ZKIZ Archives


4名臺灣男子在西安ATM機上做手腳 盜刷取現514萬

來源: http://www.nbd.com.cn/articles/2015-12-19/971614.html

短短幾個月時間,4名臺灣籍男子在西安多家銀行的ATM機上安裝盜錄設備,盜取客戶銀行卡磁條信息和密碼後複制偽卡,盜刷取現514萬余元。近日,陜西省西安市中級人民法院依法對該案進行了公開宣判,一審以信用卡詐騙罪分別判處被告人江信噫、蘇爾旋、陳祈達、黃正東十四年至十年有期徒刑。

_____thumb_left.thumb_head

原標題:ATM機上做手腳 竊取他人銀行卡信息

本報訊 (記者  賀雪麗  通訊員  梁 棟  裴 祎)短短幾個月時間,4名臺灣籍男子在西安多家銀行的ATM機上安裝盜錄設備,盜取客戶銀行卡磁條信息和密碼後複制偽卡,盜刷取現514萬余元。近日,陜西省西安市中級人民法院依法對該案進行了公開宣判,一審以信用卡詐騙罪分別判處被告人江信噫、蘇爾旋、陳祈達、黃正東十四年至十年有期徒刑。

法院經審理查明,自2013年8月開始,被告人江信噫(臺灣居民)從被告人陳炎龍(在逃)處購買了筆記本電腦、含有被害人銀行卡信息及密碼的U盤、寫卡器等作案工具後,在江信噫和陳炎龍的指使下,被告人蘇爾旋、黃正東、陳祈達(均系臺灣籍居民)先後在西安市多家銀行的ATM機上安裝讀卡器和攝像頭,盜取被害人銀行卡信息。2013年12月初,被告人江信噫在蘇爾旋、黃正東的幫助下,購買並偽造銀行卡1000余張。隨後,被告人蘇爾旋、黃正東、陳祈達分別持偽造的銀行卡在西安、武漢、臺灣多地對46名被害人的銀行卡卡內資金進行轉賬、提現和刷卡消費,共計人民幣5149301.79元。

法院審理認為,4被告人以非法占有為目的,使用偽造的銀行卡盜取46名被害人共計514.9萬余元,數額特別巨大,均已構成信用卡詐騙罪。宣判後,4名被告人均表示服從判決。

(編輯 姚茂敦 審核 柴剛 終審 塗勁軍)

  • 人民法院報
  • 姚茂敦
  • 賀雪麗 梁 棟 裴 祎

每經網客戶端推薦下載

每經網首頁
名臺 臺灣 男子 西安 ATM 機上 做手腳 盜刷 取現 514
PermaLink: https://articles.zkiz.com/?id=175828

幹貨!技術防禦互聯網金融平臺盜刷

卡不離身,錢卻早已不翼而飛,類似這種新聞越來越多的出現在公眾的視野中,這就是銀行卡“盜刷”。讓人不安的是,這種“盜刷”行為越來越多的出現在了互聯網金融平臺上,讓許多用戶損失慘重。

互聯網金融經過近幾年的瘋狂生長,目前大小平臺有超過4000家,但各平臺的安全防護能力參差不齊,由於金融產品交易的特殊性,互聯網金融平臺逐漸成為騙子盯上的一塊香餑餑。

我們簡單地對互聯網金融平臺的盜刷事件進行了一下調查,就發現網貸之家關於銀行卡盜刷的帖子有近千個。業內某個著名的基金電銷平臺, 2016年8月第一周就出現600多人被盜刷。

大量的盜刷行為正在互聯網金融領域引發一場“火災”。

綁卡就是導火索

傳統盜刷行為往往通過綁定第三方支付平臺,隨後在電商平臺分散消費轉移資金,騙子通過在電商網站上大量分散地購買遊戲點卡、景點門票、酒店等商品進行資金轉移和提現。但分散消費會涉及第三方支付平臺和商品提供方,一方面異常消費可能被攔截,另一方面相關信息可能會暴露詐騙者的信息。所以對詐騙團夥而言,在電商平臺上盜刷,額度小、提現難、隱蔽性差,隨著第三方支付平臺風控措施的加強,難度也越來越大。

