供职于一家商业银行人力资源部的余先生不会想到,由于公司工作邮箱故障,自己为应急用个人外网邮箱发送的一封邮件竟成了犯罪分子眼中的“大鱼”。2011年4月,仅有初中文化的河北青年李金(化名)通过猜密码的方式获取了余某邮箱内发送的员工工资卡信息资料数百条,并通过网上银行系统盗刷其中7名员工信用卡共计人民币55634元。
日前,李金被静安区人民检察院依法提起公诉。
用户名密码相同埋隐患
余先生是一家商业银行上海分行人力资源部的员工,出于安全保密需要,公司规定涉及工作内容的邮件均需通过专门的工作邮箱发送。然而,有一次由于公司工作邮箱出现故障,余先生为应急,便利用外网上的个人邮箱发送了一封电子邮件。这封邮件中包含了单位员工的工资卡卡号、身份证号码等文件。更要命的是,余的个人邮箱用户名所用数字与邮箱密码一致。但余当时并未预料到这一疏忽可能造成的严重后果。
据犯罪嫌疑人李金供述,2011年4月,他在该商业银行网上商城的论坛内看到一个包含较长数字845555的用户名。抱着试试看的态度,李金用该用户名的后六位数作为登录密码成功进入该账户,并发现一个yahoo的邮箱和另一个hotmail的邮箱。这两个邮箱同样属于余,且两个邮箱密码都是845555。
泄露百余条信息被盗刷
李金成功进入余某的hotmail邮箱后,意外地在一个excel文件里获得了二三百条某商业银行相关人员的银行卡卡号、持卡人名字、身份信息。当看到这些极其隐私的信息后,李如获至宝,在他眼里,这些信息的背后可能隐藏着巨大的财富。
李出生于1987年,老家在河北省保定市,只有初中文化,无固定职业。喜欢上网的李在获得持卡人名字、银行卡号、身份证号等信息后,立即登录该商业银行的网上银行,先把猜出的持卡人生日密码输入,再利用人工和按键精灵软件对该银行三位数CVN2码进行随机测试,取得相关银行卡对应的三位CVN2码并记录下来。随后他就冒用持卡人名义使用这些卡在网上第三方交易平台进行无卡充值、消费。
经查,从2011年4月30日至5月13日,李金利用上述手法成功将7张某商业银行卡内总计55634元转入自己在快钱等第三方支付平台控制的账户。为防止刷卡时被害人收到短信提醒,李还通过拨打该行声讯台或登录个人网银更改了持卡人在银行预设的消费短信提示手机号码。这样冒用后持卡人不会收到消费提醒,使得被害人无法及时获知银行卡被冒用情况。
2011年9月6日,李金主动投案,并退赔全部犯罪所得。近日,李金被静安区人民检察院提起公诉。(通讯员 房晓颖 本报记者 郭剑烽)
检察院向银行发《检察建议》
据此,静安检察院向该行上海分行发出《检察建议》指出,银行主要存在下列问题:一是内部保密管理存在较大疏漏,人力资源部员工李某违反内部规定,利用外网上的个人邮箱发送包括单位员工的工资卡卡号、身份证号码等内部文件。二是网上银行系统存在严重漏洞,该行网上银行交易系统只需输入卡号、密码、证件号码、CVN2、验证码即可登录。CVN2码是卡背面的3位数字,从000到999随机试验即可获得,未设置若干次输错当天无法交易或者锁卡等安全措施。三是被害人缺乏安全意识,多个密码等都是简单以生日作为密码。犯罪嫌疑人更改持卡人在银行预设的消费短信提示手机号码时银行未予核对,导致冒用后持卡人不会收到消费提醒,扩大了经济损失。