近期,上海市公安局黄浦分局经过缜密侦查,成功捣毁全国首个盗窃手机获取手机SIM卡、冒充机主本人、窃取个人信息、盗刷信用卡的一条龙犯罪团伙,抓获犯罪嫌疑人李某、王某等7名犯罪嫌疑人,涉案金额超过100万元。
跟以往的信用卡盗刷案件不同,本案犯罪手法的关键用技术手段破解手机及SIM卡,其后通过手机接收验证码登录,获取受害人存留在OTA(在线旅游代理商)应用软件完整呈现的身份证、银行卡等信息,冒充持卡人重置信用卡密码,进行盗刷,可谓防不胜防。
手机被盗后,信用卡遭离奇盗刷
2019年4月,黄浦警方接到某银行信用卡中心报案,称该行有多名信用卡用户遭遇信用卡盗刷。
经初步侦查,警方发现这些受害人均系手机在四川成都被盗后,于短时间内被不法分子实施了支付盗刷。期间,疑似嫌疑人曾伪装成信用卡用户,拨打银行客服电话,在报出受害人个人身份信息、信用卡还有效期等信息后,重置了手机银行登录密码,实施盗刷犯罪。
奇怪的是,所有受害人手机均设有密码锁,且身份证、信用卡都在身边,也未曾有过被盗或丢失的情况,犯罪分子是如何获取受害人的身份证件和银行卡信息的呢? 这一新颖的犯罪手法立即引起警方重视,旋即成立专案组开展进一步侦查。
盗窃手机到盗刷信用卡,环环相扣
如今,手机银行、支付软件、OTA(在线旅游代理商)等各类手机应用十分普及,大多需要用户提供身份证等信息进行实名认证。在一些OTA应用中,会完整呈现用户身份证、信用卡等完整信息。专案组判断,在如此短时间内就能获取受害人的相关信息,问题应该还是出在被盗手机上。
警方侦查发现,犯罪嫌疑人利用被盗手机的SIM卡,装入其他设备,用手机号码作为账户名,通过忘记密码,用验证码登录,测试各类OTA软件。“一旦登陆应用软件后,犯罪嫌疑人可以通过订票的方式,获取受害人的完整身份证号码等信息。”
除此之外,犯罪分子也可通过破解手机的方式,获取受害人信息。“如果受害人的手机被破解,就能直接用手机中的OTA应用获取受害人的个人身份信息,而后利用通讯录、信用卡软件等套取其他个人信息,就能向银行客服要求重置信用卡密码。”专案组民警调查发现,一旦手机被破解,后面的操作会变得十分便捷——打开应用软件,选择“忘记密码”,再利用手机接收验证码,继而重置OTA应用软件的登录密码,查看并获取常旅客身份信息。
用手机号、验证码登录携程后,常旅客身份信息被“裸露”
据初步统计,该犯罪团伙侵害的对象远不只一家银行,有多家银行和支付平台的10多个用户都曾被以该犯罪手法盗刷卡内金额,涉案价值人民币100余万元。
一条龙团伙被捣毁,作案手法揭秘
随着案件调查的逐渐深入,一个隐藏在四川成都,以嫌疑人李某、王某等人为首的犯罪团伙浮出水面。他们形成了盗窃手机、破解盗刷、套现来实施信用卡诈骗的犯罪链条。
警方调查发现,这伙人平时在成都街头伺机寻找可供盗窃手机的目标,一旦窃得手机之后,便会在短时间内破解手机解锁码,窥探受害人手机中的个人身份证件以及银行卡号等信息。为了成功实施犯罪,李某等人会通过已知的受害人个人身份信息致电手机网络运营商,要求更改手机服务密码,取得手机号码的实际控制权。等到失主补办好手机卡时,发现信用卡已经遭遇盗刷。
9月6日凌晨,专案组经过周密部署,在当地警方的密切配合下于成都市内多处地点开展收网行动,一举抓获李某、王某等7名犯罪嫌疑人,查获作案用的手机、银行卡等工具。9月9日晚22点,7名犯罪嫌疑人被上海黄浦警方押解回沪。
