沈警方破获银行卡盗窃案案值300多万元嫌疑人称被害人账号密码太简单
盗窃团伙低价购买网站泄漏的海量个人信息自编软件破解银行账号和密码
本报讯(华商晨报记者仓一荣)真实姓名、身份证号、银行账号、手机号,甚至包括银行账号密码……
这些重要个人信息在网上黑市交易的话,您知道值多少钱吗?0.0001元,甚至更低!
近日,沈阳和平警方成功破获一起盗窃银行账户资金案,犯罪嫌疑人自己开发软件,用40多台电脑24小时破解银行密码,再通过电话银行套取现金,涉案价值300多万元。警方查获的作案电脑中,共6个多G的市民个人资料!
两张银行卡揣在兜里
几分钟被盗刷几十次
今年2月17日,沈阳市民郑先生的手机短信铃声不断响起来。短短几分钟的时间里,郑先生一共接到了几十条银行自动发来的通知短信。每条短信告知郑先生的银行账号刚刚支付了一两百元不等。
郑先生立刻慌了,银行卡好好地揣在兜里,卡里的钱却在快速流失。郑先生立即通知银行冻结账号,而就在银行为郑先生办理冻结操作的过程中,又有20多条通知短信发进了郑先生的手机里。
接下来发生的事情让郑先生更加惊慌了。这一张银行卡刚刚冻结,郑先生在同一家银行的另一个账号又开始出现同样的情况,每笔少则400元,多则1000元。
短短几分钟的时间,两张银行卡共支付了5200元左右,刷掉了这2张银行卡里大部分的钱。
总案值高达300余万元
作案电脑有6个多G个人资料
民警在调查中发现了一个蹊跷的情况——所有的受害者,他们既没有点击木马链接,也没有进入钓鱼网站。沈阳市公安局和平分局网络安全大队也参与进案件侦查工作。
今年3月29日,和平警方一举将犯罪团伙成员钟某(男,28岁,重庆市人)、万某(男,30岁,重庆市人)、吴某(男,30岁,长沙市人)、屈某(男,29岁,湖南省衡阳县人)等12名犯罪嫌疑人抓捕归案。
经审讯,钟某等12名犯罪嫌疑人交代了多次盗窃他人银行账户资金的犯罪事实。
办案民警调查发现,钟某这伙人盗窃银行账户资金的被害人涉及辽宁、吉林、河北等多地。“我们在钟某等人的作案电脑中发现了共6个多G的个人资料。”沈阳市公安局和平分局网安大队民警谷禹介绍,钟某等人盗刷被害人银行账户资金,总价值高达300余万元。
目前,犯罪嫌疑人钟某等12人,因涉嫌盗窃罪被和平警方依法刑事拘留。案件正在进一步审理中。
展开全文
银行卡是怎样被盗刷的
上游
负责人:屈某
购买个人信息
3000元从黑市买到上亿条个人信息
钟某等12人虽然身居多地,但通过网络形成了一条完整的盗窃犯罪链条。
屈某是这一链条的上游,主要负责进入网络交易黑市,通过买卖或交换的方式,获取大量个人信息。这些信息简单的可能只有一个电子邮箱账号,相对完整的则可能包括真实姓名、身份证号、银行账号、手机号,以及一些网站的登录密码等。
钟某告诉记者,在网络黑市里,这些真实的个人信息在以超乎想象的超低价格交易、交换。钟某等人只用了3000元,就买到了上亿条信息。这些信息几乎都来自某些大型网站的泄漏。钟某说:“信息量很大,卖价却很便宜,一是因为这些信息‘质量’参差不齐,并不全都是能让人搞到钱的信息;更重要的原因是这些个人信息已经太泛滥了,大家(黑市交易者)手里都有,所以根本就卖不上价。”
中游
负责人:万某钟某
破解银行账号密码
自编软件一周可破解100个银行账号和密码
嫌疑人的窝点放了40多台电脑,24小时不停地破解密码-警方供图
接下来,屈某将交易或交换得来的个人信息转交给位于重庆市的核心犯罪成员钟某、万某等人。
钟某是犯罪团伙的组织者,负责安排租房、找电脑设备、集结下游具体操作实施人员。
万某是钟某的同学,主要负责编制研发暴力破解软件等技术型工作。在钟某和万某这一环节,他们通过各种手段尝试找到或用软件破解出准确的银行账号密码。
比较基础的一种是利用了很多人设置密码的一个习惯——把若干网站的密码都设置成统一的。
办案民警介绍,在沈阳市民郑先生的这起案件中,钟某等人使用的就是上面这种方法。钟某等人购买的个人信息是一家带有交易支付功能的大型网站泄漏的,其中就包括郑先生的真实姓名、身份证号、手机号码、银行账号和网站登录密码。郑先生把银行账号密码设置成了跟网站登录密码一样。因此,钟某等人就获得了郑先生的银行账号及密码。
