电信诈骗链条与装睡的“守夜人”
2015年,全国有222亿元从受害者账户流向诈骗犯罪分子的账户。被电信诈骗团伙频频“借力”的电信运营商和银行,该如何扮演好&ldqu...
2015年,全国有222亿元从受害者账户流向诈骗犯罪分子的账户。被电信诈骗团伙频频“借力”的电信运营商和银行,该如何扮演好“守夜人”的角色?
图片来源:视觉中国
深圳市居民罗灿最近被一天多达20通推销业务的电话困扰。
罗灿告诉界面新闻记者,父亲用他的身份证信息注册了一家公司,并未告诉其他人。至于消息是如何被商家得知,罗灿也说不清,他能肯定的是:自己在房屋中介租房子,或在某商家办理会员卡时的信息已泄露,并被别人利用。
在同一座城市,同是因为个人信息被泄露,李安的遭遇更加惨痛。海外留学归来,李安回到深圳入职一家国企。2015年4月,一个自称“上海公安机关工作人员”的电话找上李安,根据来电号码,李安拨打上海114查询,确认为上海市某公安分局的电话号码,这让李安坐立不安。
电话中,“上海公安机关工作人员”声称,李安的一个包裹被海关拦截,在包裹里面发现有毒品和枪支等违禁品。李安发现对方所说的信息与自己的个人信息相符,于是选择了相信。
“上海公安机关工作人员”表示,可能因为李安的信息泄露后被他人利用,需要李安自证清白,把财产都转到指定的安全账户进行调查。李安照做后,对方又提出,还需要李安把自己的房子出售,所得款项如数转到上述安全账户。
继而,在对方的诱导下,李安打电话让父亲转了几百万元到其账户,然后也悉数转给了上述安全账户。
电话那端提及“不能和任何人提及此事”,面对父亲的追问,李安三缄其口。在他察觉被骗并报案前,汇至对方账户的数额已高达1900万元。目前警方仍在调查此案。
类似的电信诈骗案件发生,源头大多在于受害者个人信息被泄露。
被摆上“货架”的个人信息
引语:公民信息泄露的源头是掌握公民个人信息资源的银行、民航、国土资源、电信运营商、医院等企事业单位,其中也可能包括公安系统。
“诈骗团伙想了解的个人信息,几乎都可以在网上买到。”一位接近公安系统的人士告诉界面新闻记者,目前,个人信息泄露问题非常严重,而且很多信息都已被明码标价,就像摆在“货架”上的商品一样,供客户选购。
界面新闻记者登陆淘宝、京东、亚马逊等购物网站,对个人信息相关的关键字进行检索,发现很多都已根据相关法律法规和政策无法显示。不过,记者登录腾讯QQ,通过添加好友进行搜索,发现有大量出售个人信息、身份证、银行卡的QQ群以及QQ号。
这些QQ群和QQ号,很多都以“黑客”自称,并在个性签名一栏标注“诚信”等字样。记者随即加了多个标注可以出售个人信息的QQ,并以买家的身份询问,对方均表示可以提供准确、全面的一、二手个人信息。
一位卖家声称,房产证方面的信息有两种卖法,一种是“散拿100元2000条”,还可以打包,“500元包一个城市,3个城市一起买可以给个折后价1000元”,信息中包括身份证、住址、手机号码、房产证颁发日期等。
另一个卖家表示,有在校学生以及其家长的个人信息出售,小学、初中的学生信息0.2元/条,包括学生所在学校名称、班级、家长电话号码等。此外,地区企业管理层信息、官员个人信息甚至支付宝等第三方支付平台的账号密码信息也均有出售。
此外,界面新闻记者还发现,有不法商家出售银行卡和中国公民身份证,而且可以整套出售。卖家将实物银行卡、捆绑的手机卡、二代身份证原件、银行回单、网银U盾打包出售,不同银行的套卡售价也不同。其中,工商银行的相对贵一些,1300元一套,交行、建行、兴业和中信等银行1000元一套。
