9個人,一個月,利用招行、建行等App漏洞開了上萬個銀行帳戶

薛某、黃某夫等人利用他人身份信息非法開設銀行Ⅱ、Ⅲ類戶出售謀取暴利。法院認為，上述人員使用虛假身份證明騙領具有消費支付、信用貸款等全部或部分功能的電子支付卡，符合妨害信用卡管理罪的構成要件，應以妨害信用卡管理罪定罪處罰。

來源 | 行動支付網

作者 | 佘雲峰

2019年12月底，金華市婺城區人民法院的一份刑事判決書披露9人因妨害信用卡管理罪獲刑。

以薛某、黃某夫為首的9人團夥中，有6人是90後，其中僅有黃某夫一人具有大學學歷，其利用他人身份信息非法開設銀行Ⅱ、Ⅲ類戶出售謀取暴利。

利用個人信息開設1萬餘個銀行帳戶

2018年4月，薛某的工作室原本通過利用網上買來的實名認證過的手機號註冊淘寶、京東等平臺的新用戶，之後領取網購平臺給予新用戶的優惠券購買商品，再將購得的商品售出謀取利益。

但這種「薅羊毛」的手段似乎已經無法滿足薛某的胃口。2019年2月，薛某找到黃某夫，兩人經過商議後決定利用他人身份信息非法開設銀行帳戶出售謀取暴利。

其中，黃某夫負責提供開卡技術支持，教授如何利用黑客技術和軟體繞過銀行系統驗證。薛某負責從網上購買包括姓名、身份證號碼、手機號碼及綁定的銀行卡號在內的公民個人信息用於註冊銀行帳戶，並出售獲利。

判決文書顯示，一個月的時間，薛某聚集7人的工作室開設銀行帳戶，黃某夫負責遠程教授非法開卡技術，工作室其它人具體實施「代跳」工作，即利用華潤銀行、溫州民商銀行、金華銀行、浦發銀行、中國銀行、招商銀行、建設銀行等銀行App漏洞和使用抓包軟體，修改數據，利用薛某購買的公民信息，開設10000餘個銀行帳戶。

在法院審理時，多名被告的辯護人提出，由於薛某等人開立的銀行帳戶僅為Ⅲ類帳戶，不具有信用卡功能，不宜定性為妨害信用卡管理罪。

法院則認為，薛某等人使用虛假身份證明騙領由商業銀行或其他金融機構發行的具有消費支付、信用貸款、轉帳結算、存取現金等全部功能或部分功能的電子支付卡，其行為符合妨害信用卡管理罪的構成要件，應以妨害信用卡管理罪定罪處罰。

法院指出，薛某、黃某夫在本案中系主犯，分別判處兩人有期徒刑4年3個月，並處罰金7萬元。其餘7人系從犯，判處7人有期徒刑1年6個月至2年3個月不等，並處罰金。

一個套路：購買個人信息、利用銀行漏洞

從上述案件可以看出，犯罪團夥主要利用網絡上購買的個人信息進行非法活動，通過銀行漏洞使用抓包軟體修改數據非法開設銀行Ⅱ、Ⅲ類帳戶。

前不久，據行動支付網報導2019年10月，只有初中文化的00後田某被福建省廈門市思明區人民法院以非法獲取計算機信息系統數據罪判處有期徒刑三年，並處罰金人民幣一萬元，其採用的便是同樣的套路。田某在2019年1月5日至1月15日期間，通過軟體抓包、PS身份證等非法手段，在廈門銀行手機銀行App內使用虛假身份信息註冊銀行Ⅱ、Ⅲ類戶，非法銷售獲利。

其中，案件詳細透露了田某採用「偷梁換柱」的手法，使用自己的人臉識別身份認證數據包換掉虛假身份的人臉識別身份認證數據包，然後使用本人的臉完成人臉識別比對的方法繞過了銀行的人臉識別認證系統。

本案中，並未詳細透露犯罪團夥採用的技術方式，但可想而知抓包軟體、修改數據等常見的黑客技術肯定是少不了的。

近年來，利用公民信息犯罪的案例不勝枚舉，非法獲取公民信息再進行兜售已經形成了固定的黑色產業，一旦違法犯罪分子獲取了公民的身份證信息，就可以在一定程度上，利用這類信息在網際網路上偽造一個虛擬但是真實的「你」。

