利用系統漏洞,27人盜刷「快手」672萬餘元獲刑

原標題：盜刷「快手」禮物672萬餘元，27人獲刑

收帳號、盜刷錢、五五分。

「這樣不犯法麼？」

「不犯法，縣裡弄這事的人很多」。

2018年7月，快手系統升級中，提現系統出現了一個小小的bug。

正是這個bug，被網際網路上獵犬般循味而至的「羊毛黨」第一時間發現，而後引發瘋狂刷單，最終將27人送進牢籠。

疫情之下，眾多企業主動或被動進行了數位化轉型，線上開始成為第三產業的主戰場。全面復產復工之際，如何為優化網絡營商環境提供有力的司法保障？海澱法院用日前審結的盜刷「快手」禮物系列案件給出答卷。

【案件詳情】

4629筆訂單，平臺報警被盜刷672萬餘元

4629筆訂單、827名用戶，直到快手平臺的運營方北京快手科技有限公司發現數據異常，24天間，平臺統計被惡意盜刷金額達672萬元。

快手APP是國內頗有影響力的短視頻平臺，用戶可以在該平臺以「打賞」禮物的方式對他人進行贈與或被贈與，所有禮物可轉換為名為「黃鑽」的平臺內代幣使用，並最終通過微信支付平臺提現。

2018年7月，快手系統升級中，提現系統出現了一個小小的bug。正是這個bug，被網際網路上獵犬般循味而至的「羊毛黨」第一時間發現，而後引發瘋狂刷單，最終將27人送進牢籠。

老家打來電話：搞錢，很快

2018年7月，在無錫打工的小許像往常一樣，給在貴州老家的哥哥打電話要錢。哥哥大許一反常態，痛快地給了小許500元。小許問怎麼回事，大許說發現了快手的漏洞，可以從中盜刷弄錢，很容易。

「這樣不犯法麼？」「不犯法，縣裡弄這事的人很多」。

將信將疑的小許上網查詢，有人說這樣做違法，有人說這樣做沒事。但是因為缺錢，無法顧忌太多的小許最終要求哥哥教他如何盜刷，哥哥果斷拉其入夥。

在接下來的兩天裡，小許和老鄉胡某將自己的快手號、微信號、銀行卡信息、手機號、身份信息交給哥哥大許。在提供自己手機收到的簡訊驗證碼後，2個小時內，大許轉給兩人各7千元。之後2天，小許和胡某從朋友處分別找了幾組快手帳號提供給大許，兩人又各自收到1.6萬元。錢來得太快，小許覺得再賺錢會出大事，就沒有繼續再幹，與胡某回了老家和大許匯合。

小許最終也沒搞清楚錢是怎麼刷出來的。如同他不清楚，通過他提供的快手帳號和銀行卡號，總計盜刷了11萬餘元。而這些錢，在4個月後他被抓時，都將被計入他的犯罪數額。

剩餘的9萬元中，小許的哥哥大許也並沒有拿走太多，他比小許多知道的也只是需要收購能夠直播、沒有綁定微信的快手帳號。如果帳號綁定微信則需要提供對應微信帳號以便操作；快手帳號綁定微信後，重複提現操作，就可以把錢轉到微信上。

黑產鏈條上的眾生

大許得知盜刷消息，是在酒吧同朋友喝酒時，朋友接到名為「小熊貓」的快手收租者電話，對方稱收帳號、盜刷錢、五五分。

在短短三兩天內，這樣的電話搭載著同樣的信息在縣城內鱗次響起，朋友圈內刷屏著收購快手帳號的信息，四邊八方的帳號匯總而至。

而真正的操作手法，只有黑產鏈條的上遊掠食者、收租人才知道，比如背著大許和所有人在廁所進行核心操作的「小熊貓」。

謝某，18歲，初中文化，無業，曾因毆打他人被兩次行政拘留十日。2018年7月21日1時開始，到2018年8月2日22時，12天裡通過上述方式收購10組他人帳號，累計套取資金125萬餘元；而他所掌握的「刷單」秘技，其實非常簡單。

快手平臺的虛擬禮物打賞功能由禮物系統對接微信的支付網關組成。按照微信支付相關實名認證的要求，如果微信沒有開通實名認證則無法提現，此時快手提現訂單失敗。

在一次常規升級後，快手系統在失敗訂單處理上出現bug，訂單失敗後提現黃鑽返回快手用戶帳戶，但支付網關沒有停止轉帳請求，還在不斷嘗試。在此期間，如果對應微信帳號開通實名認證，則資金將從快手企業帳戶劃撥至個人微信帳戶，用戶將在未扣除黃鑽情況下獲得提現。

