再现Ⅱ、Ⅲ类户兜售案 中行、建行、招行等7家银行涉案


来源:移动支付网    作者:佘云峰    2020-4-1 8:54

2019年12月底,金华市婺城区人民法院的一份刑事判决书披露9人因妨害信用卡管理罪获刑。以薛某、黄某夫为首的9人团伙中,有6人是90后,其中仅有黄某夫一人具有大学学历,其利用他人身份信息非法开设银行Ⅱ、Ⅲ类户出售谋取暴利。

利用个人信息开设1万余个银行账户

2018年4月,薛某的工作室原本通过利用网上买来的实名认证过的手机号注册淘宝、京东等平台的新用户,之后领取网购平台给予新用户的优惠券购买商品,再将购得的商品售出谋取利益。

但这种“薅羊毛”的手段似乎已经无法满足薛某的胃口。2019年2月,薛某找到黄某夫,两人经过商议后决定利用他人身份信息非法开设银行账户出售谋取暴利。

其中,黄某夫负责提供开卡技术支持,教授如何利用黑客技术和软件绕过银行系统验证。薛某负责从网上购买包括姓名、身份证号码、手机号码及绑定的银行卡号在内的公民个人信息用于注册银行账户,并出售获利。

判决文书显示,一个月的时间,薛某聚集7人的工作室开设银行账户,黄某夫负责远程教授非法开卡技术,工作室其它人具体实施“代跳”工作,即利用华润银行、温州民商银行、金华银行、浦发银行、中国银行、招商银行、建设银行等银行App漏洞和使用抓包软件,修改数据,利用薛某购买的公民信息,开设10000余个银行账户。

在法院审理时,多名被告的辩护人提出,由于薛某等人开立的银行账户仅为Ⅲ类账户,不具有信用卡功能,不宜定性为妨害信用卡管理罪。法院则认为,薛某等人使用虚假身份证明骗领由商业银行或其他金融机构发行的具有消费支付、信用贷款、转账结算、存取现金等全部功能或部分功能的电子支付卡,其行为符合妨害信用卡管理罪的构成要件,应以妨害信用卡管理罪定罪处罚。

法院指出,薛某、黄某夫在本案中系主犯,分别判处两人有期徒刑4年3个月,并处罚金7万元。其余7人系从犯,判处7人有期徒刑1年6个月至2年3个月不等,并处罚金。

一个套路:购买个人信息、利用银行漏洞

从上述案件可以看出,犯罪团伙主要利用网络上购买的个人信息进行非法活动,通过银行漏洞使用抓包软件修改数据非法开设银行Ⅱ、Ⅲ类账户。

前不久,据移动支付网报道2019年10月,只有初中文化的00后田某被福建省厦门市思明区人民法院以非法获取计算机信息系统数据罪判处有期徒刑三年,并处罚金人民币一万元,其采用的便是同样的套路。田某在2019年1月5日至1月15日期间,通过软件抓包、PS身份证等非法手段,在厦门银行手机银行App内使用虚假身份信息注册银行Ⅱ、Ⅲ类户,非法销售获利。(00后黑客入侵厦门银行App注册Ⅱ、Ⅲ类户出售获利)

其中,案件详细透露了田某采用“偷梁换柱”的手法,使用自己的人脸识别身份认证数据包换掉虚假身份的人脸识别身份认证数据包,然后使用本人的脸完成人脸识别比对的方法绕过了银行的人脸识别认证系统。

本案中,并未详细透露犯罪团伙采用的技术方式,但可想而知抓包软件、修改数据等常见的黑客技术肯定是少不了的。

近年来,利用公民信息犯罪的案例不胜枚举,非法获取公民信息再进行兜售已经形成了固定的黑色产业,一旦违法犯罪分子获取了公民的身份证信息,就可以在一定程度上,利用这类信息在互联网上伪造一个虚拟但是真实的“你”。

