幹貨!技術防禦互聯網金融平臺盜刷
卡不離身,錢卻早已不翼而飛,類似這種新聞越來越多的出現在公眾的視野中,這就是銀行卡“盜刷”。讓人不安的是,這種“盜刷”行為越來越多的出現在了互聯網金融平臺上,讓許多用戶損失慘重。
互聯網金融經過近幾年的瘋狂生長,目前大小平臺有超過4000家,但各平臺的安全防護能力參差不齊,由於金融產品交易的特殊性,互聯網金融平臺逐漸成為騙子盯上的一塊香餑餑。
我們簡單地對互聯網金融平臺的盜刷事件進行了一下調查,就發現網貸之家關於銀行卡盜刷的帖子有近千個。業內某個著名的基金電銷平臺, 2016年8月第一周就出現600多人被盜刷。
大量的盜刷行為正在互聯網金融領域引發一場“火災”。
綁卡就是導火索
傳統盜刷行為往往通過綁定第三方支付平臺,隨後在電商平臺分散消費轉移資金,騙子通過在電商網站上大量分散地購買遊戲點卡、景點門票、酒店等商品進行資金轉移和提現。但分散消費會涉及第三方支付平臺和商品提供方,一方面異常消費可能被攔截,另一方面相關信息可能會暴露詐騙者的信息。所以對詐騙團夥而言,在電商平臺上盜刷,額度小、提現難、隱蔽性差,隨著第三方支付平臺風控措施的加強,難度也越來越大。
所以,相對於電商平臺,騙子似乎現在更喜歡攻擊互聯網金融平臺。通過攻擊互聯網金融平臺的綁卡環節,騙子可以獲得用戶的支付權限。互聯網金融平臺不涉及第三方支付和商品提供方,騙子作案比較隱蔽,同時因為是金融賬戶,用戶卡內金額往往也比較大,一旦獲得支付權限,騙子就可以用用戶的信息重新辦一張銀行卡綁定,然後將錢一次性轉走,用戶往往損失慘重。
如果盜刷行為是一場火災,那麽互聯網金融平臺的綁卡環節就是引發火災的易燃物,但是,攻和守是一對矛盾。只要我們防守好綁卡環節,盜刷引發的各種火險隱患就可以被我們消除。
常見“火災”起因
小額打款綁卡
一種相對簡陋的綁卡方式,平臺通過用戶賬戶、姓名給用戶打入一筆小金額,用戶正確提交入賬金額給平臺,由此確定用戶對卡的所有權,完成綁卡。但是由於在銀行的安全體系里,賬戶的查詢權限比支付權限要低很多,渠道相對便捷,詐騙團夥通過簡化版網銀或通過銀行客服電話等查詢余額,完成銀行卡所有權的認證之後,就可以將卡的查詢權限提升為支付權限,隱患很大。
小額轉賬綁卡
與小額打款綁卡類似,把平臺轉賬給用戶變成了用戶轉賬給平臺,因此需要用戶擁有銀行卡的轉賬權限。由於能夠最大限度保證持卡人的賬戶安全,因此,雖然操作轉賬相對麻煩導致用戶體驗上會打折扣,這種方式在互聯網金融平臺中接受度較高。但是,由於目前銀行在做各種體驗升級,每個銀行的安全級別不盡相同,有些銀行做創新業務嘗試,很可能小金額的轉賬需要的授權級別比較低,如果被騙子突破用於綁卡,即可在平臺實現大金額的投資交易。
四要素綁卡
目前最快捷的綁卡方式,最早應用於支付寶等第三方支付平臺的銀行卡鑒權,經多年驗證,安全級別較高。但這種綁卡方式依賴於用戶的銀行預留手機號的短信驗證碼,因此對短信運營商的安全措施和用戶的手機信息安全要求都很高。
然而事實證明,短信驗證碼很容易泄露。此前有過騙子通過移動運營商的“短信保管箱”業務盜取用戶驗證碼進行盜刷的情況;同時騙子還可以通過偽基站、病毒鏈接、病毒二維碼等植入手機木馬攔截短信,以及通過社交工具偽裝熟人騙取短信驗證碼。
四要素加取款密碼綁卡
在驗證了四要素信息及銀行預留手機號驗證碼後,附加銀行卡取款密碼。這也是目前銀聯等推行的更安全的驗證方式。但是讓用戶在互聯網平臺上輸入銀行卡取款密碼需要很強的信任感,同時取款密碼的輸入也依賴各類插件或者SDK等,對平臺的集成難度加大,也影響平臺體驗的統一,因此目前使用此類方式綁卡的平臺不多。同時這種綁卡方式也不是無限可擊,雖然多了一層密碼保護,增加了騙子盜取的難度,但是目前密碼泄露非常嚴重,更何況很多人的密碼其實和他們的個人信息相關。因此這種綁卡方式雖然安全性有所提高,但是使用率也不高。
小結一張表格,綜述一下互聯網金融平臺幾種綁卡方法的特點
安全性
便捷性
使用率
小額打款綁卡
█
████
█
小額轉賬綁卡
████
██
███
四要素綁卡
████
███
████
四要素+取款密碼綁卡
█████
█
█
平臺如何“防火”
1.