侦查员查获手机等作案工具
李某等人到案后交代,他们在盗窃手机后,先破解手机,不成功就获取SIM卡,插入“工作手机”,其后通过手机内的OTA软件,利用手机号码和验证码登录后,套取受害人身份人信息,伪装成持卡人拨打银行客服,以获取被害人完整的身份、银行卡等信息,绑定第三方支付软件,实施盗刷。
本案中,获取受害人身份信息,成为盗刷账户的基础。原本便利用户生活的APP,反而成为了嫌疑人解锁的“帮凶”。嫌疑人控有他人SIM卡后,插入工作机进行使用。再以此手机号为用户名,仅需通过短信验证码的方式,便能在携程、去哪儿等多个OTA平台,尝试登陆。成功登陆后,只要被害人曾通过一款出行软件订购过火车票、机票,嫌疑人便能通过再次“预定”车票的方式,轻易获取被害人的姓名、身份证号码。
其后,犯罪嫌疑人再通过“恢复大师”“51信用卡软件”,从受害人手机中获取信用卡信息。“如果你在手机里存放有信用卡的照片,那犯罪分子很快就能获取你的信用卡信息。”侦查员告诉记者,此时,犯罪分子利用身份证信息和卡的信息,冒充持卡人拨打银行信用卡客服,修改密码。
此外,凭借身份证号,嫌疑人还能修改被害人第三方支付软件的登陆密码,此时虽无法进行资金结算,但却能通过“已绑银行卡”来了解被害人已在哪些银行申领办卡。掌握上述信息后,嫌疑人继而拨打银行客服电话,在线核对身份证号码、银行卡预留注册信息、短信验证码后,便能重置银行APP的登陆密码。最后通过输入短信验证码的方式,便能获取此银行卡完整的卡号。
握有机主的身份证号、名下银行卡号,并控制着手机号码通讯权利后,嫌疑人便能对移动支付APP的支付密码进行重置。由此,受害人绑定的所有银行卡及零钱,都将被嫌疑人所控制,进而实施盗刷。
目前,犯罪嫌疑人李某等7名犯罪嫌疑人已被黄浦警方采取刑事强制措施,案件正在进一步审理中。
警方兵分多路将犯罪团伙一网打破
一“卡”在手信息全有,携程等应用被质疑存安全隐患
在这起案中,犯罪分子得逞的关键在于过了获取受害人的身份证号码等信息,之后的操作就“水到渠成”。
记者发现,目前携程、飞猪等OTA应用软件,在使用订票功能时,会完整呈现“常旅客”的身份证号码等信息。“这些软件大多可以通过手机号注册,也可通过手机接收验证码的方式,直接登录软件。如果手机丢了,SIM卡被人冒用,那OTA应用软件相关于泄露个人身份信息的‘捷径’。”业内人士表示,这些软件应进一步提升安全防范等级,比如隐去部分身份证号码等。
同时,在移动互联时代,智能手机已经不再是单纯接打电话、发送短信的通信工具,它更像是我们的生活管家,网上购物、移动支付及各种银行APP管理着你的财产,生活中珍贵的照片、朋友的联系方式也都存在手机中,可以说它已成为每个人生活中必不可少的工具之一。而手机SIM卡则在某种意义上成为了公民的另一张“身份证”。
“有SIM就相当于掌握了手机号,可以在手机上用验证码验证登录的方式攻破很多手机应用的防火墙。”业内人员表示,手机被盗、遗失后,第一时间联系运营商进行紧急停机,避免不必要的损失。“手机应用软件的风控、安全系统应及时升级。比如除了实名认证外,也可增加生物识别技术验证,确认实人使用,为应用软件的使用安全加一道防火墙。”