拍案 | 黑客破解某网络支付平台,220万条个人信息被贩卖
张明凯编写软件卖给李俊泽等人,后者用软件非法获取公民个人信息,之后层层贩卖获利,形成一个黑色利益链,16名嫌疑人被抓获。
想起自己被抓那天的情景,已为人父的张明凯哭了,他说一切都像命中注定。今年3月29日是张明凯妻子的生日,这天他第一次带妻子去看了烟花,给刚出生几个月的儿子买了一年用量的尿不湿。办完这些事与妻子回到家,看到早已在此守候的警察,那一刻,张明凯感觉天塌了。
2015年底,张明凯利用黑客技术破解了某网络支付平台,并编写了“一种神奇的软件”,该软件能批量下载某网络平台内部注册用户身份证正反面照片、手持身份证及银行卡照片。张明凯将该软件卖了出去,买家利用该软件非法下载了大量个人信息并在网上贩卖。据统计,涉案个人信息数据达220余万条。
批量手机卡,扣押的电子设备
今年5月,山东省胶州市警方成功侦破这起跨省特大网上侵犯公民个人信息案件,共抓获犯罪嫌疑人16人,其中有11人是“90后”;查处非法买卖公民个人信息的工作室两个,扣押涉案手机31部、电脑19台、移动式存储设备10台、银行卡手机卡300余张。警方初步查证,该作案团伙非法获取公民个人信息220万余条,涉案金额达数十万元。目前,张明凯等9名犯罪嫌疑人被山东省胶州市检察院以涉嫌侵犯公民个人信息罪批准逮捕。
网上叫卖信息,进入警方视野
今年初春,胶州市公安局网警大队在网上巡查时发现网民“生意兴隆”在网上公然叫卖公民身份证、银行卡等信息。网警装成购买者,购买了部分被贩卖的公民信息。经过核查,网警发现,公然叫卖的信息包括家庭住址、联系方式、银行卡、身份证号码等,可谓应有尽有,而且与当事人的真实信息匹配度极高。这些信息一旦被不法分子利用,后果不堪设想。这一网络出售公民个人信息的行为,引起了警方的高度关注。该起案件虽然没有被害人报案,但警方根据发现的线索,选择了主动出击,制定出逆向侦查方案。2017年2月14日19时,“生意兴隆”的背后控制者王辉、牛昊和于晓双三名犯罪嫌疑人被抓获。
“从2016年9月开始,通过朋友介绍,我在网上加入了QQ卡商群,在群里学会了通过贩卖他人的身份证照片和信息赚钱。这种方式来钱太快了,我在各种QQ群里发广告、接‘单子’赚差价。一条个人身份证的正反面照片和本人手持身份证照片的售价是两毛钱,找我买信息的人很多……”6月7日,在山东省胶州市看守所讯问室,面对检察官讯问,犯罪嫌疑人王辉供述其犯罪过程。
据王辉、牛昊交代,自2016年6月以来,他们从上线“雨神团-baby”处非法获取公民身份证正反面、手持照片、银行卡以及其他身份信息数十万条,并组建了QQ群公然在网上叫卖。他们通过网络云盘储存上述个人信息。为便于实施犯罪,王辉还组建了名为“全国卡商交流群”的QQ群,群成员人数高达2000余人,各种公民信息在群内公开贩卖,大部分公民信息历经“多手”,不断被加价。警方初步查明,王辉从上家获取并贩卖公民个人信息4万余条,非法获利2万余元;犯罪嫌疑人牛昊从上家获取并贩卖公民个人信息9万余条,非法获利3万余元;犯罪嫌疑人于晓双从王辉处获取公民个人信息6000余条,贩卖50余条,非法获利百余元。
“自己买卖个人信息的时间有两三个月,过年前后曾准备收手不干,但觉得网上这么多人参与买卖,自己不会那么倒霉被抓到,没想到还是被抓到了。”提审期间,王辉向办案检察官这样说。
