9人团伙非法开设上万个Ⅲ类户 银行App究竟怎么了?


来源:移动支付网    作者:伟辰    2020-3-25 12:26

2019年12月24日,金华市婺城区人民法院对一起非法注册银行账户并出售获利的案件做出了判决。判处两名主犯有期徒刑4年3个月,并处罚金7万元;判处7名从犯有期徒刑1年6个月至2年3个月不等,并处罚金两万至四万不等。

在此之前,移动支付网曾报道过一起类似的案件《00后黑客入侵厦门银行App注册Ⅱ、Ⅲ类户出售获利》(下文简称“00后入侵银行案”),一名00后少年利用抓包技术非法开设18个银行账户出售获利,但无论是开设的账户数量还是涉及的银行数量都无法与这起团伙作案案件相比。

1.薅羊毛工作室的转行

根据判决文书,主犯薛某本来是一个羊毛党,他与另外两名从犯组建了一个工作室,利用网上买来的实名认证过的手机号去注册淘宝、京东等平台的新用户,通过领取淘宝、京东等新用户的优惠券购买商品,之后将购得的商品出售获利。

从去年2月开始,不知道是因为薅羊毛收益减少还是因为看到了倒卖非法银行账户的获利更多,薛某与犯罪嫌疑人黄某夫商议利用他人身份信息非法开设银行账户出售获利。在这个过程中,薛某负责购买非法身份信息,黄某夫负责提供开卡技术支持,教授他人如何跳过银行验证。

之后,薛某通过QQ联系了犯罪嫌疑人张某,通过张某认识了犯罪嫌疑人王某,王某随即组建了自己的工作室,与薛某的工作室合作,进行非法开户,非法开设的银行账户由薛某负责出售获利,并以每人4000元/月向王某的工作室分成,由张某代为转账,并在其中抽成。

整个犯罪行动进行了2个月左右,2019年4月,薛某被金华市公安局江南分局刑事拘留,随后的一个月内,涉案人员也陆续被捕。短短的两个月,这伙人就开设了10000余个银行账户,涉及华润银行、温州民商银行、金华银行、浦发银行、中国银行、招商银行、建设银行等多家银行。

最令人好奇的是,这伙人是怎么做到的呢?

2.四要素验证、身份核实形同虚设

2015年央行发布《中国人民银行关于改进个人银行账户服务加强账户管理的通知》,将银行个人账户分为不同权限等级的三类账户。其中,Ⅲ类账户功能最单一,只能进行小额消费和缴费支付,余额不能超过2000元,而且必须依附于另一个银行账户。

此次被判刑的9人,开设的一万多账户全部为没有实体卡的虚拟银行账户,也就是Ⅲ类账户。想要开通Ⅲ类账户,起码需要完成四要素验证,验证开户人姓名、手机号码、身份证号码以及绑定账户账号(卡号)。还要完成身份核实,通常需要进行人脸识别。

从判决书中,无法得知黄某夫具体是如何跳过银行验证进行开户的,但是判决文书提到了“利用App漏洞和使用抓包软件”,这或与之前报道的00后入侵银行案中的主犯田某使用的方法类似。

先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。尔后,在输入开卡密码步骤,将App返回到第一步(上传身份证照片之步骤),输入伪造的身份信息,并再次进入到人脸识别之身份验证步骤,此时,其上传此前拦截下来的包含其本人身份信息的数据包,使系统误以为要比对其本人的身份信息,最终完成开户。

结合薛某购买姓名、身份证号、手机号及绑定的银行卡号“四件套”的行为,可以轻易地得出一个结论,四要素验证和身份核实对于他们来说,形同虚设。

3.“银行卡”四件套从哪来?

在薛某团伙非法开设银行账户的过程中,有一个道具非常关键:“银行卡四件套”。根据判决文书显示,警方总共收缴了4700余张电话卡,以一个电话卡对应一个账户计算,薛某在两个月内购买了起码4700套“银行卡四件套”。

他从哪来的这么多“银行卡四件套”?

