据《中国证券报》报道 贩卖银行卡信息已经形成一张遍布全国的网络。这些信息的最终买家是私人侦探、盗窃卡内资金的不法分子甚至是洗钱组织。最让人担心的是,信息提供者皆是银行内部员工。
资金不翼而飞
上海的陈女士今年2月到一家知名股份制银行查询卡内金额,蹊跷的是密码竟然不对。工作人员告诉她,卡内金额没少,但是密码被改过。陈女士并没在意,将密码改回。3月,奇怪的事情再次发生,陈女士的密码再次被人改过,但资金没少。陈女士还是把密码改回,仍未理会。直到3月14日公安机关告诉她,其卡内资金被人划走4万多元,而且今年1月就已被划走。
“我的卡没有开通网上银行,也从来没丢过。”陈女士百思不得其解。当时银行员工为何说卡内金额没少成了不解之谜。
差不多与陈女士的事件发生在同一时期,上海的黄先生忽然收到上述银行的短信提醒,被自动电话缴费7000多元。因为根本没有操作过类似交易,黄先生随即到银行交涉。银行员工让黄先生报案。
上海的6名被害人都有上述遭遇:在银行卡和密码都未丢失及泄露的情况下,卡内资金不翼而飞,被用于支付手机费、电话费等公用事业费,金额近30万元。
他们不知道,一条买卖银行客户信息的链条通过互联网伸展开来,不法分子通过QQ群和手机短信完成了他们的“黑色交易”。
盗窃客户银行卡内资金的主犯朱某远在江西,只有初中文化程度。
从2010年起朱某在网上购买了上万条上海机动车车主信息,包括姓名、身份证号码、联系电话、地址等。朱某把车主姓名、身份证号通过QQ群发给可以查询相关银行信息的下家。每查出一个人的银行卡卡号、余额,朱某即支付200元酬劳。
而朱某的下家并非最终掌握客户银行卡信息的人,而是层层转发信息的中介。往往要通过三至四层中介才能最终联系到掌握银行卡信息的“核心人士”。这些中介联系的途径只有两个:QQ和手机短信。
通过上述方式,朱某得到了不少上海市上述股份制银行持卡人的卡号。然后以持卡人的生日或简单的数字组合猜出银行卡密码。被他猜出密码的就包括陈女士、黄先生在内的6名银行卡持卡人。
朱某没有直接将被害人卡内资金打到自己账上,而是用被害人的钱替网吧等电话费大户缴纳费用。朱某甚至在淘宝开了家专门代缴公用事业费的网店,以九折优惠招揽网吧之类的用费大户。替客户缴费成功后,网吧再把资金打到朱某账上。这样一来,朱某不仅可以顺利套现,还不易被查出谁是盗窃卡内资金的元凶。
一条信息最低卖10元
客户的银行卡信息从银行员工处泄露,而银行员工卖出一条信息最低只收10元。
据某股份制银行原信用卡员工胡某供述,他2009年7月通过应聘进入该行上海信用卡中心工作,在征信岗位任职,可以根据客户提供的身份证资料查询开户资料及交易明细以及客户在他行的信用记录。
从2010年11月起,胡某开始通过QQ群出卖客户信息。为了接收赃款,胡某买了一张建行龙卡和与之对应的身份证。
“我有3个QQ号用来做这种交易联络。并且起名金融毕业生、银行黄牛这样的名字来暗示别人我能弄到银行内部客户资料。”胡某事后交代。
胡某是通过该行信用卡中心员工办公室的公用电脑登录银行内部网站进行查询,用户名和密码都是员工公用的。令人难以置信的是,从开始到案发,胡某基本天天“接单”,多时每天查几十条,少时每天查一两条。胡某通过QQ或手机短信收到待查的客户身份证号,然后到单位的公用电脑上查,将查询结果通过电脑及手机短信的方式发给上家。胡某对每条信息收取40元到180元不等的费用,共获利5万多元。
在朱某、胡某等银行卡诈骗案中还发现四大行中的两家存在相似案例。
与胡某一样,某四大行之一的武汉黄陂支行员工曹某同样通过QQ群结识了买卖个人信息的中介,并从今年3月开始出售该行客户信息。在曹某做柜台时,把查到的客户账号、开户行、开户时间、余额等编短信发给上家。如果要查流水,就用手机拍下来再发到上家的QQ邮箱。曹某共出售1000余条客户信息。
“刚开始查余额、流水都是50元一个,后来查询余额30元一个,流水70元一份。”曹某说。
另一家四大行之一的无锡荣龙支行员工董某以10元一条的价格,以类似方式出售116条客户信息。
银行员工通常帮中介查“包行”。“包行”是业内“术语”,就是指包括银行卡卡号、余额、开户时间、开户行、持卡人姓名在内的全套信息。
法律监管空白区
银行员工很清楚他们所出售信息的最终去向。“向他们要客户信息的是私人侦探、洗钱以及盗取卡里资金者”胡某事后坦白。
实际上买卖客户信息的行为已非常泛滥。某保险公司人士向中国证券报记者证实,保险公司以每条200元左右的价格从电信部门购买客户电话、姓名、住址等信息;房产中介也坦言会从银行、交易中心等处花大价钱购买客户信息;医院把孕妇信息卖给妇婴用品公司等也都屡见不鲜。
“在个人信息管理方面,我国还没有相应的法规,处于非常落后的状态。一旦出现信息泄露情况,该处罚谁、怎么处罚都无法可依。连最重要的金融信息都得不到保护,更别说其他信息了。”一位不愿透露姓名的征信行业人士表示。
该人士介绍,金融信息涉及个人的资产情况,是个人信息中最重要、最敏感的部分,但至今别说立法,连管理条例也没有公布。央行的《征信管理条例》还在第二次征求意见中。
但他表示,央行的征信系统具有这样的技术手段:能够查到是哪家银行、曾经在哪台电脑上、因何原因查询个人信息。“个人可以到当地人民银行查询。如果发现有哪家银行在没有发生业务的情况下无故查询你的信息,你完全可以向这家银行提出质疑并索赔。以此慢慢培养银行等机构对擅查个人信息的敬畏。”该人士说。
据信用管理界专家介绍,美国的信用管理体系由国家信用管理、行业信用管理以及包括立法、惩罚机制、教育与科研在内的信用环境共同构成。相关法律条款简明、具体、操作性强。如规定,凡以欺骗手段取得他人资信调查报告的,将被处以1年以下徒刑,同时处以5000美元罚款等。无论是技术手段还是监管环境都环环相扣,几乎不给不法分子可乘之机。