电信诈骗大起底：　利用木马软件盗刷银行卡

核心提示：毛女士手机中被人植入了木马病毒。而毛女士接到的所谓“10086”短信，是通过伪基站发送到毛女士的手机上的。

不久前发生的临沂徐玉玉案、徐振宁案，让“电信诈骗”高频出现在公众视野中。

电信诈骗背后有着怎样的利益链条，又是如何运作的？本报以近日临沂临沭警方破获的一起涉及山东、江苏、广西等20多个省市、受害人达1000多人的电信诈骗案为样本，对上述公众关注的问题进行解剖和起底。 

“10086”信息带着一条链接

一张巨大的诈骗网络浮出水面

去年7月份的一天，临沭县做个体生意的毛女士接到“10086”发送的话费积分兑换现金短息，内容后面还附着一个链接。

尝试着点进去链接，毛女士根据提示下载安装并输入了身份证号码、银行卡账号和密码。随后，毛女士发现，她的积分非但没兑换成，所绑定的银行卡反被盗刷了。毛女士查到，卡内的3万元钱被人分6次刷走。

毛女士向临沭警方报警。接警后，通过调查民警发现，毛女士手机中被人植入了木马病毒。而毛女士接到的所谓“10086”短信，是通过伪基站发送到毛女士的手机上的，只要点进去链接，手机就会被对方监控。

根据毛女士被骗资金的流向，民警掌握了一些线索。根据这些线索，民警惊奇地发现，一个以谢某为首的利用木马软件盗取受害人银行卡现金的重大犯罪团伙渐渐浮出水面。

去年8月份下旬，临沭警方赶赴广西南宁、福建厦门以及江苏连云港三地开展侦查，很快锁定了谢某等嫌疑人。

但是民警发现，谢某这个盗取银行卡的团伙并不是“始作俑者”。为谢某等人提供受害人信息，以及将伪基站出售给负责发送木马的团伙，交织成一张巨大的诈骗网络。他们分工明确，各自拿各自收益部分。这些团伙遍布在全国各地，一个团伙有一个甚至更多的下线。

发病毒每天收入5000元

盗刷团伙给“发工资”

很快，以江苏连云港为据点，利用伪基站发送木马病毒的团伙露出端倪。去年8月26日，嫌疑人卜某、孙某等7人被抓获归案。

据了解，卜某、孙某均是连云港人。在这个团伙中，他们所扮演的角色等同于中间人。在购买伪基站设备以及木马病毒后，卜某等人会以“XXX，我是XXX，你先看看这个吧，rajcqe.Ga、校通讯、结婚请帖”等内容，通过手机黑卡，频频向各地不确定人群发送木马病毒链接，致使受害人手机系统被破坏，个人信息被盗取。

办案民警介绍，木马病毒都是通过网上或者其他方式购买，“一般木马病毒的有效期是一周，过了日期，他们需要再交费。”而这笔费用，在几千元左右。但是，这个团伙的活动范围并不仅仅局限于连云港当地。他们会招募下线，下线再发展下线，“比如，临沭当地的这起案件，很可能是他们的下线，因为伪基站是能随时移动的，所以具有不定时、不定期性。”民警介绍。

记者也从相关人士处了解到，伪基站所到之处，往往会截取附近的通讯讯息，包括手机号等。在这时，伪基站就可以即刻向截取的用户以短信等形式发送木马病毒。“当收到不明短信或信息后，千万不要轻易点进去。只要点进去或根据提示输入身份信息，手机将在用户不知情的情况下被植入病毒。”相关人士称，这时，随身携带的手机里的内容，将毫无保留地暴露在操控者手中。

这些团伙的收益从何而来？民警介绍，他们每天发送的木马数量就是他们的工作量，“一天一个组能拿到5000元钱左右，这5000元最终由盗取银行卡信息的团伙给，如果这个组为多个这样的团伙服务，拿到的将会更多。”

拿到号码先“洗料”　赃款瞬间分到多个账号

半年多时间9万人信息泄漏　1000余人受害

正当专案组民警全力寻找出售伪基站的团伙时，在广西宾阳办案的警方很快端掉谢某的盗刷团伙。

去年10月30日当天，细雨蒙蒙。抓捕组民警分乘3辆车，将谢某的住处包围。上午11点左右，不等便衣民警按计划敲门，嫌疑人谢某家的大门突然敞开。抓捕民警立即冲进院子里，当场将正在电脑前作案的谢某、曾某、韦某等4人抓获。通过清点，共查获作案电脑10台、手机38部以及手机SIM 卡、银行卡、网银证书和电子密码器60余个。

此后，专案组又先后三次抵达宾阳，累计抓获谢某、曾某、韦某3个盗窃团伙的犯罪嫌疑人13名，另有3人最后到公安机关投案自首。

这个专门负责盗刷受害人银行卡的团伙，正是整个案件中的最后一个环节。他们从卜某等人手中拿到受害人的号码后，会先经过“洗料”。而所谓的“洗料”，是他们的行话，就是筛选受害人的信息，找出价值空间大的人群。

