手机用着用着突然失去信号，事主咨询营业厅，意外发现手机号码被他人冒名办理挂失补办，而与手机绑定的支付宝内的钱款全部失窃，身份证也被不法分子伪造……近日，海南省临高县三个20多岁的小伙子黄某、林某和王某先后被抓获。他们利用网络手段远程作案，一种被称为“洗宝”的专门针对支付宝盗窃的手段也随之曝光。8月7日，三人分别被西城法院判处有期徒刑6年、4年和3年6个月。

　　案情

　　手机没信号 支付宝资金被盗刷

　　2013年12月27日9点多，单先生忽然发现手机没信号了。下午他向联通营业厅询问，惊讶地得知，有人当天在西单的一家联通营业厅将自己的手机卡办理了补办。

　　随后，单先生发现其支付宝账号密码和淘宝网账号密码均被人修改，余额宝内的67000元人民币被盗刷。

　　单先生立即报警。第二天，他从联通公司了解到，是一名男子拿着有自己名字、身份证号码和住址的身份证办理了手机卡补办业务，但身份证上的照片不是自己的。支付宝内的款项被分四笔转到一张农业银行卡内，而单先生自己没办过这张银行卡，该卡是有人于同年12月12日在海南省临高县冒用自己的名字办的。

　　连续作案 4名用户账户被窃

　　和单先生有相同遭遇的还包括余先生、宁先生和黄先生。余先生称，2013年12月27日下午，他自己手机没信号了，经向运营商官网查询，发现有人在几个小时前冒用自己名义给支付宝客服打过电话。

　　余先生赶紧登录支付宝账号，发现余额宝内的49900元款项被转入他人冒用自己名义办理的一张农行卡内，被盗的款项于当日即从该农行卡里被转出。

　　宁先生陈述，他是2014年1月8日上午发现手机失去信号的。当晚，他登录支付宝时发现有49000元款项被盗，经与支付宝客服人员联系，发现手机卡被他人补办、手机号码被更改、支付宝密码被重置。

　　黄先生受害时间最早。2013年12月13日上午，他在家中收到支付宝转账验证短信，于是立即登录支付宝，发现账号内4999元的款项已被转走，随即报案。

　　用假身份证 重办银行卡、手机卡

　　今年1月初，黄某、林某和王某3名犯罪嫌疑人被抓获。

　　据曾经在平安银行信用卡中心供职的黄某供述称，2013年12月初，林某和自己商定要共同从他人的支付宝账户内盗窃钱款，由林某负责提供他人的支付宝资料，自己负责办假身份证，再用假身份证以被害人的名义办理手机卡和银行卡，让被害人的支付宝绑定新办理的银行卡，最后登录被害人的支付宝账号把钱款偷出来，所得赃款由林某和自己“七三分”。

　　他说，同年12月10日左右，林某向他提供了受害人黄先生的支付宝信息，自己根据黄先生的身份信息，在海口找人办了一张假身份证，又让朋友邓某拿假身份证以黄先生的名义办了银行卡，由林某在网上登录黄先生的支付宝，将账号里的4999元转入自己手中的银行卡内，因自己和王某一起住在海口，故让王某持该银行卡取了5000元现金。

　　他告诉民警，林某让自己用该款项继续办理其他被害人的假身份证和信用卡。此后，林某给自己提供了十几个人的支付宝资料，自己于2013年12月26日，带着事先办好的单先生和余先生的假身份证来到北京，后于12月27日中午在一网吧内，登录单先生的支付宝账号，发现其中有6万余元的款项，自己立即打车找到一家联通营业厅，使用假身份证，冒用单先生的名义将其绑定支付宝的手机号码补办了手机卡。

　　之后，他返回网吧，将单先生支付宝内的款项转入自己事先让邓某以单先生名义开办的信用卡内，一共转出67000元；他通过电话让另一个朋友曾某在海口找可用于套现的POS机，再通知王某去自己在海口的住所拿出单先生的信用卡去套现，并让王某将套现款中的2万元打入自己的卡内。

　　黄某承认，盗窃余先生、宁先生支付宝账号内的钱款，用的也是同样的手段。

　　买用户信息 “洗宝”套现

　　按照林某的说法，盗刷支付宝叫做“洗宝”。

　　“洗宝”的第一个步骤是购买信息，这被称为“找料”。

　　据林某介绍，2013年8月，他通过网上的QQ群，购买了200多条使用支付宝的人的个人信息（包括姓名、身份证号码、支付宝账号、手机号码等）。然而，这些信息中绝大多数账号和密码并不是对应的。本案中，林某在QQ群里“喊人”，找人查这些支付宝账户内是否有钱。

