是谁动了我的支付宝?
全国首例支付宝盗窃案始末
时间:2018-06-28 18:23:31 作者:高伟 吴冬 来源:中国审判网
2015年2月23日,一件涉及数额23万余元的网络盗窃案入选了“2015年推动法治进程十大案件”。人们不禁好奇,在这场由各级人民法院和中央电视台联合选送的评比活动中,究竟是什么吸引了众多网民和知名专家评审员的目光,使这起“小小”的案件能够和“刘汉、刘维等组织、领导黑社会性质组织犯罪、故意杀人案”“蒋洁敏受贿、巨额财产来源不明、国有公司人员滥用职权案”等9个重大疑难案件并驾齐驱? 究其原因,不难发现,此案件虽小,但其意义却极为重要。 支付宝里的钱哪儿去了? 2013年10月10日13时57分,陕西西安的余先生收到支付宝发来的一条短信,内容为其正在找回支付宝密码,校验码为366309,30分钟内输入校验码即完成密码找回。 起初,余先生以为是诈骗短信,便并未按照短信内容进行操作。 仅两分钟后,工商银行发来一条通知短信,告知其账户转出1000元。 见自己的钱“不翼而飞”,余先生有点着急了。他立即拨打了支付宝客服电话进行询问。支付宝客服回复说,其账户可能被盗用了。随后,余先生申请冻结了账户。 刚挂掉电话,余先生又紧接着收到了支付宝发来的邮件,称其支付宝账户密码已被重置,请立即登录更换密码。 带着无数的疑问,他再次拨通了支付宝客服电话。客服人员查询发现,余先生的账户中又被转走了两笔钱,一笔9000元,一笔5000元。 支付宝账号是自己的手机号,账号和密码都没有告诉过其他人,盗取账号的人是怎么知道的?后面两次钱被划走为什么没有收到银行的通知短信? 一系列的疑问向余先生袭来。 支付宝客服人员随后解答了他的疑惑。“账户密码以及手机短信都可能被盗取,建议立即向公安机关报案。” 余先生赶忙拨打了110报案。西安公安莲湖分局红庙坡派出所接到110指令后迅速出警,并根据余先生提供的情况着手调查。 由于警方在此之前从未遇到过支付宝账户资金被盗的情形,为此,莲湖分局特别成立了专案组全力侦破案件。随后的十几天里,西安高新分局、新城分局等公安机关陆续接到几十起支付宝账号被盗的报案。 经过与网监、支付宝公司的合作,最终警方通过技术手段锁定了犯罪嫌疑人,并先后将犯罪嫌疑人全部抓获到案。通过进一步侦查,5名“网络大盗”利用支付宝行窃的“秘密”手法慢慢被揭开。 是谁在苦心钻研安全漏洞? 2013年10月22日,公安机关网监部门在摸排线索时发现,被盗取的款项在海口市提现了,同时盗窃所使用的电脑MAC地址也“浮出水面”。 这些关键性的线索让办案人员十分兴奋,他们立即连夜飞赴海口,请求当地警方配合追踪作案电脑的位置。 最终,作案电脑被锁定在了海口市檀香州小区。 在小区苦苦守候20多个小时后,10月23日16时左右,警方终于等到了作案电脑的使用人阮海。然而,本以为即将水落石出的办案人员却未能如愿。 阮海告诉警方,电脑确实是他的,但是在10月9号时曾借给了自己的小叔李凯使用,到15号才被还回来。此外,警方还从阮海口中获知一个细节:李凯在归还电脑时,说电脑中了病毒,所以重装了系统。 “要立即找到李凯。”办案民警随即赶赴李凯家中,结果却扑了空。 “李凯是潜水教练,在三亚附近的潜水俱乐部工作。”调查走访中得知这一线索后,办案民警先后摸排了三亚数十家潜水俱乐部,终将李凯抓获。 1981年出生的李凯是海南省儋州市那大镇人。为了缓解家庭的经济压力,他一直寻找着快速致富的“生财之道”。 警方从李凯处得知,跟他一起盗窃支付宝的还有“阿武”和魏明。 10月31日,根据李凯提供的线索,魏明被抓获。 魏明又供出了共同实施盗窃的杨晓。杨晓在儋州市人民路经营着一家花店。当天下午16时,杨晓也随即“落网”。 