上海破获沪上首例利用移动支付通道盗刷案 卡未离身却被盗刷300余万元

　　新华社上海1月16日电（记者朱翃）绑定了移动支付平台的信用卡，明明在自己身边保存完好，可卡里的钱却被别人窃取，这种隔空取物式的信用卡盗刷“现身”。近日，上海警方侦破“5.5”利用移动支付通道盗刷信用卡诈骗案，一举在苏、浙、赣、湘等地抓获徐某、许某等10余名犯罪嫌疑人，涉案金额300余万元。该案也是沪上首例利用移动支付通道进行信用卡诈骗的案件。

　　2017年4月，上海市公安局经侦总队接到某第三方支付平台报案，称有不法分子利用移动支付通道盗刷他人信用卡资金。经侦总队随即会同浦东公安分局组成联合专案组，对此案进行立案侦查。

　　警方根据资金流向、涉案POS机等相关数据信息，并对同类型案件进行串并，发现疑似被盗刷信用卡300余张，涉案金额300余万元。

　　上海市公安局经侦总队一支队副支队长徐勤通报案情表示，2017年3月至4月，以犯罪嫌疑人徐某、段某等人为首的犯罪团伙，通过张某等人非法购得大量公民信息，通过互联网结识许某等专业编程人员编写黑客软件。之后，犯罪团伙利用上述非法获取的公民信息和扫码黑客软件，攻击移动支付平台的数据库，非法获取平台用户的账号、登录密码甚至支付密码等信息。

　　获取上述关键信息后，以徐某为首的犯罪团伙登录移动支付通道的手机APP，在线上商店通过电商平台的扫描二维码结算功能，疯狂购买电子数码产品、购物卡、充值卡等易变现商品出售变现。而以段某为首的犯罪团伙则采取线下变现的方式，根据窃取到的公民信息注册生成大量二维支付码，随后利用虚假身份购买大量POS机，通过POS机扫描支付码完成盗刷，将被害人信用卡内资金转移到犯罪嫌疑人控制的结算卡内，再由犯罪嫌疑人章某等人在全国各地的ATM机进行取现。

　　徐勤告诉记者，此案的关键环节有二：一是嫌疑人获取了海量的公民个人信息，二是利用黑客软件对第三方支付平台的数据库进行“撞库”。“因为这些移动支付账户都绑定着银行卡，一旦从移动平台获取了账号、密码等信息，就等于犯罪团伙实际控制了被害人的银行卡、信用卡，可以随时进行‘消费’——也即进行盗取并套现的操作。”

　　相比传统的需要“物理接触”来获取账号、密码盗刷信用卡的方式，这种利用公民个人信息“撞库”支付平台数据库的作案方式不仅新颖，而且实现了全程“零接触”，很多被害人在被盗刷后因为消费数额不大都不曾察觉。

　　浦东公安分局经侦支队副支队长单斌表示，“本案中许多受害人在不同的支付平台使用的网络账号和密码都是一样的，这给犯罪分子可乘之机，不仅提升了攻破某个支付平台数据库的成功率，也方便他们转而攻击你的其他移动支付账号。”

　　目前，本案犯罪嫌疑人因涉嫌信用卡诈骗罪，已被公安机关执行逮捕。警方正对公民信息泄露的源头展开深入追踪和打击。