近日,裁判文书网披露的一则裁定书显示,某公司的老板和两名员工利用长沙银行系统的漏洞和抓包工具软件,短时间内开设大量异常账户获利。三人最终因犯破坏计算机信息系统罪、妨害信用卡管理罪获刑。
使用抓包工具后缺乏验证环节也能成功开设长沙银行账户
法院查明,被告人尚某等人在河南一家宾馆里经营一家软件公司,另外两名被告人司某和刘某也都曾是这家公司的雇员。
2019年2月间,尚某等人将内含公民身份证号码、姓名、手机号码等信息内容及串码、一个固定银行卡号、Fiddler应用程序软件提供给司某和刘某。Fiddler应用程序软件可以拦截由长沙银行服务器向长沙银行APP发送的数据校验结果、加挂银行卡信息、审核状态信息并加以修改。
利用这些技术功能,他们可以在缺少“视频审核的业务流水号”、“证件上传成功”、“生成的视频流水号”等验证环节的情况下,也能通过电子渠道开设长沙银行II类户。
所开设的长沙银行II类户虽不能正常使用,但可用以作为绑定账户开立他行III类户,具有办理限额消费和缴费、限额向非绑定账户转出资金等功能。被告人刘某以此方法开设了80个长沙银行II类账户,获取钱款人民币160元。尚某和刘某开这么多账户是为了使用虚假的身份证明骗领信用卡。
非法开立3353个手机银行账户获利15万元
2019年2月间,被告人司某明知杜某(另案处理)想以上述方法开设长沙银行II类账户,仍向其提供Fiddier应用程序软件并远程演示申请开设方法。司某还与杜某商议由杜某找人非法开长沙银行的卡并负责出售卡,赚到的钱每人一半,司某提供技术,杜某具体操作。司某与杜某通过销售上述非法申请的长沙银行电子账户共获利15万元左右,司某分得约7.5万元。
一审法院认为,被告人司某违反国家规定,伙同他人对计算机信息系统中传输的数据进行删除、修改,后果特别严重,其行为已构成破坏计算机信息系统罪,判处有期徒刑五年;被告人尚某、刘某使用虚假的身份骗领信用卡,数量巨大,其行为已构成妨害信用卡管理罪,判处尚某有期徒刑三年,宣告缓刑四年,并处罚金人民币二万元,判处刘某有期徒刑三年,宣告缓刑三年,并处罚金人民币二万元。
对此结果,司某表示不满提出上诉,他认为自己与尚某的行为一样,不构成破坏计算机信息系统罪。
二审法院查明,司某明知同案人杜某欲非法开设长沙银行II类账户,仍向杜某提供Fiddler应用程序软件并远程演示申请开设的方法,伙同他人在长沙银行手机银行“e钱庄”系统内非法开立3353个手机银行账户,二人共获利15万元。法院认为,其开立的账户数量达到妨害信用卡管理罪“数量巨大”的标准,获利数额也达到破坏计算机信息系统罪“后果特别严重”的标准,其行为既构成妨害信用卡管理罪,也构成破坏计算机信息系统罪,应择一重罪论处。
最终,二审法院驳回司某的上诉,维持原判。
长沙银行因开户环节违法违规被央行罚款80万
根据判决,长沙银行应该是很快发现了异常,案发当月的22日就报案要求警方对伪冒开户涉嫌犯罪行为的依法查处。
虽然长沙银行的系统漏洞并未给储户和自身造成直接损失,但事后该行也因开户环节的违法违规行为受到央行处罚。
2020年2月26日,中国人民银行长沙中心支行公布的行政处罚信息公示表显示,长沙银行存在为身份不明的开户申请人开立账户并提供账户身份信息验证服务、账户可疑交易监测不到位、线上正常开立的II类户中部分账户留存影像资料不完整三宗违法违规行为。中国人民银行长沙中心支行对其警告,罚款80万元。
时任长沙银行网络金融事业部总经理朱某和时任长沙银行信息技术部总经理程某二人均对长沙银行为身份不明的开户申请人开立账户并提供账户身份信息验证服务、账户可疑交易监测不到位的行为负有责任。中国人民银行长沙中心支行对二人处以警告,并分别罚款8万元。
文/北京青年报记者 程婕
编辑/樊宏伟