日常生活中,很多人都接到过需不需要贷款之类的骚扰电话,并且很多这样的电话,对方都能直接称呼出我们的姓甚至名字,很明显我们的个人信息泄露了。但如果对方连你在银行曾经贷过多少款?干什么用?信用状况如何,家里存款有多少等信息都清楚,是不是有点吓人呢。
细思恐极 骚扰电话竟能细数家底
四川绵阳的龚先生,经营有两家网吧和一个茶楼,2015年5月,因扩大经营需要,曾在银行贷款50万元,今年3月份提前还清了贷款。令他意想不到的是,此后他每天都接到大量贷款骚扰电话,尤其是贷款电话,对方甚至直接就称龚先生,并表示经查龚先生征信良好,可以向其提供贷款。
银行征信报告是一个非常私密的个人信用记录,里面包含有个人姓名、身份证号、家庭住址、电话、家人信息、工作单位等;此外,主要记录了个人的信贷状况,比如有没有贷款、贷了多少、用途是什么、还款情况如何,名下有几张信用卡、额度多少、有没有逾期还款等?梢运抵懒苏庑┬畔,也就基本知道了一个人的家底儿。
在每天接到10多个贷款电话的同时,龚先生还收到大量的股票投资、银行理财等骚扰短信,特别是对方提到的“银行征信报告”,这让他明显感觉到自己的银行信息被泄露了,于是到当地派出所报了案。
报案的还有绵阳的靳先生,放贷的人不止知道他的银行信用状况很好,还骚扰他爱人。更令他恐怖的是,对方还知道自家孩子就读私立学校的情况。
找线索QQ群中抓获贩卖信息中间商
在QQ的查找群里,记者输入“代打征信”四个关键字后,立刻弹出大量代打征信报告的QQ群!逼渲幸桓鲇凶100多人的群直接标明:代拉银行详细版本征信,批量收单。并留言:价格高110,11点前报单,下午回,单较多,有点慢;沽粲辛档缁。 据了解,价格高110,就是说每一份征信报告的售价是110元。通过这些QQ群,绵阳市公安局网安支队的民警很快发现,绵阳本地就有人在贩卖公民的银行信息,包括银行储户的账户明细、余额,征信报告、家庭住址等等。
公民银行信息被盗取贩卖,并可以进行指定性查询,此种犯罪的危害后果可谓相当严重,为小额贷款公司提供有针对性名单,进行骚扰都是小事,更为非法调查、电信诈骗、甚至绑架等犯罪提供了温床。警方分析这样的信息泄露源头只能是银行内部,绵阳本地的这名犯罪嫌疑人只是其中一环。
嫌疑人邓海电脑中查出的个人征信报告
警方在嫌疑人邓海电脑中查获的个人征信报告
很快,警方将绵阳本地的犯罪嫌疑人邓海抓获,在他的电脑里警方查获个人银行征信报告一万两千多份,银行账户余额、明细400多份,邓海交代,他在网上贩卖这些信息的价格是每条80到200元不等,非法获利4万多元。
追上线 警方确认泄露源头在银行
根据从犯罪嫌疑人邓海处查获的个人银行征信报告和个人账户余额、明细等电子证据,警方判断,信息泄露的源头只能是银行内部。那具体是从哪儿泄露出来的,又是怎样泄露的呢?
犯罪嫌疑人邓海交代,他贩卖的信息来自一个网名叫“海盗船长”的上家,警方很快将他在湖南娄底抓获,“海盗船长”真名胡雄。根据胡雄的交代,又将他的上家吴畅在湖北襄阳抓获,在吴畅的电脑和网络存储空间里警方提取到个人银行征信报告120余万份。
警方审讯得知,吴畅曾做过小额贷款公司营业部的负责人,因为工作中需要大量潜在客户的银行征信报告、甚至账户余额等信息,因此常;钤驹诟鞲稣餍臦Q群中,掌握了大量渠道信息。那信息泄露的源头具体在哪儿呢?吴畅交代,源头确实是在银行,因为要想查询这些个人银行信息,首先必须有能够查询银行征信的账户和密码。
根据吴畅的交代,当时是胡雄给他提供了一个可以查询银行征信报告的账号和密码,但只有账号和密码没有用,还必须有银行内部人通过银行专网才能查出受害人的征信报告来。
查账号 泄露者竟是银行支行行长
根据犯罪嫌疑人的交代,警方敏锐地意识到,公民个人银行信息泄露的源头有两处,一个是能够查询银行征信报告的账号和密码,这个是谁泄露出来的?另一个是谁拿了这个账号和密码从银行内部把个人征信报告等信息拷贝出来贩卖的?