据移动支付网了解,网上售卖的银行卡“四件套”,包括银行卡、身份证、网银U盾和手机卡。在购买“四件套”之后,犯罪分子可以进行大量违法犯罪活动,比如:一、利用假身份进行隐匿;二、利用伪造资料骗取贷款;三、洗钱;四、注册壳公司等。

金融风控与个人信息安全同样重要

2016年1月,央行《关于落实个人银行账户分类管理制度的通知》(302号文)中明确表示,个人通过电子渠道非面对面开户时,Ⅱ、Ⅲ类账户必须保证与绑定账户是同一人,前者身份验证至少五要素,包括姓名、身份证、手机号码、绑定账户账号、绑定账户是否为Ⅰ类户或者信用卡账户,后者至少前四要素。

因此,对于个人而言包括银行卡、身份证、手机号码在内的个人信息是互联网时代的通行证,一旦泄露其危害巨大。包括上述案件在内的大多数盗刷、贩卖获利行为其源头都是个人信息没有得到有效保护。

对于个人而言,信息安全至关重要,但对于金融机构而言,身份认证和风险防控同样重要。

2019年3月,平顶山银行落实账户管理机制不严格,未对持卡人开立Ⅱ类账户数量进行限制,造成某犯罪嫌疑人实名开立了11个Ⅱ类账户。由于银行系统版本更新导致系统缺陷,在执行Ⅰ类账户向Ⅱ类账户转账业务逻辑时,并未对资金转出账户进行余额验证和扣款,转账即可成功,且在交易过程中银行风控系统的可疑交易监测并未及时触发。最终导致该犯罪嫌疑人反复执行转账操作166次,从没有余额的Ⅰ类户向其Ⅱ类户累计转账3113631.83元。(平顶山银行App重大漏洞惊现Ⅱ类户“空手套白狼”)

众所周知,《关于改进个人银行账户分类管理有关事项的通知》(16号文)规定同一家银行通过线上为同一个人只能开立一个允许非绑定账户入金的Ⅲ类户,防止不法分子通过开立多个此类账户变相扩大Ⅲ类户的转账限额,将Ⅲ类户用于转移电信网络诈骗资金等。同时,规定同一银行法人为同一人开立Ⅱ、Ⅲ类户的数量原则上分别不超过5个。“开立了11个Ⅱ类账户、无中生有的转账金额”显然是银行在账户管理机制上出现了严重的漏洞和缺陷。

302号文中关于账户分类管理指定的合法验证通道即跨行账户信息认证服务平台和中国银联的清算接口,采用其他未经许可的接口,都有违反行政命令、存在安全隐患的风险。

2019年4月,《中国人民银行支付结算司关于加强个人Ⅱ、Ⅲ类银行结算账户风险防范有关事项的通知》(55号文)中,针对前期批量开立Ⅱ、Ⅲ户的风险事件提出了监管要求,并对身份照片比对等账户管理提出了更细致的要求。

监管提出了要求,金融机构的系统和风控就应该跟上要求的步伐。无论是对存量Ⅱ、Ⅲ户的全面风险排查,还是对新开设账户进行风险监测,都至关重要。

比如,监管要求开户风险监测的可疑场景包括但不限于:同一账户(包括同一手机号码、身份证等)连续开立多个II、III类户;同一终端设备(包括同一设备ID、同一网络地址等情况)连续开立多个II、III类户;开户行为偏离多数用户的一般习惯,如在异常时间段、异常网络地址、异常地理位置等申请开立II、III类户等等。

结语

2020年,央行发布《个人金融信息保护技术规范》,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,其中身份证、手机验证码、银行卡等个人信息就属于较高的C2、C3级别。

因此,无论是金融机构还是非金融机构,官方账户分类管理验证通道还是第三方银行账户验证服务通道,都需要严格落实规范要求做好个人金融信息的保护和使用,合法合规地为人们提供金融服务。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2020 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号