建行员工出卖客户信息，年入30万！还说“不知道这是违法的”

综合新浪微博、江苏新闻2020.06.19 19:07

23 3

近日，江苏淮安警方破获了一起特大贩卖公民个人信息案，共抓获26名嫌疑人，涉案金额2000多万元。

淮安警方称，犯罪团伙通过现有的技术手段无法获取到如此大规模的公民个人信息，这些案件就可能有银行内部的工作人员参与其中。调查中发现，有一名建行工作人员仅靠帮忙查询银行卡信息，一年黑色收入超30万元。

这位建行员工称，自己查询了几百条个人信息，每条80到110元，并称自己不知道这是违法的，“只是觉得违反银行规定，因为我们银行不允许私自把客户信息泄露。”

银行员工出售客户信息年入30万

在这起涉及9个省份、公安部列为部督专案的案件中，早在2019年6月，有人在网上通过QQ等通信工具公开出售银行卡相关信息，包括银行卡对应的卡主身份证号码、电话号码、余额甚至交易流水，引起了警方注意。

一位男子王某称，在一个偶然的机会，他发现与银行卡相关信息售价动辄几百元，且需求量很大，于是他转行当起了“信息贩子”。接下来，他根据客户需要查询的不同银行卡，对应不同的上线查询渠道，并以经济利益诱惑，将一名建行员工拉下水。

这名建行员工供述，根据双方达成“合作”协议，他每查询1条银行卡相关信息，即可获利80~100元不等的报酬。光凭这一黑色收入，年收入就超过30万元。

一般来讲，像建行这名员工这样处在贩卖信息黑产链的第一环，他再联系中间商，为了安全起见，中间商一般只有一到两人，中间商下面还有各种分销商，层层代理，形成一个以银行“内鬼”为源头、大量中间商为中介，通过网络勾结、贩卖银行卡的相关身份证、电话号码、余额、交易记录的网络犯罪团伙。

淮阴分局网安大队大队长朱延亮称，因为层级很多，所以越到产业链的末端，信息的价格越高，从“内鬼”到销售末端，一条信息的价格可能翻上数倍，除了犯罪风险，没有其他成本，利润非常高。

淮阴警方称，目前，26名犯罪嫌疑人已被移交检察机关提起公诉。

银行APP的漏洞可能被黑客利用

此外，近来裁判文书网披露的多起案件显示，银行APP也成为被黑客“攻破”的突破口、非法盗取或入侵银行账户信息牟利。

2019年12月24日，浙江金华市婺城区人民法院对一起非法注册银行账户并出售获利的案件做出了判决。判处两名主犯有期徒刑4年3个月，并处罚金7万元；判处7名从犯有期徒刑1年6个月至2年3个月不等，并处罚金两万至四万不等。

判决书显示，短短的两个月，9名团伙利用“利用APP漏洞和使用抓包软件”，开设了10000余个银行三类账户，涉及华润银行、温州民商银行、金华银行、浦发银行、中国银行、招商银行、建设银行等多家银行。

2019年10月，只有初中文化的“00后”田某被福建省厦门市思明区人民法院以非法获取计算机信息系统数据罪判处有期徒刑三年，并处罚金人民币一万元。判决文书显示，田某在2019年1月5日至1月15日期间，通过软件抓包、PS身份证等非法手段，在厦门银行手机银行APP内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户，非法销售获利。

在作案方法上，他们利用了类似的APP技术漏洞，跳过了银行开户所必须的“四要素”（即验证开户人姓名、手机号码、身份证号码以及绑定账户账号或卡号）验证。

具体来看，先输入本人身份信息，待进行人脸识别步骤时，利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。随后，在输入开卡密码步骤，将APP返回到第一步（上传身份证照片之步骤），输入伪造的身份信息，并再次进入到人脸识别之身份验证步骤，此时，其上传此前拦截下来的包含其本人身份信息的数据包，使系统误以为要比对其本人的身份信息，最终完成开户。