吴畅交代,为了从胡雄手里拿到这个能够查询银行征信报告的账号和密码,他给胡雄付了8万块钱。那这个账号和密码胡雄又是从哪儿弄来的呢?
警方循线追踪,最后查出,这个账号的真正所有人是夏镔。夏镔,湖南邵阳人,事发前曾任当地一家商业银行支行的行长。据夏镔交代,在2015年6月有一个叫赵海亮的朋友多次找他,让他帮忙查点东西,对方说得挺轻松的。
夏镔交代,他曾替人从赵海亮那儿借了15万元,后来这个人生意亏本跑路了,他已经还了赵海亮9万元,剩下的6万还没还完。但他解释,这不是主要原因,主要还是出于朋友义气;另外他承认对泄露账号和密码这个事情的严重性认识不足,以为这个账号给赵海亮查了后,他自己再把密码改过来就没事了,但做梦也没想到事情会发展的这么严重——密码给出的第二天就被更改了。
夏镔交代,密码被更改,意味着这个账号已经完全脱离了他的控制,但如果这时他敢于承担责任向银行领导上报此事的话,也可以把这个账号封掉,但他并没有这样做。办案民警介绍,通过夏镔泄露出去的这个账号,犯罪团伙实际查询了6万余份公民个人银行信用报告,并全都卖了出去。
查“内鬼” 银行保安入“罗网”
虽然查出泄露查询银行征信报告账号和密码的犯罪嫌疑人是湖南一家商业银行支行的行长,但只有这个账号,登录不了银行内网,依然无法查询,那是谁最终用这个账号窃取了公民的银行个人信息呢?
犯罪嫌疑人吴畅交代,他花8万元拿到夏镔泄露的账号和密码后,通过QQ征信群,找到了“出单团伙”的犯罪嫌疑人邹运,邹运又找到了宗百岁,宗百岁最终找到了能够出单的银行内部人员戴友明。警方介绍,说起来复杂,其实围绕窃取公民银行征信报告有一整个的犯罪利益链条,他们集结交流的平台主要就是QQ群。
戴友明,辽宁灯塔市人,曾任大连某商业银行保安队长,警方审讯得知,初期戴友明利用非法获得的账号和密码曾窃取过公民的征信报告,后来经他介绍韩奎宇进入该银行当了保安。此后戴友明离开银行,出单业务就由韩奎宇具体操作。那作为保安,戴友明、韩奎宇是怎样侵入银行内部网络窃取个人银行信息的呢?
戴友明交代,由于他们是保安,晚上银行下班后,会留在银行里值班,这时大厅里的电脑处在无人监管的状态,他们就把一台装有特殊软件的笔记本电脑接上银行内部的专网。
绵阳市公安局涪城分局网安大队副大队长陈刚:拿戴友明、宗百岁自制的一个软件,写了一个小程序,然后就接到银行的内网,通过银行内部的网络,用买来的账号登录过后,把需要查询的身份证号码批量输入这个软件,不需要人工操作,很快地就能查询到需要查询的银行的征信报告等等这些东西。
戴友明交代,宗百岁交给他查询的银行征信单,多的时候每次都是几千份,少的时候也有几百份,并且每次查询的账号都不相同。每次查询的账号不同,就意味着是不同的银行内部人员泄露出来的,而案发前他们每月都会查五六次。宗百岁给他的价格是每条5到10元,他给韩奎宇的是每条1元,贩卖到最后一条个人银行信息的价格一般会在80到200元。
从戴友明、宗百岁等人的电脑和邮箱里,警方共查获个人银行征信报告以及账户余额等信息257万条。
一个密码可在多个银行通用 警方提示银行应升级系统
至此,在公安部的督办下,这一特大侵害公民银行个人信息案全面告破,公安机关共抓获犯罪团伙骨干成员15人,查获涉案资金230余万元,以及大批银行卡、电脑等作案设备。
警方介绍,从这起特大侵害公民银行个人信息案可以看出,信息泄露的源头就是在银行内部,比如泄露出查询银行征信报告账号和密码的犯罪嫌疑人夏镔,案发前的身份就是一家商业银行支行的行长。
侦办此案的民警认为,夏镔的账号是湖南邵阳一家商业银行的,但这个账号最终大量出单泄露公民银行个人信息是在辽宁大连的另一家商业银行,这就说明单靠一个账号和密码就可以在全国范围的一些银行使用,风险相当高。针对这一问题涉案银行应该升级系统,限制账号只能在本银行、本地使用。