所以,相對於電商平臺,騙子似乎現在更喜歡攻擊互聯網金融平臺。通過攻擊互聯網金融平臺的綁卡環節,騙子可以獲得用戶的支付權限。互聯網金融平臺不涉及第三方支付和商品提供方,騙子作案比較隱蔽,同時因為是金融賬戶,用戶卡內金額往往也比較大,一旦獲得支付權限,騙子就可以用用戶的信息重新辦一張銀行卡綁定,然後將錢一次性轉走,用戶往往損失慘重。

如果盜刷行為是一場火災,那麽互聯網金融平臺的綁卡環節就是引發火災的易燃物,但是,攻和守是一對矛盾。只要我們防守好綁卡環節,盜刷引發的各種火險隱患就可以被我們消除。

 

常見“火災”起因

小額打款綁卡

一種相對簡陋的綁卡方式,平臺通過用戶賬戶、姓名給用戶打入一筆小金額,用戶正確提交入賬金額給平臺,由此確定用戶對卡的所有權,完成綁卡。但是由於在銀行的安全體系里,賬戶的查詢權限比支付權限要低很多,渠道相對便捷,詐騙團夥通過簡化版網銀或通過銀行客服電話等查詢余額,完成銀行卡所有權的認證之後,就可以將卡的查詢權限提升為支付權限,隱患很大。

小額轉賬綁卡

與小額打款綁卡類似,把平臺轉賬給用戶變成了用戶轉賬給平臺,因此需要用戶擁有銀行卡的轉賬權限。由於能夠最大限度保證持卡人的賬戶安全,因此,雖然操作轉賬相對麻煩導致用戶體驗上會打折扣,這種方式在互聯網金融平臺中接受度較高。但是,由於目前銀行在做各種體驗升級,每個銀行的安全級別不盡相同,有些銀行做創新業務嘗試,很可能小金額的轉賬需要的授權級別比較低,如果被騙子突破用於綁卡,即可在平臺實現大金額的投資交易。

四要素綁卡

目前最快捷的綁卡方式,最早應用於支付寶等第三方支付平臺的銀行卡鑒權,經多年驗證,安全級別較高。但這種綁卡方式依賴於用戶的銀行預留手機號的短信驗證碼,因此對短信運營商的安全措施和用戶的手機信息安全要求都很高。

然而事實證明,短信驗證碼很容易泄露。此前有過騙子通過移動運營商的“短信保管箱”業務盜取用戶驗證碼進行盜刷的情況;同時騙子還可以通過偽基站、病毒鏈接、病毒二維碼等植入手機木馬攔截短信,以及通過社交工具偽裝熟人騙取短信驗證碼。

四要素加取款密碼綁卡

在驗證了四要素信息及銀行預留手機號驗證碼後,附加銀行卡取款密碼。這也是目前銀聯等推行的更安全的驗證方式。但是讓用戶在互聯網平臺上輸入銀行卡取款密碼需要很強的信任感,同時取款密碼的輸入也依賴各類插件或者SDK等,對平臺的集成難度加大,也影響平臺體驗的統一,因此目前使用此類方式綁卡的平臺不多。同時這種綁卡方式也不是無限可擊,雖然多了一層密碼保護,增加了騙子盜取的難度,但是目前密碼泄露非常嚴重,更何況很多人的密碼其實和他們的個人信息相關。因此這種綁卡方式雖然安全性有所提高,但是使用率也不高。

小結一張表格,綜述一下互聯網金融平臺幾種綁卡方法的特點

 

安全性

便捷性

使用率

小額打款綁卡

████

小額轉賬綁卡

████

██

███

四要素綁卡

████

███

████

四要素+取款密碼綁卡

█████

 

 

平臺如何“防火”

1.

即資金與銀行卡完全綁定,確保從哪里投資回哪里去,實現資金的閉環,典型的案例如券商的銀證賬戶。

同卡進出可以最大限度保障資金安全,即使發生盜刷,資金最終還是只能在同一張銀行卡內流轉,騙子無法取走。因此,當前券商、基金、保險的用戶資金幾乎都是同卡進出,互聯網金融平臺也越來越多的采用同卡進出的方案,這是平臺確保客戶資金安全的一把金鎖。

2.

