李嘉制图

近期,全国多地发生利用短信嗅探技术窃取钱财的案件,有的涉案金额逾百万元。“新华视点”记者调查发现,一些不法分子通过社交网络兜售相关技术及设备。

嗅探技术“隔空取物”

今年8月,一位新浪微博网友向警方和相关金融机构报案:凌晨2时至5时,手机先后收到100余条来自支付宝、京东金融和银行等金融机构的短信验证码,相关账户内的余额及绑定银行卡内的余额全部“凭空蒸发”。

事后经安全技术专家鉴定,认为这是一起较为典型的利用短信嗅探技术实施财产侵害的案例。据中国电子技术标准化研究院技术专家何延哲介绍,短信嗅探技术是在不影响用户正常接收短信的情况下,通过植入手机木马或者设立伪基站的方式,获取用户的短信内容,这其中就包括来自银行、第三方支付平台和移动运营商的短信验证码。

一位业内人士介绍,除了盗取用户金融账户内的资金外,短信嗅探技术还可以截获移动运营商给手机用户发送的验证码,用来办理各类增值扣费业务,从而盗取手机用户的话费。

公开报道显示,近期,全国已有多地破获相关案件:7月,河南新乡公安机关破获一起利用短信嗅探技术使用他人金融账户购买虚拟物品实施销赃的案件,抓获犯罪嫌疑人10名；8月,厦门警方破获一起利用短信嗅探技术盗刷他人金融账户的案件,抓获犯罪嫌疑人1名,涉案金额10余万元；同样在8月,深圳警方打掉一个全链条盗刷银行卡团伙,抓获10名犯罪嫌疑人,查缴伪基站等电子设备6套,带破同类案件50余宗,涉案金额逾百万元。

嗅探设备网上卖,声称“包教包会”

这些非法设备从何而来?记者在互联网和社交软件搜索,发现大量嗅探设备交易帖和交流群。

在一个名为“嗅探吧”的百度贴吧中,不少卖家除了介绍嗅探功能,留下QQ、微信等联系方式外,还时常分享一些拦截短信成功的截图,诱导他人购买相关设备。

根据一篇交易帖的指引,记者添加了尾号为0960的QQ用户。对方称,只需要8500元即可将盗取话费的全套设备软件卖给记者,盗取支付宝账户余额的相关设备则需2万元。为打消记者的顾虑,对方甚至还表示可以通过快递公司“货到付款”,在快递网点开机现场验证设备性能后再付款,并承诺将通过傻瓜式教程“包教包会”。

一位售卖设备的卖家告诉记者,他们有一个专门的工作室,有人负责制作硬件,有人负责软件编程。有卖家提醒记者,要遵守“行规”。例如,在盗取他人话费时,一天盗取的话费上限不能超过3000元。

还有卖家给记者发来了大量的照片和视频录像,证明所售卖的设备真实可靠。在一段视频影像中,嗅探设备正在运行,对方还演示了如何操作软件,并成功截获了一条发自银联的短信验证码。

运营商应加快淘汰2G网络技术

非法买卖、使用短信嗅探设备触犯哪些法律法规?福建省瀛坤律师事务所张翼腾律师认为,由于出售人未经有关主管部门批准,未取得电信设备进网许可等资质,非法生产、组装、销售“伪基站”设备的行为可能构成非法经营罪。

如购买者擅自设置、使用无线电台(站)或者擅自使用无线电频率,干扰无线电通讯秩序,造成公用电信设施不同程度中断,使不特定多数的个人无法正常进行通讯联络活动,其行为可能构成破坏广播电视设施、公用电信设施罪、扰乱无线电通讯管理秩序罪。

此外,若使用者实施了盗刷银行卡的行为,则可能同时构成盗窃罪、信用卡诈骗罪等。

何延哲表示,在2G通道下进行的短信和通话信息使用明文传输。为成功劫持信号完成短信嗅探,不法分子有时还会干扰3G和4G信号,强制让用户“降维”到2G网络状态。

腾讯安全玄武实验室负责人于旸建议,用户可以要求运营商开通VoLTE功能(一种数据传输技术),让短信通过4G网络传输,防范无线监听窃取短信。

于旸表示,在网络安全领域存在一个“不可能三角”,即无法同时实现安全、便捷和廉价三个要素。从短信嗅探技术盗刷他人金融账户的案例来看,目前,被多数金融机构采用的基于账户登录密码和短信验证码的“双因子安全认证”虽然方便,但在该环境下有失效风险。

何延哲等业内专家建议,通信运营商应考虑加快淘汰2G网络技术,确保用户的短信和通话内容不被他人截获窃取。此外,有关专家建议,在“双因子安全认证”出现漏洞的情况下,包括银行和第三方支付平台在内的金融机构应加强安全因子的多重验证,推出更为完善可靠的校验手段。

(记者颜之宏、何凡、许茹)

新华社北京10月18日电

延伸阅读

虚构支付宝盗刷122次 该案构成诈骗罪还是保险诈骗罪？

虚构支付宝被盗刷122次向支付宝索赔，并骗得保险金约19.5万元。34岁的李某最终因诈骗罪获刑5年，处罚金5万元，同时被责令向被害单位退赔损失。

这起自导自演的盗刷诈骗案在6月27日进行终审判决。19日，相关裁定情况在中国裁判文书网公开。

原审判决认定：2017年3月3日，李某虚构支付宝账户被盗刷的事实，向支付宝提出索赔，并根据该公司的要求向公安机关报案。2017年3月7日，被告人李开红骗得国泰财险根据支付宝签订的保险协议而赔付的人民币195171元。

