多种通道“洗料”
“洗料人”与“料主”六、四分成
在黑市中,银行卡信息被统称为“料”。其中,有验证码的“料”被称为“拦截料”,从博彩网站以黑客技术“拖库”出来的“料”叫做“菠菜料”,而通过POS机或者直接在ATM机上安装盗窃软件取得的料叫做“轨道料”。
不管从哪种途径“出料”,最后都需要借助一些“通道”把银行卡中的钱盗刷出来,这被称作“洗料”。
不管是伪基站也好,钓鱼网站也好,都是窃取用户银行卡信息的手段,但把银行卡中的钱“安全”提取出来,往往需要借助专业“洗料人”所掌握的“通道”。
“惊云”直言,最为“传统”的洗料通道是直接取现,这类“洗料人”被称为“取手团队”,具体手法是通过技术直接复制一张与银行卡原持有人一模一样的银行卡出来,然后找人直接去ATM机取款。“这些人总是最先被抓的,我曾经跟一个取手团队合作过,后来觉得太危险了就叫他们删除了我的联系方式。”
“现在,做通道的人都是金融行业从业者比较多,或者是熟悉金融行业的人士。因为从金融系统或者第三方支付平台上将钱 划走 比较安全,风险也比较小。”“惊云”说。
6月8日,新京报记者以出料为名联系到一QQ名为“诚信为本”的专业“洗料人”。据他介绍,这一行的“行规”基本是开钓鱼网站的“料主”把出的“料”先提供给洗料人,洗料人通过自己的通道将银行卡里的钱提取出来,所获款项再与“料主”按一定比例分成,一般是隔天回款。
“诚信为本”表示他走的是“银行通道”,和“料主”按6:4分成。“我6你4,如果做得久了,老客户我们可以按照5:5分成。”他向新京报记者出示了一个显示时间为6月7日的招商银行的电子回单,“我们可以出四大行以及招行、浦发的储蓄卡,宗旨是一条料出到底,绝不跑单。”
但实际上,“料主”与“洗料人”之间常常发生“黑吃黑”,“料主”给了“洗料人”钱之后,“洗料人”独吞利润的案例也不鲜见。
6月8日,在一个从事黑料交易的QQ群中,一位“料主”与“洗料人”就发生了争执。“料主”称已把“料”发给了洗料人,但“洗料人”隔了三天都没回款。“洗料人”则喊冤称“钱还在,我根本没有洗这个料”。
“实际上,任何拥有手机短信权限,能通过银行卡卡号和密码进行转账操作的平台,都可以作为 洗料 的通道,不同的是安全与否。”一位了解互联网黑产的人士告诉新京报记者。
该人士介绍,目前流行的“通道”包括开通快捷支付的各类网上银行系统,以及游戏币、卡盟话费或者其他第三方平台。
新京报记者查阅多份“信用卡诈骗”相关判决书后发现,在获得“料主”提供的银行卡信息后,“洗料人”可以利用上述信息骗取银行客服的信任,修改或增加被害人信用卡所绑定的手机号码,或者直接拦截被害人的手机短信。而“洗料人”在法院当庭供述的洗料“通道”包括支付宝、微信、易付宝、“去哪儿网”账户、“携程网”账户、电子加油卡账户等第三方支付平台。
难题:
“盗刷很难判断泄露环节在哪里”
5月9日,最高人民法院与最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。《解释》明确,非法获取、出售或者提供公民个人信息违法所得五千元以上,即应当认定为刑法第二百五十三条之一规定的“情节严重”,可处三年以下有期徒刑或者拘役,并处或者单处罚金。
360手机卫士安全专家葛健向新京报记者表示,2017年第一季度,360手机卫士拦截的垃圾短信中,有1100万条伪基站短信,占垃圾短信拦截总量的0.5%。一季度,360互联网安全中心共截获安卓平台新增恶意程序样本222.8万个,隐私窃取类木马占比7.9%。
葛健称,360提供的数据显示,2017年第一季度,伪基站短信在所有垃圾短信中的比例,相较于2016年第一季度(6.6%)、2016年全年(4%)有了明显下降。这说明通过公安机关、电信运营商、安全厂商等相关政府、企业联合打击治理后,伪基站短信得到了有效的治理。
21CN聚投诉在3月发布的银行卡盗刷大数据显示,2016年度,银行卡盗刷全网公开的投诉量共7095次,累计造成客户经济损失1.83亿元。2016年工商银行全年盗刷投诉量1923次,成为盗刷投诉第一大户,占总投诉量的25.6%,涉案金额3874.8万元。
北京盈科律师事务所方超强律师表示,一般用户银行卡信息泄露后遭到盗刷,很难判断泄露环节在哪里。但银行卡在盗刷时总会有IP地址显示,银行卡持有人只要证明银行卡被盗刷时的IP地址和本人当时所在地址不一致,就可以证明这单交易非本人操作,从而获得银行理赔。
“在实际维权过程中,如果银行卡持有人举证证明银行卡确实遭到盗刷,且过错是银行方面的漏洞,是可以获得银行赔偿的。不过在钓鱼网站泄露信息被盗刷的情况并不属于银行本身存在漏洞,只能说骗术过于高明,在这样的情况下,银行不需承担责任。”方超强表示。
6月8日,新京报记者拨打工商银行及招商银行客服咨询银行卡被盗刷之后可如何处理,工行客服回复称,如果用户账户遭到盗刷,可以立即申请拒付以避免更大损失;如果上了账户安全险,遭到盗刷后可以获取一定数额的赔偿,但并不能保证被盗刷走的钱一定能被追回来。招行则回复称具体处理情况需要根据盗刷者是境内境外盗刷以及线上还是线下盗刷来具体分析。
2016年,新京报曾经报道,受害者许先生在回复一条短信后,银行卡、支付宝、百度钱包内资金被盗走的情况。网络安全专家当时分析,这是一则利用“个人信息+USIM卡+改号软件发送诈骗短信”盗取资金的案件,在实施诈骗之前,骗子掌握了大量受害者的个人信息,包括姓名、手机号、身份证号、网银账户和密码,银行预留的验证手机号。不法分子获取个人信息主要的途径包括无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和新型黑客技术窃取等。
第三方支付平台易联支付也遭遇过用户银行卡通过其平台被盗刷的情况。
5月4日,有用户反映自己银行卡上的500块钱被他人通过易联支付进入苹果账号充值“取走”。
易联支付相关负责人向新京报记者表示,该用户的银行卡在被盗刷过程中,均是在填写了正确的银行卡开户信息以及个人身份信息后,输入了正确的银行卡取款密码,易联支付通过银联及发卡行对支付信息进行校验后才成功扣款。“我们以此可以判断在银行卡被盗刷前,犯罪分子已经掌握了所有支付信息,包含银行卡取款密码。”
上述负责人表示,易联支付有“先行赔付”机制。“我们在收到该用户的投诉后,已第一时间联系商家冻结交易,并在投诉后的第1个工作日安排了退款。”
方超强表示,第三方平台属于支付的渠道和工具,在刷卡环节不认人,只和密钥比对,因此在银行卡盗刷事件中,第三方平台本身并不需要承担责任。
来源:新京报 记者 罗亦丹 陈鹏
共2页 上一页 [1] [2]
银行卡倒卖暗藏洗钱陷阱 不少地区已形成地下产业链
“5月起磁条银行卡停用”是误读 用户仍可继续使用
银行卡挂失反投诉自己 闹剧背后牵出洗钱团伙
如何防止银行卡被盗刷?使用复合卡 重视签名栏
磁条银行卡5月起不能再用了?误读!
搜索更多: 银行卡