据移动支付网了解,2019年一套包含他人的银行卡、对应绑定的手机卡、身份证和U盾的“银行卡四件套”一般每套500至1000元,经层层转卖加价,最高可以卖到每套3000元,而这些四件套的主要来源有两个。

一种来源是普通公民遗失的身份证,这里的遗失可能是意外丢失,也有可能是钱包被盗造成的丢失。丢失的身份证会被专门收集用于开通手机号、银行卡账户以及网银账户,开设途径一般是审核不怎么严格的县市银行网点,或者“走门路”。最后再由专人统一对外销售进行获利。

另外一种来源是雇佣不明真相的普通群众,让他们使用本人身份证开设手机号和对应的银行卡账户等等,再以几百元的价格收购身份证信息、银行卡和手机卡,形成“银行卡四件套”对外出售。一般来说,被雇佣的多为在校大学生和进城务工人员。

专门出售“银行卡四件套”的人被称为“卡贩子”,目前在一些论坛或者社交软件上依旧可以看到他们的身影。

4.银行系统是不是真的不堪一击?

从00后攻破银行App到9人非法开设上万银行账户,两起案件似乎给人一种感觉,银行App的系统做的漏洞百出,犯罪分子可以任意妄为,但是真相似乎并不是如此。

在庭审期间,薛某的辩护人辩护时称,虽然薛某开设了一万余银行账户,但是其中真实可用的只有3000多个。换句话说,各大银行的安全系统拦截了2/3的虚假账户。另外,薛某开设银行账户从开始到被捕只进行了两个月,说明各大银行通过大数据监控确实的掌握到了违法行为,并进行了报案才会如此迅速的抓获这个犯罪团伙。

由此可见,银行的风控系统并不是一无是处,但银行也必须要承认其App存在漏洞。起码,这些App在数据加密传输上存在漏洞,理论上客户端的信息传输应当进行加密,对传输的信息也应当进行鉴别,涉事银行在这方面肯定存在漏洞。

事实上,漏洞在移动金融App当中并不少见,甚至可以称为常态。

根据中国信息通信研究院发布的《2019金融行业移动App安全观测报告》显示,在对133327款金融行业App进行扫描检测后发现,73.23%存在不同程度的安全漏洞,70.22%存在高危漏洞。平均每款金融行业App存在20.3个安全漏洞,其中6.7个为高危漏洞。

另外,此次案件涉及到中国银行、招商银行、建设银行等7家银行,如果计算00后入侵银行案中被入侵的厦门银行,已知的就有8个银行App存在相似漏洞,这是什么奇怪的巧合吗?

5.监管态势发生变化

此次案件发生在2019年2月至4月,至今已经过去了整整一年。在这一年中,监管已经注意到了移动金融App存在的安全问题,在2019年年末发布了237号文,划出了四条监管红线,同时发布了《移动金融客户端应用软件安全管理规范》。在今年3月又修订发布了《网上银行系统信息安全通用规范》替换了该规范的2012版。

除了规范的出台,监管措施也做出了有力的变化。中国互联网金融协会在去年开始了移动金融App备案工作,今年会在全国范围内开展备案工作。备案之外,实时监测也是监管措施中非常重要的一部分。

据移动支付网了解,由央行指导,银行卡检测中心承建的金融科技应用风险监测平台已经建成,该平台将会实时监测市面上所有的移动金融App,并联接自律平台和监管机构,第一时间分享风险监控和安全评估信息。

可以说,在这一年当中,监管的态势完全不同于一年之前,对于移动金融App的安全问题,监管是非常认真的想要解决。

如果谁还要继续冥顽不灵,可能不仅仅会接受行政处罚,也有可能承担法律责任,甚至刑事责任。当然,如果想要彻底解决这个问题,不仅仅需要金融机构和监管机构用力,还需要教育用户好好保护自己的身份信息,更需要公安机关大力打击相关犯罪行为。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2020 移动支付网    粤ICP备11061396号     粤公网安备 44030602000994号