前不久,以“蟹卡”作为引流手段的诈骗方式引起关注,相关词条冲上微博热搜第一。如今,诈骗分子又蹭上了新的热点:把“蟹卡”换成了所谓的“双11提货卡”“红包兑换卡”等,其手法是忽悠人们扫码“兑奖”进入所谓刷单返利群,最终诱导受害人进入刷单诈骗的圈套。
这类诈骗之所以易发、多发,关键在于不法分子掌握了收件人的信息,从而实现了卡券的精准寄送。这背后,非法交易公民个人信息的黑灰产链条起了关键作用。
来源不明的“提货卡”引流刷单骗局
近日,虹口居民瞿阿姨走进江湾镇街道方浜居委会,向社区民警祝新民求证一张“提货卡”的真伪。瞿阿姨是通过快递收到了这张某品牌的“提货卡”,背面写着“内含智能家电提货卡一张,扫码0元提货”等字样。她对此将信将疑,想起前不久在新闻里看到的“蟹卡”诈骗,决定找民警求证。
来源不明的“提货卡”
祝新民扫了卡上的二维码,跳出一个微信对话框,显示为“某团客服”,在向对方提供了手机号和提货卡截图后,对方邀请他加入了“返利群”,群里群友开始“撬边”说,领到东西有多好、不领就亏了。之后就他被要求下载某个App,开始刷单任务。
祝新民告诉记者,“提货卡”的诈骗手法跟此前的“蟹卡”骗局如出一辙。“这些套路最终指向刷单诈骗,前期以小额返利获取被害人信任,等被害人大额充值后,就不返还本金和返利了。”
瞿阿姨的遭遇并非个例。近期,多位市民向警方反映,收到装有提货卡或兑奖卡的快递包裹,卡片背后都印有二维码,称扫码即可兑换小家电、领取礼物等。
据上海反诈中心民警介绍,“双11”来临之际,不法分子开始投递此类含有“提货卡”“红包兑换卡”的快递包裹引流,以0元提取商品或领取红包为诱饵,吸引不明真相的市民群众扫码进入某些引流微信群,最终诱导被害人实施刷单返利类诈骗。
对此,上海反诈中心提示,市民群众在收到不明快递时要注意防范:一是收到附带“奖券”“蟹卡”“提货卡”等陌生快递不轻信,天上不会掉馅饼;二是不扫陌生二维码,不点陌生链接,以免被引入骗局,下载涉诈骗APP,甚至中木马病毒;三是“刷单”是诈骗引流,更是违法行为。正规客服不会引导刷单,更不会要求转账,引导“刷单”的都是诈骗。
公民信息买卖产业链活跃
从本质来看,卡券兑换诈骗是电信网络诈骗的一个变种。梳理诈骗过程可以发现,关键在于不法分子精准锁定收件人的姓名、电话、地址等信息,实现了卡券寄送的精准抵达。
不法分子如何精准获取公民个人信息?记者调查发现,交易公民个人信息、买卖快递面单信息的黑灰产业链仍较活跃。
前不久,上海警方就曾捣毁一个30人犯罪团伙,他们通过往1.2万多台商家电脑植入“木马”病毒的方式,大量窃取公民个人信息,并自动发送至境外诈骗团伙服务器。
类似专门从事公民信息窃取和倒卖的犯罪团伙,难以计数。他们作为“中间商”,将非法获取的公民信息卖给下游电信网络诈骗团伙——骗子之所以能准确寄送各类卡券,或是来电时能准确说出接电话者的准确信息,正是从这些“中间商”处购买的。
据此前公安部门破获的多起案件显示,这些“中间商”有的通过开设“数据挖掘”“信息咨询”公司名义,挂羊头卖狗肉,专门从事公民信息倒卖;有的通过搭设所谓信息服务网、单号网等线上销售平台,非法出售公民信息。
“这些个人信息被出售之后,一部分被用来实施各类犯罪。”长期从事打击侵犯公民个人信息犯罪的民警说,当犯罪分子通过各种途径获取大量个人信息后,滋生电信诈骗、绑架、敲诈勒索等刑事犯罪的风险便大大增加。
而另一类需求个人信息的群体,则是电商平台的卖家。据业内人士介绍,一些电商卖家通过虚构客户完成虚假交易的“刷单”,获取销量及好评,从而吸引顾客、增加流量。填写真实的快递单号,是刷单的重要一环。记者发现,网上存在数以百计的“空包快递”代发平台,专为刷单提供真实物流信息,不少网站都兼顾出售单号信息和个人信息。业内人士说:“不少‘号贩’身兼数职,卖面单信息、开淘宝店,极个别的自身也是快递企业的网点加盟商。”
