在收到一条称“ETC已过时、点击链接完成验证”的短信时，长沙市民王先生几乎没有一丝戒心。他点进“高速通知”链接，输入自己的银行卡、身份证、手机号等信息，接着收到两条来自中国银联的验证码信息，告知其已经开通“在线支付”，并在iTunes上进行了交易。

随后，王先生收到银行卡消费4580元的短信。

王先生只是这起冒充ETC认证短信诈骗案的其中一名受害人。侦办该案的长沙市公安局刑侦支队相关负责人告诉澎湃新闻（www.thepaper.cn），今年5月以来，此类诈骗犯罪不断在全国各地出现，仅长沙范围就发生了90余起。

长沙公安刑警介绍案件侦办情况   澎湃新闻记者 谭君 图

在专业人士看来，这类电信网络诈骗，不过是“酒瓶装旧酒”，其背后仍然是个人信息买卖黑产、第三方支付成洗钱通道，以及犯罪分子诈骗手段的迭代升级。

ETC钓鱼链接

今年二月份，不少ETC车主收到了来自高速公路方面的提示信息，如高速公路收费系统切换处于磨合期、部分通行信息未能及时提供，或者资金结算不含详情等等。与此同时，确有部分车主的ETC无法正常使用。

针对ETC这一广泛普及的新事物，身处中央点名挂牌整治的电信诈骗重点区海南儋州，犯罪嫌疑人李某元打起了“主意”。李某元在儋州经营一家汽车租赁公司。在出租一台玛莎拉蒂过程中，驾驶人出了车祸，李某元赔了一大笔钱。

今年3月，李某元通过QQ认识了从事电信网络诈骗的王某培并向其“拜师学艺”。

两人商定，李某元出资，由王某培为其提供诈骗所需的网站域名、服务器，并架设伪造的ETC认证钓鱼网站。实施诈骗过程中，李某元先以0.22元/条的价格从王某培处购买车主电话信息，随后以0.4元/条的价格通过境外短信通道向车主发送ETC失效需要重新认证的诈骗短信。

诈骗分子发送的ETC诈骗短信  长沙公安刑侦供图

澎湃新闻记者获悉，至少在4月下旬，就有湖南车主收到来自“1069”开头的提醒短信，“近期有不法分子以‘ETC认证失效’‘ETC办理到期’等名义实施短信或电话诈骗，请勿随意点击短信链接或提供个人信息。”

长沙的王先生显然没有注意到这类提醒。他在收到一条来自“0088”开头的提醒短信后，信以为真。该短信内容是：“[高速通知]尊敬的车主您好，您的ETC已过时，请务必在24点前点击：https://etc.aopqx.com完成验证。”

长沙警方查明，这条“0088”短信，是通过泰国的短信通道发出。看到这条短信精准推送，域名又含有“etc”字样，王先生点击进去，填写了银行卡号、取款密码、姓名、身份证号码、银行预留手机，并“开始认证”。

很快，王先生收到了来“95516”的中国银联短信。这是两条真实的、由中国银联发出的验证码短信。第一条是告知王先生正在进行“银联在线支付开通验证”。王先生在网页填写该验证码。随后，王先生又收到后一条验证码短信，告知其银行卡在iTunes上进行交易。

中国银联发来的真实验证码短信   长沙公安刑侦供图

很快，王先生收到银行卡被消费4580元的短信。

云闪付背后的黑产

被骗车主以为自己是在进行ETC认证，而实际是被诈骗分子操作，通过输入验证码开通了银联的“云闪付”这一在线支付方式，随后又通过输入验证码的方式，实现了“糊里糊涂”的线上消费。

警方介绍，在部分受害人看来，该钓鱼网站后续并没有要求输入银行卡密码，其交易是安全的，殊不知，云闪付作为第三方支付机构，通过短信验证授权后，从付款人开户银行直接扣划付款人账户资金给收款人，并不需要再输入取款密码确认。

