出差时手机几天没信号,没想到回京后发现,手机卡早已被他人补办,支付宝里的6.5万元以及捆绑银行卡里的2000元都不见了。昨天,西城检察院通报了一起新型盗窃支付宝案件,犯罪手段令人防不胜防。检察官提醒,手机如果无故没了信号,一定要提高警惕。
案件
支付宝账号被“洗劫”
“手机怎么没信号了?”去年12月,单先生在外出差,一连几天,手机都没有信号,开始他以为是当地信号不好,或者是手机出了故障,并没有在意。然而回到北京后,单先生发现依然没有信号,到门店测试手机也没有问题,随后,单先生到营业厅询问情况。
“您的SIM卡在12月17日被补办了。”工作人员的话让单先生一头雾水,“谁会补办我的手机卡呢?做什么用?而且补办卡不是需要身份证吗?”单先生重新补办了手机SIM卡,随之而来的事情让他大吃一惊——在将支付宝账号和手机、银行卡捆绑时,他发现自己的支付宝账号、密码和淘宝账号、密码都已被修改,支付宝内的6.5万元和捆绑的工行银行卡内的2000元都不见了。
接警后,警方迅速展开调查,在今年1月抓获林某、黄某两名嫌疑人。
“这是升级版的‘洗宝’(盗刷支付宝)手段,能让犯罪更隐秘。”林某交代说。
揭秘
“洗宝”已有“流水线”
“‘洗宝’貌似繁琐,但一入了这个圈子,实际操作起来并不困难。”林某说,盗刷支付宝的第一个步骤就是购买信息,即“找料”——有人专门在网上出售支付宝账号和密码。
“绝大多数账号和密码对应不上,为了筛选出正确信息,有一种专门的扫描软件,可以匹配账号和密码。”林某称,现在高质量的“料”,基本能保证1万条中有300条是准确的,也就是说正确率在3%。
有了这些信息,不法分子就可以登录相关支付宝账户,并用其中的余额在网络游戏中购买一些虚拟物品,再出售套现。“这是最初的‘洗宝’模式,一天最多能挣四五百元。”林某交代,由于先买后卖局限颇多,“圈里”开发出更直接的套现方法。
在掌握了正确的支付宝账号和密码后,林某先登录账户,看看支付宝里面是否有较多余额。记录下几个存有大笔余额的账号后,林某便在“圈子”里找人,这些人可以根据账号查到该用户的真实姓名、身份证号以及绑定的手机号。得到这些信息后,林某再找另外一批人,他们能够根据姓名以及身份证号查询到更详细的资料,这些资料是办理假身份证所必须的信息。
林某拿到这些信息后就提供给黄某,由黄某出面办假身份证。黄某说,假身份证就是用林某提供的真实信息和自己的头像合成一张假证。有了这张身份证,黄某就可以堂而皇之地去银行和手机营业厅,把支付宝账户、银行卡、SIM卡都办在自己名下,“我实际上冒充了真用户。”如此一来,被害人的手机卡自动作废,即使支付宝发出短信提醒,也是提醒到黄某手里的SIM卡上。随后,黄某便肆无忌惮地把支付宝上的余额转到自己的银行卡里,再从容提现。
建议
用户应采用更复杂密保
尽管林某和黄某已经因涉嫌盗窃罪被批准逮捕,但是“洗宝”背后疑问重重:支付宝的账号和密码是怎么流出去的?相关个人信息是怎么被查到的?假身份证为什么可以骗过银行和营业厅?
林某对此的供述是“不知情”。他说,圈子里的人都是通过QQ认识的,也是通过QQ联系,彼此没有见过面,更不知道真实身份。这种回答,更令人为支付宝的安全问题担忧。
检察官认为,想破解这种新型“洗宝”犯罪,需要运营商、司法部门、用户各方努力。从运营商的角度说,应该通过不断研发和创新密保手段提高安全系数,保证用户资金安全;政府相关部门与执法机关应该加大监管和打击力度;用户更要提高自我保护意识,本案中的单先生坦言,他只给支付宝账户设置了最基本的登录密码和支付密码,对于运营商提供的更复杂但更安全的一些密保手段并没有采用。
检察官建议,用户不要怕麻烦,尽量将支付平台提供的安全措施全部用上,一旦手机突然没有信号也不要大意,在排除了信号问题和手机故障后,要尽快到营业厅查询SIM卡是否被他人补办,并尽快将支付平台内的余额转出。