此外,需要推销广告信息、出售假冒发票和垃圾信息发布源头的组织和个人,也对公民个人信息趋之若鹜。“包括房屋中介、装修公司、保险公司、母婴用品企业、广告公司、教育培训机构等日渐兴盛的产品推销和服务企业,也是消费公民个人信息的核心群体。”
快递行业成泄露个人信息重灾区
据业内人士透露,卡券寄送骗局中被掌握的公民信息,很可能是从快递行业泄露的客户信息。实际上,近年来快递行业泄露客户信息的情况时有发生,具有明显的行业特征。
2016年8月,深圳南山区人民法院受理一起侵犯公民个人信息案,一名顺丰速递员工将公司系统的账号密码出售他人,导致大量个人信息泄露;2018年1月,上海嘉定警方破获一起侵犯公民信息案,一名韵达快递的快递员收集近万张包含姓名、地址和手机号码的快递底单,以150元的价格卖给一家健身房的推销人员……
从事专业打击的民警告诉记者,由于快递物流企业掌握的客户个人信息内容丰富且数量巨大,犯罪方式除企业内部员工从快递公司内部系统盗取外,也出现了利用“黑客”手段作案的趋势。
不过,这仅仅是信息窃取、倒卖灰色产业链的冰山一角。记者在网上发现,宣称有快递单信息兜售的卖家不在少数。在某聊天软件的“单号交流群”“快递行业数据群”等多个群中,信息贩子定时发布出售信息的广告信息。这些信息贩子通常以一些中文拼音缩写来逃避平台监管,例如以“sfz”来代表“身份证”。
记者接触的一名信息贩子“FAKE”称,随着监管收紧,给他提供公民信息的“货源”越来越少,“价格肯定没的商量,量也有限,要的量大的话,需提前付定金”。他的定价为:一条包含姓名、年龄、电话和地址的信息2元;只有电话和姓名的1元。
在业内人士看来,贩卖快递单号信息之所以屡禁不止,根源在于不菲的利润。在一位快递“号贩子”出示的“价目表”上,根据快递面单的时效和种类不同,售价不尽相同,其中三个月之前的单子为0.3元/单、三个月内为0.5元/单。
反观快递企业的主业配送,由于深陷价格战,快递员、加盟商通过“正行”快递业务获利反而有限。据业内人士介绍,目前快递员、加盟商能从同城、省内件获利在0.5至1元,跨省则在2-3元不等。“但从利益角度看,出售快递单信息能让这些快递从业者从快件身上获得的收益瞬间翻倍。”
泄露公民个人信息如何处罚?
结合民警和业内人士说法,在快递、电商行业内部非法获取公民个人信息源头主要有两处:一是单位“内鬼”利用职务之便盗取客户信息后出售;二是黑客直接入侵网络盗取个人信息。
法律界人士指出,在全面的个人信息保护法尚未出台背景下,应当利用现行法律对相关人员追责。“对于‘内鬼’和黑客,应当以‘侵犯公民个人信息罪’追究其个人的刑事责任。”
根据刑法关于侵犯公民个人信息罪的规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
随着立法不断加大对公民个人信息的保护力度,作为信息泄露重灾区的快递行业也采取了一定措施加固信息安全“防火墙”。
据业内人士介绍,为防止快递面单的客户信息泄露,一些快递公司推出“隐私面单”——客户姓名、电话和发收件地址等信息,只在快递公司内部系统显示。“隐私面单的出现得益于快递信息电子化,但推广起来有一定困难。比如,企业需要开发特定设备和软件,商家和站点需安装相关组件,快递员也要和新的配送方式磨合。”
业内人士指出,想要真正保护用户隐私,必须进一步完善快递公司内部监管。“真正想获取个人信息的人不需要去看一张张快递单,更多的还是快递公司‘内鬼’故意贩卖用户信息。如果快递公司不防‘内鬼’,就不能彻底杜绝消费者隐私泄露问题。”