另一位嫌疑人“阿武”则生性狡猾,行踪极为隐秘。经过进一步侦查,警方发现,“阿武”真名朱新武,当时仍留在海口。 11月11日,“阿武”被缉拿归案。根据“阿武”的供述,同案犯陈祥不久也被抓获。 1986年出生的朱新武与李凯都是儋州市人,初中毕业后一直靠打工为生。2010年,朱新武的家人在李凯的家乡那大镇开了一个饭馆。朱新武在饭馆帮忙时认识了李凯。 2013年10月,两人开始谋划盗取他人的支付宝账户。 至于当时是谁最先发现的支付宝安全漏洞,谁先发明的犯罪方法,为了减轻罪责,两人相互推诿。 李凯说:“当时给朱新武打电话是想问有啥挣钱的事情做没有,过了两天,朱新武回复说能从支付宝里面偷别人的钱,让我一起做,我就答应了。” 朱新武则称是李凯提出可以一起偷支付宝里面的钱,让自己弄一些手机号码和对应的密码来。 10月7日,朱新武来到李凯家中,利用李凯家的台式电脑对预想的盗窃方法进行试验。 试验过程中,两人便成功从其中1个支付宝账户中盗得4万元。 用户个人信息从何而来? 朱新武和李凯先利用支付宝平台查询系统筛选出开通支付宝账户的电信手机号码,再用这些手机号码登录电信网上营业厅,将用户的短信拦截功能激活,设置拦截支付宝、银行客服发送的通知短信。接下来,登录支付宝平台,输入已经激活短信拦截功能的手机号码,点击“忘记登录密码”,支付宝系统便会将更改密码的验证码以短信方式发送给用户。两人再利用拦截到的短信,对支付宝账户密码进行篡改,直接将支付宝账户和关联的银行卡内的存款转入自己的“囊中”。 在当时,这种作案方法并不多见,可以说是最新型的网络犯罪。作为新生事物的支付宝等移动支付平台,为了提高交易的效率,往往将手机短信作为身份认证的方式。然而,手机并非绝对安全。手机运营商提供了来电、短信拦截、转移等服务,一旦不法分子掌握了手机服务的控制权,实际上便掌握了其他以手机号码、短信作为身份验证方式的网络平台的控制权。 想要利用手机验证与支付宝之间的衔接漏洞,其中的一个重要环节是获得手机用户信息,这是该作案手法能够成功实施的前提和关键。 那么,这些大量的、本应属于隐私的个人信息又是从何而来呢? 1984年出生的王钦是广东吴州人,2009年专科毕业后一直经营着淘宝网店。2013年10月7日,朱新武在淘宝网上找到了卖家王钦,经过协商,以4000元的价格购买了10000条陕西电信用户的手机号和密码数据。 为了验证手机用户信息的真实性,朱新武让王钦先发10个号码过来以便进行试验。 试验成功后,朱新武、李凯开始了疯狂的盗窃敛财。 据王钦交代,自己所贩卖的手机号码信息是从广西南宁的一个淘宝商家买入的,10000条3500块,然后自己又转手倒卖给了朱新武、李凯。 由于与“上家”均通过网络平台交易,留下的线索信息极少,警方经大量调查后,仍未能找到出售信息给王钦的卖家。 10月8日,朱新武、李凯二人转战海口市,开始在宾馆中实施盗窃。 李凯说:“我们也知道这个是违法的,害怕被发现,基本上一天换一个酒店。” 因又担心酒店的电脑会留下马脚,李凯想到在海口的亲戚,便向其借了电脑。 事情如预想中的一样顺利。唯一还需破解的难题就是在10000条手机号码中快速筛选出哪些号码开通了支付宝账户。 此时,朱新武想到了一个人—远房亲戚陈祥。 陈祥掌握着编写脚本制作按键精灵(一款模拟鼠标键盘动作的软件)的技术。10月11日,朱新武约陈祥一起吃晚饭。席间,朱新武提出让陈祥编写一个程序,用来测试手机号码是否有开通支付宝。陈祥爽快地答应了。 有了先进的程序,筛选手机号码的效率大大提高。朱新武当场给了陈祥1000元作为零花钱。 陈祥并没有就此收手。他看到朱新武等人通过这种方法轻松盗窃,也动了心。 此后的几天里,他们天天见面。陈祥也从朋友处借来了电脑,加入了盗窃“队伍”。 