银行内鬼程序员曝光：服务器植病毒，ATM取款717万，账户余额还不变

雷刚 郭一璞 发自 ATM机前 量子位 报道 | 公众号 QbitAI

流氓懂技术，谁也挡不住。

不知道你是否有过这样大胆的想法：自己的银行账户，每天取款，但余额永无穷尽。

现在，有个程序员实现了。通过往总行服务器植入病毒，每天ATM取款5千至2万，一年多内取走700多万，而且银行卡余额始终没有变化。

最终，银行发现情况异常，找到了木马病毒，然后向公安机关报案。

没想到植入病毒者，是该银行科技开发中心总经理——参与了银行核心系统功能开发设计。

而且这出监守自盗的把戏暴露前，该程序员还以“测试”为由解释过嫌疑。

如今等待他的，将是10年半的有期徒刑。

账户余额，取之不尽

事情从最新披露的裁判文书说起。

近期公布的北京市朝阳区法院刑事判决书中，原华夏银行原科技开发中心经理覃其胜，因犯盗窃罪，判处有期徒刑十年六个月，罚金人民币一万一千元，剥夺政治权利二年。

判决书中说，被告人覃其胜，男，壮族，1975年10月出生于广西壮族自治区，硕士研究生文化，案发前曾系华夏银行科技开发中心开发四室经理。

其岗位职责为负责核心系统功能扩充和优化升级的技术需求分析、功能规格编制、设计、开发、单元测试、集成测试等工作。

然后在2016年11月至2018年1月间，覃其胜在华夏银行总部——北京市朝阳区环球金融中心华夏银行科技开发中心内，利用该中心其他人员的账户，登录华夏银行总行的核心系统应用服务器，将其编写的具有“将其控制的华夏银行卡夜间跨行ATM机取款不计入客户账”功能的“漏洞”程序植入该服务器。

由于覃其胜将编写的木马复制到sh目录下，并参与到主机系统运转，而且因为该程序员深知华夏银行核心系统中的账目缺陷，所以木马运转后，ATM取款成功，却不会被计入账户。

借此，覃其胜在一年多时间内取款1358次，每次5000、2万不等，累计取款人民币717.9万元，并存入另一家银行的名下账户。

过程中，覃其胜还不是通过自己的华夏银行账户取款，而是在网上花费500元购入一张有真实身份的普通借记卡。

于是起初华夏银行方面存疑，也无法第一时间怀疑到自家程序员覃其胜。

被怀疑后谎称“测试”

然而纸包不住火，且银行总账对不上。

自家程序员监守自盗取款1年多后，华夏银行发现了上述问题。

2018年1月26日，华夏银行正式向公安机关报警，称有人往银行的程序内植入木马病毒，已发现的损失约700万。

其后3月27日，覃其胜被刑事拘留，同年4月28日被逮捕。

华夏银行首席信息官在证言中称，在初步核查后，发现有人通过木马程序在生产系统中通过ATM机非法盗取资金。

进一步将怀疑锁定在科技开发中心总经理覃其胜。

但对方在谈话中称，是在进行测试，系在系统里放了一个测试程序，通过该程序，测试在某一段时间到某一段时间是否存在漏洞。

然而按照华夏银行规定，这种测试方法并不符合规定，且没有任何提前报备。

其后调取操作的审计日志显示：

2017年11月24日，覃其胜趁下属离开工位之时，通过下属电脑登入系统，在“sh”文件夹植入脚本“ai”及其内容“tmp_hxb”。

该修改平时不干扰卡应用系统的正常程序，但在每晚0:10，可以开始执行异常程序。

异常程序可以把指定账户在前一日22时30分至本日0时10分的成功交易修改为失败。

原来由于工作原因，覃其胜知道华夏银行的核心业务系统是从国外引进的，该系统设计的时候没考虑夜间交易的问题。

于是才有此番木马邪念，并且实施成功。

所以在限定时间段，通过指定账户取款，款项都不会被计入账户。

无论取走多少钱，账户余额不会发生变化。

然后覃其胜再在取款后，将钱转到自己名下的兴业银行账户。

且用兴业银行账户，覃其胜首付+贷款，买入一套价格900多万元的北京门头沟商铺。

全额退赔，被判刑10年半

在法庭上，覃其胜也作了另一番辩解。

他说自己完全是出于漏洞测试，但由于虚拟环境无法满足要求，而真实生产环境测试牵涉批示和协调很多，所以才通过这样的方式检测漏洞。

在被银行谈话后，覃其胜表示ATM取走的719.2万元都在兴业银行账户，未被使用，可全额退回。

但法院在调查后发现，覃其胜所谓的“测试”太过处心积虑，不仅专门上网购入真实身份借记卡，而且还趁下属不在用其权限登入系统，最后取款所得实际已发生挪用和交易——虽然总额仍在。

所以北京朝阳区法院一审认为：

被告人覃其胜，偷用他人账户进入华夏银行的核心系统植入漏洞、修改卡用户信息后，使其控制的特定银行卡夜间跨行ATM机取款不计入该卡账户。 并将取得的钱款用于个人理财、归还债务等，其行为系秘密窃取华夏银行股份有限公司的财物。 但考虑到覃其胜已退赔被害单位的经济损失，并未造成其他关联影响，对其酌予从轻处罚。

最终，依照《刑法》规定，判决被告人覃其胜犯盗窃罪，判处有期徒刑10年6个月，罚金人民币11000元，剥夺政治权利2年。

实际上，一审宣判后，覃其胜不服判决提出上诉。

称其只是在未报备的情况下违规进行了漏洞测试，通过测试也实际发现了系统漏洞，其没有非法占有的目的，其不构成盗窃罪。

然而对上述申诉，北京市第三中级人民法院并不认同，法院认为一审事实清楚，量刑适当。裁定驳回上诉维持原判。

现在，这桩“银行内鬼”、“技术犯罪”的案件，通过裁判文书完整披露。

也不知了解事情完整来龙去脉的你作何感想，不过网上评论可一秀更比一秀强：

网友：麻烦把饭卡安排一下

脑子是个好东西，虽然不是谁都有，但是有脑子的竟然用来犯法，真是可惜了。

想偷银行的钱，学好了技术之后还要学做假账啊。

“我只是在测试，测试啊！程序员的事，怎么能叫偷呢？”

一大群眼馋的吃瓜群众出现了：

拜托醒醒啊，工头喊搬砖了！

连食堂的羊毛都想薅？

想多了，马爸爸不会让你办到的。

还有网友迅速发现了此案疑点：

一个技术处长，居然头发还这么多，发际线也相对美观，实在令人诧异。

一年多才查出来，中间还经历了2016、2017两个年底，就不怕内鬼跑路了啊？

微博的技术专家胡忠想开玩笑说，做了他一直想做的事。

但是，马上就有网友艾特了微博老大来去之间。

量子位算了算，717.9万就算年利率破天荒到10%，也不到72万，算上十年半牢饭，年薪也只有6.8万，这还不算被罚款的11000和十年半的通货膨胀……

麻烦段子手们讲笑话不要这么冷……量子位在零下7度的老家冻得打了个寒颤。

也顺口号召一句：技术致富要走正道……

— 完 —