二审最终维持了这一判决。

在一审和二审中，该案争议焦点有二，一是李某支付宝账户2016年11月至2017年2月间122笔支出计人民币195171元是否为他人盗刷；二是如果“盗刷”系李某所为，该案构成诈骗罪还是保险诈骗罪。

谁盗刷了122次支付宝？

1984年出生、小学文化的李某是个自由职业者。在证人万某眼中，李某一直来自己的麻将室搓麻将，因牌技不行，每次输几千至几万元。李开红介绍自己是操盘手，做股票，清华大学毕业，家里很有钱。由于相信其能炒股，万某便将60万元交给李某炒股。

2017年3月3日，李某称支付宝账户被盗刷，向支付宝提出索赔，并根据该公司的要求向公安机关报案。公安机关立案决定书显示，李某于2017年3月4日、3月5日向公安机关报案，称支付宝被盗刷17万余元，后公安机关于2017年3月6日立案侦查。

李某自己并没有购买账户资金损失保险，由于国泰财险承保了支付宝的个人支付宝账户资金损失保险，涉案的195171元由该公司向被保险人李开红进行了赔付。

庭审材料显示，蚂蚁金融服务集团的两名员工在事后审查中发现可疑并报警，李开红谎称的另外51笔涉及67708元未赔付。

2017年3月23日，民警对李开红抓捕，对其居住的房间进行搜查，在被子下查获笔记本电脑1台，在床单下查获苹果手机2部，另查获银行卡10张。2017年12月22日，无锡市梁溪区人民检察院以指控李某犯诈骗罪向法院提起公诉。

李某支付宝账户2016年11月至2017年2月间122笔支出计人民币195171元是否为他人盗刷是两次庭审的焦点之一。一审中，李某否认其构成诈骗罪，辩解其曾将自己的手机、电脑交给一个微信名叫“炎炎”、真名叫习某（谐音）的男子，让该男子帮其炒股，不排除系该男子盗刷。在二审上诉中，李某又提出了没有作案时间等4点理由，认为自己不构成诈骗罪。

李某辩护人在二审提出的主要辩护意见则是，原审判决定罪准确，鉴于李某系初犯、偶犯，请求对李某从轻处罚。

关于李某及指定辩护人提出的主要上诉理由、辩护意见，二审法院经查认为：

1.李某到案后，先供称使用微信昵称为“炎炎”的男子系杨姓北京人，后又称看到该男子的姓名为“习某”，公安机关对此进行核实，未核查到与李某所称信息相符的男子。

2.腾讯公司出具的微信账号信息，证明昵称为“炎炎”的微信账号注册人为李某，该账号绑定了李某名下的7个银行账户。同时15×××11的手机号码绑定了昵称为“炎炎”等的3个微信账号。该证据未证明昵称为“炎炎”微信账号系由15×××11的手机号码注册。

3.根据李某与钱某的聊天记录，李某手机中的照片、微信朋友圈等证据载明的情况，可以证明李某称其支付宝账户被盗刷期间，手机等由李某本人在红豆国际广场使用，李某称在传奇足浴店内没有作案时间的辩解没有相关证据予以支持。

4.李某称支付宝账户中的资金被盗刷期间，支付宝账户中的资金实际转入了90011.cc网站注册账户用户名为“li666666li”的账户内，该账户系使用李某使用的手机号码、QQ邮箱及李本人的农业银行卡等注册，该账户在李某所称被盗刷期间，多次将资金从赌博网站提取至李某本人的农业银行卡上，据此可以确认该账户系李某注册并使用。至于手机号码是否李某本人实名购买并不影响其在赌博网站注册账户。

5.上诉人李某在诈骗得款19万余元后，再次采用同样方法实施诈骗时被支付宝公司识破并向公安机关报案，故不能认定其为初犯、偶犯。原审法院根据李某的犯罪情节、认罪态度等，对其所处刑罚适当。

二审法院认为，李某及指定辩护人提出的上诉理由、辩护意见均不能成立，不予采纳。

诈骗还是保险诈骗？

此案中涉及的款项是由保险公司理赔的。如果“盗刷”系李某所为，该案构成诈骗罪还是保险诈骗罪？

一审法院认为，李某并未主动购买支付宝账户安全险，其获得的理赔款是基于支付宝向国泰产险投保的个人支付宝账户资金损失保险，虽然被告人李某属于被保险人，但由于该保险合作协议并不对外公开，被告人对保险协议及内容并不知情，其主观上是向支付宝索赔，客观上也并未向保险公司提出理赔，而195171元也是从支付宝转账至李某招商银行卡，故宜认定诈骗罪，不宜认定保险诈骗罪。

6月29日的二审裁定中，认为原审判决审判程序合法，认定的事实清楚，证据确实、充分，适用法律正确，量刑适当。驳回上诉，维持原判。

相关法律法规——《中华人民共和国刑法》

第二百六十六条诈骗公私财物，数额较大的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；数额巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处罚金；数额特别巨大或者有其他特别严重情节的，处十年以上有期徒刑或者无期徒刑，并处罚金或者没收财产。本法另有规定的，依照规定。

第六十四条犯罪分子违法所得的一切财物，应当予以追缴或者责令退赔；对被害人的合法财产，应当及时返还；违禁品和供犯罪所用的本人财物，应当予以没收。没收的财物和罚金，一律上缴国库，不得挪用和自行处理。

来源：北晚新视觉网综合   新华网

编辑：TF003