作者:交通银行信用卡中心催收和反欺诈部 黄琳 房倩倩

“短信嗅探”是近年来出现的新型网络犯罪手法,具有犯罪过程隐蔽、犯罪手段智能、犯罪目标随机、犯罪危害性大等特征。近年来,利用该技术手段实施银行卡网络盗刷的案件屡屡出现,且案情错综复杂,犯罪事实认定困难,交易参与各方法律关系竞合交叉。本文就此类案件展开实证研究,并基于相关法律问题分析提出防范建议。

一、案情概况

2020年3月,某银行信用卡中心联合公安机关成功破获一起利用“短信嗅探”技术盗取银行账户资金的新型网络电信诈骗案,现场抓捕犯罪嫌疑人,起获伪基站等大量作案设备。案发当日凌晨2点许,持卡人张女士正在家中熟睡,犯罪嫌疑人在张女士所居住的小区附近利用“GSM劫持+短信嗅探”技术成功截取张女士手机短信,并利用窃取到的短信验证码等信息登录各银行、商城网站或App,盗取张女士银行账户资金5000元,用于购买加油卡。

这是一起典型的利用“短信嗅探”技术窃取银行账户资金的新型网络盗刷案,不法分子在持卡人不知情的情况下,不接触目标手机收集获取短信验证码,继而通过网络渠道盗刷受害人银行账户资金。此类交易银行难以认定是盗刷还是持卡人本人授权的操作,且网络交易信息具有可变性、易损性、隐蔽性的特征,采集和保管信息的难度大,司法机关在查清事实真相、责任认定方面存在难点,银行、盗刷人员、持卡人等各方之间往往存在诸多法律纠纷。

二、法律问题分析

1.刑事法律问题分析

针对犯罪嫌疑人使用“短信嗅探”技术实施盗刷行为的定罪量刑,司法实践中的评判莫衷一是,主要形成了“信用卡诈骗罪”“侵犯公民个人信息罪”“盗窃罪”三种观点。笔者认为,此类犯罪行为认定为盗窃罪较为妥当。

盗窃公私财物,数额较大的,或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃的行为触犯了刑法第二百六十四条规定,可构成盗窃罪。在此类案件中,行为人是一般主体。主观方面,不法分子针对他人的公私财产的所有权和占有权,侵犯他人对财产的支配权,具有非法占有他人财物的故意,属于典型的“他人损害”型犯罪。客观方面,不法分子利用GSM 2G网络的漏洞,可以不接触目标手机秘密窃取目标手机所接收到的验证短信,进而利用各银行网站或App、移动支付App存在的漏洞和缺陷实施盗刷,具有秘密性,因此构成盗窃罪。

实务中,有观点认为,此类行为应以信用卡诈骗罪进行认定。信用卡诈骗罪是指以非法占有为目的,违反信用卡管理法规,利用信用卡进行诈骗活动,骗取财物数额较大的行为。在此类案件中,行为人是一般主体,利用“短信嗅探”技术获取验证短信进而实施信用卡盗刷的行为,客观上侵害了信用卡管理制度,主观上是直接故意,看似符合信用卡诈骗罪的认定,但信用卡诈骗罪在客观上表现为行为人使用欺诈方法使受害人产生错误认识而作出财产处分,从而骗取数额较大的财物,主观上表现为直接故意并具有非法占有财产的目的。欺诈行为是被害人基于错误认识作出行为人所希望的财产处分。“短信嗅探”类案件中,不法分子通过“短信嗅探”设备获取公民个人真实信息实施盗刷,银行交易系统一般只能对交易的银行卡账号和密码进行形式审查,账户和密码的正确输入即代表客户的真实、合法身份,其中不存在被害人基于错误认识而执行交付财产的程序以及作出财产处分的情形,故不适用信用卡诈骗罪。