即資金與銀行卡完全綁定,確保從哪里投資回哪里去,實現資金的閉環,典型的案例如券商的銀證賬戶。
同卡進出可以最大限度保障資金安全,即使發生盜刷,資金最終還是只能在同一張銀行卡內流轉,騙子無法取走。因此,當前券商、基金、保險的用戶資金幾乎都是同卡進出,互聯網金融平臺也越來越多的采用同卡進出的方案,這是平臺確保客戶資金安全的一把金鎖。
2.
雖然平臺可以通過“同卡進出”掐斷提現,但是騙子的騙術層出不窮,總能找到突破口。
有一個典型案例:一個老阿姨因為信息泄露同時驗證碼被騙子通過社交工具騙取,最終在某平臺上被盜刷,完成了150萬的基金交易,在她發現異常後直接致電銀行否認交易,而基金銷售平臺的投資資金都是同卡進出,因此最終平臺幫忙撤單,並告訴她錢在下午3點後到賬。這時騙子冒充網警調查人員給老阿姨打電話說她的賬戶涉及銀行卡詐騙要凍結賬戶,要求她將錢轉到所謂“安全賬戶”內,因為騙子描述的信息非常準確,阿姨沒有起疑心,最終親手把把剛剛追回來的被盜資金轉給了騙子。
在這個案例中,雖然最終的被騙與互聯網金融平臺沒有直接關系,但是互金平臺還是有提醒和教育用戶的責任和義務。比如可以提醒用戶註意防範騙子偽裝成熟人、警察,不要相信所謂“安全賬戶”、不要泄露短信驗證碼、不要點擊陌生鏈接、不要隨意輸入銀行卡密碼等個人信息等。
3.
遠期來看,互聯網金融平臺還可以嘗試一些更有效更有力的風控措施,增加驗證手段,提高信息盜取的難度,例如將四要素認證升級為卡密認證,以及增加視頻認證等,大大增加詐騙行為的實施難度。
與此同時,互聯網金融平臺可以利用行業內的風險數據的黑名單庫,通過接入一些第三方平臺可以進行匹配查詢,進而識別風險用戶。
此外,還可以加強行為分析風控。通過行為分析、關系網分析等對風險行為進行識別,進而及時制止。還可以通過機器學習逐步建立和完善風險識別模型。國內某大型第三方支付公司通過賬戶、身份、交易、行為、關系、設備、位置、偏好8個維度進行風險掃描,識別並攔截大量盜刷行為。目前,其資損率為十萬分之一,識別率非常高,而Paypal的資損率約千分之二。而對於還沒有組建起類似的能力的平臺,可通過引進第三方風控公司的系統進行主動防禦。
面對騙子的瘋狂盜刷,作為互聯網金融平臺有責任做出有力的應對,如果連用戶的資金安全都無法保證,何談理財?但是我們也應該認識到,騙子的詐騙手段層出不窮,永遠都沒有一勞永逸的措施,兵來將擋水來土掩,相信隨著技術水平的提高和互聯網金融平臺風控措施的加強,騙子們的生存空間將會越來越小。
(作者簡介:TIM HUANG 財富派互聯網產品部高級經理)
央視曝光宿遷POS機盜刷案 揭秘背後的灰色利益鏈
來源: http://www.nbd.com.cn/articles/2016-12-07/1059693.html
每經記者 夏冰 每經編輯 吳悅
銀行卡在自己手里,錢卻被盜刷了。這邊“電信詐騙”頻頻登上熱搜榜,那邊“銀行卡盜刷”同樣讓你直呼難以防範。
據央視《焦點訪談》12月6日晚報道,前不久,江蘇宿遷等地警方破獲多起新型盜刷銀行卡的案件。警方發現,這是一種盜刷銀行卡的新手法:不法分子通過改裝POS機,盜取卡號和密碼進行盜刷,讓群眾財產受損。這種作案手法十發隱秘、不易察覺,普通用戶很難防範。
《每日經濟新聞》記者註意到,仔細剖析這起案件的過程,POS機生產廠家和第三方支付機構違規操作,給了犯罪分子可乘之機。那麽如果就此造成的損失,受害者該如何維權?在第三方支付機構陸續遭到央行處罰背後,監管部門是否能從從源頭上對第三方支付機構加大審查管理力度呢?