　　为了筛选出其中正确的信息，“能人”会通过一种专门的软件进行扫描。林某称，他自己买的最高质量的“料”是1万条中有300条账号和密码可以对应上，也就是说，正确率大概在3%。

　　有了这些信息，就可以登录相关支付宝账户，并用账户中的余额在网络游戏中购买一些虚拟物品，再转卖出去套现。

　　林某说，这就是他们最初“洗宝”的模式；最多一天能收入四五百元。但先买后卖的方式毕竟有一定的局限，之后他们干脆升级为一种更为直接的套现方法。

　　同年11月间，林某自己将“洗宝”的方法告诉了黄某，黄某也愿意和他一起干，之后二人开始合作。他说，自己陆续又向黄某提供过10个人左右的资料。

　　王某则供述称，他和黄某在海口一起住，虽然他不知道弄钱的操作流程，但确实帮黄某拿着涉案的银行卡去黄某联系好的商店进行大额套取，并按照黄某的要求将钱存入多人的账户。黄某从北京回来后，王某获赠一部手机。2014年1月初，王某再次帮黄某刷卡套现，黄某给了他2000元。

　　而黄某的朋友邓某承认，他帮黄某到银行办理银行卡期间，自己正因“盗现”处于取保候审期间。

　　记者了解到，帮忙刷卡套现的，是海口市的一家茶行和手机店。茶行老板称，店内有POS机，对方来刷卡套现时，店里可以得到1.4%的手续费，对方一共在店里刷卡的金额为116200元。手机店老板则承认，自己是按照1.5%收取的手续费，对方刷卡的金额为49400元。

　　“洗宝”过程

　　掌握对应的支付宝账号和密码——锁定存有大笔余额的账号——非法获取用户的真实姓名、身份证号以及绑定的手机号——做假身份证——使用假身份证到手机归属地补办手机卡——用补办的手机卡登录支付宝修改密码——将支付宝内的款项转入自己办的银行卡内——刷卡取现

　　进展

　　构成盗窃罪 三人分别获刑

　　西城法院审理后认为，黄某、林某、王某以非法占有为目的，从他人余额宝账户内秘密窃取钱款，累计数额巨大的行为，已构成盗窃罪。

　　黄某以非法占有为目的，冒用他人信用卡进行诈骗，数额较大的行为，既侵犯了国家的信用卡管理制度，又侵犯了信用卡有关关系人的财产所有权，已构成信用卡诈骗罪。

　　三人被分别判处有期徒刑6年、4年和3年6个月。

　　业内分析

　　移动互联时代 信息安全是挑战

　　2014年1月发布的《2014年我国信息安全产业发展形势展望》报告指出，移动互联网、云计算、大数据等新兴领域在自身快速发展的同时，也给信息安全带来严峻挑战。

　　有业内人士表示，应对网络安全问题，移动运营商、手机厂商、安全厂商应开展广泛合作，形成完善的手机安全产业链。

　　相关链接

　　支付宝失窃案并非首次

　　案例一

　　今年5月6日，保安张某了解到同宿舍同事王某的支付宝账户名后，便于凌晨4点拿走了王某手机，将王某手机里的SIM卡取下放在自己手机里，用自己的另一部手机登录王某的支付宝账户并点击“忘记手势密码”，这时装有王某SIM的手机便收到了验证码信息，将验证码信息输入支付宝界面之后就可以重新设置“手势密码”。

　　之后，张某登录王某支付宝账户，从王某账户中向一个赌博网站账号转了3万元作为自己下的注。

　　案例二

　　2009年间，支付宝公司开通话费支付业务，用户都可以通过购买手机充值卡、充入支付宝账户后进行网上购物。

　　负责这一话费充值系统运行维护的某公司工程师方某发现系统有漏洞，即用户在充值过程中输入充值卡号和密码后，如果因为系统问题而无法正常进入支付宝账户实现转换时，充值卡信息会保留在公司的系统内，只要再次输入卡号和密码即可成功充值。

　　2010年1月至3月间，方某调取用户充值失败而暂存的充值卡信息，将钱转入自己在支付宝设立的48个账户和快钱设立的31个账户，共计111650元。

　　案例三

　　张某、刘某利用支付宝平台在账户改密业务中的漏洞，盗刷数家企业支付宝内的资金共20余万元。因涉嫌盗窃罪，目前他们已被海淀区检察院批准逮捕。

　　张某、刘某在开淘宝店过程中，发现修改其网店的支付宝用户名和密码时，只需在网上向支付宝客服提交电子版营业执照即可；支付宝客服对电子版营业执照的审核不严，很容易受理通过。

　　二人利用PS技术，伪造其他公司的电子版营业执照，提交修改密码申请，控制账户，盗窃资金。自2013年10月份以来，二人以上述方式盗取多家公司资金共计20余万元。文/记者 毛占宇