另有观点认为,此类行为应构成侵害公民个人信息罪。不法分子利用“短信嗅探”设备,非法获取公民个人短信内容,并利用短信内容结合社工网站、邮箱、商旅平台等互联网平台的漏洞非法查询公民姓名、身份证号、手机号、银行卡号等公民个人信息,获取短信验证码等关键验证要素,登录被害人名下的银行账户、第三方支付平台账户、购物网站,直接或间接盗取资金。犯罪嫌疑人在同一时间段基于同一犯罪故意,通过“短信嗅探”设备批量获取他人的手机短信用于实施盗窃犯罪,获取公民个人信息是实施盗窃行为的中间环节,实施盗窃犯罪的目的行为与使用侵犯公民个人信息的手段行为具有密切关联性,因此侵犯公民个人信息罪应被盗窃罪吸收,依照“择一重罪”的原则认定盗窃罪,故笔者认为不适用侵犯公民个人信息罪。

2020年11月2日,在贵州地区人民法院判定的一起“短信嗅探”案件中,被告人莫某江利用“短信嗅探”设备非法获取他人手机号、身份证号、姓名、短信验证码等信息,继而利用非法获取的信息伙同他人通过在网站上购买商品、充值话费等方式盗刷被害人银行卡内资金,之后再按比例分得赃款。被告人莫某江以非法占有为目的,利用互联网技术秘密盗取被害人财物,被判盗窃罪。

2.民事法律问题分析

利用“短信嗅探”技术实施银行卡盗刷案件的犯罪行为手法智能,作案过程隐蔽,案件侦破率较低,盗刷产生的损失往往需要由银行或者持卡人买单,但银行和持卡人各自认为在交易过程中并未存在任何过错而不愿承担损失,为此对簿公堂的不在少数。

此类案件中,银行与持卡人各执一词,受限于双方当事人的举证能力,案件事实往往难以还原,再加上调整此类纠纷的立法规范缺失,因此,审判实务中经常会出现同案不同判的情况。作为银行从业者,笔者尝试通过还原盗刷交易场景,探讨银行与持卡人举证责任及损失承担的问题。

(1)交易场景

银行卡交易根据是否依托于实物卡片作为交易载体分为有卡交易和无卡交易。传统的伪卡盗刷是通过复制银行卡磁条信息,制造克隆卡实现有卡交易的盗刷;而无卡交易脱离于实体卡的使用,只要能够获得银行卡相关信息和交易密码,便可实施盗刷行为,因无卡交易应用场景和验证因子的多样性,其呈现的盗刷场景也复杂多样。

无卡交易场景中,银行为确保交易真实性,除选择性验证银行卡号、CVV2、有效期等静态信息外,还会向持卡人预留手机号码发送短信验证码,通过动态信息有效识别交易是否为持卡人本人操作。但随着欺诈分子诈骗手法的迭代升级以及黑科技的应用,看似安全可靠的短信验证码也以各种方式被泄露或窃取,如常见的电信诈骗、木马链接,持卡人在被骗后主动告知或点击链接,导致银行卡信息和短信验证码泄露;“短信嗅探”则是利用伪基站和嗅探技术,秘密拦截持卡人手机收到的短信验证码,通过“撞库”等方式获得持卡人身份信息和银行卡信息,冒充持卡人完成无卡交易。

(2)举证责任及损失承担

无卡交易的支付过程全程使用电子设备通过网络完成,交易信息以电子形式存在,而电子信息具有可变性与易损性的特征,因此,可以证明交易事实的相关证据的采集与保管难度较大。此外,“短信嗅探”案件中短信验证码是否成功发送和接收、是否存在被拦截等待证事实,因涉及电信运营商和第三方欺诈,举证难度极大。对于承担举证责任的一方当事人,很有可能因为举证不能而承担不利的诉讼结果。

第一,盗刷事实存在与否。

盗刷事实存在与否是讨论损失归属的前提条件。根据民事诉讼法举证责任分配的规定,对于存在争议的交易,银行主张交易系持卡人本人所为,则需提供交易与本人有关的证据,如收发货信息、历史交易习惯、短信验证码发送等;持卡人主张交易系盗刷,交易的发生与本人无关,则需证明盗刷事实的存在,一般通过一些间接证据来证明,如交易金额、频次等所体现出的欺诈性以及及时止付、及时报警等所采取的积极措施,排除本人主观恶意和道德风险等。法官会根据当事人双方提供的相关证据推定盗刷事实存在与否。

