这是2013年发生的全国首例利用支付宝网络盗窃他人账户余额案。今年1月初,5男子一审分别被判处5年5个月至1年3个月不等有期徒刑,并处罚金,另一名涉案者李某被判处9个月有期徒刑。昨日,该案在西安中院二审开庭。 购买陕西1万个手机号码和网上营业厅登录密码,从中筛选出开通了支付宝功能的用户,通过激活短信拦截功能等一系列操作后,朱某等海南5男子就在千里之外篡改了西安用户的支付宝账户密码,大肆盗窃多人账户内23.8万余元。
疑犯曾预谋大量盗取账户资金
2013年10月10日至10月26日,西安多名市民发现支付宝账户余额被人盗取。支付宝中国网络技术有限公司也证实,该公司自2013年10月9日起,通过监控陆续发现多名西安地区会员账户内资金异常,并通过技术平台锁定了盗窃支付宝账户的电脑。
2013年10月27日,海南警方配合西安警方在海南陵水县抓获犯罪嫌疑人郑某,其后数日,朱某、陈某、吴某、杨某落网。经查,这5人均为海南省儋州市人,其中陈某、吴某为大专文化程度,其他3人只有初中文化。
对于这5人的落网,华商报2013年11月22日A04版曾做过报道,当时警方在通报案情时表示,该团伙曾打算在当年“双11”来临之际大量盗取网络账户。其中郑某是一名潜水教练,其交代,他与朱某熟悉网络技术,知道很多人支付宝里都有钱,还把支付宝账号和手机进行了绑定,用手机号码作为支付宝账号,就在这上面动起了歪心思。
2014年4月,第6名嫌疑人广东吴川男子李某在广州被抓获。
20天作案多起盗23.8万
经查,2013年10月7日晚,预谋通过支付宝盗窃的朱某、郑某在海南儋州郑某家中,通过淘宝网联系到李某,要求购买陕西电信用户的手机号码及对应的陕西电信网上营业厅登录密码。李某先将从淘宝网一卖家处获取的10个手机号码及密码发给朱某。朱某、郑某分两次盗取了某人支付宝账户上的39950元。
次日,朱某、郑某前往海口市,通过网络再次联系李某。李某通过淘宝网以3500元购买了1万个陕西电信用户手机号码和密码,以4000元卖给朱某、郑某。二人购买多个网卡,在海口多家酒店开始实施盗窃。
同年10月11日,某保险公司业务员陈某加入该团伙,制作了按键精灵程序,用以筛选手机号码,共同实施盗窃。10月12日,郑某通过电话将盗窃方法教给了吴某,并给其发了数百个手机号码及密码,吴某又伙同杨某在海南儋州多家网吧及杨某花店内利用电脑实施盗窃。10月15日,朱某、郑某、陈某离开海口,10月22日至26日,朱某与陈某又在海口继续作案。
据统计,2013年10月7日至10月26日,朱某、郑某、陈某、吴某、杨某共盗取多人账户内23.8万余元。
6人一审获刑 两人上诉
西安市莲湖区法院一审认为,朱某等5名被告人以非法占有为目的,利用网络盗窃他人账户钱款,其中,朱某、郑某、陈某盗窃数额巨大,吴某、杨某盗窃数额较大,均构成盗窃罪。李某非法获取1万个公民手机信息,出售给他人,情节严重,已构成非法获取公民个人信息罪。
今年1月初,朱某等5人分别被判处5年5个月至1年3个月不等有期徒刑,并处罚金,李某被判处9个月有期徒刑。宣判后,郑某、陈某提出上诉,分别对一审认定的盗窃事实及量刑提出异议。
二审昨开庭 将择日宣判
昨日下午,西安中院二审开庭。朱某、郑某等在庭上称,他们购买到用户手机号码及网上营业厅密码后,通过手机号码进入网上营业厅,开通短信过滤功能,再通过后面一系列操作更改用户支付宝密码。其中,筛选绑定支付宝的手机号码是重要一环。
“(筛选)操作时很枯燥”,认为量刑过重的上诉人郑某在回答检察员提问时称,筛选手机号码时要不断地复制、粘贴,一手操作鼠标,一手操作键盘,筛选后的手机号码都是开通了支付宝功能的。为方便操作,后加入的陈某收取了1000元软件开发费用后,制作了按键精灵程序,之后的操作只需要用键盘。但陈某称,该程序并不能提高筛选速度,仅仅是让一只手可以空下来。在做完程序后,陈某也表示想加入,“没人给我分钱,我(知道盗窃方法后)自己盗窃。”陈某认为,一审判决对其犯罪金额认定过高。法庭调查阶段,陈某的辩护律师申请对按键精灵程序的作用等进行鉴定。
对此,检察员一一辩驳,认为一审在认定事实、适用法律等方面均是正确的,请求维持原判。
庭审结束后,审判长宣布将择日宣判。
华商报记者 宁军
专家看法
有关部门应严厉打击买卖公民隐私信息行为
5个人在20天内通过网络作案方式,盗窃他人支付宝账户近24万元。为什么能发生这样的事?这些作案者是如何得手的?案件给社会带来了哪些值得思考的问题?昨日,华商报记者采访了西安电子科技大学计算机学院博士、副教授、教育部信息安全团队骨干成员杨超。