雖然平臺可以通過“同卡進出”掐斷提現,但是騙子的騙術層出不窮,總能找到突破口。

有一個典型案例:一個老阿姨因為信息泄露同時驗證碼被騙子通過社交工具騙取,最終在某平臺上被盜刷,完成了150萬的基金交易,在她發現異常後直接致電銀行否認交易,而基金銷售平臺的投資資金都是同卡進出,因此最終平臺幫忙撤單,並告訴她錢在下午3點後到賬。這時騙子冒充網警調查人員給老阿姨打電話說她的賬戶涉及銀行卡詐騙要凍結賬戶,要求她將錢轉到所謂“安全賬戶”內,因為騙子描述的信息非常準確,阿姨沒有起疑心,最終親手把把剛剛追回來的被盜資金轉給了騙子。

在這個案例中,雖然最終的被騙與互聯網金融平臺沒有直接關系,但是互金平臺還是有提醒和教育用戶的責任和義務。比如可以提醒用戶註意防範騙子偽裝成熟人、警察,不要相信所謂“安全賬戶”、不要泄露短信驗證碼、不要點擊陌生鏈接、不要隨意輸入銀行卡密碼等個人信息等。

3.

遠期來看,互聯網金融平臺還可以嘗試一些更有效更有力的風控措施,增加驗證手段,提高信息盜取的難度,例如將四要素認證升級為卡密認證,以及增加視頻認證等,大大增加詐騙行為的實施難度。

與此同時,互聯網金融平臺可以利用行業內的風險數據的黑名單庫,通過接入一些第三方平臺可以進行匹配查詢,進而識別風險用戶。

此外,還可以加強行為分析風控。通過行為分析、關系網分析等對風險行為進行識別,進而及時制止。還可以通過機器學習逐步建立和完善風險識別模型。國內某大型第三方支付公司通過賬戶、身份、交易、行為、關系、設備、位置、偏好8個維度進行風險掃描,識別並攔截大量盜刷行為。目前,其資損率為十萬分之一,識別率非常高,而Paypal的資損率約千分之二。而對於還沒有組建起類似的能力的平臺,可通過引進第三方風控公司的系統進行主動防禦。

面對騙子的瘋狂盜刷,作為互聯網金融平臺有責任做出有力的應對,如果連用戶的資金安全都無法保證,何談理財?但是我們也應該認識到,騙子的詐騙手段層出不窮,永遠都沒有一勞永逸的措施,兵來將擋水來土掩,相信隨著技術水平的提高和互聯網金融平臺風控措施的加強,騙子們的生存空間將會越來越小。

(作者簡介:TIM HUANG 財富派互聯網產品部高級經理)

幹貨 技術 防禦 互聯網 互聯 金融 平臺 臺盜 盜刷
PermaLink: https://articles.zkiz.com/?id=213878

去日本旅遊要當心了!銀行卡盜刷大案頻發 中國遊客受害

銀行卡境外盜刷雖已不是新鮮事,但日本近日曝出的盜刷金額仍令人震驚。《讀賣新聞》17日報道,自今年春季後,不法分子使用偽造或他人名義的銀聯卡在日本各大銀行的自動取款機(ATM)上前後共取出超過10億日元(約合6300萬人民幣)現金。截至17日,日本警方已逮捕4名涉案的中國臺灣籍犯罪嫌疑人。

據新華社報道,隨著赴日中國遊客增多,日本添置了許多接受銀聯卡的支付終端(POS機)和ATM機,但安全支付對策的滯後卻使盜刷犯罪在日本頻發。日本警方指出,如果不采取有效對策,日本可能成為全球銀行卡犯罪天堂。

盜刷“大案”頻發

日本警方和銀行等金融機構在調查使用境外卡進行ATM交易情況中發現,從今春起,至少有10億日元被人用偽造或他人名義的銀聯卡取出,而這些被盜刷的錢,絕大多數來自中國大陸賬戶。

日本警方以盜竊嫌疑逮捕了4名犯罪嫌疑人,他們涉嫌在日本三井住友銀行、三菱東京UFJ銀行、瑞穗銀行等三大主要銀行的ATM機上非法取出大額現金。日本警方認為其背後可能存在海外犯罪組織,目前正繼續就此展開調查。隨著調查的深入,犯罪金額可能進一步增大。

日本警方稱,被盜刷的主要是中國大陸借記卡賬戶,其中部分賬戶據稱被專門用於存儲詐騙贓款。日本警視廳認為,犯罪集團為躲避中國國內有關部門搜查故意選擇在日本取出贓款。

今年5月,日本發生過另一起大額盜刷案件。一張南非銀行的偽造卡在短時間內從日本全國各地的1700臺便利店ATM機中取走了18億日元(約合1.14億人民幣)現金。這起案件被查明與日本黑社會有關,日本警方逮捕了100多名負責取錢的日本人和涉案黑社會成員,相關調查仍在繼續。