在确定了作案目标后，谢某等人会利用自己手中的工具监控受害人的手机。当受害人在手机上操作时，谢某等人就会掌握所有的隐私。最后，受害人银行卡内的钱会被嫌疑人分散到一些网络的虚拟账号上。

“这3个团伙的头目都是广西当地人，并且相互之间很熟悉。他们平时聚在一起，各干各的，各有各的下线。”民警称，从去年1月份开始，谢某、曾某、韦某三人非法获取9万余人的信息，而受害人达到1000多人。

他们拿着所盗资金，经银行转账、网上购物、购买理财产品、充值点卡等方式挥霍，涉案的部分达百万元。

网络购进设备　一套伪基站获利数千元

已形成家族式“产业”未归案者还在抓捕中

此前，在去年9月30日，销售伪基站设备的李某等6人在临沂落网。去年12月28日，销售伪基站器材的团伙主犯王某被抓获归案，民警当场从其住所搜出伪基站器材8套。

调查发现，出售伪基站团伙通过网络推广等方式，从浙江等地非法购进成品或自己组装伪基站设备，随后以4000元至1.7万元不等的价格，面向全国各地非法销售伪基站器材90余套，非法获利数十万元。

截至到目前，共查实非法经营案18起，涉及全国16个省、市、自治区和直辖市，涉案金额15.7万元。“他们出售一套设备，利润在售价的50％至70％之间，所以获利相当可观。”办案民警介绍。而此前卜某等人购买的伪基站，也与王某等人有密切联系。

“现在电信盗窃和诈骗已经不是单一的团伙作案了。”民警称，很多地方形成了所谓的“产业链条”，不在一个区域，也可能互相不认识，但从制、售，到获利，形成了“一条龙”。民警梳理发现，犯罪团伙之间有的是乡邻关系，有的是全家上阵。

这个案件中，共抓获了30多名犯罪嫌疑人。截至目前，已有13名犯罪嫌疑人被移送起诉，16名犯罪嫌疑人被取保候审。“还有未到案的，办案组已在广西展开侦查抓捕工作。”昨天，记者从临沭警方获悉。

对于近年来屡发不止的电信诈骗案件，民警提醒，在提高警惕的同时，不要抱着侥幸心理。“尤其是中奖或赠送奖品的信息，不要轻信，天上不会掉馅饼。”

“药监局”“保健品公司工作人员”……骗子换“马甲”也是拼了

前些年买过“蛾苓丸”保健品，忽然有个自称杭州市药监局的工作人员致电称，因该公司产品被查，可要求其退费，紧接着保健品公司的人上场了……日前，济南八旬老人商先生经历了一场电信诈骗，被对方电话连续“轰炸”了20天，还好被子女及时阻拦，未造成损失。

偶接来电 保健品公司被查，可申请退费

商先生回忆称，20多天前，他接到自称杭州市药监局工作人员的电话，该工作人员表示“蛾苓丸”保健品生产公司被查了，他之前购买的产品可以要求退费，并给他一个该保健品生产公司的手机号码，还称对方如果不退钱，可以回电反映。

“对方能说出我的姓名、住址及之前购买保健品的名字和金额，所以我就相信了。”商先生说，前些年他花了9000多元购买了“蛾苓丸”保健品。这次听说能退钱，也没多想，就按对方提供的手机号拨了过去。

接到商先生的电话后，对方起初很警觉，并问商先生如何得到该手机号的。商先生如实告知后，该号码接听人表示，“你告到药监局了？你别再找他们了，我退钱给你，他们罚我们罚得可狠了。”对方根据商先生的姓名，准确地说出了他之前购买保健品的数额、时间。

“之后，这名所谓蛾苓丸保健品生产公司的工作人员就没动静了。我儿媳妇又打过去几次电话，对方都以主任出差来搪塞。”商先生说。

骗子伎俩 退9000元货款要交800元保证金

在等待退款的日子里，一位自称是“蛾苓丸大连分公司工作人员”和商先生联系了，打电话表示愿意退钱，但为了防止冒领，需要通过快递寄给老人一张发票，老人收到发票后需付给对方800元钱。

这笔钱是什么钱？对方表示，800元钱相当于保证金，商先生收到发票后，要核对发票右上角的号码，认证成功后，分公司会将9000余元货款连同800元钱一起退回。

“我让对方直接从9000元里面扣除800元，对方说这是流程，并一再催促。”商先生儿媳妇告诉记者。

3天前，商先生收到了对方的快递，快递单显示从上海发出，纸盒里除了发票，还有一份保健品。对方回应称，保健品是送给老人的“礼包”。

商先生的儿媳妇最终决定拒绝签收。

“蛾苓丸”确实被查封尚无退款一事

杭州市政府曾于2009年发布消息，称“蛾苓丸”被查封，但没有消息提及退款一事。

记者按照商先生提供的所谓杭州市药监局工作人员手机号，多次拨打后终有人接听，当记者询问对方身份时，却被挂断了电话。记者从百度卫士上看到，该手机号被标记为“中介”。

随后，记者致电杭州市药监局，工作人员表示，并没听说过有药监局联系受骗顾客协调退款的消息，此外，药监局工作人员对外办公时，也都会以座机为主，轻易不会使用手机，如果对方要求汇款，一定是骗局。