卖家一再承诺所出售的信息准确。当问及这些信息从何处来时,卖家均回复“无可奉告”。上述接近公安系统的人士告诉界面新闻记者,这些公民信息泄露的源头是掌握公民个人信息资源的银行、民航、国土资源、电信运营商、医院等企事业单位,其中也可能包括公安系统。
“信息泄露已形成了一条地下灰色产业链,有人出售,也有人收购。”上述接近公安系统的人士称,警方办理某案子缴获到一些个人信息资料,其中就有某银行VIP客户的账户信息,包括银行卡号、客户名字、身份证号码、电话、存款余额以及最后一次操作记录。犯罪分子利用这些信息进行电信诈骗,很容易就击破人们的心理防线,实施精准诈骗。
少数的幸运儿
引语:当警方接到电信诈骗受害者报案时,被骗的钱早已被犯罪团伙取现或网上消费,即使最后破案,被骗的钱也很难被追回来。能及时制止的电信诈骗案件并不多见。
在深圳工作的刘芳是一个“幸运儿”。
刘芳是个生意人。去年某一天,按照此前与合作商的约定,第二天中午将有15万元从合作商那里汇到她的账户。当天,刘芳收到了一条来自“10086”的短信,关于积分兑换,附有一条链接。刘芳没想太多,点开,填写个人资料,一切如常。
第二天晚上,刘芳察觉到合作商还未付款,于是主动联系商家,对方却回复说钱已转到她的账户。刘芳查询自己的账户存款,发觉不但没收到合作商的15万元,连账户原有的1万元也不知去向。
此时,她才意识到自己前一天收到的“10086”短信有问题。可能是诈骗团伙利用伪基站篡改发送短信的号码,并冒充10086发送含有病毒的链接,点击后病毒在手机后台读取接收到的验证码,才转走了账户的钱。
由于是晚上,银行已下班,她赶紧到派出所报案。刑侦部门的民警让她打银行客服电话,查到了账户的流水信息,发现卡上的钱都被转到一个名为“上海富友代付”的充值平台。
民警致电“上海富友代付”客服,告诉他受害人的卡号,查到当天该平台确实进了4笔钱,但被客户又马上转到深圳一家理财公司的平台。
当时已是凌晨两点多,该民警又连夜赶到该理财公司找到负责人,得知下午进了一笔钱,且这笔钱显示异常。负责人称,一般情况下,客户的资金进入平台后会进行投资,但这笔钱进来后,“神秘客户”并不买理财产品,反而要立即提走。
该理财公司员工发现资金可疑,并未让“神秘客户”立刻把钱转走,所以钱还在平台上。刘芳也因此得以追回资金,免于受损。
这是深圳市公安局在2015年及时制止的一起电信诈骗案件,如果民警不熟悉诈骗资金的流向,或该公司不在深圳,受害人可能无法挽回损失。
“在类似电信诈骗案件中,犯罪团伙往往会将受害者的钱在好几个平台流转,导致警方侦查案件耗时、耗力。”深圳市公安局刑警支队的一位民警告诉界面新闻记者,能及时制止的电信诈骗案件并不多见,像刘芳这样的“幸运者”也不多。
一般情况下,当警方接到电信诈骗受害者报案时,被骗的钱早已被犯罪团伙取现或网上消费,即使最后破案,被骗的钱也很难被追回来。电信诈骗往往给受害者带来极大的伤害,有的甚至家破人亡。
2015年1月,河南周口市一男子带着1万元到新乡市做小生意,后来被诈骗电话骗取了这一万元。受骗后,该名男子曾向银行和公安求助,但终因想不开在一家农业银行门口自杀。
据公安部公布的数据,自2015年11月到2016年2月这三个月中,全国共破获电信诈骗案件2.7万起,抓获犯罪嫌疑人9432名。最高人民法院统计则显示,去年全国法院审理的电信网络诈骗犯罪案件已逾千件,出现了诈骗数额上亿元的案件。
上述已侦破案件的数据,相对全国发生的电信诈骗案件,只是冰川一角,更多的案件仍在调查中,或已被警方放弃。
黑白运营商
引语:全国人大代表陈伟才“死磕”了6年之久的问题是,用户已经支付来电显示费用,但为何现实中却因虚假号码导致被骗?