據行動支付網了解，網上售賣的銀行卡「四件套」，包括銀行卡、身份證、網銀U盾和手機卡。在購買「四件套」之後，犯罪分子可以進行大量違法犯罪活動，比如：一、利用假身份進行隱匿；二、利用偽造資料騙取貸款；三、洗錢；四、註冊殼公司等。

金融風控與個人信息安全同樣重要

2016年1月，央行《關於落實個人銀行帳戶分類管理制度的通知》（302號文）中明確表示，個人通過電子渠道非面對面開戶時，Ⅱ、Ⅲ類帳戶必須保證與綁定帳戶是同一人，前者身份驗證至少五要素，包括姓名、身份證、手機號碼、綁定帳戶帳號、綁定帳戶是否為Ⅰ類戶或者信用卡帳戶，後者至少前四要素。

因此，對於個人而言包括銀行卡、身份證、手機號碼在內的個人信息是網際網路時代的通行證，一旦洩露其危害巨大。包括上述案件在內的大多數盜刷、販賣獲利行為其源頭都是個人信息沒有得到有效保護。

對於個人而言，信息安全至關重要，但對於金融機構而言，身份認證和風險防控同樣重要。

2019年3月，平頂山銀行落實帳戶管理機制不嚴格，未對持卡人開立Ⅱ類帳戶數量進行限制，造成某犯罪嫌疑人實名開立了11個Ⅱ類帳戶。由於銀行系統版本更新導致系統缺陷，在執行Ⅰ類帳戶向Ⅱ類帳戶轉帳業務邏輯時，並未對資金轉出帳戶進行餘額驗證和扣款，轉帳即可成功，且在交易過程中銀行風控系統的可疑交易監測並未及時觸發。最終導致該犯罪嫌疑人反覆執行轉帳操作166次，從沒有餘額的Ⅰ類戶向其Ⅱ類戶累計轉帳3113631.83元。

眾所周知，《關於改進個人銀行帳戶分類管理有關事項的通知》（16號文）規定同一家銀行通過線上為同一個人只能開立一個允許非綁定帳戶入金的Ⅲ類戶，防止不法分子通過開立多個此類帳戶變相擴大Ⅲ類戶的轉帳限額，將Ⅲ類戶用於轉移電信網絡詐騙資金等。同時，規定同一銀行法人為同一人開立Ⅱ、Ⅲ類戶的數量原則上分別不超過5個。「開立了11個Ⅱ類帳戶、無中生有的轉帳金額」顯然是銀行在帳戶管理機制上出現了嚴重的漏洞和缺陷。

302號文中關於帳戶分類管理指定的合法驗證通道即跨行帳戶信息認證服務平臺和中國銀聯的清算接口，採用其他未經許可的接口，都有違反行政命令、存在安全隱患的風險。

2019年4月，《中國人民銀行支付結算司關於加強個人Ⅱ、Ⅲ類銀行結算帳戶風險防範有關事項的通知》（55號文）中，針對前期批量開立Ⅱ、Ⅲ戶的風險事件提出了監管要求，並對身份照片比對等帳戶管理提出了更細緻的要求。

監管提出了要求，金融機構的系統和風控就應該跟上要求的步伐。無論是對存量Ⅱ、Ⅲ戶的全面風險排查，還是對新開設帳戶進行風險監測，都至關重要。

比如，監管要求開戶風險監測的可疑場景包括但不限於：同一帳戶（包括同一手機號碼、身份證等）連續開立多個II、III類戶；同一終端設備（包括同一設備ID、同一網絡地址等情況）連續開立多個II、III類戶；開戶行為偏離多數用戶的一般習慣，如在異常時間段、異常網絡地址、異常地理位置等申請開立II、III類戶等等。

結語

2020年，央行發布《個人金融信息保護技術規範》，將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別，其中身份證、手機驗證碼、銀行卡等個人信息就屬於較高的C2、C3級別。

因此，無論是金融機構還是非金融機構，官方帳戶分類管理驗證通道還是第三方銀行帳戶驗證服務通道，都需要嚴格落實規範要求做好個人金融信息的保護和使用，合法合規地為人們提供金融服務。