收账号、盗刷钱、五五分。
“这样不犯法么?”
“不犯法,县里弄这事的人很多”。
2018年7月,快手系统升级中,提现系统出现了一个小小的bug。
正是这个bug,被互联网上猎犬般循味而至的“羊毛党”第一时间发现,而后引发疯狂刷单,最终将27人送进牢笼。
疫情之下,众多企业主动或被动进行了数字化转型,线上开始成为第三产业的主战场。全面复产复工之际,如何为优化网络营商环境提供有力的司法保障?海淀法院用日前审结的盗刷“快手”礼物系列案件给出答卷。
4629笔订单,平台报警被盗刷672万余元
4629笔订单、827名用户,直到快手平台的运营方北京快手科技有限公司发现数据异常,24天间,平台统计被恶意盗刷金额达672万元。
快手APP是国内颇有影响力的短视频平台,用户可以在该平台以“打赏”礼物的方式对他人进行赠与或被赠与,所有礼物可转换为名为“黄钻”的平台内代币使用,并最终通过微信支付平台提现。
2018年7月,快手系统升级中,提现系统出现了一个小小的bug。正是这个bug,被互联网上猎犬般循味而至的“羊毛党”第一时间发现,而后引发疯狂刷单,最终将27人送进牢笼。
老家打来电话:搞钱,很快
2018年7月,在无锡打工的小许像往常一样,给在贵州老家的哥哥打电话要钱。哥哥大许一反常态,痛快地给了小许500元。小许问怎么回事,大许说发现了快手的漏洞,可以从中盗刷弄钱,很容易。
“这样不犯法么?”“不犯法,县里弄这事的人很多”。
将信将疑的小许上网查询,有人说这样做违法,有人说这样做没事。但是因为缺钱,无法顾忌太多的小许最终要求哥哥教他如何盗刷,哥哥果断拉其入伙。
在接下来的两天里,小许和老乡胡某将自己的快手号、微信号、银行卡信息、手机号、身份信息交给哥哥大许。在提供自己手机收到的短信验证码后,2个小时内,大许转给两人各7千元。之后2天,小许和胡某从朋友处分别找了几组快手账号提供给大许,两人又各自收到1.6万元。钱来得太快,小许觉得再赚钱会出大事,就没有继续再干,与胡某回了老家和大许汇合。
小许最终也没搞清楚钱是怎么刷出来的。如同他不清楚,通过他提供的快手账号和银行卡号,总计盗刷了11万余元。而这些钱,在4个月后他被抓时,都将被计入他的犯罪数额。
剩余的9万元中,小许的哥哥大许也并没有拿走太多,他比小许多知道的也只是需要收购能够直播、没有绑定微信的快手账号。如果账号绑定微信则需要提供对应微信账号以便操作;快手账号绑定微信后,重复提现操作,就可以把钱转到微信上。
黑产链条上的众生
大许得知盗刷消息,是在酒吧同朋友喝酒时,朋友接到名为“小熊猫”的快手收租者电话,对方称收账号、盗刷钱、五五分。
在短短三两天内,这样的电话搭载着同样的信息在县城内鳞次响起,朋友圈内刷屏着收购快手账号的信息,四边八方的账号汇总而至。
而真正的操作手法,只有黑产链条的上游掠食者、收租人才知道,比如背着大许和所有人在厕所进行核心操作的“小熊猫”。
谢某,18岁,初中文化,无业,曾因殴打他人被两次行政拘留十日。2018年7月21日1时开始,到2018年8月2日22时,12天里通过上述方式收购10组他人账号,累计套取资金125万余元;而他所掌握的“刷单”秘技,其实非常简单。
快手平台的虚拟礼物打赏功能由礼物系统对接微信的支付网关组成。按照微信支付相关实名认证的要求,如果微信没有开通实名认证则无法提现,此时快手提现订单失败。
