银行卡盗刷黑产:
一天发3万木马短信月入可达十几万
伪基站发木马短信“设局”,钓鱼网站诱导用户填写银行密码,“洗料人”通过多个渠道盗刷“洗白”
某伪基站卖家所展示的伪基站产品。
5月9日,最高人民法院通报了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
这是两高首次就打击侵犯公民个人信息犯罪出台司法解释。根据此次司法解释,非法获取、出售公民个人信息,情节严重者可获刑。
“近年来,侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害更加严重。”最高法相关人士称。
我们几乎每个人,都曾被推销电话、诈骗短信骚扰过。去年发生的“徐玉玉案”,即是个人信息遭侵犯导致的“恶果”。
在此节点,新京报推出关于“个人信息泄露”的系列调查报道。我们将通过对航空、征信、银行卡等领域的调查,以期找到个人信息泄露的源头。
直到5月23日收到电子账单,刘晓静(化名)才发现自己的信用卡被盗刷了。“我在今年2月底申请的卡,5月初激活的,但5月4日就在不知情的情况下被刷走了一笔1990元的账单,此后又有好几笔被转走。”她告诉新京报记者。
刘晓静不知道的是,她的信用卡信息已经泄露了,泄露渠道极有可能是在登录银行网站填写信息时,遭到了虚假网站“钓鱼”。
新京报记者调查了解到,在银行卡盗刷的黑色产业链中,1990元只能算一笔“小买卖”:从伪基站群发木马短信诱导用户点击链接,到钓鱼网站和拦截码“钓出”用户信息,再到“洗料人”通过多种通道将钱“洗白”分赃,银行卡盗刷产业链已经分出了泾渭分明的三块“业务”,每个业务上的黑产从业者各司其职,在几乎为零的成本背后,是“月入十几万”的利润诱惑。
伪基站发诈骗短信
一小时收费500元,包天4500
6月6日,打开手提电脑,看着屏幕里的数字在3秒内从0跳到34,旁边的一部安卓手机发出了“滴滴”的短信提示音,小张知道,伪基站已经开始正常运作了。
屏幕上的数字显示的是他手中设备向外发送出的短信数量,每一个数字的跳动都意味着附近有人接收到了他发出的信息。
“并不是每个人都会看这条短信,”小张说,“但总有人会看,也有人会点击里面的链接。”
当天,小张发出的信息是“工商银行积分兑换活动开始,尊敬的用户,您可用积分4678分,兑换467.8元,点击官网链接兑换,”短信中还附有一个开头为95588的网站链接。
与正常的银行提示不同的是,里面的链接指向的并非工行官网,而是一个钓鱼网站,只要进入这个网站并下载所谓的安全控件,点击人的银行卡信息就会泄露出去。
也许,1000个人中只有100个人会去看这条信息,100个人里只有10个人会点击链接,但对小张来说,只要有10个人点击,就够了。
因为小张一天平均可以发出的信息数量,是三万条。
一位互联网黑产从业者表示,伪基站是银行卡盗刷产业链的上游,“伪基站,顾名思义,是可以伪装成运营商基站的设备。它一般由主机和笔记本电脑、短信群发器、短信发信机等相关设备组成,可以搜取以其为中心、一定半径范围内的手机卡信息,并任意冒用他人手机号码强行向用户手机发送编辑好的信息,伪装成10086、四大行客服都可以。”
小张在接到发“黑料”的业务时都显得很谨慎。
“你要发的内容是黑的还是白的?黑的要多收费。”6月6日,小张这样询问前来咨询“业务”的记者。
上述互联网黑产从业者透露,所谓“黑”就是发送含有诈骗内容的短信,而“白”则是商户促销等信息。在收到“发送黑料”的回复后,小张表示,一小时收费500元。“一般的老板都包天,从上午九点半发到晚上八点半,一天收费4500。”若按此计算,小张一个月可以获得十三万多的收入。
6月4日,新京报记者曾联系到几家卖伪基站的“科技公司”,公司老板称,基站有车载式,也有背包式,一台基站视功率、大小不同价格也不同,在6000元至1万元间浮动,“价格不算贵,而且只要你找到了好老板,一天就可以回本。”