案情:辦理POS機300多臺 瘋狂盜刷作案
來自央視上述報道稱,今年3月1號到6號,江蘇省宿遷市警方接連接到群眾報案,反映他們的銀行卡被盜刷。警方調查中發現,在短短的6天時間,8起盜刷案件涉案金額62萬多元。經偵查,犯罪嫌疑人洪某某在瑞銀信、樂富、拉卡拉等第三方支付機構辦理POS機300多臺,用於盜取卡號和密碼進行盜刷。
據警方通報,根據偵查,共抓獲洪某某、貢某等犯罪嫌疑人16名,涉案金額1000多萬元,案件涉及全國18個省市共200多起。其中,最大一筆一次盜刷人民幣91萬元。
那麽,犯罪分子為何能屢屢得手?
辦案人員分析,利用POS機作案之所以能得手,首先是部分廠家生產的POS機存在技術缺陷,按照POS機安全規範要求,POS機應該是拆機即毀。但本案中,犯罪嫌疑人貢某、廖某某購買的聯迪E550型POS機卻沒有這個功能。
POS機這第一關沒有守住,在接下去的使用POS機開展收單業務的第三方支付機構如果依規進行防範,那諸如此類的“盜刷銀行卡”問題也能在一定程度上減少。但在央視曝光的本案中,“特約商戶需要在第三方支付機構註冊入網,這樣才能經營POS機業務。入網前,第三方收單機構應對特約商戶嚴格審核營業執照、稅務登記證、有效身份證件等”這樣的硬性規定,被卻形同虛設了。
據警方通報,在查扣的犯罪嫌疑人洪某某的電腦里發現,有大量的手持身份證的照片,這些都是他花錢買來用於辦理POS機的。
對於上述案件,《每日經濟新聞》記者第一時間聯系了拉卡拉方面,該公司給予記者的回複聲明中稱,“涉案的300多臺終端中,拉卡拉僅涉及1臺,累計交易114筆,均為100元以下的小額借記卡交易,涉及金額9420.6元,占全部涉案金額六十多萬的不到0.1%,未發生信息泄露。”
拉卡拉方面表示,在本案中,該公司不是犯罪分子轉移資金的通道,而是用於測試銀行密碼準確性。該案發生後,拉卡拉也已第一時間關閉涉及終端的銀行卡交易功能,同時,該公司也已將涉及商戶的相關信息納入公司黑名單庫。並向中國銀聯風險信息共享系統報送黑名單,防範該商戶改頭換面重新入網。拉卡拉表示,相關情況已向監管部門提交整改匯報。
揭秘:盜刷銀行卡暗藏灰色利益鏈
那麽,上述案件中這些POS是如何得到的呢?《每日經濟新聞》記者通過一些了解業內“潛規則”的人士窺見了一些門道。
“虛假入網多是POS機代理商所為。”吳華(化名)在上海開了一家文化用品禮品公司,此前,她通過POS機代理商安裝過兩臺POS機,通過她過去接觸的幾家代理商,她向《每日經濟新聞》記者反映:“我之前作為一個正常商戶,提供完整資料信息向第三方支付公司申請POS機業務,但材料送上去審核是各種理由不通過,第三方支付公司會讓你反複補充資料。但是,通過某些非正常途徑的代理商卻能將資料輕易審核通過。”
吳華告訴記者,做這些第三方支付POS機業務的代理商,原本安裝一臺POS機可賺200元,由於這些大代理商下面還有不少分代理,因此,他們需要不斷地有商戶開戶才能盈利。但在實際操作過程中,因為嚴格的限制規範,很多正常商戶想要申請POS機卻是很難的,所以很多代理商為了拓展商戶,就會協助他們以其他商戶的名義申請入戶。“正常走銀聯渠道的POS機審核至少需要10天左右,非正常渠道的POS機審核有些當天就能出機器了。”
