个人信息贩卖“黑市”调查

远程操控手机，盗取银行卡密码

  只需花很少的钱，你就能在网络上买到他人的身份证信息、银行卡信息、学籍信息、出入境信息、快递信息、网约车信息、开房记录信息……

  “愿天下再无电信诈骗！”

　　这是网友在“徐玉玉案”新闻报道后的一则留言。时隔一年，随着该案在山东省临沂市中级人民法院开庭审理，去年夏天发生的那场悲剧，再次进入公众视野。

  “徐玉玉案”曝光后，众人将矛头全部指向电信诈骗，公安部、最高法、工信部、教育部等部委也相继采取多项措施，严打电信诈骗。

　　而个人信息泄露，作为电信诈骗的上游产业，一直饱受多方声讨。虽然国家对打击贩卖个人信息的政策在不断细化，但在利益面前，仍有不法分子铤而走险。

　　民主与法制社记者经半月暗访发现，在网络上，贩卖个人信息的行为并未消散，形式与手段也愈加专业和多样化。

远程操控手机

  今年4月份，家住石家庄市裕华区的葛先生接到了“深圳市公安局”的电话，一自称“刘警官”的男士称葛先生名下一张招商银行储蓄卡，为犯罪分子洗黑钱、过黑账。

　　这让葛先生一头雾水，因为他从未在招商银行开过户，但对方报出了他的身份证号码、家庭成员、名下房产，甚至他的其他银行账户、密码，连余额也被悉数说出。

　　尽管如此，葛先生还是觉得遭遇了电信诈骗，正准备挂断电话时，“刘警官”说葛先生在头一天还打过两次“滴滴快车”，并准确说出两次乘车的起点与终点。甚至葛先生几天前到外地出差时所住的宾馆也被“刘警官”掌握。

　　“他连我老婆刚买了两盒‘虾青素’都知道。”葛先生惊出一身冷汗，他问对方如何知晓这些信息？“刘警官”称，为侦破此案，早就对其进行了监控与定位。

　　见葛先生犹豫，“刘警官”让他挂断电话，没一会儿，他将电话回过来，报出了葛先生的实时位置。这一次，葛先生彻底相信了“刘警官”。

　　“刘警官”说他名下招商银行储蓄卡中，先后过账2亿元，这些钱来自一个贩毒团伙，资金全部被转到海外。

　　“刘警官”并未像其他电信诈骗人员一样，让葛先生把资金转账到指定银行账户中，他通过短信发来一个网址链接让葛先生登录，宣称让其在网上填写“询问笔录”。

　　没有思考，葛先生点开了链接，几个类似“压缩包”的标志映入眼帘，正当犹豫要点击哪个图标时，他的手机开始不停闪烁，页面被他人控制。

　　葛先生像看电影一般，眼睁睁望着自己的支付宝账户被人登录、转账，绑定手机的其他账户里的钱，也瞬间被转走。

　　他赶忙开始胡乱点击屏幕，可根本无法停止操作，直到账户里4万多元全被转走后，手机才恢复正常。

　　确认受骗后，葛先生赶忙给“刘警官”打去电话，可已无法接通，“在对方面前，我没任何秘密。”葛先生说，自己从未想过会遭遇电信诈骗，“想想真可怕，我要是报警，他知道我全家信息，报复我怎么办？”

　　石家庄一警方人士告诉记者，葛先生的遭遇并非个案，“不法分子利用电信诈骗的手段越来越高，涉及个人信息的资料也越来越全，让人防不胜防。”

植入病毒盗取信息

　　郑晓宇（化名）是北京一家网络科技公司的主管，因其家人曾遭遇过电信诈骗，所以这些年他对这一行为进行了深度研究。据他介绍，葛先生的手机之所以能被人远程操控，是因为在点击不明链接时，被人在手机中植入了木马。

