“在马来西亚以及港台地区,干这行的人太多了,门道很深,但我都清清楚楚。”23岁的喻伟点燃一支烟,用有些沧桑的眼神看着记者,显得格外“江湖”。
“这行”具体指一条跨境盗刷信用卡链条,喻伟在其中扮演了分外重要的角色。法国的盗刷者用假卡购物后,甚至需要把消费凭条返还给他,“报告”盗刷金额,然后按照比例给他分成。
衣冠楚楚的绅士,宅男一般的计算机高手,网络上的交易,从不见面的筹划,组成了一个遍布全球的巨大网络,环环相扣,分工明确。
黑客可截取密码音频信号
作为数万中国留学生中的一员,喻伟在校园中并不特殊。他是一些俄罗斯网站的常客。这些网站有时会被关闭,他会根据事前约定去一些地方查找新的IP地址,或者通过ICQ上俄罗斯伙伴的指点登录这些网站。
这些网站出售来自全球各地的信用卡信息。“有几个专门的网站,经常变换域名,但是干这行的都上去,可以发展新朋友。”喻伟说,它们就像卖场。这些专业的信用卡信息提供者大多是黑客,或者代表一些高水平的黑客。通常,他们会攻击银行网站的数据库,以及轻松地进入机场和商场的数据库。大多数信用卡的信息都是从这些专业机构流失的。至于国内出现过的在ATM机放置摄像头偷拍等,都是极少出现的非专业做法。“俄罗斯人用ICQ发布信息,他们的买卖网站日日更新。”喻伟说。
相对而言,中国的信息提供者比较业余。他们多用攻克POS机的方法来获得刷卡人的信息。
一般情况下,当持卡者使用POS机刷卡时,可以截取密码的音频信号,然后解码。此外就是直接改装POS机,改变它的通信模块。这样,每次有信用卡刷完后,POS机就会用短信自动将卡号和密码发给固定号码。无论哪种办法,与POS机拥有者合谋都是成功的关键。
信用卡“克隆”易如反掌
在目前的全球信用卡市场上,磁条卡是主角。对磁条卡而言,最重要的数据就是“磁条信息”。用户只要在POS机或ATM机上刷卡,就会在机器上留下该银行卡的磁条信息。一些不法分子会在POS机上装置盗卡器,客户刷卡后,盗卡器就会将信用卡的磁条信息记录下来。
此外,磁条卡本身的安全系数也不很高。信用卡的磁条信息其实有固定的格式,一个熟悉信用卡制作流程的业内人士可以通过卡号、使用期限等,按照格式复制出磁条信息。在同一批卡中知道了其中一张卡的磁条信息,也能推算出其他同批次卡的基本资料。
犯罪分子通常先花两三千元买个读卡器,然后从境外非法网站购买磁条信息,通过读卡器把它扫到白卡上,再打上卡号,一张信用卡的克隆卡就制作完成了。
信用卡信息价钱不等
一张信用卡的信息从10美元到八九十美元不等。出现如此大的差异,是因为银行不同、国家不同以及卡的等级不同。
当然,买到的信用卡信息制卡后并非全都可以刷出钱来。“我们还有专门的网站可以检测某张卡是不是活的,等级是什么,但是具体可透支的金额检查不出来。所以他们一张卡不会一次刷太多钱,因为这样POS容易"锁头",必须要用身份证到银行解锁才能再用,等于这个卡就报废了。”喻伟的验卡伙伴就在马来西亚,这是一个很快的过程。黎明到来之前,哪些信息可以使用就能够得到结果。
这些信息随后被卖到世界各地。喻伟就位于这样一个关节点上:收买信息,然后出售。用他自己的话,就是第二层。
喻伟有两个市场。一个是他更熟悉的“中国市场”。他与国内“下线”联系的办法是百度贴吧以及几个QQ群。
喻伟常用的网名叫“房屋买卖”。在网络空间里,这是一个资深的卖家。另一个叫做“本小姐”的人是他曾经的女友王蕾。资深卖家代表着,从他手中拿到的信用卡信息制卡后刷出钱来的成功率更高。同时,他从“上线”那里拿卡的价格更低。
只有一小部分信息由喻伟的“下线”再次转卖。一般倒卖信息的人,每张卡平均可以赚三四百元人民币。但是喻伟可以获得200%的利润。
“很方便”的POS机
喻伟卖给国内买家的价格则比较固定,每张卡在5000到8000元人民币之间。制卡机在淘宝网等网站上可以轻易买到。事实上,这些机器非常普通,可以用来制作普通商店的储值会员卡。许多时候,可以直接从网络上买到空白的信用卡。
信用卡信息在这个圈子里的专业术语是“料”。而“料”的有效信息有两条:一是“料”的代码,二是基本资料和密码。
知道了这两个信息,3分钟就可以做一张假信用卡,并能在任何一部POS机上刷出钱来。这个环节,也许是整个链条上最没有“技术含量”的。
不过,国内的盗刷者不只去商店购物。因为那样需要很多人手,而且买到的东西还要有渠道变现。许多小团体或“个体户”会找POS机拥有者合作,比如一些小商铺。用卡在机器上刷完后,与POS机主分成。特别对于国际卡,如果数额小很难追查。
比起制卡,整个链条上的资金往来都更有难度。“洗钱”的方式有三种。
第一种是找国内专门做电子货币生意的人,喻伟在这方面也有个固定的伙伴。由“下线”把钱交给这个伙伴,他再用电子货币的方式支付给喻伟及他的“上线”。
第二种就是直接找地下钱庄。喻伟的伙伴在甘肃,他从“下线”那里收到钱后,由他的马来西亚合伙人把钱换成马来西亚货币给喻伟。
对于一些小额“下线”,喻伟则用假身份证在国内办几张储蓄卡,让“下线”把钱转入这些账户,由他回到国内时再取。这是第三种。
“信用卡盗刷是一个庞大而复杂的专业网络,我们都只是其中一环。干这个的被抓住的不多,但是一旦抓住就是大事。”喻伟神情复杂地说,“我就知道,不跟国内做生意,是不会出事的。”
喻伟“出事”就是栽在了他的国内“下线”身上。由此,警方发现这可能涉及一个跨境盗刷信用卡产业链。
摘自《瞭望东方周刊》2011年第44期