記者註意到,目前,我國可以使用POS機收單銀行卡的分為銀行系統和第三方支付機構,在實名制管理的要求之下,像貢某等特約商戶在第三方支付機構註冊入網時,需提交營業執照、稅務登記證、有效身份證件等,才能經營POS機業務。
然而,很多第三方支付機構卻無視這樣的硬性要求,這才出現上述案件中的犯罪嫌疑人通過幾家第三方支付機構辦理POS機300多臺用於作案的情況。
此外,按照規定,對實體特約商戶,第三方收單機構不得跨省級行政區域開展收單業務。而洪某某常住深圳,他所辦理的300多臺POS機虛假註冊的地址遍及山東、河南、湖北等十多個省份,在全國多地使用。
按規定,上述虛假商戶入網、POS機違規跨區域使用等問題,應由中國人民銀行分支機構責令第三方支付機構整改,並對其處以1萬到3萬元的罰款。
采訪中,上海某第三方支付公司的一位高層還向《每日經濟新聞》記者透露,“發生這種盜刷行為,商戶肯定有責任的。因為第三方支付公司對商戶有核實商戶要素的要求,一般要驗證身份證、銀行卡預留手機號、銀行卡號、密碼、芯片卡等要素。假如說單筆支付金額越大,驗證要素就越多。”
他向記者補充說道:“POS機作為一種銀行卡支付的工具,安全性有很高的要求。支付公司無論是通過代理商,還是自營,都要完成一系列要素的驗證;除此之外,對商戶的審核也要嚴格。支付公司為商戶提供的支付通道是建立在真實貿易和持卡人真實意願兩個基礎上的。而上述案例中,有些支付公司就沒盡到這兩個基本的責任。”
後續:第三方支付監管亟待加強
如果說上述虛假商戶入網、POS機違規跨區域使用等情況,均為第三方支付公司的違規操作讓犯罪分子第一關有機可乘,那麽,接下來在銀行這一關,由於沒有按規定關閉降級交易渠道,才最終讓犯罪分子徹底暢通無阻。
早在2014年,中國人民銀行下發了《關於逐步關閉金融IC卡降級交易有關事項的通知》,明確要求各發卡銀行、收單機構於2014年底前,全部關閉金融IC卡、POS機等線下渠道的降級交易。但在本案中,銀行方面也存在管理漏洞,並沒有執行這一要求。
據悉,本案中,犯罪嫌疑人廖某某就用一臺老式電話POS機盜刷150多萬元,涉及工商銀行、農業銀行、中國銀行、建設銀行、交通銀行五大國有商業銀行及廣東華興銀行,這六家銀行都沒有關閉降級交易渠道。
通過以上案件和分析不難發現,第三方支付作為一種新興的支付機構,其所代表的支付方式更為便捷,但也容易出現紕漏。隨著第三方支付的蓬勃發展,隱藏在其背後的刑事風險也日益凸顯。第三方支付系統中的一些漏洞,一旦被犯罪分子利用,就會對用戶利益造成破壞,甚至釀成地區性的金融事件。
事實上,從年初至今,央行對於第三方支付的行業整治力度一直在加大,一方面開展支付機構備付金風險和跨機構清算業務整治,嚴格支付機構市場準入和監管,加大違規處罰;另一方面則開展無證經營支付業務的整治。數據顯示,從去年底到今年初,短短半年的時間,央行已註銷4家支付公司的業務牌照,累計對7家支付機構處以罰沒逾1億元。自今年1月至10月以來,被央行開過罰單的第三方支付機構已有22家。
那麽,如何防範這種新型犯罪手段?如果發生這種被盜刷行為後,相關的第三方支付機構是否該承擔刑責?普通消費者、受害者應該怎麽進行維權?
