自今年1月起,某电商平台陆续收到客户投诉称与平台绑定的第三方支付平台账户被盗刷,但是单笔金额数目都不大,从99元到299元不等,而300元恰恰是该平台设置的小额支付免验证码的最高值。直到6月底,全国累计竟有60多名受害人,涉及金额共有5万多元。
今年7月初,该平台负责人在自查无果后向南京市公安局鼓楼分局报案。警方随即展开侦查。
警方在调查中发现,所有的受害人账户都曾经在某二手闲置平台有过交易。但据受害人称,这些交易都非本人操作,而在交易成功后不久账户即被盗刷。而其中大约有30个受害人都在同一个二手卖家处购买过闲置物品。
在这个过程中,也有受害人向平台投诉。“一般我们接到投诉就会暂时冻结这个账号,但是如果账号的所有人进行申诉是可以解冻的。”平台负责人告诉警方,但是这个被投诉的账户所有人却没有申诉,而是换了别的账户继续发布二手买卖信息,而他总共换过6个不同的账户。“这就非常不正常,说明这个账户所有人心里有鬼。”
随着调查的深入,警方发现同一个人自己卖自己买,这不仅是一场虚假交易,还是一幕“独角戏”。在调查资金流的去向时,警方发现最终钱款流入了同一个账号,而账户所有人就是本案的重要嫌疑人:张某。通过前期侦查,警方最终确认了张某的住处,位于山东省莱州某家属院内。在确定了张某的身份之后,最终警方在其家中将他抓捕归案,并在现场收缴了涉案银行卡53张、POS机22台、手机11部、动态密码器(优盾)32个。为了方便记忆,大部分人在不同的APP上使用的都是同一套用户名和密码,甚至有的人与个人金融相关的APP上登录密码和支付密码也是同一套。正是因为这两个相同,才有了张某这类利用“扫库”与“撞库”相结合的方式实施网络诈骗的嫌疑人。
所谓“扫库”就是选择一些安全级别比较低的网站,比如视频网站,通过黑客的方式批量得到账号和密码。而“撞库”就是用获得的用户名和密码去批量碰撞可能绑定银行卡或者第三方支付平台的APP,撞上的概率能达到10%—20%。
撞上之后,嫌疑人就等于打开了你的“电子钱包”。本案中,张某属于初级的网络诈骗,所以他没有办法获知支付前手机收到的那个验证码,所以他利用的是“小额支付免验证码”功能,单笔盗刷不超过300元,但是批量盗刷还是很可观的。而想获知验证码,其实并不难,只要给受害者的手机发送一个含有木马病毒的链接,一旦点开,受害者的验证码将在后台被嫌疑人拦截,盗刷金额只取决于受害者卡上有多少钱。
警方提醒:“定制诈骗”升级快,要从源头上避免手机中毒
办案民警表示,目前电信网络诈骗的方式翻新十分迅速,且伪装性极强,这种带有病毒的诈骗软件大多以APK形式的程序存在。嫌疑人一旦掌握了市民的姓名、身份、手机号码等私人信息之后,就会立即发送“私人定制”诈骗信息或者通过其他途径,诱骗受害人点击下载带有病毒的软件或是安装木马文件。市民若想从源头上避免这类诈骗,就要对存有大量个人及网银信息的手机谨慎操作,以免手机中毒,进而带来难以估量的损失。