话说,前不久,有两位中国留学生在英国,用了一个很多人都忽视的系统小漏洞,“获利”了超过14万英镑(约合人民币140万)。
他们没有黑客技术,也没有入侵后台系统,甚至连实体设备都没动过,只是买票、退票、再申请赔偿,一套操作全部在线上完成。
他们怎么做的?为什么能成功持续两年?铁路公司和警方是怎么发现的?结局又是如何?
今天我们就来讲讲这两位留学生的搞钱经历。
这件事发生在英国,背景是英国铁路公司的一个乘客权益制度,名字叫做Delay Repay。
简单来说,任何乘客如果所乘列车晚点超过一定时间(通常是15分钟或30分钟),都可以在线申请赔偿。这个机制原本用来鼓励铁路公司准点发车,同时给乘客一点补偿。
它的逻辑是:你买票坐车 → 火车晚点 → 系统认定铁路公司服务未达标 → 给你一定比例退款。
听上去很合理,但问题在于,这个流程从购票到申请,全都依赖乘客的主动操作和自我申报。系统并不会自动核查“你是否真的登上了那趟车”,甚至连你是否已经把票退了,它都不查。
换句话说,这种制度建立在“用户不会撒谎”的前提下。但如果这个假设出错了,会发生什么?
这就是这两位中国留学生做的事。
这两位留学生,Li Liu(26岁)和 Wanqing Yu(25岁),都住在英国利兹市的同一个学生公寓里。
从2021年开始,他们发现了这个制度漏洞,决定反复利用这套规则做一个“完全在线”的套利。
他们的操作流程很简单,也看似很正常:
先上网买火车票,然后在发车前退票,拿回购票金额,接着,观察这趟车是否真的晚点。一旦确认晚点,哪怕已经退票,也照样用原始的购票信息申请赔偿。
因为系统从不做交叉验证,每一次他们的申请都顺利通过。而英国铁路公司则往往在一两周内将赔偿金打入申请人提供的账户。
这个流程乍一听像是bug,其实不是,是制度原本就这么设计的。
问题在于,他们没有偶尔操作一两次,而是反复、大量、系统性执行了这个流程两年多。
虽然他们没有什么特殊设备、也没动用编程技能,更没有侵入铁路公司的系统,整个操作用的都是普通购票App、退款入口和公开申请表,但他们还是努力把简单的流程变成了一种规律的收益来源。
比如:
他们研究了英国铁路公司哪些线路晚点最频繁,甚至有哪些时段最可能延误,筛选之后再购买,从而制造“潜在的赔偿机会”。
由于Delay Repay的流程设计宽松,提交信息不复杂,也不要求上传登车证明,更不会要求你解释是否已经退票,所以系统批复顺利。
他们还在手机里使用了一种可以插20张SIM卡的适配器,以便制造出多个手机号码的假象,避免申请时被系统认定为“同一人反复操作”。
同时,他们还开设了多个银行账户,资金分散进入不同渠道,不易被系统识别。
为了防止铁路公司察觉重复申请,他们还伪造了十几个虚假身份,用不同的名字注册账户,用不同的手机号绑定。
这套流程简洁、高效,而且在当时没有被系统发现异常。
等到案件被揭发时,两人的账户里已经累计收到了超过十四万英镑的赔偿金。
其中Li Liu获得的金额超过十四万英镑,具体为141,031英镑,折合人民币约130万元左右。
Wanqing Yu获得的金额也不小,大约15,700多英镑,约合人民币14万元。
这还不包括他们已经申请但尚未到账的部分。
这不是一次偶然得手,而是一种成规模的、持续的套利模式,通过反复利用制度之间的盲点,把整个流程变成了一台“自动打款机”。
这起案件真正开始暴露,是因为有铁路公司注意到了数据异常。
英国铁路公司CrossCountry Trains的风控系统最早发现,有一批申请记录模式极其相似:购票时间、退票时间、申请路径、赔偿金额几乎一致,但提交人身份各异,电话、银行账号也都不一样。
再结合这些人申请的列车几乎都集中在特定线路、特定时间段,系统开始报警。
随后铁路公司将线索移交给英国交通警察局,警方启动了调查。
警方调取了这些账户的申请记录、绑定设备、IP地址、银行流向,最后发现这些不同账户的终点其实都指向了两个真实个体:Li Liu和Wanqing Yu。
在他们的公寓中,警方查获了多张银行卡、身份证明文件、通信设备和用于接收短信验证码的SIM卡适配器。
两人被捕时,已被监控多日,警方掌握了完整证据链。
案件进入法庭后,两人被指控为合谋诈骗和非法持有犯罪所得资金。
在英国刑法体系中,哪怕行为看起来是按流程操作的,只要存在欺骗目的,并从中获利,就构成了诈骗。
目前,Li Liu和Wanqing Yu均认罪。
法院认为,他们对系统的漏洞认知非常清楚,并非无意所得。且两人长期协作,掩盖身份,设置假名假账户,体现出高度的计划性和隐蔽性。
最终,Li Liu被判有期徒刑两年半,即30个月。他是主要操作人,资金流最大,设备最多,主观意图最明确。
Wanqing Yu被判17周监禁。因其角色较次要,操作次数较少,加上在案件调查期间已被羁押,判决后立即获释。
值得注意的是,两人均无前科,在校表现也未被提及负面记录。他们都是英国正规大学的学生,在案发前过着与其他留学生无异的生活。
判决时法官的原话是:“你们发现了一个系统弱点,并选择去滥用它。你们创建了假身份和多个银行账户来掩盖自己的责任,这种行为必须承担后果。”
这起事件中,最大的漏洞不是人为打开的,而是原本就在系统中存在。
退款机制和赔偿机制没有打通、验证环节缺失、信任逻辑过度简化,这些都是技术上可以优化的问题。
但真正使问题放大的,不是漏洞本身,而是反复、系统性利用漏洞的行为。
法院并没有把“系统没有防住”当作减轻罪责的理由。相反,越是清楚地利用漏洞,越会被视为主观故意明确,量刑也越重。
这也是本案的判决逻辑之一。
毕竟,系统的信任本质是脆弱的,公共服务的便捷也往往建立在“用户不会故意滥用”的假设之上。
一旦这种信任被打破,最终受损的,不只是公司或机构,更是所有依赖制度运行的普通人。
希望这个案例能带来一些思考,而不仅仅是惊讶。