對此,互聯網金融業資深律師、大成律師事務所律師肖颯對《每日經濟新聞》記者指出,相關支付機構不承擔刑事責任,因為支付機構並沒有實施詐騙等犯罪行為,也沒有明知他人實施犯罪行為而提供幫助。
其次,相關支付機構應在過錯範圍內,依法承擔民事責任,民事責任的類型是侵權責任。就侵權責任而言,支付機構根據責任大小承擔侵權責任。
對於受害人的維權問題,肖颯指出,受害人應當舉證。比如開通第三方支付時候的協議,資金轉移的證明,以及刑事判決書等能夠證明事實的材料。
就如何杜絕防範此類事件而言,肖颯律師建議:一方面,要增強支付知識的學習,了解支付規定與政策;另一方面,不能貪圖便宜,不參與違法金融活動。
盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬
來源: http://www.iheima.com/zixun/2017/0309/161769.shtml
盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬
一本財經
本文由一本財經(微信ID: yibencaijing)授權i黑馬發布,作者零和。
近兩年,消費金融上升為互聯網金融的頭把交椅,火爆異常。
一群盜刷銀行卡的黑產人員,在消費金融崛起後,尾隨而來。
他們整合各個渠道泄露的用戶信息,就像完成一幅拼圖般,精心拼湊。
一旦鎖定目標,他們招數百變地專營各種漏洞,配合新式設備,進行大規模清洗。
一本財經追尋著盜刷的線索,步步深入,發現背後形成一個龐大的盜刷帝國。
這是一個暴利的地下世界,這里有一夜暴富的傳奇,也有頃刻顛覆的巨浪…
01帝國
陰冷的午後,太陽在霧霾之後,只剩沒有溫度的灰黃。
黑客VV帶著一個骷髏頭的頭罩,出現在火鍋店的門口,他說:“剛做了幾單大的,犒勞一下兄弟們。”
所謂幾單大的,就是一個晚上,“盜刷了十幾個賬號,掙了近10萬”。
VV此前,專職做銀行卡盜刷,近兩年消費金融的空前繁榮,“黑產很多人順著這波浪潮,湧入新興產業中”。
這個只有21歲的年輕人,從事消費金融盜刷一個多年頭,在網絡上,算資深玩家。
VV手底帶了2個人,“這個小小的工作室,月入百萬”。
從2014年開始,眾多消費金融平臺開通“透支”、“零首付分期”功能。
根據用戶的信用消費記錄,平臺提供一定的“透支”額度,購買商品,最典型的就是螞蟻花唄。
這些平臺,正在成為黑產眼中的肥肉。
對於他們來說,用盜刷傳統銀行卡的手段,來盜刷網上的消費金融,就是降維攻擊。
“因為很多用戶名和密碼,可以從網絡上輕易獲取”,VV稱,“任何漏洞,都會被我們利用”。
在這片利益泛濫的江湖,任何小漏洞,都會被黑產深挖成金錢和欲望的洞口。
尋著VV這條線索,我們追蹤其下——一個龐大的黑暗帝國,從雲霧下緩緩呈現。
02黑料
VV如一根繩子,將產業鏈上所有的人,連珠成串。
這個產業鏈的開端,來自黑料。
那些在黑市中,被反複清洗的、有金融價值的用戶信息,這就是傳說中的“黑料”。
一般一個可登陸的金融賬號和密碼,在黑市上售價0.5元到5元不等。
按照行規,對於數據來源,“不可多問”,VV也並不關心,他只關心數據是否優秀。
黑料的來源眾多,而最直接的,就是黑客入侵某些平臺,從後臺,將整個用戶信息數據庫,拖出來——行話叫“拖庫”。
這些數據庫,會在黑市上流通,被反複清洗、榨取價值,“直到渣渣都不剩下”。
通常,VV獲得了一批賬號和密碼後,就開始“信息修複”。
“每個黑客的攻擊手法都不同,破解的方式也千奇百怪,沒有統一的作戰方式”,VV將攻防之間的戰爭,比喻為入侵一座城堡。
盡管有護城河、城墻,但攻擊者,可以從正門攻,也可以從地下挖地道,甚至逮住一個老鼠洞,都能鉆進來,防不勝防。
這也是攻守力量懸殊的原因。
VV和他的團隊,在實戰中,也總結了一套獨特戰術。
現在大部分消費金融平臺的賬號,都會設置“支付密碼”,和登錄密碼不同,因此,第一步,就是突破支付密碼。