在一次常规升级后,快手系统在失败订单处理上出现bug,订单失败后提现黄钻返回快手用户账户,但支付网关没有停止转账请求,还在不断尝试。在此期间,如果对应微信账号开通实名认证,则资金将从快手企业账户划拨至个人微信账户,用户将在未扣除黄钻情况下获得提现。
就这样,谢某等人利用所掌控账户的直播功能,首先通过账户互相打赏将对应黄钻攒至2000元,而后关联未开通或已经注销微信实名认证的账户反复提交提现申请,并在短时间内开通微信实名认证,资金到达微信账户后,迅速通过所绑定的银行卡第二次转出、分配。
以此方式,一条租号、打赏、提现、转账、取钱的黑色链条快速形成、蔓延,直到快手公司进行财务数据汇总,发现用户提现金额和个税数据不匹配、提现金额明显异常后,这一漏洞方被修正。
27人受审,首犯获刑十一年半
谢某最终以盗窃罪被判处有期徒刑十一年半,罚金人民币十一万元,责令退赔经济损失人民币一百二十五万余元。小许被判处有期徒刑三年二个月,与两人相伴的,还有25名他们的老乡。
2019-2020年度,北京市海淀区人民法院共审理、审结涉快手黄钻盗刷系列案件7起,涉及被告人27人,分别判处一年一个月至十一年半不等有期徒刑。
法官说法
快手盗刷案并不复杂,但是给民众尤其是黑灰产的从业人员两个重要的法律提示:其一是利用系统漏洞非法取财构成犯罪,其二是明知他人从事违法行为而有偿出租账户亦构成犯罪。
利用系统漏洞非法取财构成犯罪
关于利用系统漏洞取财,一种相对模糊的认识是漏洞是客观存在的,对漏洞的利用是不违法的。如本案中小许,并不十分明确法律后果。但如果我们把这个问题换成:他人开门,房间内的钱可不可以拿,答案就要明白很多,对应到法律适用上,就是说行为人是否具有非法占有的目的。
处于他人控制下的合法财产,即便安全防控措施存在疏漏,他人也没有合法的占有依据。在存在系统漏洞的前提下,如普通用户巧合下获得提现款,作为损失方的快手公司可以以不当得利等理由主张用户返还,也可以选择以事后追认方式赠与,但用户并无合法依据占有快手公司钱款。即便是作为黑产链条最底端的小许,也能够通过网络获知该种行为可能违法,这也印证了该行为的违法性没有超过国民的预见可能性。尤其是本系列案件中的盗刷行为,已经形成了租号-养号-刷单-提现的黑产链条,具有规模化、专业化、聚集化特征,是典型的犯罪行为,已经不能评价为用户的使用行为。
明知他人从事违法行为而有偿出租账户构成犯罪
关于出租账号人的行为,像小许、胡某等人,对盗刷手法及盗刷数额等详情并不知悉,仅负责提供账号、帮助取现并收取少量好处费。
此时则需要考虑行为人是否知道出租账号的具体目的。小许等人明知道以上账号系用于利用快手漏洞盗刷而依然提供,哪怕对行为的违法性不明确,也不影响其主观心态的认定。但小许向其他人借用的账号虽然也用于盗刷,账号所有人并不知悉借用用途,所以没有追究刑事责任。
此外,作为共同犯罪人,还应当对全部犯罪数额承担责任,通过小许提供的快手账户及银行卡接收的盗刷款共计9万元,虽然小许仅分到2万余元,但他必须退赔9万元。
而从刑事司法政策上来看,打击黑产的重点之一就在于打击上下游犯罪,提供账号和取现行为,虽然不是犯罪核心,但有效打击前后端能够彻底铲除犯罪土壤,斩断犯罪链条,因此也属于从严打击范围。
法官提示:羊毛还能薅么?