“我們不得不承認,日本已經成為ATM犯罪的目標,”日本警方一名官員坦言。

安全措施滯後

在大量中國遊客赴日消費的刺激下,越來越多的日本賣場、商店以及ATM機開始接受中國銀聯卡交易,在很多商場使用銀聯卡消費還可獲得5%的優惠。不過,銀聯卡消費的普及並未帶動付款設備的升級,境外交易安全措施滯後、隱患重重。

目前市面上流通的銀行卡主要分為IC卡(芯片卡)、磁條卡以及芯片磁條複合卡。IC卡安全性高、難以偽造,但IC卡讀取器在日本很多商店並未普及,也因此,安全性差的磁條卡在日本擁有廣闊空間。據警方調查,犯罪嫌疑人非法取款時使用的都是偽造了磁條的銀聯卡。《讀賣新聞》援引經濟產業省數據稱,使用芯片卡交易的比例歐洲為98%,亞洲各國為56%,而日本只有17%。

今年5月後,日本各家銀行開始限制境外銀行卡單次消費額,希望以此減少盜刷案件。但是辦案的日本警方一名官員指出,商家POS機和銀行ATM一天不淘汰磁條卡、改用芯片卡,盜刷現象就不會根絕。

“如果不采取根本性對策,日本可能會成為全球銀行卡犯罪的天堂,”他說。

日本 旅遊 當心 銀行 卡盜 盜刷 大案 頻發 中國 遊客 受害
PermaLink: https://articles.zkiz.com/?id=224012

央視曝光宿遷POS機盜刷案 揭秘背後的灰色利益鏈

來源: http://www.nbd.com.cn/articles/2016-12-07/1059693.html

___.thumb_head

每經記者 夏冰 每經編輯 吳悅

銀行卡在自己手里,錢卻被盜刷了。這邊“電信詐騙”頻頻登上熱搜榜,那邊“銀行卡盜刷”同樣讓你直呼難以防範。

據央視《焦點訪談》12月6日晚報道,前不久,江蘇宿遷等地警方破獲多起新型盜刷銀行卡的案件。警方發現,這是一種盜刷銀行卡的新手法:不法分子通過改裝POS機,盜取卡號和密碼進行盜刷,讓群眾財產受損。這種作案手法十發隱秘、不易察覺,普通用戶很難防範。

《每日經濟新聞》記者註意到,仔細剖析這起案件的過程,POS機生產廠家和第三方支付機構違規操作,給了犯罪分子可乘之機。那麽如果就此造成的損失,受害者該如何維權?在第三方支付機構陸續遭到央行處罰背後,監管部門是否能從從源頭上對第三方支付機構加大審查管理力度呢?

案情:辦理POS機300多臺 瘋狂盜刷作案

來自央視上述報道稱,今年3月1號到6號,江蘇省宿遷市警方接連接到群眾報案,反映他們的銀行卡被盜刷。警方調查中發現,在短短的6天時間,8起盜刷案件涉案金額62萬多元。經偵查,犯罪嫌疑人洪某某在瑞銀信、樂富、拉卡拉等第三方支付機構辦理POS機300多臺,用於盜取卡號和密碼進行盜刷。

據警方通報,根據偵查,共抓獲洪某某、貢某等犯罪嫌疑人16名,涉案金額1000多萬元,案件涉及全國18個省市共200多起。其中,最大一筆一次盜刷人民幣91萬元。

那麽,犯罪分子為何能屢屢得手?

辦案人員分析,利用POS機作案之所以能得手,首先是部分廠家生產的POS機存在技術缺陷,按照POS機安全規範要求,POS機應該是拆機即毀。但本案中,犯罪嫌疑人貢某、廖某某購買的聯迪E550型POS機卻沒有這個功能。

POS機這第一關沒有守住,在接下去的使用POS機開展收單業務的第三方支付機構如果依規進行防範,那諸如此類的“盜刷銀行卡”問題也能在一定程度上減少。但在央視曝光的本案中,“特約商戶需要在第三方支付機構註冊入網,這樣才能經營POS機業務。入網前,第三方收單機構應對特約商戶嚴格審核營業執照、稅務登記證、有效身份證件等”這樣的硬性規定,被卻形同虛設了。