犯罪团伙在实施电信诈骗时,几乎都是从电话、短信诈骗开始的。前期收集受害者信息等准备工作也是冲着这一步而去。运营商作为通讯提供者,其监管职责颇受质疑。
不少人认为,自电信诈骗在中国蔓延以来,从“冒充公检法”、“猜猜我是谁”、“我是你领导”、“机票航班信息变更”,到伪基站群发诈骗短信,再到目前快速增长的短信、诈骗电话与手机病毒相结合的形式,运营商都未能在其中发挥出应有的监管作用。
大部分电话、短信诈骗案件中都有一个共同特征,诈骗犯罪分子通过改号软件、伪基站等工具篡改号码,导致受害者的手机显示公检法机关、银行、运营商和亲朋好友的电话号码,大大降低受害人的警惕性,加上诈骗犯罪分子提前收集好受害人信息,提高了电信诈骗的成功率。
这也是全国人大代表陈伟才“死磕”6年之久的问题。2016年的全国两会上,陈伟才指出,用户已经支付来电显示费用,按《中华人民共和国电信管理条例》第五条要求:电信业务经营者应当为电信用户提供迅速、准确、安全、方便和价格合理的电信服务。但为何现实中却提供了虚假号码导致用户被骗?
中国移动某分公司一名高层人士告诉界面新闻记者,运营商有推出号码隐藏的业务,可以在呼叫对方号码时让对方手机不显示自己的号码,但这只是不显示,不会更改号码,违法分子在实施电话、短信诈骗时往往会更改号码去开展诈骗活动。
该名人士称,如果接到更改号码的电话,通常是不法分子通过运营商向一些集团用户提供中继通话端口,利用运营商交换机的漏洞来更改通话的主叫号码。也不排除运营商与他们勾结犯乱,若收到更改号码的短信,常是利用伪基站发送。
“对运营商来说,在网络侧都是可以去查到问题所在的,主要看运营商愿不愿意查。在平时业务开展中,公司要求要严把关,但有些地方的运营商为了完成指标、发展业务,把关严不起来。”上述移动公司的人士说。
2014年5月,深圳一市民接到经过改号软件做假的银行客服电话后,信以为真被骗44万元。受害者以深圳移动公司收取来电显示费,却不能提供准确的信息为由,将其告上法庭,索赔全部损失。2015年,法院判决深圳移动承担20%的责任,赔偿8.8万元。此案是深圳首例电话诈骗受害人状告运营商侵权案。
2015年,国家工信部发布25号令,要求从当年的9月1日起,全国全面实行电话用户实名登记制度。但这个政策实施以来取得的效果并不明显,没能起到有效限制诈骗电话、诈骗短信的作用。
广东是国内电信诈骗的重灾区之一,电话用户实名制的情况也不理想。近日,中国移动广州分公司放出“狠话”称,根据国家相关规定,再不实名登记将强制停机,且自暂停电信服务之日起90日内仍未补办的,将强制销户。
界面新闻记者了解到,目前仍有不少通讯店在出售电话卡时为了招揽生意,并不要求落实实名制,而是由店主用别人的身份证事先登记好,网上还有人批量出售已登记好的手机卡。
手机实名制难实施的另一个阻力来自虚拟运营商。移动、联通、电信三大运营商把部分通讯网络使用权承包给了虚拟运营商,据工信部统计,目前全国共有42家企业获得虚拟运营商的试点,虚拟运营用户已达2050万,占全国移动用户总数的1.5%。
由于三大运营商在国内通讯市场占据绝对优势地位,部分虚拟运营商为扩充用户,实名制形同虚设,虚拟运营商也因此成为黑卡的聚集地,其中170号段已臭名远扬。
据腾讯安全云库统计数据显示,在收集到的1492034个恶意号码中,170开头的号码有129443个,占比达到8.6%,1705号段的恶意短信占比更是高达99.2%。
“人有时是不可靠的,这大家都知道。”上述移动公司的人士表示,国家要求开户等业务必须进行实名制,但人和证件的判断还是由营业人员来做。他指出,今后必须在系统上实现开户,不靠人才是关键,不过目前技术上有难度。
银行的漏洞
引语:公众号“诈骗终结”在一篇名为《狐狸同志在诈骗联盟总结表彰会上的讲话》的文章中戏谑地说,诈骗分子除了“感谢”电信三大运营商之外,还要“感谢”各大金融机构。
如果说运营商的职责是建立一个洁净的通讯环境,那么银行的职责则是建立一个利于监测的资金流动通道。但事实上,银行的资金流动通道难以实施有效监测。
