首頁> 娛樂> 9人團伙非法開設上萬個Ⅲ類戶銀行App究竟怎麼了?

9人團伙非法開設上萬個Ⅲ類戶銀行App究竟怎麼了?

由 東方財富網 發表于 娛樂

2019年12月24日,金華市婺城區人民法院對一起非法註冊銀行賬戶並出售獲利的案件做出了判決。判處兩名主犯有期徒刑4年3個月,並處罰金7萬元;判處7名從犯有期徒刑1年6個月至2年3個月不等,並處罰金兩萬至四萬不等。

在此之前,移動支付網曾報道過一起類似的案件《00後駭客入侵廈門銀行App註冊Ⅱ、Ⅲ類戶出售獲利》(下文簡稱“00後入侵銀行案”),一名00後少年利用抓包技術非法開設18個銀行賬戶出售獲利,但無論是開設的賬戶數量還是涉及的銀行數量都無法與這起團伙作案案件相比。

1。薅羊毛工作室的轉行

根據判決文書,主犯薛某本來是一個羊毛黨,他與另外兩名從犯組建了一個工作室,利用網上買來的實名認證過的手機號去註冊淘寶、京東等平臺的新使用者,透過領取淘寶、京東等新使用者的優惠券購買商品,之後將購得的商品出售獲利。

從去年2月開始,不知道是因為薅羊毛收益減少還是因為看到了倒賣非法銀行賬戶的獲利更多,薛某與犯罪嫌疑人黃某夫商議利用他人身份資訊非法開設銀行賬戶出售獲利。在這個過程中,薛某負責購買非法身份資訊,黃某夫負責提供開卡技術支援,教授他人如何跳過銀行驗證。

之後,薛某透過QQ聯絡了犯罪嫌疑人張某,透過張某認識了犯罪嫌疑人王某,王某隨即組建了自己的工作室,與薛某的工作室合作,進行非法開戶,非法開設的銀行賬戶由薛某負責出售獲利,並以每人4000元/月向王某的工作室分成,由張某代為轉賬,並在其中抽成。

整個犯罪行動進行了2個月左右,2019年4月,薛某被金華市公安局江南分局刑事拘留,隨後的一個月內,涉案人員也陸續被捕。短短的兩個月,這夥人就開設了10000餘個銀行賬戶,涉及華潤銀行、溫州民商銀行、金華銀行、浦發銀行、中國銀行、招商銀行、建設銀行等多家銀行。

最令人好奇的是,這夥人是怎麼做到的呢?

2。四要素驗證、身份核實形同虛設

2015年央行釋出《中國人民銀行關於改進個人銀行賬戶服務加強賬戶管理的通知》,將銀行個人賬戶分為不同許可權等級的三類賬戶。其中,Ⅲ類賬戶功能最單一,只能進行小額消費和繳費支付,餘額不能超過2000元,而且必須依附於另一個銀行賬戶。

此次被判刑的9人,開設的一萬多賬戶全部為沒有實體卡的虛擬銀行賬戶,也就是Ⅲ類賬戶。想要開通Ⅲ類賬戶,起碼需要完成四要素驗證,驗證開戶人姓名、手機號碼、身份證號碼以及繫結賬戶賬號(卡號)。還要完成身份核實,通常需要進行人臉識別。

從判決書中,無法得知黃某夫具體是如何跳過銀行驗證進行開戶的,但是判決文書提到了“利用App漏洞和使用抓包軟體”,這或與之前報道的00後入侵銀行案中的主犯田某使用的方法類似。

先輸入本人身份資訊,待進行人臉識別步驟時,利用軟體抓包技術將銀行系統下發的人臉識別身份認證資料包進行攔截並儲存。爾後,在輸入開卡密碼步驟,將App返回到第一步(上傳身份證照片之步驟),輸入偽造的身份資訊,並再次進入到人臉識別之身份驗證步驟,此時,其上傳此前攔截下來的包含其本人身份資訊的資料包,使系統誤以為要比對其本人的身份資訊,最終完成開戶。

結合薛某購買姓名、身份證號、手機號及繫結的銀行卡號“四件套”的行為,可以輕易地得出一個結論,四要素驗證和身份核實對於他們來說,形同虛設。

3。“銀行卡”四件套從哪來?

在薛某團伙非法開設銀行賬戶的過程中,有一個道具非常關鍵:“銀行卡四件套”。根據判決文書顯示,警方總共收繳了4700餘張電話卡,以一個電話卡對應一個賬戶計算,薛某在兩個月內購買了起碼4700套“銀行卡四件套”。

他從哪來的這麼多“銀行卡四件套”?

