支付寶被盜刷，人臉動圖竟然是合成的

2022-05-17 10:49:52|

來源：人民法院報作者：

隨著信息化與經(jīng)濟社會的深度融合，人臉數(shù)據(jù)被濫用、個人簡歷泄露等現(xiàn)象屢見不鮮，被某些不法分子用來從事犯罪活動。浙江省溫嶺市人民法院審理了這樣一起案件，犯罪嫌疑人涉嫌破壞計算機信息系統(tǒng)和侵犯公民個人信息。此案的案發(fā)，得從兩名被害人支付寶賬戶的錢莫名被轉(zhuǎn)走說起。

誰動了她們的支付寶？

2021年5月9日，江蘇南京的劉女士向當(dāng)?shù)鼐綀蟀福Q她一張儲蓄卡里被轉(zhuǎn)走了1.13萬元。劉女士說，5月8日晚上10時，她就睡覺了，5月9日早上6時被鬧鐘叫醒，發(fā)現(xiàn)手機上有好幾條扣款短信。她打開一看，發(fā)現(xiàn)有4次轉(zhuǎn)賬記錄，時間為5月9日凌晨3時46分至3時53分，金額分別為5000元、5000元、1000元和300元。

這張儲蓄卡一直在劉女士身邊，卡里的錢是怎么被轉(zhuǎn)走的？劉女士發(fā)現(xiàn)，短信顯示有兩部手機登錄過她的支付寶。

差不多同一時間，云南李女士的銀行卡也被盜刷2800元。李女士說，5月9日早上8時左右，她醒來后看到幾條短信，包括支付寶被他人登錄以及綁定的銀行卡轉(zhuǎn)賬記錄。當(dāng)天凌晨2時31分至32分，她的銀行卡被轉(zhuǎn)賬3次，金額分別為2000元、500元和300元。

除了報警，劉女士、李女士還將上述情況向支付寶公司作了反映。5月11日，支付寶公司員工徐先生來到溫嶺報案。

徐先生稱，5月9日凌晨，他們發(fā)現(xiàn)兩個支付寶賬號存在異常，可能有被盜用的可能。經(jīng)人工排查發(fā)現(xiàn)，這兩個支付寶賬號被一個陌生的手機登錄并盜刷支付寶余額。根據(jù)被盜賬號登錄的WiFi地址，他們查出楊某有重大嫌疑，案發(fā)時此人在溫嶺。

嫌疑人被抓獲

5月11日下午，楊某被抓獲。在他的出租房內(nèi)，民警查獲2臺筆記本電腦、6臺POS機、十余部不同品牌的手機、3張身份證及9張銀行卡。

2021年2月至5月，楊某用在網(wǎng)上購買或由他人非法提供的他人身份信息、高清人像圖、支付寶賬號等，制作成人像驗證動態(tài)圖像，利用軟件等工具破壞計算機信息系統(tǒng)，冒用他人身份進(jìn)行支付寶賬戶信息修改和實名認(rèn)證。之后，他將這些支付寶賬號提供或出售給他人，非法獲利1.1萬元。

楊某把支付寶賬號分為V1、V2、V3三種：V1賬號是他自己購買的支付寶賬號，填上身份信息加上淘寶賬號，以每個30元的價格打包賣給別人；V2賬號就是在V1賬號的基礎(chǔ)上上傳身份證正反面照片或者人臉驗證，屬于實名認(rèn)證的一種賬號；最高級的就是綁定銀行卡的V3賬號，轉(zhuǎn)賬額度更大。

楊某說，他將這些賬號提供給多名上家，對方通過支付寶轉(zhuǎn)賬給他錢。上家稱，這些賬戶用于幫助賭博網(wǎng)站收錢等。楊某清楚，通過這種方式能盜刷受害人支付寶賬號里的錢，但他稱自己沒盜刷過。

售賬號非法獲利

5月30日，警方順藤摸瓜，抓獲了孫某。

經(jīng)調(diào)查，2019年11月，孫某通過QQ群接觸到人臉技術(shù)并制作V1、V2、V3賬號，剛開始他倒賣支付寶V2賬號賺差價，后來認(rèn)識了楊某。孫某知道楊某會作圖，于是和楊某合作。孫某在網(wǎng)上購買手機號碼，由對方提供驗證碼，接著由楊某注冊支付寶賬號，注冊成功后孫某把查到的照片及身份資料發(fā)給楊某，由楊某PS成正常的身份證正反面照片，再對原來的空白支付寶賬號進(jìn)行實名認(rèn)證，孫某在網(wǎng)上賣給有需要的人，所得款項兩人平分。

2021年5月，孫某在QQ上看到有人需要查照片，因為他加入的群有人可以查，他通過他人查到照片后賣給客戶賺差價。孫某稱，他做過代查照片信息、倒賣支付寶及閑魚賬號、幫忙代取被封賬號里的錢等“業(yè)務(wù)”，知道賣給別人的賬號被用于違法犯罪行為。

經(jīng)查，2019年11月至2021年5月，孫某在網(wǎng)上低價購買他人身份信息、高清人像圖、支付寶賬號等，或通過楊某修改支付寶賬戶信息進(jìn)行實名認(rèn)證后高價賣出，或直接將身份信息及各種賬號以高價賣給他人，共計非法獲利2.7萬余元。

客戶資料反復(fù)賣

2021年7月19日，民警抓獲了將大量客戶信息出售給楊某等人的萬某。

2018年7月，萬某和朋友一起辦了一家網(wǎng)貸公司，他任法定代表人。公司做了大半年時間，因收不回貸款，最終倒閉。公司營業(yè)時，客戶在申請貸款時，需在一個App上填寫個人身份信息，包括電話號碼、身份證正反面照片、人臉照片、銀行卡號等。公司倒閉后，這些客戶的資料留了下來，萬某將資料整理后保存了起來。