VV的攻破方式,是通過社工庫,尋找這個賬戶曾經用過的其他密碼。
所謂社工庫,就是黑產的地下數據庫,其廣博的深度,恐怕不比任何“大數據公司”差。黑客們盜取的數據,都留存在社工庫中,供黑客們查詢。
“社工庫的數據,可查詢到身份證號、銀行卡號、常用密碼、家庭住址,甚至開房記錄等眾多維度數據”,VV通過社工庫和他的黑市數據搜索,就找到了每個賬號之下,可能使用的其他密碼。
“人類設計密碼是有缺陷的,大部分人最多只有4個常用密碼,一旦超過4個,就經常記混”,VV稱,正因為如此,一家賬號泄露,就會殃及池魚。
有了雙密之後,幾乎鎖定可入侵目標,剩下的操作手段,更是花招百出。
但萬變不離其宗的一條定理是:短信正在成為最關鍵的“Key”,成為核心的安全閥門。
這是因為,大部分平臺都會通過發送短信驗證碼的方式,來驗證是否為用戶本人的操作。
一般掌控這個“安全閥門”,只要有兩個手段,一個是修改“綁定的手機號”,一個就是“劫持短信”。
修改綁定手機號,就是鉆營各大平臺的風控漏洞,VV將其為“老鼠洞式”的入侵。
VV回憶稱:“一年前,很多金融平臺修改綁定手機規則比較簡單,只需要支付密碼就能修改,到後來,又需要提供銀行卡和支付密碼修改,可這些信息,黑客幾乎都能通過社工庫獲得,成了盜刷黑產的盛宴。”
在這場攻防大戰中,雙方在過招中相互制衡成長——風控規則不停地變,黑客就見招拆招。
“我聽說曾經一幫盜刷者,會用一個新號碼給客服打電話,說自己原來的手機丟失,只要提供身份證、銀行卡、最近收貨地址、購買物品等信息後,也能修改手機號”,VV稱,盜刷者會花樣觸底,來測試風控的底線。
有些盜刷者,甚至手機號都不改。
他們在發貨後,直接給後臺店鋪留言,要求修改送貨地址。
而一些雲端漏洞,也開始被頻繁利用。
日前,有媒體報道稱,何先生遭遇手機鎖死、頻繁關機後被盜刷,損失5.3萬元。
結果發現,黑客破解他的360智能手機雲服務平臺,其中有一個“回複短信”的接口,可以從雲端回複短信。
黑客利用回複功能,讓何先生的手機卡,綁定了一張“副卡”,可以同步接受到他的驗證碼,因此完成盜刷。
作為最後安全閥門的短信,真的還安全嗎?
針對無孔不入的黑產,很多平臺不得不制定更為嚴苛的風控規則,封堵漏洞。
“但控制一個人手機的方式很多,漏洞也很多,修補上一個,我們再換另一個”,VV稱,給用戶的手機種上木馬,依然是成本最低的方式。
此時,傳說中的第二種方式開始浮出水面——“短信攔截馬”。
03馬子
黑產鏈條,就像一部無人值守,卻能自行運作的機器。
有意思的是,似乎沒有哪個產業鏈,在毫無組織、全部匿名的情況下,能如此有條不紊的進行,配合得嚴絲合縫。
唯一的動力源,就是暴利。
“馬子包月500元”,黑客小N是一個圈內知名的馬子供應商。
因為他技術不錯,編寫的馬子(行話,就是病毒和木馬)出戰,無往不利,因此名望很高。
馬子包月的意思是,只能在一個月內“免殺”(不被殺毒軟件絞殺),如果還需要繼續使用,就需要“續費”。
而“短信攔截馬”,就是小N開發的核心產品。
不要小看這個木馬,一旦安裝成功,就可以攔截用戶短信。
VV會將這個木馬通過短信、社交軟件發送到用戶手機上,形式可以是網址,也可能是一張美女圖片或視頻,甚至是一句誘人的話。
“有時候我們會通過手機號,找到用戶的社交軟件,加上好友,再發送病毒”,VV稱。
用戶一旦激活木馬,就會要求下載一個插件。
這個插件就是木馬包,一旦安裝,短信將會完全被黑客監管。用戶收到任何一條驗證碼,就會同時發送到VV綁定的郵箱中,或者直接攔截用戶短信,讓他完全收不到。
或者,直接發送到小N指定的手機號碼中。
一些黑客,開始研究新式馬子——通過社交平臺,以“紅包”“現金券”等方式釣魚。
“鐵騎”是一位專註研究新馬子的黑客。
“現在人們的防範意識也提高,通過短信點擊網址的幾率,越來越小”,這也是鐵騎開始研發新馬子的初衷。