“薅羊毛”是与电子商务伴生的互联网现象。通常意义上,“薅羊毛”行为按照轻重程度可以分为三类:一是按照平台优惠规则、偶尔利用平台漏洞获取优惠自用的普通用户;二是利用平台优惠规则疏漏、借助信息及技术优势攫取优惠后进行二次转卖、变现的“羊毛党”;三是利用系统漏洞恶意牟利的黑灰产链条。上文的快手盗刷案,即属于第三种。
对于第一类行为,使用者属于正常消费行为,在法律、商业规则及市场规律范围内无须担心。事实上,这个层面的消费者的注意力应该集中在自身权利维护,尤其是在损失是由平台自身过错造成,消费者并无任何欺诈等心态的情况下。
对此,不同平台反映不一,如去哪儿网、东航因系统失误而出现的超低价机票订单,最终宣布正常出票;但万豪酒店出现酒店订单错误,酒店最终取消已订房用户订单,平台赔偿 5000积分。
司法判例也在强化对消费者的保护,如此前的“亚马逊砍单案”中,购物网站亚马逊在“双十一”期间标明扫地机器人科沃斯价格为94元,后亚马逊以系统操作错误、实际售价应为949元为由单方取消订单。后法院判决亚马逊公司向290余名被砍单消费者赔偿订单价格与市场价之间差价855元,以防止虚假促销、恶意单方砍单等行为泛滥。
对于第二类专业“羊毛党”,明显恶意违法平台规则及利用系统漏洞的,在民事法律关系上属不当得利,受损害平台可以请求返还,在刑事法律评价上则相对暧昧,无法一概而论,但其中具有主观恶性,违法所得数额较大或影响较大的,同样构成刑事犯罪。(详见后附典型案例)
对于第三类利用系统漏洞恶意牟利的黑灰产链条,是目前的打击重点,本案中呈现出一个黑产新趋势:非法支付渠道向普通个人账号转移。
一般来说网络黑产的供给链可以划分为物料、流量和支付三大要件,以恶意注册账户为主供养物料,通过虚拟商品交易作为变现的主要渠道;而在羊毛灰产中则细化为卡商负责注册平台账号-网络黑客人员负责买卖“秒*软件”-“羊毛党”负责在平台使用-收货端负责在二级市场变现。
但随着各个互联网平台尤其是几家互联网巨头对于恶意注册的联合打击,技术壁垒日益垒高,“养号”成本日益增高。于是黑产将目标锚定普通个人账号,如小许及胡某等人提供的账号,该种账号属正常账号,在技术上无法识别;这虽然在打击犯罪上提供了便利,但也对溯源上游犯罪带来挑战。
相关案例
司机端骗取“滴滴打车”补贴优惠获刑
被告人常某丈夫系出租车司机,使用“滴滴打车”软件承揽业务,因使用乘客端反复领取优惠券被滴滴公司封号处理,后其妻子常某雇佣他人通过技术手段解锁账号后,以其爱人、滴滴、朋友的共计五个账号,虚构乘车交易,骗取乘车优惠券共计价值14 254.65元,以上钱款已提现。后平台运营方发现优惠券使用异常,经核实以上订单乘客IP地址相同,司机行车轨迹不实,遂报警。常某到案后将涉案钱款全部退还,后因诈骗罪被海淀区人民法院判处有期徒刑八个月,罚金人民币四千元。
百度外卖商家虚构交易骗取返利获刑
被告人陈某虚构“老重庆麻辣小龙虾”等商家身份,注册外卖平台百度糯米账户,以虚构交易消费订单的方式骗取平台消费返利共计人民币32 100元。因发现刷单行为,平台部分结算款暂停支付,实际支付返利金额21 900.4元,未支付返利金额10 199.6元。陈某到案后退赔全部涉案赃款,后因诈骗罪被海淀区人民法院判处有期徒刑九个月,罚金人民币二万元。
百度外卖用户虚假充值后消费获刑
被告人郑某利用百度外卖平台的系统漏洞,雇佣陈某通过技术手段为其名下两个账户进行非法充值113 996元,后郑某通过上述外卖账号购买洋酒、食品等商品,实际消费共计人民币7413.02元人民币。后因盗窃罪被海淀法院判处有期徒刑八个月,缓刑一年,罚金人民币一万元。
京东用户以旧换新退货牟利获刑
被告人张某在京东购物网站订购希捷牌、西部数据牌移动硬盘共计79块,后以购买错误等为由向要求退货,并借机用废旧硬盘内芯更换19块原硬盘内芯,价值共计人民币14 411元。经被害单位报案,张某到案后退赔涉案赃款,后因诈骗罪被海淀区人民法院判处有期徒刑六个月,缓刑一年,罚金人民币五千元。