一段时期以来,银行卡被复制盗刷的案件屡屡发生,令人不安。随着一个IT“高手”的落网,迷一般的犯罪案情才像一出惊悚戏,徐徐展开。
5月15日,上海市公安局经侦总队召开了打击银行卡犯罪的新闻发布会,上海市公安局经侦总队副总队长戴新福介绍,目前在银行卡信息的窃取、买卖、传递、使用等各个环节已形成了完整的黑色产业链——上游不法分子通过各种非法渠道窃取公民个人信息及银行卡信息并大肆兜售获利;中游大量有价值信息在互联网平台汇集成信息交易数据库,并通过各种会员制的网站、论坛或聊天群组不断交换互补,放大了信息泄漏风险;下游犯罪分子通过购买上述信息,实施信用卡诈骗等犯罪活动。
去年上海市共侦破各类银行卡犯罪案件2300余起,抓获犯罪嫌疑人1900余人,挽回经济损失4000余万元。2015年以来,上海市已侦破各类银行卡犯罪案件800余起,抓获犯罪嫌疑人700余人,挽回经济损失1500余万元。
尽管警方的打击不断加强,银行卡犯罪形势仍十分严峻,主要原因之一就是银行卡信息泄漏渠道越来越多样化。需要特别提醒的是,芯片卡较之传统磁条卡具有更高的安全性,但并不意味着可以高枕无忧,公民仍需防范警惕。
如何从各个流程上防范银行卡犯罪?记者日前采访了一名开发制作具有盗取银行卡信息功能并留有后台程序采集模块的“高手”。他的坦言,让人深入了解了银行卡频频遭到盗刷的“真相”。
犯罪集团上演“无间道”
这是一个“高智”的犯罪行为。为了盗取银行卡信息,犯罪集团绞尽脑汁,运用了现代电子技术手段。警方在侦破案件中发现,除了电商平台甚至银行工作人员利用职务之便窃取银行卡信息,有的犯罪集团还上演“无间道”,比如,应聘潜伏餐饮等服务业,通过在支付终端加装盗码装置窃取银行卡信息。
上海警方今年破获了一起快递员用改装的POS机盗刷银行卡信息的案件,与以往在POS机外部加装盗码器不同,这次缴获的POS机,盗码装置安装在POS机内部,兼具盗取磁条信息和密码功能,在国内实属罕见。
案情是这样的:
2014年10月,上海浦东经侦支队连续接报4起信用卡被盗刷案件,并案侦查发现,4起案件涉及的被盗刷卡,近期均在同一电商平台网购,并在移动POS机上刷卡付款。侦查员对比发现,被害人的几笔业务原本都选择“货到付款”,却都在快递员的怂恿下,选择了刷卡消费。而公司业务数据记录显示,货款是现金结算,公司的POS机并未启用。
经侦查,自2014年9月起,张某通过网络向薛某、胡某购买了经改装可盗取银行卡信息的POS机。宗某、雷某随后打入电商平台内部,成为快递员,利用送货结账,窃取被害人银行卡信息,再由张某将盗取的磁条信息及密码作伪卡并套现。
不同以往的案例,此次被改装的POS机不仅可以盗取银行卡信息,还可以成功完成刷卡收款过程,吐出小票。
经过缜密侦查,警方在浙江将薛某、胡某抓获,二人供述通过非法途径学会改装技术后,从网上购买元件,通过第三方支付平台申购POS机进行拆装并植入盗码程序,然后借助网络出售,张某即是下家之一。
这些散布在全国各地的改装POS机盗取信息的同时,通过后台汇总至薛某处,薛某再拿着这些信息进行二次销售。同时,薛某还通过出售POS机中预留的后台程序,窃取他人银行卡信息90余条,制作伪卡50余张,涉案人民币近百万元。
然而,薛某和胡某并不具备制作该盗刷芯片的技术,他们的芯片从何而来?4月9日,上海警方在广东抓获了犯罪嫌疑人杨某。据杨某供述,其自学了电子技术,通过开淘宝店招揽生意,主要从事软件开发等项目。2014年9月,薛某与杨某通过网络店铺结识。杨某负责开发制作具有窃取银行卡信息功能并留有后台程序的采集模块,以450元一块的价格出售给薛某共400余块。
至此,这个盗取银行卡信息的犯罪网络的上中下三层被彻底捣毁。
才华用错了地方
在这些犯罪嫌疑人中,开发制作具有盗取银行卡信息功能并留有后台程序采集模块的杨某最为引人关注,26岁的杨某是河南信阳人,初为人父,被抓获归案时,孩子才出生十几天。杨某原本是一个难得的“模块高手”,他考进郑州交通职业学院汽车类专业,自认为选错了专业,便自学了电子信息技术,也确实在这方面展示出了过人的才华。杨某毕业后做过LED控制卡软件开发、手机信号放大器,2013年12月起,经营了一个“扬帆起航电子”的淘宝商店,专门替人设计制作模块,包括制作学习模板,给刚毕业没有软件开发经验的大学生学习。