據移動支付網瞭解,2019年一套包含他人的銀行卡、對應繫結的手機卡、身份證和U盾的“銀行卡四件套”一般每套500至1000元,經層層轉賣加價,最高可以賣到每套3000元,而這些四件套的主要來源有兩個。

一種來源是普通公民遺失的身份證,這裡的遺失可能是意外丟失,也有可能是錢包被盜造成的丟失。丟失的身份證會被專門收集用於開通手機號、銀行卡賬戶以及網銀賬戶,開設途徑一般是稽核不怎麼嚴格的縣市銀行網點,或者“走門路”。最後再由專人統一對外銷售進行獲利。

另外一種來源是僱傭不明真相的普通群眾,讓他們使用本人身份證開設手機號和對應的銀行卡賬戶等等,再以幾百元的價格收購身份證資訊、銀行卡和手機卡,形成“銀行卡四件套”對外出售。一般來說,被僱傭的多為在校大學生和進城務工人員。

專門出售“銀行卡四件套”的人被稱為“卡販子”,目前在一些論壇或者社交軟體上依舊可以看到他們的身影。

4。銀行系統是不是真的不堪一擊?

從00後攻破銀行App到9人非法開設上萬銀行賬戶,兩起案件似乎給人一種感覺,銀行App的系統做的漏洞百出,犯罪分子可以任意妄為,但是真相似乎並不是如此。

在庭審期間,薛某的辯護人辯護時稱,雖然薛某開設了一萬餘銀行賬戶,但是其中真實可用的只有3000多個。換句話說,各大銀行的安全系統攔截了2/3的虛假賬戶。另外,薛某開設銀行賬戶從開始到被捕只進行了兩個月,說明各大銀行透過大資料監控確實的掌握到了違法行為,並進行了報案才會如此迅速的抓獲這個犯罪團伙。

由此可見,銀行的風控系統並不是一無是處,但銀行也必須要承認其App存在漏洞。起碼,這些App在資料加密傳輸上存在漏洞,理論上客戶端的資訊傳輸應當進行加密,對傳輸的資訊也應當進行鑑別,涉事銀行在這方面肯定存在漏洞。

事實上,漏洞在移動金融App當中並不少見,甚至可以稱為常態。

根據中國資訊通訊研究院釋出的《2019金融行業移動App安全觀測報告》顯示,在對133327款金融行業App進行掃描檢測後發現,73。23%存在不同程度的安全漏洞,70。22%存在高危漏洞。平均每款金融行業App存在20。3個安全漏洞,其中6。7個為高危漏洞。

另外,此次案件涉及到中國銀行、招商銀行、建設銀行等7家銀行,如果計算00後入侵銀行案中被入侵的廈門銀行,已知的就有8個銀行App存在相似漏洞,這是什麼奇怪的巧合嗎?

5。監管態勢發生變化

此次案件發生在2019年2月至4月,至今已經過去了整整一年。在這一年中,監管已經注意到了移動金融App存在的安全問題,在2019年年末釋出了237號文,劃出了四條監管紅線,同時釋出了《移動金融客戶端應用軟體安全管理規範》。在今年3月又修訂釋出了《網上銀行系統資訊保安通用規範》替換了該規範的2012版。

除了規範的出臺,監管措施也做出了有力的變化。中國網際網路金融協會在去年開始了移動金融App備案工作,今年會在全國範圍內開展備案工作。備案之外,實時監測也是監管措施中非常重要的一部分。

據移動支付網瞭解,由央行指導,銀行卡檢測中心承建的金融科技應用風險監測平臺已經建成,該平臺將會實時監測市面上所有的移動金融App,並聯接自律平臺和監管機構,第一時間分享風險監控和安全評估資訊。

可以說,在這一年當中,監管的態勢完全不同於一年之前,對於移動金融App的安全問題,監管是非常認真的想要解決。

如果誰還要繼續冥頑不靈,可能不僅僅會接受行政處罰,也有可能承擔法律責任,甚至刑事責任。當然,如果想要徹底解決這個問題,不僅僅需要金融機構和監管機構用力,還需要教育使用者好好保護自己的身份資訊,更需要公安機關大力打擊相關犯罪行為。

(文章來源:移動支付網)

TAG:APP銀行賬戶薛某銀行卡

相關文章