供職于一家商業(yè)銀行人力資源部的余先生不會(huì)想到,由于公司工作郵箱故障,自己為應(yīng)急用個(gè)人外網(wǎng)郵箱發(fā)送的一封郵件竟成了犯罪分子眼中的“大魚”。2011年4月,僅有初中文化的河北青年李金(化名)通過猜密碼的方式獲取了余某郵箱內(nèi)發(fā)送的員工工資卡信息資料數(shù)百條,并通過網(wǎng)上銀行系統(tǒng)盜刷其中7名員工信用卡共計(jì)人民幣55634元。
日前,李金被靜安區(qū)人民檢察院依法提起公訴。
用戶名密碼相同埋隱患
余先生是一家商業(yè)銀行上海分行人力資源部的員工,出于安全保密需要,公司規(guī)定涉及工作內(nèi)容的郵件均需通過專門的工作郵箱發(fā)送。然而,有一次由于公司工作郵箱出現(xiàn)故障,余先生為應(yīng)急,便利用外網(wǎng)上的個(gè)人郵箱發(fā)送了一封電子郵件。這封郵件中包含了單位員工的工資卡卡號(hào)、身份證號(hào)碼等文件。更要命的是,余的個(gè)人郵箱用戶名所用數(shù)字與郵箱密碼一致。但余當(dāng)時(shí)并未預(yù)料到這一疏忽可能造成的嚴(yán)重后果。
據(jù)犯罪嫌疑人李金供述,2011年4月,他在該商業(yè)銀行網(wǎng)上商城的論壇內(nèi)看到一個(gè)包含較長數(shù)字845555的用戶名。抱著試試看的態(tài)度,李金用該用戶名的后六位數(shù)作為登錄密碼成功進(jìn)入該賬戶,并發(fā)現(xiàn)一個(gè)yahoo的郵箱和另一個(gè)hotmail的郵箱。這兩個(gè)郵箱同樣屬于余,且兩個(gè)郵箱密碼都是845555。
泄露百余條信息被盜刷
李金成功進(jìn)入余某的hotmail郵箱后,意外地在一個(gè)excel文件里獲得了二三百條某商業(yè)銀行相關(guān)人員的銀行卡卡號(hào)、持卡人名字、身份信息。當(dāng)看到這些極其隱私的信息后,李如獲至寶,在他眼里,這些信息的背后可能隱藏著巨大的財(cái)富。
李出生于1987年,老家在河北省保定市,只有初中文化,無固定職業(yè)。喜歡上網(wǎng)的李在獲得持卡人名字、銀行卡號(hào)、身份證號(hào)等信息后,立即登錄該商業(yè)銀行的網(wǎng)上銀行,先把猜出的持卡人生日密碼輸入,再利用人工和按鍵精靈軟件對(duì)該銀行三位數(shù)CVN2碼進(jìn)行隨機(jī)測試,取得相關(guān)銀行卡對(duì)應(yīng)的三位CVN2碼并記錄下來。隨后他就冒用持卡人名義使用這些卡在網(wǎng)上第三方交易平臺(tái)進(jìn)行無卡充值、消費(fèi)。
經(jīng)查,從2011年4月30日至5月13日,李金利用上述手法成功將7張某商業(yè)銀行卡內(nèi)總計(jì)55634元轉(zhuǎn)入自己在快錢等第三方支付平臺(tái)控制的賬戶。為防止刷卡時(shí)被害人收到短信提醒,李還通過撥打該行聲訊臺(tái)或登錄個(gè)人網(wǎng)銀更改了持卡人在銀行預(yù)設(shè)的消費(fèi)短信提示手機(jī)號(hào)碼。這樣冒用后持卡人不會(huì)收到消費(fèi)提醒,使得被害人無法及時(shí)獲知銀行卡被冒用情況。
2011年9月6日,李金主動(dòng)投案,并退賠全部犯罪所得。近日,李金被靜安區(qū)人民檢察院提起公訴。(通訊員 房曉穎 本報(bào)記者 郭劍烽)
檢察院向銀行發(fā)《檢察建議》
據(jù)此,靜安檢察院向該行上海分行發(fā)出《檢察建議》指出,銀行主要存在下列問題:一是內(nèi)部保密管理存在較大疏漏,人力資源部員工李某違反內(nèi)部規(guī)定,利用外網(wǎng)上的個(gè)人郵箱發(fā)送包括單位員工的工資卡卡號(hào)、身份證號(hào)碼等內(nèi)部文件。二是網(wǎng)上銀行系統(tǒng)存在嚴(yán)重漏洞,該行網(wǎng)上銀行交易系統(tǒng)只需輸入卡號(hào)、密碼、證件號(hào)碼、CVN2、驗(yàn)證碼即可登錄。CVN2碼是卡背面的3位數(shù)字,從000到999隨機(jī)試驗(yàn)即可獲得,未設(shè)置若干次輸錯(cuò)當(dāng)天無法交易或者鎖卡等安全措施。三是被害人缺乏安全意識(shí),多個(gè)密碼等都是簡單以生日作為密碼。犯罪嫌疑人更改持卡人在銀行預(yù)設(shè)的消費(fèi)短信提示手機(jī)號(hào)碼時(shí)銀行未予核對(duì),導(dǎo)致冒用后持卡人不會(huì)收到消費(fèi)提醒,擴(kuò)大了經(jīng)濟(jì)損失。