据公安部门统计,2015年全国有222亿元从受害者账户流向诈骗犯罪分子的账户。由于实时支付只需要几分钟时间,钱一到账,诈骗犯罪团伙立刻将钱如“天女撒花”般打散并安排专人负责取现、套现,或通过洗钱、购买商品等形式“洗白”。
上述刑警支队的民警告诉界面新闻记者,现在的转账机制都是即时到账,当受害者发觉被骗后,钱已被取现,银行难以做到对每笔帐进行追踪。不过,他认为,只要管住银行卡,就能遏制电信诈骗。
该民警表示,银行卡实名制落实不到位的问题也相当严重,诈骗犯罪分子手上拥有大量银行卡,都是通过黑市购买的,此前不少银行为了争取更多的开户数,往往定下开卡数量的业绩考核,导致开卡门槛低、发卡泛滥,也变相让犯罪分子有了源源不断的卡源。
去年年底,银监会发文规定,自2016年1月1日起,同一客户在同一商业银行开立借记卡不得超过4张,若超过4张借记卡的客户,银行要主动与客户联系核查,发现非本人意愿办理的,应中止服务。
中国《刑法》第一百七十七条规定,非法持有他人信用卡,数量较大,出售、购买、为他人提供伪造的信用卡或者以虚假的身份证明骗领的信用卡的,可以判妨害信用卡管理罪。但并没有对出售本人银行卡的行为做出法律限制,因此出现了大量专业开卡人贩卖自己的银行卡现象。
微信公众号“终结诈骗”在一篇文章《狐狸同志在诈骗联盟总结表彰会上的讲话》写道,诈骗分子除了“感谢”电信三大运营商之外,还得“感谢”各大金融机构。
有银行人士向界面新闻记者透露,虽然银监会这样规定,但银监会是监督机构,文件的效力比不上法律、法规,即使客户开超过4张卡也很少遇到阻止。而核实超过4张卡的客户需要大量的人力、物力,几乎所有银行都较难落实。
“即使按照银监会要求实施,全国有数百家银行,若每家银行开四张卡,数目也是惊人的。”该人士说,没有法律强制规定,对开银行卡数量限制已沦为一纸空文。
不止于此,对公账户也出现弄虚作假的情况,在很大程度上方便犯罪团伙实施电信诈骗。上述民警指出,对公账户的泛滥与商事登记制度改革有着关系,2013年3月1日,深圳市推行新的商事登记制度,为了程序简化、成本降低,不再要求申报人登记公司的实收资本,也不再收取验资证明文件和注册登记费。
此后,申报人注册公司时比以前简化了很多手续,可以在网上办理,同时节省了成本,不再规定公司必须设在商业楼,也可以设在住宅区,而且一个地址可以重复登记。
上述民警认为,商事改革制度虽然建立了“谁审批、谁监管”和行业监管相结合的新型商事主体登记审批监管制度,但对经营场所实施自行申报制度,无需提交场地证明材料,在日常的监管中,市场监管部门仅以向商事主体邮寄信函的方式,来核实经营场所地址是否真实存在,在核实注册公司真实性方面存在着重大安全漏洞。
很快这个改革带来了变化,新注册的公司成倍增长。这些公司都是合法公司,在银行开设对公账户不成问题。
商事登记制度改革最早在广东深圳、珠海试点,并逐渐在全国城市推广。与此同时,大量登记信息不实的对公账户成为了诈骗团伙作案时的“钱袋子”,受害者往往认为,正规注册的公司在工商局有备案,于是防备心理大减。
深圳某银行曾向警方反映,同一个法人在同一地址注册了79家公司,并申请79个对公账号。当时,营业点经理开户都开到心里发虚,后来警方调查发现,该公司是深圳一家秘书服务公司的老板要求其员工用自己的身份证去注册的,目的是转卖获利。
由此可见对公账户“公转私”存在的漏洞。目前,根据中国人民银行简化“公转私”的相关办法规定,从对公账户转账至对私账户,每笔不能超过5万元;如有超过,也仅需要在付款用途栏注明事由;但“公转私”次数不限,累计金额不限。
从发案情况看,犯罪分子利用该规定的漏洞,采用单笔低于5万、分多笔转账的方式,通过网银转账将高额的诈骗赃款瞬间分散转移。深圳某国有企业被诈骗3505万元案件,犯罪分子正是利用“公转私”存在漏洞,以每笔5万元、分多笔转账的方式将被骗资金转走。
“很多对公账户对应的公司,警方查不到任何真实的信息,有的甚至最后查到一位农民身上,因为申报人盗用了这个农民的身份信息去申报公司和对公账户,最终不了了之。”上述民警告诉界面新闻记者。