后來，萬某看到有人在網(wǎng)上求購個人信息，就將客戶資料出售。萬某將這些客戶個人信息反復(fù)賣給不同的買家。他在QQ群和微信群里打廣告稱“賣料子”，公開售賣客戶個人信息。

經(jīng)查，2018年7月至2021年7月，萬某收集大量客戶身份資料在QQ群和微信群里公開售賣，出售給楊某等人，從中非法獲利1.5萬余元。

3人都被判了刑

近日，溫嶺法院審理了此案。楊某被控犯破壞計算機信息系統(tǒng)罪，孫某和萬某被控犯侵犯公民個人信息罪。孫某和萬某對指控事實無異議，自愿認(rèn)罪認(rèn)罰；楊某對指控罪名提出異議。

楊某辯稱，他使用的手機系統(tǒng)是開源系統(tǒng)，即任何人都有資格對系統(tǒng)進(jìn)行修改，網(wǎng)絡(luò)上也有眾多的刷機網(wǎng)站和軟件，而他購買手機也即擁有對手機系統(tǒng)進(jìn)行修改的權(quán)利；他制作的人像動圖對支付寶的系統(tǒng)沒有修改和破壞，根本無法通過支付寶的驗證識別。楊某認(rèn)為，他的行為應(yīng)該構(gòu)成犯罪，但不是破壞計算機信息系統(tǒng)罪。

楊某的辯護(hù)人認(rèn)為，楊某主要負(fù)責(zé)支付寶注冊，但沒有進(jìn)行實名認(rèn)證，支付寶賬號被盜刷系他人所為。

法院審理后認(rèn)為，支付寶系統(tǒng)屬于計算機信息系統(tǒng)，楊某非法獲取公民身份資料等個人信息，通過更改手機IMEI碼并冒用他人身份進(jìn)行支付寶賬戶信息實名認(rèn)證，并實際認(rèn)證成功，屬于刑法規(guī)定的對計算機信息系統(tǒng)中存儲、處理的數(shù)據(jù)進(jìn)行修改、增加的操作，被告人獲利超過5000元，屬于情節(jié)嚴(yán)重的情形，其行為已構(gòu)成破壞計算機信息系統(tǒng)罪。

法院認(rèn)為，楊某違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理的數(shù)據(jù)進(jìn)行修改、增加的操作，后果嚴(yán)重，其行為已構(gòu)成破壞計算機信息系統(tǒng)罪。孫某與人結(jié)伙，違反國家有關(guān)規(guī)定，非法獲取公民個人信息、向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重，其行為已構(gòu)成侵犯公民個人信息罪。萬某違反國家有關(guān)規(guī)定，在提供服務(wù)過程中收集公民個人信息，并將在提供服務(wù)過程中獲得的公民個人信息出售給他人，情節(jié)嚴(yán)重，其行為已構(gòu)成侵犯公民個人信息罪。

溫嶺法院就此案作出判決，楊某被判處有期徒刑二年；孫某被判處有期徒刑一年二個月，緩刑一年六個月，并處罰金5.5萬元；萬某被判處有期徒刑一年二個月，緩刑一年六個月，并處罰金3萬元。

觀察思考

網(wǎng)絡(luò)時代要加強個人信息保護(hù)

網(wǎng)上有一些軟件，只要上傳一張照片，就可以實現(xiàn)變臉特效，將靜態(tài)的圖片制作成動態(tài)圖片，非常簡單。

很多手機支付里設(shè)置了人臉識別，包括通過轉(zhuǎn)動頭部或眨眼等動作來驗證。這也給了不法分子可乘之機，只要通過這些軟件對照片進(jìn)行處理，做成能眨眼、張嘴的小動圖，進(jìn)而通過驗證并完成支付，將他人賬戶里的錢轉(zhuǎn)走。

當(dāng)前，電信網(wǎng)絡(luò)詐騙犯罪頻發(fā)，也催生了大量為不法分子實施詐騙提供幫助和支持并從中獲利的黑灰產(chǎn)業(yè)，包括利用非法獲取的他人信息注冊支付賬戶轉(zhuǎn)賬洗錢。楊某等人出售的賬號，無疑可以為不法分子提供洗錢服務(wù)。另外，即使這些賬戶被查封，也可以通過破解人臉識別達(dá)到解封賬戶的目的。

近年來，人臉識別技術(shù)的應(yīng)用日漸廣泛，為人們生活和消費提供了便捷。不過，安全始終是排在便捷之前的，希望支付公司人臉識別技術(shù)的迭代升級，可以確保認(rèn)證環(huán)節(jié)安全可靠。對于廣大網(wǎng)友來說，要保護(hù)好自己的個人信息，不要輕易將個人信息、照片等提供給他人。

此外，對于個人信息的保護(hù)還有待加強。小區(qū)保安、培訓(xùn)機構(gòu)、招聘公司、貸款公司、銀行職員等出售個人信息的事情常有發(fā)生，有多人因此被判刑。不過，買賣個人信息的現(xiàn)象仍沒有從根本上得到遏制。有網(wǎng)友反映，仍經(jīng)常接到針對性非常強的推銷廣告。

因此，必須加大對侵犯個人信息的打擊力度，保持高壓態(tài)勢，形成保護(hù)個人信息的全民共識；完善行業(yè)自律的監(jiān)管機制，形成簡明、有效、合法的自我監(jiān)督管理手段。個人信息不被侵犯，也就沒人能動你的“臉”了。（李潔趙云）

標(biāo)簽：