钟某交代,他们利用了很多人设置密码的一个习惯——简单组合姓名拼音、生日数字等基础个人信息,或者利用键盘按键的位置规则,编制成简单的密码。“比如名字的全拼后跟6位生日,要不就是数字小键盘‘X’型、‘Z’型排列的数字按键。”
“有2%~3%的人都在使用这样简单到能让人猜出来的密码。”钟某说。
钟某等人使用的更为高级的找密码方式是暴力破解,行话叫“撞库”。钟某说,“撞库”成功的几率要更大一些。
钟某学过软件开发,万某也有相当的软件编制能力。
万某说,他用了相当长的时间制作了一款暴力破解软件。这个软件最“厉害”的地方不是破解密码,而是它甚至都不需要提前掌握被害人的账号。这是因为很多人设置账户名的规则也很简单。“比如叫李四的人很多,我就随便尝试一个李四加6位生日的账户名,然后再尝试密码。从000000到999999,挨个试一遍,总有一个是对的。”钟某等人利用在网站的这个账户名和密码,再去找被害人的银行账号。
警方介绍,在查获的一处重庆市的窝点,钟某等人找了一间100平方米左右的清水房,“里面有40多台电脑,就只安装了一个暴力破解软件,24小时不停地运转,破解密码。”
万某告诉记者,使用他的这款暴力破解软件,一般一周内能够成功找到约100个真实有效的银行账号和密码。
下游
负责人:吴某
给人充话费套现
低价给人充话费套现获利超百万元
接下来,钟某等人将这些银行账号和密码分派给下游具体操作实施的几个人。这些人把银行账号里的钱,通过电话银行充值的方式套现出来。
充值内容几乎都是话费,其他也有交纳水电费、买彩票等。由犯罪嫌疑人吴某负责找买家,比如不知情的市民要充100元话费,吴某就通知钟某等人。钟某下游的操作者,拨打银行客服电话,用别人的账号和密码充话费。
吴某从市民那里收钱,再返还一部分给钟某等人。钟某团伙一般是以4折到6折的低价在操作,替市民充100元话费,钟某团伙能够拿到40~60元。
在成功支付后,银行系统可能会自动给受害人发送通知短信。一旦被害人发觉,则可能立即冻结账户。为了避免这样的情况发生,钟某等人往往在短时间内集中大量地使用同一被害人的银行账号充话费。
这也就是为什么,沈阳市民郑先生在短短几分钟的时间内集中收到几十条支付短信的原因。
钟某等人也会少部分出售这些银行账户和密码,售价每条5~20元。
自去年下半年开始,钟某等人获利百万元以上。
-对话嫌疑人
很多人有个坏习惯
所有密码都是一样的
记者:你们能够成功找到银行账号密码,你觉得利用的漏洞在哪里?
钟某:中国人设置密码就有个习惯,太简单了。很多人我知道他一个密码,就相当于知道了他所有的密码。我自己凡是涉及钱的网站,每个网站的登录密码都是独立不一样的。
记者:还有其他漏洞吗?
钟某:还有就是银行方面,他们的后台保护技术没有做好。比如一长串账号中,有几位数字是用“*”号代替的,但这只是在显示屏上。在后台是非常完整的,而这个后台我们很容易就能进去,相当于他们“*”号啥的完全没用。
记者:很多地方输错密码3次,就会自动把账户锁住一段时间。你们是如何规避这个规则的?
万某:我们根本不用规避它。因为我们的量太大了,这个账号输错密码了,就试下一个账号,或者等过两天账号解封了之后再继续试。
-提醒
网银等密码
别和其他密码一致
沈阳市公安局和平分局网络安全大队民警谷禹提醒市民,一定要注意在设置密码方面尽量维护自己的账号安全。
首先,要尽量使用构成比较复杂的密码,在普通的数字、字母中间,穿插字符,并且对英文字母区分大小写。
其次,便于记忆的密码安全系数也会比较低,所以尽量不要在多个网站上设置相同的密码,尤其是不要把网银等涉及财务的密码设置得与其他普通密码一致。
最后,就是建议大家养成定期更改密码的习惯。因为犯罪嫌疑人在成功破解密码之后,可能过段时间才使用,此间用户如果更改了密码,犯罪嫌疑人前次破解则无效了,能够尽量保护账号的安全。
网络安全专家认为,海量的市民个人信息泄漏,不法分子几乎很难做到针对各个被害人获取信息,而是来自于大型网站的泄漏。不法分子是怎么做到的呢?
网络安全专家介绍,一般黑客的做法首先是要检测网站的漏洞,查到漏洞之后进行攻击。一些采集个人信息的网站,网络维护方面的业务是交给外包公司,所以造成网站很容易就能被找到漏洞。另一种做法是,即使一些网站准备了一定程度的安全设置,但却被技高一筹的黑客绕过。黑客可以发起恶意攻击,以获得大量的用户个人信息。华商晨报记者仓一荣