就這樣，謝某等人利用所掌控帳戶的直播功能，首先通過帳戶互相打賞將對應黃鑽攢至2000元，而後關聯未開通或已經註銷微信實名認證的帳戶反覆提交提現申請，並在短時間內開通微信實名認證，資金到達微信帳戶後，迅速通過所綁定的銀行卡第二次轉出、分配。

以此方式，一條租號、打賞、提現、轉帳、取錢的黑色鏈條快速形成、蔓延，直到快手公司進行財務數據匯總，發現用戶提現金額和個稅數據不匹配、提現金額明顯異常後，這一漏洞方被修正。

27人受審，首犯獲刑十一年半

謝某最終以盜竊罪被判處有期徒刑十一年半，罰金人民幣十一萬元，責令退賠經濟損失人民幣一百二十五萬餘元。小許被判處有期徒刑三年二個月，與兩人相伴的，還有25名他們的老鄉。

2019-2020年度，北京市海澱區人民法院共審理、審結涉快手黃鑽盜刷系列案件7起，涉及被告人27人，分別判處一年一個月至十一年半不等有期徒刑。

【法官說法】

快手盜刷案並不複雜，但是給民眾尤其是黑灰產的從業人員兩個重要的法律提示：其一是利用系統漏洞非法取財構成犯罪，其二是明知他人從事違法行為而有償出租帳戶亦構成犯罪。

利用系統漏洞非法取財構成犯罪

關於利用系統漏洞取財，一種相對模糊的認識是漏洞是客觀存在的，對漏洞的利用是不違法的。如本案中小許，並不十分明確法律後果。但如果我們把這個問題換成：他人開門，房間內的錢可不可以拿，答案就要明白很多，對應到法律適用上，就是說行為人是否具有非法佔有的目的。

處於他人控制下的合法財產，即便安全防控措施存在疏漏，他人也沒有合法的佔有依據。在存在系統漏洞的前提下，如普通用戶巧合下獲得提現款，作為損失方的快手公司可以以不當得利等理由主張用戶返還，也可以選擇以事後追認方式贈與，但用戶並無合法依據佔有快手公司錢款。即便是作為黑產鏈條最底端的小許，也能夠通過網絡獲知該種行為可能違法，這也印證了該行為的違法性沒有超過國民的預見可能性。尤其是本系列案件中的盜刷行為，已經形成了租號-養號-刷單-提現的黑產鏈條，具有規模化、專業化、聚集化特徵，是典型的犯罪行為，已經不能評價為用戶的使用行為。

明知他人從事違法行為而有償出租帳戶構成犯罪

關於出租帳號人的行為，像小許、胡某等人，對盜刷手法及盜刷數額等詳情並不知悉，僅負責提供帳號、幫助取現並收取少量好處費。

此時則需要考慮行為人是否知道出租帳號的具體目的。小許等人明知道以上帳號系用於利用快手漏洞盜刷而依然提供，哪怕對行為的違法性不明確，也不影響其主觀心態的認定。但小許向其他人借用的帳號雖然也用於盜刷，帳號所有人並不知悉借用用途，所以沒有追究刑事責任。

此外，作為共同犯罪人，還應當對全部犯罪數額承擔責任，通過小許提供的快手帳戶及銀行卡接收的盜刷款共計9萬元，雖然小許僅分到2萬餘元，但他必須退賠9萬元。

而從刑事司法政策上來看，打擊黑產的重點之一就在於打擊上下遊犯罪，提供帳號和取現行為，雖然不是犯罪核心，但有效打擊前後端能夠徹底剷除犯罪土壤，斬斷犯罪鏈條，因此也屬於從嚴打擊範圍。

【法官提示】羊毛還能薅麼？

「薅羊毛」是與電子商務伴生的網際網路現象。通常意義上，「薅羊毛」行為按照輕重程度可以分為三類：一是按照平臺優惠規則、偶爾利用平臺漏洞獲取優惠自用的普通用戶；二是利用平臺優惠規則疏漏、藉助信息及技術優勢攫取優惠後進行二次轉賣、變現的「羊毛黨」；三是利用系統漏洞惡意牟利的黑灰產鏈條。上文的快手盜刷案，即屬於第三種。