社交時代,最能引發點擊欲的,無疑是微信紅包。
“我們通過微信小號,給微信好友群發紅包,看起來是個紅包,實際上是一個網頁”,鐵騎並不通過微信群捕魚,因為總會“聰明人”提示異常,很快就會被踢群。
而單點擊破的可能性更大,春節期間群發,效果更佳。
當用戶領取了紅包後,就會跳出“現在領取紅包的人太多,請先進行提現哦”的提示,這個時候,一般的黑客會再植入一個頁面,套取用戶的銀行卡信息,最後再安裝“短信攔截馬”。
“現在市面上流通的木馬,多為安卓系統的”,鐵騎說,對於蘋果用戶,只能通過網頁木馬,“但對方一旦關閉網頁,對短信的攔截就會失效”。
而拿下蘋果系統,目前已成為黑產中頂級黑客們的堡壘戰,至於是否攻破——起碼黑市上,還沒有開始大面積流通。
不論是小N還是鐵騎,一般都通過QQ交易——這明顯是目前匿名性最強的社交工具。
因為涉及黑產太深,小N註冊的上百個QQ號都曾被“封號”。
“幾千個客戶,說沒就沒”,小N在巔峰時期,一個月銷售“馬子”,可賺20多萬。
“一個號的生命周期也就一兩個月,還好圈內有一點名氣了,註冊了新號,大家還會慕名而來”,小N說。
04上帝模式
馬子黑客,一般都藏在最深的幕後,他們通常懂些技術,也可編寫小工具,他們給整條產業鏈,提供“技術”支持。
而另外一撥人,則給產業鏈提供“設備”支持。
VV會積攢一段時間賬號的素材,定時會對一些賬號集中區域,進行集中清洗。
而使用的設備,就是偽基站。
“一旦使用了偽基站,就開啟了上帝模式”,VV稱。
和VV長期合作的偽基站搭檔,叫“賓利”,他的偽基站設備,著實簡陋。
“一臺電腦,一臺主機,一個發射器,一根天線,這就是我全部的設備”,這套設備,由短信群發的設備改裝而來,雖然簡陋,卻頗為好使。
偽基站的作用,和運營商的基站一樣,可以攔截用戶短信、通話等功能。
當賓利的“偽基站”開始啟動,方圓1.5公里的用戶的手機,都在他監控和操縱範圍內。
實際上,偽基站的價格,頗為便宜。
“黑市上的價格是六七千,如果從廣東的廠家直接拿貨,只需要3700元”,賓利稱。
而VV租用設備一個晚上的價格,只需要300元。
如今,偽基站正在成為入侵的利器。
VV和賓利旁邊配合下,登錄用戶賬號開始盜刷後,可以直接讓用戶手機“停機”、“無信號”,也可以截獲所有短信記錄。
“而偽基站,正在升級”,一位不願具名的黑產人員透露,現在“組合基站”開始出現,功能模塊可以隨意組合,同時運行,“而有限距離,也大大增強,已可做到方圓10公里”。
組合基站不僅可以截獲短信、通訊、釣魚WiFi等基礎功能,甚至可以讀取通訊錄、安裝APP數據,甚至聊天記錄,堪比PC時代的遠程操控“肉雞”劫持。
此時,才是真正的上帝模式——黑產也到了一個技術飛躍的關鍵節點,而其釋放的黑暗力量,不得不讓人恐懼。
不管是偽基站還是木馬,核心的邏輯,都是控制短信,截獲驗證碼。
05套現者
當VV開始實施盜刷時,產業鏈最後端的套現者,開始浮出水面。
白夜已從事套現生意2年了,他接兩種單子:黑與白。
所謂的“白單”,就是一些用戶自己缺錢,試圖套現。
“一般虛擬物品,我收20%的返點,如果走物流,我收10到15%的返點”,白夜稱,然而大部分人,拿不到套現。
“很多人錢一打過來,我們就直接拉黑”,而用戶自己違規操作在先,也不會報警,正是抓住了這點,白夜出手狠辣,毫無留情。
除非他覺得對方還能給他拉來更多“生意”,否則就是“一錘子買賣,逮住一個傻子算一個”。
一般走物流的話,白夜就會將指定商品發給用戶,用戶下單後用透支功能付款。
第二天配送時,用戶需要發送一條短信給快遞員:“師傅您好,我是某某,訂單請給我的朋友某人簽收”,並留下簽收人的電話。
“一旦對方發送了這條短信,我就馬上拉黑”,白夜稱,快遞員收到這條短信後,就可以完全從這次騙局中全身而退,平臺無法再對他們追責。
而實際上,這些送貨的快遞員,都和白夜相勾結,“每次給他們10%到20%的返點”。
