近日，上海公安機(jī)關(guān)偵破一起利用移動(dòng)支付通道盜刷信用卡詐騙案，嫌疑人非法獲取身份證號(hào)、銀行卡號(hào)等公民個(gè)人信息后，采取“撞庫(kù)”方式，非法獲取平臺(tái)用戶的賬號(hào)、登錄密碼甚至支付密碼等信息，再以虛假交易等方式盜取資金，并以多種方式進(jìn)行套現(xiàn)。據(jù)警方介紹，目前已發(fā)現(xiàn)本案中疑似被盜刷信用卡300余張，涉案金額300余萬(wàn)元。

“信息泄露+黑客攻擊”非接觸式盜刷信用卡

2017年4月，上海市公安局經(jīng)偵總隊(duì)接到某第三方支付平臺(tái)報(bào)案：有不法分子利用移動(dòng)支付通道盜刷他人信用卡資金，涉嫌信用卡詐騙。接報(bào)后，經(jīng)偵總隊(duì)迅即會(huì)同浦東分局組成聯(lián)合專案組，對(duì)此案開(kāi)展立案?jìng)刹椤?/p>

偵查員及時(shí)向資金流向涉及的電商平臺(tái)，以及涉案POS機(jī)涉及的第三方支付機(jī)構(gòu)獲取盜刷交易相關(guān)數(shù)據(jù)，并以關(guān)鍵詞為主要線索對(duì)全市范圍內(nèi)同類型案件串并，發(fā)現(xiàn)疑似被盜刷信用卡300余張，涉案金額300余萬(wàn)元。

2017年11月，上海警方在江西、湖南、四川、河南、江蘇、浙江等六省分別實(shí)施收網(wǎng)行動(dòng)，一舉抓獲徐某、許某、段某等10余名犯罪嫌疑人，收繳作案用手機(jī)、電腦50余部，銀行卡100余張，POS機(jī)70余臺(tái)。上一舉抓獲徐某、許某、段某等10余名犯罪嫌疑人，收繳作案用手機(jī)、電腦50余部、銀行卡100余張，POS機(jī)70余臺(tái)。

警方對(duì)犯罪團(tuán)伙藏身窩點(diǎn)進(jìn)行搜查

經(jīng)查，2017年3月至4月，以犯罪嫌疑人徐某、段某等人為首的犯罪團(tuán)伙，通過(guò)張某等人非法購(gòu)得大量公民信息，通過(guò)互聯(lián)網(wǎng)聊天軟件結(jié)識(shí)許某等專業(yè)編程人員編寫黑客軟件。犯罪團(tuán)伙再利用上述非法獲取的公民信息和掃碼黑客軟件，攻擊移動(dòng)支付平臺(tái)數(shù)據(jù)庫(kù)，非法獲取平臺(tái)用戶的賬號(hào)、登錄密碼甚至支付密碼等信息。

獲取這些關(guān)鍵信息后，以徐某為首的犯罪團(tuán)伙利用上述信息登錄移動(dòng)支付通道的手機(jī)app，在線上商店瘋狂購(gòu)買各類易變現(xiàn)商品，如：電子數(shù)碼產(chǎn)品、充值卡、景點(diǎn)門票等。而以段某為首的犯罪團(tuán)伙則采取線下變現(xiàn)的方式，根據(jù)竊取到的公民信息注冊(cè)生成大量二維支付碼，隨后利用虛假身份購(gòu)買大量POS機(jī)，通過(guò)POS機(jī)掃描支付碼完成盜刷，成功將被害人信用卡內(nèi)的資金轉(zhuǎn)移到犯罪嫌疑人控制的結(jié)算卡內(nèi)，最后再由犯罪嫌疑人章某等人通過(guò)全國(guó)各地的ATM機(jī)進(jìn)行取現(xiàn)。

目前，本案犯罪嫌疑人因涉嫌信用卡詐騙罪，已被公安機(jī)關(guān)執(zhí)行逮捕。同時(shí)，公安機(jī)關(guān)已對(duì)公民信息泄露源頭開(kāi)展深入打擊。

部分移動(dòng)支付平臺(tái)遭“撞庫(kù)”攻擊

上海市公安局經(jīng)偵總隊(duì)一支隊(duì)副支隊(duì)長(zhǎng)徐勤表示，區(qū)別于一些常規(guī)銀行卡案件，這起案件中犯罪團(tuán)伙并不直接接觸受害人信用卡，而是通過(guò)攻擊第三方支付平臺(tái)，利用先前獲取的公民個(gè)人信息，通過(guò)黑客攻擊等手段，盜取受害人的移動(dòng)支付平臺(tái)的個(gè)人賬號(hào)?！斑@些移動(dòng)支付賬戶都綁定著銀行卡，獲取了移動(dòng)平臺(tái)的賬號(hào)、密碼等信息，就等于犯罪團(tuán)伙控制著你的銀行卡和信用卡，可以隨意進(jìn)行消費(fèi)?！?/p>

據(jù)警方介紹，本案中許多受害人在不同平臺(tái)使用的網(wǎng)絡(luò)賬號(hào)和密碼都是一樣的，這給了犯罪分子可乘之機(jī)。徐勤說(shuō)，“比如你的微博、微信和你的支付平臺(tái)賬號(hào)一樣的話，有些平臺(tái)的防火系統(tǒng)很好，不容易攻破，但也有些防火等級(jí)不高，它一旦被攻破，犯罪團(tuán)伙就可能通過(guò)該賬號(hào)密碼進(jìn)行‘撞庫(kù)，從而攻破你的網(wǎng)絡(luò)支付賬號(hào)?！痹谶@起案件中，警方偵查發(fā)現(xiàn)幾類常見(jiàn)的支付平臺(tái)皆有被“撞庫(kù)”成功的情形。