10月12日,已经被“成功”冲昏了头脑的李凯还不忘将这种方法告诉了好友魏明。 李凯和魏明从2008年开始就相识,两人的关系很好。李凯知道魏明一直想通过钓鱼网站骗钱。实施网络盗窃之前不久,他们见过一次面,李凯告诉魏明,自己正在研究从支付宝里偷别人钱的方法,“如果研究出来了,就一起做。” 为了兑现“诺言”,李凯将盗窃的方法教给了魏明,并给他发了数百个手机号码及密码。 魏明又叫来好友杨晓,由于他们没有按键精灵,魏明便让杨晓负责在支付宝页面测试哪些手机开通了支付宝。两人在儋州市的多家网吧以及杨晓开的花店内待了七八天,不停地更换地点。 “钱来得太容易了”,几人把偷来的钱大肆挥霍,赌博、吃饭、唱歌,然后再把剩下的钱进行分赃。 由于大量的用户向支付宝投诉账户被盗,支付宝方面及时改进了安全措施,盗取账户资金的难度加大。几人又转变策略,开始用支付宝直接购买游戏币,然后低价出售套现,或者将购买的游戏币申请退款套现。 此后,支付宝等平台的安全措施不断升级。10月15日,朱新武、李凯、陈祥三人离开了海口市。 不久,李凯就被警方率先抓到。李凯被抓后,李凯的妻子曾给朱新武打电话通风报信,叫他们小心,赶紧躲起来。但朱新武和陈祥仍不收手,还想着继续捞钱。 事情已经败露。朱新武不敢用自己的身份证住宾馆,便叫陈祥租一个民房。10月22日至26日,朱新武与陈祥二人又继续作案,直至被抓获。 新型犯罪中如何认定犯罪数额? 新的难题摆在了司法人员面前。几名“网络大盗”盗窃的秘密揭开后,最大的难题是犯罪数额难以统计。 由于网络犯罪的特殊性,涉及的人员较多,支付宝公司根据技术手段提供的被盗用户共计58人,部分用户因为数额少不愿报案,还有部分用户无法联系。同时,由于盗窃犯罪共涉及5名犯罪嫌疑人,犯罪中所盗取的资金均转入通过“黑市”购买的“黑银行卡”,同时还有部分用于购买“Q币”,因而较难区分各人的犯罪数额。 考虑到在网络交易中,交易平台的后台数据里均包含用户所使用电脑的MAC机器码以及网络IP地址,支付宝公司也提供了每一笔交易的相关信息,因此,法院最终通过对机器码、IP地址的甄别,明确了5人在2013年10月7日至10月26日期间,共盗取238228.71元。其中,李凯、朱新武、陈祥参与盗窃数额分别为198184.71元、234341.48元、149761.48元;魏明、杨晓盗窃数额为3887.23元。 本案有关被害人的账户信息、被盗数额、交易时间、交易所使用的电脑MAC机器码、网络IP等数据均来自于支付宝公司,这些信息均以电子数据的形式存储在服务器中。同时,从犯罪所使用的电脑中提取的手机用户信息等也均以电子数据形式存在。 对于如何审查、判断以及采信电子证据,在此案的侦查和审理期间,《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(以下简称《电子数据规定》)尚未出台,当时法院只能根据《刑事诉讼法》以及司法解释的相关原则性规定来审理此案。 法院调查发现,支付宝公司提供的被盗用户信息与5名被告所非法使用的10000条手机用户信息具有一致性,也就是说,被盗的支付宝账户持有人信息均在被告人所非法购买、使用的手机信息中。同时,侦查机关通过与受害人核实,受害人支付宝账户确有被盗且被盗数额与支付宝公司提供的数额一致。此外,被告人所使用的作案电脑MAC机器码与支付宝公司提供的信息也完全一致。被告人亦未对上述电子证据提出异议。 因此,法院将上述电子数据作为本案的定案依据,确定支付宝公司提供的账户被盗信息均为被告人所实施,排除其他人所为。 鉴于支付宝公司存储用户数据的服务器以及数据库庞大,封存或者移交原始存储介质客观上显然不具有可行性,因此法庭采取了打印的方式固定相关证据。