据办案检察官介绍,在网上非法贩卖个人信息的犯罪嫌疑人把公民信息称为“料”,没有注册过任何网站的称为“一手料”,此外还有“二手料”等。在贩卖过程中,犯罪嫌疑人明知道这些信息已经倒了好几遍手,在售卖时也会说是“一手料”,从而抬高销售价格。
顺藤摸瓜,上线浮出水面
根据王辉等人提供的线索,办案民警顺藤摸瓜,经过十余天侦查,最终锁定其上家“雨神团-baby”。“雨神团-baby”为辽宁沈阳人郎雨微,2017年2月28日,在沈阳警方的协助之下,侦查人员将郎雨微、张威及团伙成员共8人一举抓获。据嫌疑人张威供述,其与妻子郎雨微没有固定工作,听说贩卖个人信息来钱快,就开始干这行,一个月收入轻松过万。为了增加收入,提高贩卖效率,两人还组建了工作室,对招募来的人员进行严格的管理,组织被招募人员非法从事“新华料”“今日头条”“京东券”开户及套取优惠券等活动,非法获取并贩卖个人信息66万余条,非法获利30余万元。
张威还供述,他们也属于中间商,一是倒卖个人信息赚取差价,二是通过卡商购买手机卡后,利用这些信息通过“猫池”(一种短信群发器,可以用批量的手机卡发送和接收短信),
大批量快速注册平台,套取优惠券后倒卖,一张券能赚一两块钱。
办案检察官介绍,贩卖公民个人信息的上线往往比较警觉,一旦联系不到下线,他们会通过迅速删除已经贮存的公民个人信息,销毁证据,很多情况下已被销毁的数据难以恢复。因此,侦查人员必须乘胜追击,找出最终的上线人员。根据嫌疑人郎雨微、张威供述,办案民警经过外围摸排,于3月3日将其上线杨雷广抓获。
据杨雷广供述,他贩卖的个人信息均是从其上线“麒麟阁工作室-小轩”处获得,共计84万余条,非法获利约17万余元。3月27日,“麒麟阁工作室-小轩”的经营者李俊泽及其成员钱光明、于游在内蒙古包头市落网。
李俊泽供述,自己从2016年下半年开始,从上线“兔子”处购买了一款神奇的软件,可以下载公民身份证、银行卡等个人信息。之后见有利可图,他就成立了“麒麟阁工作室”,雇用钱光明、于游等人下载、出卖个人信息,而后再卖给下线杨雷广。经勘查,李俊泽侵犯公民个人信息24万余条,获利5万余元;钱光明侵犯公民个人信息4万余条,获利2万余元;于游侵犯公民个人信息28万余条,获利4万余元。
千里追踪,幕后黑手落网
经过连夜奋战,案件真相逐渐浮出水面。根据嫌疑人李俊泽提供的线索,3月29日,办案人员在山东昌邑将“兔子”张明凯抓获,至此,这起跨省特大网上侵犯公民个人信息案告破。据公安机关统计,该案上下线嫌疑人利用软件共非法获取公民个人信息高达220万余条。
“我在大学学的是计算机专业,大学毕业后,在广告行业干了一段时间,辞职后便在老家潍坊开始自学软件开发,并依靠在网上售卖自己开发的软件为生。”嫌疑人张明凯谈起犯罪行为,一脸悔恨。“2015年下半年,一个网友通过QQ联系我,让我帮忙做一个可以从网站后台下载公民个人信息资料的软件。因为我大学毕业后本身就写程序,所以很容易就开发出了这样的一款软件,我将这款软件起了个名字叫‘一种神奇的软件’,交货后对方付了200元给我。2016年上半年,有人在群里问谁有‘料’,我就把之前制作的那个软件也给了他,前前后后一共赚了几万元。”
据承办此案的胶州市检察院检委会专职委员、检察官孙吉祥介绍,用户在注册某些网站和网络平台时,往往需要提供自己真实的个人信息,如电话号码、家庭住址、银行卡号甚至身份证信息等。而嫌疑人张明凯编写的“一种神奇的软件”可以批量下载这类信息。