杨超说,这些人作案中最关键的环节,一是大量私人手机号码的获取,二是短信“验证码”的拦截。1万名电信用户手机号码和网上营业厅登录密码能够通过网络交易买到,本身就是很大的问题。有了这个条件,才为作案者提供了在网上盗窃的可能。这个问题值得有关部门高度关注,应该严厉打击买卖公民隐私信息的行为。
在电子支付时代,手机“短信验证码”被赋予了过高的权限。而实际上,手机短信在传播过程中可以被截获并容易被破译为明文,拦截短信的技术难度并不高,所以才会成为不法分子实施犯罪的重要方法。短信从通讯运营商内部网络到基站,再从基站到用户手机,信息传递速度尽管很快,但还有明确的路径。利用基站拦截、互联网木马软件等,都可能达到悄无声息拦截目标手机“短信验证码”的目的。
这起网络盗窃案的发生同时也说明,“支付宝”等第三方电子支付平台,在支付安全性方面亟待提高。电子支付平台的“安全性”之所以让人操心,一是和人接触的地方可能会出问题,比如被骗、被抢,以及弱口令、手机丢失等问题;二是可能影响电子支付的技术环节比较多、比较复杂,给不法分子带来了可乘之机;三是操作系统和操作环境本身可能存在漏洞。但最重要的还是第三方支付平台对技术设计、功能开发方面关注较多,但对用户账户和信息安全性的重视程度却显然没有提到同样高的程度。
杨超和省内一家银行电子银行部的负责人都提醒市民:作为电子支付时代的普通用户,一定要看牢自己各种客户端的登录密码,尤其是“验证短信”。 华商报记者马虎振
疑犯是这样作案的看看哪步可防范
1 批量获取电信用户手机号码及登录电信网上营业厅的密码
2 利用支付宝平台查询系统筛选出开通支付宝账户的电信手机号码
3 用筛选出的手机号码登录电信网上营业厅,将用户的短信拦截功能激活,设置拦截支付宝、银行客服发送的短信
4 登录支付宝平台,输入已经激活短信拦截功能的手机号码,点击“忘记登录密码”,支付宝系统便会将更改账户密码的验证码以短信方式发送给用户
5 利用拦截到的短信获得更改支付宝账户密码的验证码,对支付宝账户密码进行篡改
6 将支付宝账户和关联的银行卡内的存款转入其准备好的银行账户或利用支付宝账户买卖游戏点卡实施盗窃
马上实验
支付宝重置密码目前需验身份证件
本案的案发时间是2013年10月。据了解,当时仅有手机短信验证码是可以重置支付宝密码的,而当时用手机号码作为支付宝账户名也非常普遍。那么,类似案件中的情况现在还存在吗?华商报记者昨日进行了模拟实验。
西安市民小马用的是电信手机,捆绑有支付宝账号,实验前仅告知华商报记者自己的电信网上营业厅登录密码。华商报记者登录电信网上营业厅进行设置。但查遍所有“自助服务”内容,并无“短信拦截”或“短信过滤”的设置。
随后进入支付宝官网,因为小马的支付宝账户名是邮箱号,记者点击“忘记密码”后重置登录密码,接下来又要求验证身份证件,输入身份证号和“短信校验码”,才可以重置登录密码。而要重置支付密码,还需要从“验证短信”“验证电子邮箱”“联系在线客服”三种方式选择一种,再次进行安全校验。之后,才能重置支付密码。
市民小李的支付宝账户名是手机号,记者重置登录密码和支付密码,发现和用邮箱名登录后的程序差不多,都需要验证身份证件。 华商报记者 马虎振
如何预防个人资金被盗?
1.主要银行账户不要开通网银以及第三方支付平台
2.开通第三方支付平台的账户,不要储存过多现金
3. 为支付方便,可以把需要用的钱放在第三方平台,但不要捆绑银行卡
4.网上支付一定要注意操作环境的安全性,钓鱼网站一般都是用假支付页面打掩护,用木马配合骗用户输入账户和密码
5.经常用手机购物的用户,要养成设置开机密码的习惯。因为破解密码需要时间,一旦手机丢失,多一道密码保护就会减少一些风险发生的时间
95188
1.支付宝登录密码和支付密码最好用数字和字母组合的高级别密码,最好与其他网站使用的密码区别开来
2.给支付宝账户申请手机数字证书或手机宝令等
3.安装密码安全控件,可对密码进行加密,有效防止木马程序截取键盘记录
4.平时要多注意电脑安全,安装杀毒软件,不要上不安全网站,牢记支付宝官方网址,警惕欺诈网站
5.手机不要频繁刷机,不要root,不要接不明文件,不要扫不安全的二维码
6.认准支付宝官方客服热线95188,不要轻易相信别的所谓的客服电话,以免上当受骗
7.支付宝用户若发生手机、身份证、银行卡一起丢失情况,应第一时间拨打通讯运营商电话挂失手机卡,拨打95188冻结支付宝账户,如果有财产损失就一定要报警
我来说两句排行榜