本案审结后,“两高一部”发布《电子数据规定》,其中第十条亦作出了相同的规定。可以说,在该规定出台之前,本案对于电子数据的审查认定是具有开创性的。 谁是网络盗窃成功的关键人物? 一审庭审中,控辩的争议焦点在于主从犯的认定。李凯、朱新武二人对于是谁先起意以及谁最先发明了盗窃的方法,相互推诿。而陈祥的辩护律师认为陈祥仅仅是编写了按键精灵,自己单独仅仅盗转了2000多元,公诉机关起诉认定为149761.48元不当。 西安市莲湖区人民法院审理认为,朱新武、李凯、陈祥均积极结伙实施盗窃犯罪,不应区分主从,对相关辩护意见未予采纳。2015年1月6日,莲湖法院作出一审判决,被告朱新武、李凯、陈祥因犯盗窃罪,分别被判处有期徒刑五年五个月、四年十一个月、四年,并处罚金不等。魏明、杨晓也因犯盗窃罪受到惩处。王钦因犯非法获取公民个人信息罪被判处一年三个月,并处罚金5000元。 一审判决后,李凯、陈祥提出上诉。随后,李凯又自愿撤回了上诉。 陈祥一直对其犯罪数额持有异议,其辩护人认为原审认定陈祥的盗窃数额所依据的证据来源及有效性存在问题,该证据不能一一对应被告人盗窃的数额,要求对按键精灵程序的功能和提供的电子数据等进行鉴定。 西安市中级人民法院审理后认院长论坛每院一案为,陈祥明知朱新武、李凯二人实施网络盗窃,而为其编写按键精灵,以帮助提高手机号码的筛选速度,且该按键精灵确实起到了提高效率的作用。同时,陈祥并非仅仅编写按键精灵,在得知犯罪方法后,他不仅积极参与盗窃,还自己实施了盗窃。在李凯被抓后,其又积极与朱新武继续实施盗窃,也是实施网络盗窃犯罪的主体,并非单一地提供帮助。故在陈祥加入后,三人实际上已经形成了共同积极实施网络盗窃的团伙,一审法院认定其三人均为主犯正确。对于犯罪数额,因三人已经是共同犯罪,因此陈祥加入后,团伙所得数额即为他的犯罪数额。此外,西安市公安局电子物证检验鉴定中心出具的鉴定意见书,可以证实提取的电子数据的真实性和合法性。实际上,一审在量刑中也考虑到陈祥的实际作用以及犯罪数额有别于朱、李二人,陈祥所判刑期和罚金均少于其他二人,一审的量刑符合罪、责、刑相适应的原则。 2015年4月28日,西安中院二审宣判,驳回上诉,维持原判。 网络时代如何守护我们的个人信息安全? 全国首例支付宝盗窃案尘埃落定,然而,案件中所呈现的问题仍值得我们深刻反思。在网络时代,网络缩短了时空的距离,但也带来了身份识别的难题。一方面,身处信息时代,人们的很多个人信息均被以数字化的形式存储于网络中,一旦被人非法获取,随时可能危及人身、财产安全;另一方面,网络交易的便利,是以身份验证为前提的,一旦不法分子掌握了他人的个人电子身份验证信息,便能冒用身份进行网络交易。正如“2015年推动法治进程十大案件”的评语中所说:在信息时代,个人信息除了具有身份识别、相互交往的价值外,更被作为重要资源赋予了经济利益,并随着信息产业的发展,价值不断攀升。在经济利益的刺激下,不法分子通过获取的公民个人信息推销产品、非法牟利和违法犯罪。本案的公开审理,对推动我国公民个人信息保护制度的建设与完善起到了积极作用。
免责声明:
① 凡本网注明“中国审判杂志社”的作品,版权均属于中国审判杂志社,未经本网书面授权不得转载、摘编和使用。已经本网书面授权使用本网作品的,应在授权范围内使用,并注明“来源:中国审判杂志社”。违反上述声明者,本网将追究其相关法律责任。 ② 凡本网注明“来源:XXX(非中国审判杂志社)”的作品,均转载自其他媒体,转载目的在于传递更多信息,不代表本网赞同其观点和对其真实性负责。其他媒体如需转载,请与稿件来源方联系,如产生任何问题与本网无关。 ③ 如因作品内容、版权或其他问题需要同中国审判杂志社联系的,请于文章发布后的30日内进行。 |