悔恨不已,“90后”青春蒙尘
讯问过程中,“90后”嫌疑人张明凯说,那段时间妻子怀孕了,正是需要花钱的时候,他当时编写“一种神奇的软件”仅用了十分钟,测试之后发现果然能够下载个人信息,后来见贩卖这款软件有利可图,就一直卖了下去。儿子出生后,他打算好好工作:“打擦边球的事不再干了,只卖自己开发的软件。当时我的电脑配置不高,下载费时费力,加上当时妻子面临生产,手头有些紧,于是将程序源码卖给了下线李俊泽。”但他没想到的是,程序源码卖给了李俊泽等人后,经层层贩卖,最终导致了200多万条公民个人信息被泄露和贩卖的严重后果。张明凯说他“现在很后悔”。
谈起自己的“麒麟阁工作室”,刚过完19岁生日的嫌疑人李俊泽痛心疾首。“2016年6月,我和钱光明、于游三人创业成立了‘麒麟阁工作室’,刚开始我们三个人用‘易语言’编写程序,并没有涉及公民个人信息。我们在外面租的房,分摊租金和生活费用,起步阶段很艰难,但我们还是坚持创业。直到2016年9月,一个偶然的机会出现在我面前。我跟张明凯联系上,他说能搞到公民的身份证信息,然后他给了我‘一个神奇的软件’,我开始用它下载公民身份证照片和公民信息文本等,之后就贩卖给其他人赚差价了。”
作为本案中唯一的女性犯罪嫌疑人,郎雨微也是“90后”,目前已是一个2岁孩子的妈妈。“2016年,我老公发现可以用他人的身份证正反面照片和手持照片注册交易账户,我们就加入很多群买‘料’,之后再将这些‘料’卖出去,赚取差价。具体分工是我们俩负责卖‘料’,其他人负责分拣买来的‘料’,留下能用的。在被抓获的前几天,我们还做京东券,就是利用他人信息注册并绑定京东商城,领取优惠券后再卖给下家。”
据孙吉祥介绍,涉案的16人中有11人是“90后”,他们走出校门之后没有固定的工作和稳定的收入,明知非法获取并利用他人个人信息的行为涉嫌违法犯罪,仍然心存侥幸,任由欲望和贪念在心底滋生,最终酿成苦果。
案后说法
山东省胶州市人民检察院检察长
王廷祥
犯罪嫌疑人张明凯编写软件卖与李俊泽等人,后者用该软件非法获取公民个人信息之后层层贩卖给各级下线人员,形成一个庞大“地下产业”和黑色利益链。这种犯罪行为不仅严重危害公民的信息安全,而且一旦被不法分子利用,极易引发多种犯罪,成为电信诈骗、网络诈骗以及滋扰型“软暴力”等新型犯罪的根源,更严重者,可能会与绑架、敲诈勒索等暴力犯罪活动相结合,严重影响人民群众的安全,威胁社会和谐稳定。
随着社会的发展和信息技术的进步,人们接触网络越来越多,个人的信息安全也随之面临挑战。面对黑客,该如何防范个人信息泄露?在此提醒大家:一是不要轻易点击他人在论坛、电子邮箱、聊天软件、手机短信中留下的链接;二是不轻易连接来历不明的WIFI网络和运行来历不明的软件;三是及时给电脑和手机系统加装补丁,安装安全软件,防止病毒侵扰。在日常生活中,要树立保护自己个人信息的意识,防止个人信息从自己的手中“流出”。如在一些网络平台注册时,不要轻易透露自己的个人信息;一些非法链接或者陌生二维码,不要随便点击或扫描;包含个人信息的纸张单据(如快递单、火车票等)丢掉前要抹掉上面的姓名、地址、手机号等个人信息;一些储存个人信息的企业和公司,一定要加强信息防范手段,不给不法分子可乘之机。一旦发现个人信息泄露或者因为信息泄露造成损失,应该立即报警。
检察日报