自学网络技术,利用公司网站漏洞轻松获取管理员账号,从此他找到了“财富密码”,陆续骗得20余万元。“感谢检察机关给我们提出的建议,帮助公司堵住管理漏洞。”3月18日,江苏省江阴市检察院检察官丁晓伟来到被害单位爱丽公司(化名)开展“送法进企业”活动,将该公司存在的管理漏洞、风险点予以梳理,并提出有针对性的建议,预防利用网站漏洞导致的积分兑换诈骗案件再次发生。
尹立用诈骗来的钱支付该车的首付
会员登录网站发现账号被盗
爱丽公司是一家主要销售女性用品的科技公司,张女士是爱丽公司的会员之一,按照公司运营模式,会员和公司之间是合作关系,“我们在公司网站上注册会员,成为公司代理,然后从公司进货。”张女士表示,产品卖出去后,其中的差价会以积分的方式返还给代理,积分可以兑换提现,1个积分就是1元钱。
2020年9月,张女士准备将积分兑换,在登录爱丽公司凯发k8官网下载官网时却发现登录失败,无法正常进入个人信息界面,张女士随即联系了公司运维方,要求查明个中缘由。
运维方查看公司后台后,发现了一丝不寻常。管理员账号原本是由公司一员工使用,自其2019年12月离职后,该账号便禁用了几天,后由于工作需要,该账号才继续正常使用。就在张女士账号被盗前几天,有人使用该管理员账号对张女士账号进行了修改操作,修改完账户的原始名字、手机号码、银行卡等信息后,再从前台登录申请提现。
经过全面排查,公司发现共有15名会员信息被更改。发现情况不对后,爱丽公司向公安机关报了警。经分析研判,2020年12月,警方在湖北将犯罪嫌疑人尹立抓获归案。
自学网络技术 偶然发现漏洞
1992年出生的尹立出生于湖北武汉,大学毕业后在深圳一家公司从事java后台开发,2020年春节回武汉后,由于突发疫情,尹立无法按时返回深圳继续工作。
居家隔离的尹立出于兴趣开始自学网络安全、技术方面的知识,学习一段时间后,自认为“技术到手,天下我有”的尹立在互联网上随机寻找网站进行练手。2020年7月,在一次学习浏览时,他看到了爱丽公司的商城网站,认为网站有漏洞,为了测试一下近期的学习成果,尹立通过渗透技术,轻松获取了该公司后台管理员的账户名和密码。于是,他使用管理员的账号及密码登录网站后台的财务板块,看到了爱丽公司会员个人详情、积分情况、关联银行卡等信息。
在好奇心的驱使下,尹立将其中一名会员的信息更改成自己亲戚的信息,然后以更改后的会员身份登录爱丽公司网站,申请会员积分提现。
在申请提现的过程中,尹立发现1个积分可以提现1元,为了避免被会员发现,他会挑选积分相对较少的会员账户进行操作、申请提现。爱丽公司财务人员收到提现申请,进行审查后便将钱款转账至尹立修改后的银行卡里。此时,尹立就像发现了“财富密码”,义无反顾地踏上了违法犯罪的道路。
更改会员账号 兑换积分提现
为了能够逃避法律的追究,尹立不使用自己的银行卡、手机号码,他向父母、亲戚朋友借来银行卡,从网上购买虚拟的手机号,用在更改的会员信息上。
尹立之所以能屡屡得逞,和爱丽公司的管理审核不严有一定关系。据爱丽公司负责人介绍,公司财务人员在审核积分兑换时,只审核会员姓名与银行卡号,只要属于同一人,就安排打款。
2020年8月至9月,尹立先后多次采用上述手段实施诈骗,共骗得爱丽公司20余万元,诈骗来的钱被其用于吃喝开销、偿还小额贷款和买车首付。尹立到案后如实供述上述犯罪事实,退出全部违法所得。2021年6月1日,公安机关侦查终结后将该案移送江阴市检察院审查起诉,10月13日,该案一审开庭。近日,法院以诈骗罪判处尹立有期徒刑二年九个月,并处罚金1万元。
案结事未了,为了从源头上堵住隐患,防止相同情况再次发生,针对案件中发现的管理漏洞、风险点,今年3月18日,江阴市检察院依托建立的“精准普法月月行”机制开展了“送法进企业”活动,面对面提出建立完善的实质审核机制、开设后台自动比对功能、加强账号分类管理等8条建议。据了解,目前,该企业均已严格落实检察建议。(文中涉案人物均为化名)
通讯员 刘颖洁 赵春燕 扬子晚报网/紫牛新闻记者 刘浏
校对 徐珩