　　“只要植入病毒，手机里所有信息会被泄露。”郑晓宇坦言，这项技术在普通人看来非常复杂，可对很多从事网络科技的人来说，并非难事。

　　据郑晓宇介绍，不法分子将病毒植入到他人手机后，和该手机产生过关系的其他手机，也会被一级一级植入木马，并且隐藏得非常深，即便一些专业人士，也很难发现。

　　郑晓宇告诉记者，运行这项技术之前，黑客只需设置一个IP，完成设置后，发送给别人，对方只要点击链接就会中毒，剩下的操作，只需一部电脑就能完成。

　　为了能让记者更直观了解如何盗取手机资料，他将病毒植入到记者提供的试验手机里。通过一系列操作，郑晓宇很快在电脑里，看到该手机的机型、版本、上网记录、备忘录、通话记录、短信内容，以及录音和录像资料等。

　　同时，他还能随意操作这部手机中支付宝、淘宝、京东商场等账户，并可以自由登录网上银行，进行自由转账。

　　“这是黑客最基础的技术。”郑晓宇称，“一部手机中毒，病毒会向这部手机通讯录中的所有人发去链接，只要点击就立刻被植入，然后以此类推，形成辐射式扩散。”

　　在郑晓宇看来，黑客最恐怖的是，不仅能盗取和关联手机的银行卡账户及密码，还能拦截这些手机的网银或支付宝发送的短信验证码。

　　记者调查得知，这些黑客都有自己建立的QQ群，在网络上，个人信息犹如超市里的商品一样，被人随意买卖。这些群大多以“技术交流”“外包服务”“甩单”等命名，且极难加进。

　　几经周折，记者才加入了几个贩卖个人信息的QQ群，在网络世界中，电信诈骗早已是成熟的产业链，目前最流行的就是在手机里植入病毒。

　　在这个圈子里，有人专门研发和出售木马软件，买到软件的人会转卖给其他人，这些人再通过窃取的个人信息，实施电信与网络诈骗。

　　在QQ群中，很多犯罪分子实施诈骗成功后，还会在群里分享心得，并鼓励大家继续加油。记者在向一网名为“CC专业”的商家付款198元后，向对方提供了实验用手机号、姓名、身份证号。10多分钟后，他向记者发来了盗取该部手机的全部内容。

　　其中不仅有手机上所有信息，还有绑定的真实银行卡及密码。“CC专业”对记者说，他还能提供手机定位服务、个人财产查询、开房记录、出入境信息、4S店维修记录、淘宝收货地址、网约车打车信息。

　　一位从事多年刑事侦查的警察感叹道：“这太恐怖了，我们想拿到这些，都要走很复杂的程序，有的走程序也拿不到。”

银行卡账号、密码随意买

　　记者注意到，黑客在窃取个人信息后，很少自己实施诈骗，他们大多将这些信息卖给他人。以银行卡信息为例，网名“小小男人”的黑客称，他能出售一级信息和二级信息。

　　据对方介绍，所谓一级信息，就是从未向别人出售过的银行卡信息，价格每条为30元，里面余额一般在10万元以上；二级信息则多次向他人出售过，每条不超过1元钱，余额最多只有几千元。

　　“小小男人”说，这些信息，均是他通过黑客技术窃取的，其中包括银行卡用户名、卡号、密码、身份证号码、手机号。

　　记者从“小小男人”手中购买了数千份银行卡信息后，向其中几位求证，所有信息全部吻合，而这些人完全不知道自己的手机被植入木马。不过，被抽样核实的几个人，均承认点开过不明网站的链接。

　　尽管为防止电信诈骗，中国人民银行发布了《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》，但盗取银行卡余额的行为，仍难斩断。

　　“小小男人”说，拿到购买的银行卡信息后，便可通过银行客服查询卡内余额，然后再通过网络将资金转出，“如果想在取款机上取钱，只要花几千块钱买个银行卡读写器，和几张有磁条的空卡就可以，将读写器连接电脑，写入银行卡信息，激活后，就能随意取钱了。”

　　记者采访发现，黑客通过植入病毒盗取，只是个人信息泄露的一个方面，更多的个人信息泄露，很难查清来源。如，学籍信息、快递业主信息、老人保健信息、房产信息等。

　　在一个名为“全国学籍跨省转学交流”QQ群里，记者轻松买到了400多份重庆市区的小学生学籍信息，包括姓名、性别、出生年月、籍贯、家长姓名、家庭详细地址，以及在哪个班级学习，是否为辖区内户口等。