关于第三方支付机构存在的乱象，以及被诈骗分子所利用的情况，澎湃新闻曾做过详细披露，如《代扣黑洞①｜上亿资金如何被通过第三方支付平台悄悄盗扣细披露过》《起底代扣黑洞④｜央行新规呼之欲出，乱象源头“裸扣”何时休》。

长沙市公安局刑侦支队民警邓彪介绍，自2016年长沙市反电诈中心成立以来，发现诈骗分子利用第三方支付机构的短信验证扣款诈骗，持续存在，且几乎是“酒瓶装旧酒”，毫无新意。

如2016年11月，他本人就侦办一个类似案件。受害人在长沙市天心区某物流园上班，上午十点多其手机接到95533的短信提醒，说其建行卡因为失效需要重新认证。而恰好受害人刚刚在建行办完业务，并没有多想，点击了链接并输入自己的“四码”（即身份证、银行卡、手机号、验证码），不到几分钟银行卡的两万多元被分三笔消费了。

长沙公安早在2016年就侦破过此类钓鱼链接诈骗案，并收到受害人的锦旗。长沙公安刑侦供图

警方发现，受害人的钱在武汉的一台pos机上消费，收单机构为上海华势。现在这家名为“上海华势”的公司已并入第三方支付机构“易生支付”。

而几年中，诈骗分子的诈骗方式，也从银行卡盗刷、pos机消费，过渡到第三方在线支付、快捷支付，以及对公账户洗钱、虚拟币结算等。

iTunes上的交易

办案人员告诉澎湃新闻，诈骗分子通过云闪付，实现各种真实场景的消费。在iTunes苹果商店消费，主要是购买游戏币，然后再将游戏币售卖套现。

这个海南儋州发送钓鱼链接的团伙，只是整个诈骗集团的一部分。

诈骗分子发送的钓鱼链接。长沙公安刑侦供图

当有车主在钓鱼网站填入自己的银行卡和验证码信息后，李某元将这些信息通过QQ发送给河南的专业洗钱团伙完成盗刷，双方此前约定将诈骗所得按照四六分成，李某元得四成，河南洗钱团伙得六成。

河南洗钱团伙以虚拟币的方式将赃款返还给李某元，李某元再将虚拟币出售，出售变现的资金提现至卜某运的银行卡上，卜某运抽取10%的提成后，将剩余的钱以现金形式送至李某元家中。

“他们在iTunes苹果商店主要是买游戏币，比如，1元一个的钻石，他们一次买648元，叫做‘杀648’，最多一次，他们买了28笔，这位受害人损失1.8万余元。”邓彪介绍。

办案人员还发现，作案团伙甚至并不购买苹果手机，而是“租”。

长沙警方破获的全国首例ETC诈骗案，犯罪分子作案工具。 澎湃新闻记者 谭君 图

“他们尽量实现诈骗的物理隔离，把自己的真实身份和诈骗身份进行分隔，而我们必须去伪存真。”邓彪说。诈骗分子租用的苹果手机，型号至少在iphone8以上。

警方介绍，在iTunes苹果商店上进行“疯狂”洗钱，实际上少不了另一个链条的参与——买卖苹果ID的团伙。这个环节的犯罪分子提供大量苹果ID，供诈骗分子洗钱之用。在此次长沙公安侦破的全国首例冒充ETC认证短信诈骗案中，买卖苹果ID的团伙地处浙江温州。

不过，澎湃新闻注意到，买卖苹果ID的黑产早已遍及在全国。

7月21日，湖南株洲醴陵市警方通报，该局近日侦破了一起侵犯公民个人信息案，3人因非法兜售苹果ID信息被警方依法采取刑事强制措施。

2019年底，三名二十来岁、居住在醴陵市明月镇的年轻人，一起在互联网购买数据，运用扫号软件对邮箱账号、密码进行扫描筛选，非法获取苹果手机ID账号和密码，再通过微信、QQ出售，交易数量高达数万条，每条信息价格从0.1元到几十、上百元不等。