“被告人苏强利用为银行设计、维护ATM机软件的工作之便，从ATM机上盗取他人信用卡信息进行信用卡诈骗案，判处其有期徒刑5年，并罚款5万元。”6月19日，上海市闸北区人民法院当庭宣判。

　　实际上，这种内部人利用信息技术盗取他人钱财的事情在IT业内时有发生。2006年6月份，华为公司工程师王林勇利用编写的程序盗取了70多万元的移动充值卡。2006年2月，UT斯达康工程师程稚瀚利用之前给西藏移动安装系统的机会，盗取了370多万元的移动充值卡，并出售套利。

　　“所有的信息系统设置都是基于内部人完全可以信任为前提的。”一直从事数据安全业务的GDS万国数据公司总裁黄伟认为，对外部人侵入系统，尚可设置防火墙等技术手段予以拦截，但这种内部人利用数据信息犯罪则难以防范，“唯一能做的就是不断的加强流程、技术上管理”。

　　ATM系统的“内鬼”

　　2003年8月，大学毕业的苏强进入一家ATM机公司，职务为编写ATM自动取款机软件工程师，这是他的第一份工作。

　　2个月后，苏强开始为国内股份制商业银行上海分行临汾路自助网点安装、调试两台ATM自动取款机。精通软件的苏强在软件编程过程中很快发现，ATM自动取款机的加密程序上有些“BUG”，于是，一时兴起的苏强编写了一个窥探程序，该程序可以记录该ATM用户的银行卡卡号、磁条信息和密码，并将这个窥探程序安装到了两台ATM自动取款机上。“当时只是觉得好玩。”苏强在法庭上为自己辩解。

　　“很多软件工程师都有这种癖好，希望找到系统的漏洞，以此证明自己的技术水平。”黄伟表示。

　　2003年11月，在对这两台ATM机进行维护的时候，苏强打开了自己当时编写的程序，发现窥探程序竟然记录了7000多条用户的信息。苏强将这些信息拷贝到了自己的笔记本电脑上，为了不留下痕迹，苏强又删除了自己当时编写的程序。

　　但是生活的窘迫很快让苏强想到利用这些数据来牟利。2004年9月，苏强进入上海一所大学攻读硕士研究生，没有收入来源的他想起了那堆数据。很快，苏强就开始了行动，从市场上购买了磁卡写码读卡器，又在电脑市场买了空白磁卡，开始伪造银行卡。

　　第一张银行卡制作出来时，苏强有点忐忑不安，只好让女朋友前去取钱，他的女朋友就从银行取出了200元现金。从此，苏强一发不可收拾，此后的近两年时间，苏强如法炮制，先后伪造多张银行卡，共计提取了6万多元现金。由于苏强复制出来的银行卡，其客户信息、密码完全正确，银行根本无法辨其真假。

　　一位客户在取款时发现卡里莫名其妙地少了4500元，银行显示这笔现金是在无锡被取走的，但这位客户根本就没有去过无锡，于是他向警方报案。此后，上海警方也陆续收到了10多位银行卡用户的报案，都是卡上的钱莫名其妙地少了。此时，银行才开始警觉起来。

　　在配合警方办案的过程中，上述商业银行的工作人员发现，有人侵入过银行的网站，查询了200余客户的个人信息，其中包含了被盗用信用卡资金的被害人信息。很快，警方就查到了入侵银行系统时使用的IP地址，并根据这个IP地址查到了苏强所在的大学宿舍。

　　“没有密码”的充值卡

　　与苏强的手法不同，UT斯达康工程师程稚瀚则是利用自己给西藏移动施工时留下的密码，然后随时侵入此系统以盗取移动充值卡。

　　2005年3月，华为前员工程稚瀚突然一时兴起，想“测试”一下移动系统的安全性，便尝试性地进入了西藏移动的网络系统。

[1] [2] 下一页