李因用诈骗来的钱支付了汽车的首付款。
“感谢检察机关给我们建议,帮助公司堵塞管理漏洞。”3月18日,江苏省江阴市检察院检察官丁晓薇来到受害公司爱力公司(化名)开展“送法进企业”活动,梳理公司管理漏洞和风险点,提出针对性建议,防止因网站漏洞引发的积分兑换诈骗案件再次发生。
会员登录网站
发现账户被盗
爱丽公司是一家以销售女性用品为主的科技公司。张女士是爱丽公司的一员。按照公司的运作模式,会员和公司之间是合作关系。“我们在公司网站注册会员,成为公司代理,然后从公司进货。”张女士说,产品售出后,差价会以积分的形式返还给代理商,可以兑换提现,一个积分就是1元钱。
2020年9月,张女士准备兑换积分,但登录艾力公司官网时发现登录失败,无法正常进入个人信息界面。张女士立即联系该公司运维方,要求查明原因。
运维方查了公司后台,发现了一些不寻常的东西。管理员帐户最初由公司的一名员工使用。2019年12月辞职后,该账号被停用数日,后因工作需要继续正常使用。就在张女士账号被盗的前几天,有人用管理员账号修改了张女士的账号。她修改了账户的原姓名、手机号、银行卡等信息后,从前台登录申请提现。
经过全面调查,公司发现15名会员的信息被更改。艾力公司发现情况不对后,向公安机关报了警。经过分析研判,2020年12月,警方在湖北将犯罪嫌疑人李因抓获。
自学网络技术
意外发现漏洞
李因,1992年出生,湖北武汉人。大学毕业后,她在深圳一家公司做JAVA后台开发。2020年春节回武汉后,由于突发疫情,李因无法按时返回深圳继续工作。
孤立在家的李因出于兴趣开始自学网络安全和技术知识。学了一段时间后,自认为“技术有,天下我有”的李因在网上随便找了几个网站练习。2020年7月,他在学习浏览时,看到了爱力公司的商城网站,认为网站有漏洞。为了测试最近的学习成果,李因通过渗透技术轻松获取了公司后台管理员的帐户名和密码。于是,他用管理员的账号和密码登录了网站后台的财务版块,看到了爱丽公司会员的个人资料、积分、相关银行卡等信息。
在好奇心的驱使下,李因将其中一名会员的信息改为其亲属的信息,然后以变更后的会员身份登录爱丽公司网站申请提取会员积分。
在申请提现的过程中,李因发现一分可以用来提现1元。为了避免被会员发现,他会选择积分相对较少的会员账户进行操作,申请提现。艾力公司财务人员收到取款申请,审核后将钱转入李因修改后的银行卡。至此,李因似乎发现了“财富密码”,义无反顾地走上了违法犯罪的道路。
更改成员账号
积分兑换
为了逃避法律追究,李因没有使用自己的银行卡和手机号码。他向父母、亲戚、朋友借了一张银行卡,从网上买了一个虚拟手机号,用在了变更后的会员信息中。
李因的成功与艾利公司管理审计不严有关。艾力公司负责人介绍,公司财务人员在审核积分兑换时,只审核会员姓名和银行卡号。只要属于同一个人,他们就会安排打款。
2020年8月至9月,李因多次采用上述手段实施诈骗,骗取艾力公司20余万元。诈骗来的钱用于吃喝开销,还小额贷款,买车首付。到案后,李因如实供述上述犯罪事实,并退缴全部违法所得。2021年6月1日,公安机关在侦查终结后将该案移送江阴市检察院审查起诉。10月13日,该案一审开庭。近日,法院以诈骗罪判处李因有期徒刑2年9个月,并处罚金1万元。
为从源头上杜绝隐患,防止同样情况再次发生,今年3月18日,江阴市检察院在已建立的“精准普法”机制基础上,开展了“送法进企业”活动,面对面提出了建立完善的实质审核机制、设置后台自动比对功能、加强账户分类管理等八项建议。据了解,目前,该企业已严格执行检察建议。
(文中涉及人物均为化名)
来源:检察日报
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"自学网络技术偶然发现漏洞 “黑”进网站兑换积分非法获利20余万元":http://www.guoyinggangguan.com/xedk/114132.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
