招商銀行客服諮詢銀行卡被盜刷之後可如何處理，工行客服回復稱，如果用戶賬戶遭到盜刷，可以立即申請拒付以避免更大損失；如果上了賬戶安全險，遭到盜刷后可以獲取一定數額的賠償，但並不能保證被盜刷走的錢一定能被追回來。招行則回復稱具體處理情況需要根據盜刷者是境內境外盜刷以及線上還是線下盜刷來具體分析。

2016年，新京報曾經報道，受害者許先生在回復一條簡訊后，銀行卡、支付寶、百度錢包內資金被盜走的情況。網路安全專家當時分析，這是一則利用「個人信息＋USIM卡＋改號軟體發送詐騙簡訊」盜取資金的案件，在實施詐騙之前，騙子掌握了大量受害者的個人信息，包括姓名、手機號、身份證號、網銀賬戶和密碼，銀行預留的驗證手機號。不法分子獲取個人信息主要的途徑包括無良商家盜賣、網站數據竊取、木馬病毒攻擊、釣魚網站詐騙、二手手機泄密和新型黑客技術竊取等。

第三方支付平台易聯支付也遭遇過用戶銀行卡通過其平台被盜刷的情況。

5月4日，有用戶反映自己銀行卡上的500塊錢被他人通過易聯支付進入蘋果賬號充值「取走」。

易聯支付相關負責人向新京報記者表示，該用戶的銀行卡在被盜刷過程中，均是在填寫了正確的銀行卡開戶信息以及個人身份信息后，輸入了正確的銀行卡取款密碼，易聯支付通過銀聯及發卡行對支付信息進行校驗后才成功扣款。「我們以此可以判斷在銀行卡被盜刷前，犯罪分子已經掌握了所有支付信息，包含銀行卡取款密碼。」

上述負責人表示，易聯支付有「先行賠付」機制。「我們在收到該用戶的投訴后，已第一時間聯繫商家凍結交易，並在投訴后的第1個工作日安排了退款。」

方超強表示，第三方平台屬於支付的渠道和工具，在刷卡環節不認人，只和密鑰比對，因此在銀行卡盜刷事件中，第三方平台本身並不需要承擔責任。