而黑客們找過來的,就是黑單。
VV和白夜密切配合。開始盜刷前,還會有一些套路。
比如,為了迷惑用戶,VV會先用一個“短信轟炸器”,轟炸用戶的手機,一下蹦出來幾十條各個平臺的驗證碼短信,“目的就是迷惑用戶,然後將盜刷平臺的驗證碼藏在其中,一般用戶只會認為是騷擾,就不會打開賬戶來查看信息”。
短信驗證碼轟炸
緊接著,白夜會給提供下單的物品和地址,VV操控著盜刷的賬號下單。
首先盜刷的,是虛擬物品,比如QQ幣、話費、油卡等。
因為虛擬物品不需要物流,更容易套現。一般平臺也為防止大規模套現,對虛擬物品的額度較低,一般只有幾百元。
虛擬物品之後,盜刷物品才是更為複雜得產業鏈。
“手機、電腦、手表、金項鏈、茅臺,一般都是這些好變現的商品”,VV也會偶爾給自己刷點生活用品。
在一本財經采訪的盜刷受害者中,有人被盜刷了10袋大米、2箱可樂、甚至避孕套等物品。
“通常我會將收貨地址,填寫為非固定地址,比如,某煙酒超市、某街道口、快餐店門口等,收貨人聯系方式,更換成接頭人電話”,白夜稱,“快遞員都是熟人,會在指定地點,將貨送到接頭人手中”。
而這些物品“變現”,依然需要白夜出場。
而他的下遊,還有一些渠道“銷贓”,將這些盜刷物品套現。物品會流向專門的二手黑市,比如一個全新的iPhone,打8折出售。
對於黑單,一般白夜要提更高的返點,虛擬物品40%,貨物物流30%。
前幾日和VV的一次合作,白夜就掙了2萬元。他一個月純利潤,大概10萬左右。
他們是這條產業鏈中的“銷臟者”。
在各大QQ群中,聚集著大量的套現者,他們公開“招商”“招中介”,任何能提供分期購物的平臺,都會成為他們的套現對象。
06刀口舔血
在各大平臺的“盜刷維權群”里,每天都會增加兩到三位被盜刷者,過來尋找同盟。
他們普遍認為,是平臺漏洞,導致了賬號外泄,才會引發後續一系列的盜刷事件;而平臺的風控規則不嚴,也讓盜刷得以實施。
“現在每天,我的滯納金都在上漲,我擔心這影響我的征信記錄”,被盜刷者羅青稱。
但目前各家平臺對於盜刷事件,很難做到“全盤接受”——他們擔心被反向利用,用戶自己刷了,然後說是黑客幹的。
關於人性的惡與善,在利益的碰撞中,就會無限放大。
“每一個案件都是複雜的,恐怕很難找到統一的解決方式”,VV稱,有些盜刷完全是因為賬號外泄和風控漏洞,有些用戶自身不謹慎,中了木馬。
要完全解開這個結,恐怕需要多方合力。
運營商,堵上偽基站的漏洞;各個平臺,安全和風控提高;用戶,安全意識提升,一個都不能少。
至於這條黑產,恐怕難以完全絞殺,在利益面前,他們寧願過著“刀口舔血”的高危生活。
而盜刷者,多是團夥合作,每個團夥的攻擊和入侵方式都不相同。
一本財經深挖VV這條線索,就花費2個月的時間,而大部分的團夥,還深藏地下某個黑暗角落。
由VV串聯的這條線,每個月會產生百萬收益,所有的人再來分食。
但,暴利的背後,同樣面臨著高風險。
各大黑產群活躍的一位“師傅”,幾天前突然人間蒸發。
和“師傅”相熟的一位黑客稱,“師傅”被警方盯上,“恐怕已經進去了”。
“常在河邊走,哪有不濕鞋?”師傅出事的消息,讓圈內人心惶惶,VV也準備金盆洗手,帶著兩個兄弟撤退。
很多“涉黑”人員,一轉身,就會變成公司的“安全人員”,由攻變守,由黑到白,似乎只是一線之間。
突然消失,在這里是經常的故事——可能是隱退,也可能,就是再也回不來了。
在這個暴利的盜刷帝國中,有暴富的神話,也有隱退的洗白,也有瞬間傾覆的驚濤駭浪。
結尾
互聯網消費金融,成為黑產攻堅對象。
從信用卡到消費金融,黑產也迎來了轉型升級的關鍵時刻。
黑產如猛獸般,正在草叢後匍匐,等待新羊群松懈的那一刻……
[本文由一本財經(微信ID: yibencaijing)授權i黑馬發布,作者零和。文中所述為作者獨立觀點,不代表i黑馬立場。推薦關註i黑馬訂閱號(ID:iheima)。]
互聯網金融
贊(...)
分享到:
匿名用戶