混乱的第三方支付
引语:售价仅为1400元的支付账户数据包,竟含有500万条他人第三方支付账户、密码以及网络论坛等信息。
频繁发生的支付账户遭到盗窃或盗刷的案例,正向敲响第三方支付安全的警钟。
第三方支付平台的账户信息也摆上了“货架”。近日,珠海市中级人民法院对一起盗窃支付宝账户案件进行二审。该案中的7名被告人花钱制定了专门针对支付宝平台的“支付宝探测器”扫号软件,用于批量比对他人支付账户、密码等信息。
根据公开信息,被告人出售的卖价仅为1400元的支付账户数据包,竟含有500万条他人第三方支付账户、密码以及网络论坛等信息。被告人在自辩过程中也表示,支付宝账户的异地支付功能未完全发挥作用,才让他得逞。
界面新闻了解到,犯罪分子采用的“短信+木马病毒”诈骗形式已成为威胁第三方支付安全的巨大陷阱。不法分子在掌握受害人的手机号码、银行卡账户信息后,通过向持卡人发送附加了链接的短信,诱使持卡人点击后,病毒便在手机后台读取接收到的验证码,导致支付账户被盗窃。
2015年11月,据国内第一个警、企、民联合网络诈骗举报平台——猎网平台的统计,网络诈骗产业的从业人数至少有160万人,并且形成了一条成熟的灰色产业链。
2015年以来,国内打击电信诈骗的力度有所加大。公安部、工业和信息化部等23个部门和单位联合建立打击治理电信网络新型违法犯罪工作部际联席会议制度,各省市也相继建立了反诈骗中心。
电信诈骗涉及多个行业、机关单位,案件侦破存在成本高、取证难的特点,且几乎所有电信诈骗案件都绕不开电信运营商和银行这两个单位,因而打击电信诈骗时需要电信运营商和银行这两个“守夜人”保持警醒。
2016年两会期间,不少人大代表和委员们对打击电信诈骗提出了建议。全国人大代表麦庆泉提出,银行应建立高风险转账智能识别干预机制,对向陌生账户转账应实行T+1机制。
为让银行加强监管职责,全国人大代表陈伟才建议,修改刑法第一百七十七条,将出售、购买信用卡行为纳入妨害信用卡管理罪。他认为,如果能从源头堵住运营商和银行的漏洞,电信诈骗至少可以减少50%。
也有法律界人士认为,要遏制电信诈骗就应追究相关部门不作为的责任,以法律压力倒逼机构加强监管,其中电信运营商首当其冲。
《中华人民共和国电信条例》第五条规定,电信业务经营者应当为电信用户提供迅速、准确、安全、方便和价格合理的电信服务。
《侵权责任法》第三十六条也规定,网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。
2013年,广州一名电信诈骗受害者被骗取48万元,去年4月,该受害人以没有提供真实的来电显示服务为由,起诉电信运营商,最终法院判决电信运营商赔偿受害者1万元,这是国内首例电信运营商为电信诈骗承担责任的案例。
北京市盈科(广州)律师事务所高级合伙人饶高明律师对界面新闻记者表示,电信条例只是笼统地要求电信业务经营者为客户提供准确安全的服务,但未明确违反义务的责任承担问题。此前的电信诈骗案例中,受害人能获得电信运营商较高额赔偿的案例并不常见。
饶高明称,从法律层面而言,电信运营商如果无法提供真实的来电显示,应当履行一个明确的告知义务,告知用户运营商自己无法保证来电号码的真实性,提醒用户小心诈骗。若受害人基于对运营商的信赖而导致了自身利益的受损,运营商应当承担未明确告知的责任,赔偿部分损失。
目前,法院公布的案例中暂未发现有电信诈骗受害者状告银行获得胜诉的案例。《商业银行法》第六条规定,商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。
饶高明认为,电信诈骗案件属于第三人侵权造成客户损失的情况,银行应当承担安全保障义务,但没有义务主动检测不良转贷的情况。若银行履行了告知义务,且没有任何疏忽或过错,那么银行不需要承担法律责任。
“不过,银行需要履行安全保障义务,即进行一定程度上的提醒,如在各个ATM机上提醒注意诈骗,当客户报案要求冻结或者挂失时及时操作。”饶高明说。
(应被访对象要求,文中的罗灿、李安、刘芳均为化名)