杨某说,自己开网店一直希望有人找他做项目开发,但最终却因“才华用错了地方”,涉嫌盗取银行卡信息被批捕。后来,一名同案犯在网络发现杨某会软件技术,也会硬件开发,会做模块、通信模块,于是联系了杨某。“他说要我做一个模块能读取磁条卡信息。当时他的意思应该是做会员卡,比如说健身房用的那种、超市积分的那种。因为我之前也没有做过,毕竟我当时也是才开始自己干,也没有什么收入。我做这个还是为了挣钱。他让我做了,我就做了。”
对方与杨某商谈价格,成交价是450元钱一块,杨某说,做模块成本也很高,将近180元一块。杨某制作的模块,其实就是一个电路板,上面集成了芯片。接到这笔生意后,杨某一共制作了400块左右。
杨某告诉记者,制作的过程有点麻烦,“因为要自己设计。主要是我要设计电路板,还要写软件。开发软件的话可能还没有那么快……不过基本上我找一下资料就可以了。”杨某称,制作这类模板需要一定的基础,会这一技术的人不多。“可能有些人并不会,因为这种模块你需要发指令才能工作。然后还有磁头解码芯片……刷卡的话会有一些二进制的东西。解码芯片读到的是二进制的东西,你得把它解析出来。这个东西不光是你要会软件、硬件,还要自己设计电路板。做电子技术的人,你和他说的话,可能他也知道是个什么东西,但是这个芯片有点复杂,主要是解码芯片的程序麻烦一些。”
杨某说,开发研制这个模块前后用了3个月时间,收入大约七八万元。
跟着“大盗”学防范
警察找到杨某的时候,杨某正在电脑上“工作”。“我给别人做的都是一些正常的东西。给东莞有一家做的是电磁炉上的监控,他们买我设计的模块,如果发现电磁炉有问题就能报警。我和他们合作一年了。到这个时候差不多应该是批量生产的时候了。唉……”
杨某承认,他制作的模块是能够读取磁条卡信息并上传信息的读卡模块,而且同时能够通过短信、GPRS网络、SD卡储存上传磁条信息。但他否认知道这些模块最终的用途。杨某称,他不知道制作和销售有读取磁条信息功能的模块有什么问题。“他具体的用途我不知道的。我不过是靠技术挣钱,有些东西客户买过去并不会说用在哪里。这些都是商业机密,他害怕说了有人仿制他的产品,我做的只是一个半成品,相当于这个东西不能直接使用,需要配合一些东西使用。”
然而,杨某无法否认的是,他了解自己制作模块的功能。“模块也可以读银行卡、积分卡、会员卡,只要是用磁条识别的,都行”。杨某告诉《新民周刊》记者,他用自己的信用卡测试过模块。“我试过,可以读。但也不是说一次成功的,试过好几次,我之前没有做过,也是在做了之后不断改进。我自己之前用积分卡也试过,而且对方找我的时候开始也说做的是读积分卡信息,就是超市里积分卡的刷卡器。”
杨某狡辩说,找他的“客户”不只找过他一个人,“客户”之前找过别人,但没有做成。“后来,后来有这个意思,我是知道的。我后来问过……我那时候也就是为了那点收入,也没办法。也没有想那么多。”
杨某按照“客户”的要求制作模块,“尺寸都是对方提供的,我都是按照对方的要求做的。当时他要我做成三通道嘛,我连后台都没有留。”被警方抓获后,杨某才明白,自己的侥幸心理和贪欲,最终需要付出代价。“我其实已经发现有问题……我查过一些资料。看到新闻上说有信用卡、银行卡被盗刷的情况。我就想可能对方会把我的模块用在这上面。但那时候我也联系不到他了,我也要找他,因为还有一部分款没有给我。其实我就是想自己创业……”
作为盗取银行卡信息犯罪团伙的“技术人员”,杨某对盗取信息的过程了然于胸,跟着“银行卡大盗”,我们可以学到一些犯法知识。杨某介绍,如果是芯片卡的话,盗刷比较困难。“因为芯片卡加密的程度更加高一些。而磁条直接可以读。”杨某解释说,磁条卡标准比较老,存储的信息也很少。如果要提高加密水平的话,磁条卡需要做一些改进。“比如说我读出的信息不是它的卡号,而是需要一定的换算才能得到卡号。这样或许可能会安全一些。”
对于银行卡的安全,杨某说主要在于POS机的安全上。“我后来了解了,其实POS机是有防破拆功能的。我们这种模块即便卖出去,把POS机打开再安上的话,POS机应该自己也工作不了。但是这个东西我不知道他们那里是怎么弄的,我卖给他们能够用。”另外,杨某认为,键盘与主机分离式的POS机,相对比较安全,读取密码的可能性很小。