對於第一類行為，使用者屬於正常消費行為，在法律、商業規則及市場規律範圍內無須擔心。事實上，這個層面的消費者的注意力應該集中在自身權利維護，尤其是在損失是由平臺自身過錯造成，消費者並無任何欺詐等心態的情況下。

對此，不同平臺反映不一，如去哪兒網、東航因系統失誤而出現的超低價機票訂單，最終宣布正常出票；但萬豪酒店出現酒店訂單錯誤，酒店最終取消已訂房用戶訂單，平臺賠償5000積分。

司法判例也在強化對消費者的保護，如此前的「亞馬遜砍單案」中，購物網站亞馬遜在「雙十一」期間標明掃地機器人科沃斯價格為94元，後亞馬遜以系統操作錯誤、實際售價應為949元為由單方取消訂單。後法院判決亞馬遜公司向290餘名被砍單消費者賠償訂單價格與市場價之間差價855元，以防止虛假促銷、惡意單方砍單等行為泛濫。

對於第二類專業「羊毛黨」，明顯惡意違法平臺規則及利用系統漏洞的，在民事法律關係上屬不當得利，受損害平臺可以請求返還，在刑事法律評價上則相對曖昧，無法一概而論，但其中具有主觀惡性，違法所得數額較大或影響較大的，同樣構成刑事犯罪。（詳見後附典型案例）

對於第三類利用系統漏洞惡意牟利的黑灰產鏈條，是目前的打擊重點，本案中呈現出一個黑產新趨勢：非法支付渠道向普通個人帳號轉移。

一般來說網絡黑產的供給鏈可以劃分為物料、流量和支付三大要件，以惡意註冊帳戶為主供養物料，通過虛擬商品交易作為變現的主要渠道；而在羊毛灰產中則細化為卡商負責註冊平臺帳號-網絡黑客人員負責買賣「秒殺軟體」-「羊毛黨」負責在平臺使用-收貨端負責在二級市場變現。

但隨著各個網際網路平臺尤其是幾家網際網路巨頭對於惡意註冊的聯合打擊，技術壁壘日益壘高，「養號」成本日益增高。於是黑產將目標錨定普通個人帳號，如小許及胡某等人提供的帳號，該種帳號屬正常帳號，在技術上無法識別；這雖然在打擊犯罪上提供了便利，但也對溯源上遊犯罪帶來挑戰。

【相關案例】

司機端騙取「滴滴打車」補貼優惠獲刑

被告人常某丈夫系計程車司機，使用「滴滴打車」軟體承攬業務，因使用乘客端反覆領取優惠券被滴滴公司封號處理，後其妻子常某僱傭他人通過技術手段解鎖帳號後，以其愛人、滴滴、朋友的共計五個帳號，虛構乘車交易，騙取乘車優惠券共計價值14254.65元，以上錢款已提現。後平臺運營方發現優惠券使用異常，經核實以上訂單乘客IP位址相同，司機行車軌跡不實，遂報警。常某到案後將涉案錢款全部退還，後因詐騙罪被海澱區人民法院判處有期徒刑八個月，罰金人民幣四千元。

百度外賣商家虛構交易騙取返利獲刑

被告人陳某虛構「老重慶麻辣小龍蝦」等商家身份，註冊外賣平臺百度糯米帳戶，以虛構交易消費訂單的方式騙取平臺消費返利共計人民幣32100元。因發現刷單行為，平臺部分結算款暫停支付，實際支付返利金額21900.4元，未支付返利金額10199.6元。陳某到案後退賠全部涉案贓款，後因詐騙罪被海澱區人民法院判處有期徒刑九個月，罰金人民幣二萬元。

百度外賣用戶虛假充值後消費獲刑

被告人鄭某利用百度外賣平臺的系統漏洞，僱傭陳某通過技術手段為其名下兩個帳戶進行非法充值113996元，後鄭某通過上述外賣帳號購買洋酒、食品等商品，實際消費共計人民幣7413.02元人民幣。後因盜竊罪被海澱法院判處有期徒刑八個月，緩刑一年，罰金人民幣一萬元。

京東用戶以舊換新退貨牟利獲刑

被告人張某在京東購物網站訂購希捷牌、威騰電子牌移動硬碟共計79塊，後以購買錯誤等為由向要求退貨，並藉機用廢舊硬碟內芯更換19塊原硬碟內芯，價值共計人民幣14411元。經被害單位報案，張某到案後退賠涉案贓款，後因詐騙罪被海澱區人民法院判處有期徒刑六個月，緩刑一年，罰金人民幣五千元。