　　随后，记者还在该群里买到了东莞市虎门镇300多份初中学生信息、贵州兴仁县数十份小学生信息，以及驻马店遂平县几十份小学生信息。在抽样核实后，记者买到的学籍全是真实的。

　　知情者透露，学生学籍信息泄露，大多因为学校方面的不负责，“很多学校会把学生的学历信息上传到群里，甚至有些地方还把存有学籍信息邮箱发到群里共享。”

　　“很大的责任在教育局，他们为了省事，让各学校把统计好的学生信息发到管理学籍的公共邮箱里，这很容易泄露。”该知情人还说。

  除此之外，记者还买到了几百份快递业主信息，里面甚至标明了业主待在家里的周期；在另外几百份房产信息中，房主房屋面积和层数被标注得一清二楚；在老人保健信息中，这些老人在医院购买的药品都被详细列出……

  另外，网名“不是耀眼男人”的卖家不仅出售手持身份证照片、银行卡照片，还出售实体身份证以及实体银行卡。对方向记者发来一份包含5000人的身份证信息，称可以拿到对应的实体身份证，“买车票、住酒店、办手机卡都没问题。”

  他还透露：“卖身份证分为两种，一种是把身份证直接寄过来，另一种是，用这个身份证给你办好银行卡、网盾、手机号一起寄过来。”

超低价出售个人信息

　　据国家计算机病毒应急中心发布的全国网络安全状况显示，目前病毒和木马已经成为主要的网络安全威胁。记者注意到，在频频发生的个人信息贩卖案后，国家在司法层面也不断跟进。

　　今年5月9日，“两高”发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，明确和细化了打击侵犯公民个人信息犯罪的定罪量刑和法律适用标准；6月1日正式开始施行的《网络安全法》，同样为保护个人信息提供了司法保障。

　　同时，有关部门在打击个人信息买卖方面，也在不断加大力度。不久前，江苏省徐州云龙公安分局侦破了一起横跨十余省的特大侵犯公民个人信息案件，抓获涉案嫌疑人83人，扣押作案电脑百余台、作案手机150余部，并查获已经泄露的公民个人信息数千万条，涵盖全国众多省市征信、金融、医疗、车辆和保险等多个领域。

　　据悉，今年3月中旬，徐州云龙分局接到群众报警，称在论坛里发现有人经常发布广告帖，说自己有第一手的公民个人信息，回帖的人也很多，怀疑是诈骗。

　　经过多方侦查，警方了解到这些发帖人的信息均来源于西安市某电子商务公司。令人惊讶的是，该公司每月业务量只有十余单，属小型公司，但员工人数竟然多达几十人，业务范围遍及全国多个省市。

　　通过研判，警方确认这是一个以经营电子商务为名，实际进行公民个人信息贩卖的犯罪团伙。随后，警方除在西安抓获20余人外，又分别在广东广州、深圳、湖南长沙、湖北武汉、福建泉州、江西吉安等抓获数十人。

　　据了解，该团伙成员大部分是公司实际控制人范某某在网上招聘的，等级森严并有明确分工，由上至下分为老板、业务经理、组长、业务员四级，且大部分“业务员”是20岁出头的年轻人。

　　平时，“业务员”根据范某某事先编写好的剧本，利用群发器在贴吧、论坛等网络渠道发布广告。买家联系“业务员”之后，商议好价格和需要的个人信息种类后，业务员通知范某某等人，范某某便会将相应的个人信息通过邮箱发送至买家手里。

　　该团伙交代称，从2016年8月至今不到一年时间里，他们以每条0.1元至5元不等的价格，贩卖出的个人信息累计数千万条。

而有个严峻的问题是，公民该如何保障自己的隐私？有专家指出：“不要点击不明来源的网站链接、尽量不适用公共WIFI、不要设置简单的登录密码，更不要拿生日设置密码。”