第二,短信验证码泄露与否。

短信验证码泄露与否是判断损失归属的重要依据。在实务案例中,因持卡人防范意识不足导致短信验证码等重要交易信息泄露的,基于过错责任归责原则,损失主要由持卡人一方承担。但在“短信嗅探”引发的盗刷案件中,持卡人与银行都认为自己在交易发生过程中不存在过错,短信验证码等信息是否泄露、如何泄露等待证事实往往成为争议焦点,同时也是举证难点,法院对于该部分事实的举证责任分配直接影响案件走向,基于法官们的不同看法,就会出现同案不同判的实务审判现象。

例如,2020年,广州市唐某诉某银行广州东城支行银行卡纠纷一案中,法院认定,银行通过发送短信验证码等方式已尽到安全保障义务,持卡人未能举证证明银行提供的短信服务存在技术漏洞和泄密风险,故判决结果未能支持持卡人相关诉讼请求。从该案例可以看出,法院认为银行发送的短信验证码具有唯一性和私密性的特征,在没有相左证据证明的情况下,默认为只有持卡人本人知晓,这种情况下持卡人承担着短信验证码泄露事实的举证责任。但此类案件的侦破率较低,持卡人基本无从举证。

再如,2019年,某银行深圳分行诉刘某某银行卡纠纷一案中,法院认定,银行主张已向持卡人发送涉案交易的短信验证码等信息,但银行仅提供了其单方的短信发送记录,在持卡人否认收到短信的情况下,银行方面无其他有效证据进一步佐证,故判决银行承担损失的主要责任。该案例中,持卡人否认收到银行发送的短信验证码,实务中还存在客户承认收到短信验证码但否认泄露的情况,部分法院在受理此类案件时,认为在银行与持卡人的金融关系中,持卡人处于弱势地位,对于举证责任的分配立足于银行作为金融服务提供者,在交易验证、系统安全等方面需承担保障交易安全的义务,在持卡人否认收到或否认泄露短信验证码的情况下,银行需证明短信验证码安全并成功送达客户,这意味着银行承担着更大的责任风险。

三、防范建议

随着无卡支付的日益普及,消费者使用现金或者刷卡支付的场景越来越少,出门在外一部手机便可畅行无阻,但在便捷支付方式不断发展的同时,一些新型诈骗手法和黑科技导致的风险敞口和损失隐患也随之出现。银行卡盗刷案件的司法救济是事后救济,要做到防患于未然,避免此类盗刷事件的发生,则需要银行和持卡人共同努力,建立风险防范意识,携手营造安全的支付生态圈,对此,笔者提出以下几点防范建议:

1.加强风险防控手段,提供交易安全保障

银行作为金融服务提供者,即经营方,在享受经营收益的同时也要承担经营风险,履行保障交易安全的义务。针对目前普遍存在的一些诈骗手法和“短信嗅探”等技术,银行可以通过升级改造现有的交易验证技术手段等方式规避风险,如在交易过程中增加生物因子验证的应用等,同时也要加强对欺诈形势和欺诈特征的分析,优化迭代交易监控规则,及时发现欺诈、止付卡片,防止欺诈损失发生或持续扩大。

2.加强持卡人教育,提升安全防范意识

持卡人作为银行卡的保管者、交易的直接参与者,具备用卡安全意识至关重要。为提升持卡人用卡安全意识,银行应积极履行相应的社会责任,通过各种方式普及安全用卡知识,加深持卡人对各类欺诈手法及其防范措施的了解,提醒持卡人合规用卡、安全用卡,如不登录非法网站、不点击不明链接、不轻易连接免费的公共WiFi、不使用各类代还款App等,针对“短信嗅探”类案件多发生于夜间的特征,建议持卡人夜间关闭手机,不让不法分子有可乘之机。

3.加强警银联合协作,打击银行卡盗刷犯罪

在银行卡被盗刷后,持卡人应及时向公安机关报案,同时银行也应全力配合公安机关提供相关交易证据,借助公安机关调查技术手段侦破案件,尽力挽回损失,对此类银行卡犯罪进行刑事打击也可震慑不法分子。

本文刊于《中国信用卡》2021年第5期

声明:本文来自中国信用卡,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。