據警方通報,在查扣的犯罪嫌疑人洪某某的電腦里發現,有大量的手持身份證的照片,這些都是他花錢買來用於辦理POS機的。

對於上述案件,《每日經濟新聞》記者第一時間聯系了拉卡拉方面,該公司給予記者的回複聲明中稱,“涉案的300多臺終端中,拉卡拉僅涉及1臺,累計交易114筆,均為100元以下的小額借記卡交易,涉及金額9420.6元,占全部涉案金額六十多萬的不到0.1%,未發生信息泄露。”

拉卡拉方面表示,在本案中,該公司不是犯罪分子轉移資金的通道,而是用於測試銀行密碼準確性。該案發生後,拉卡拉也已第一時間關閉涉及終端的銀行卡交易功能,同時,該公司也已將涉及商戶的相關信息納入公司黑名單庫。並向中國銀聯風險信息共享系統報送黑名單,防範該商戶改頭換面重新入網。拉卡拉表示,相關情況已向監管部門提交整改匯報。

揭秘:盜刷銀行卡暗藏灰色利益鏈

那麽,上述案件中這些POS是如何得到的呢?《每日經濟新聞》記者通過一些了解業內“潛規則”的人士窺見了一些門道。

“虛假入網多是POS機代理商所為。”吳華(化名)在上海開了一家文化用品禮品公司,此前,她通過POS機代理商安裝過兩臺POS機,通過她過去接觸的幾家代理商,她向《每日經濟新聞》記者反映:“我之前作為一個正常商戶,提供完整資料信息向第三方支付公司申請POS機業務,但材料送上去審核是各種理由不通過,第三方支付公司會讓你反複補充資料。但是,通過某些非正常途徑的代理商卻能將資料輕易審核通過。”

吳華告訴記者,做這些第三方支付POS機業務的代理商,原本安裝一臺POS機可賺200元,由於這些大代理商下面還有不少分代理,因此,他們需要不斷地有商戶開戶才能盈利。但在實際操作過程中,因為嚴格的限制規範,很多正常商戶想要申請POS機卻是很難的,所以很多代理商為了拓展商戶,就會協助他們以其他商戶的名義申請入戶。“正常走銀聯渠道的POS機審核至少需要10天左右,非正常渠道的POS機審核有些當天就能出機器了。”

記者註意到,目前,我國可以使用POS機收單銀行卡的分為銀行系統和第三方支付機構,在實名制管理的要求之下,像貢某等特約商戶在第三方支付機構註冊入網時,需提交營業執照、稅務登記證、有效身份證件等,才能經營POS機業務。

然而,很多第三方支付機構卻無視這樣的硬性要求,這才出現上述案件中的犯罪嫌疑人通過幾家第三方支付機構辦理POS機300多臺用於作案的情況。

此外,按照規定,對實體特約商戶,第三方收單機構不得跨省級行政區域開展收單業務。而洪某某常住深圳,他所辦理的300多臺POS機虛假註冊的地址遍及山東、河南、湖北等十多個省份,在全國多地使用。

按規定,上述虛假商戶入網、POS機違規跨區域使用等問題,應由中國人民銀行分支機構責令第三方支付機構整改,並對其處以1萬到3萬元的罰款。

采訪中,上海某第三方支付公司的一位高層還向《每日經濟新聞》記者透露,“發生這種盜刷行為,商戶肯定有責任的。因為第三方支付公司對商戶有核實商戶要素的要求,一般要驗證身份證、銀行卡預留手機號、銀行卡號、密碼、芯片卡等要素。假如說單筆支付金額越大,驗證要素就越多。”

他向記者補充說道:“POS機作為一種銀行卡支付的工具,安全性有很高的要求。支付公司無論是通過代理商,還是自營,都要完成一系列要素的驗證;除此之外,對商戶的審核也要嚴格。支付公司為商戶提供的支付通道是建立在真實貿易和持卡人真實意願兩個基礎上的。而上述案例中,有些支付公司就沒盡到這兩個基本的責任。”

後續:第三方支付監管亟待加強

如果說上述虛假商戶入網、POS機違規跨區域使用等情況,均為第三方支付公司的違規操作讓犯罪分子第一關有機可乘,那麽,接下來在銀行這一關,由於沒有按規定關閉降級交易渠道,才最終讓犯罪分子徹底暢通無阻。

早在2014年,中國人民銀行下發了《關於逐步關閉金融IC卡降級交易有關事項的通知》,明確要求各發卡銀行、收單機構於2014年底前,全部關閉金融IC卡、POS機等線下渠道的降級交易。但在本案中,銀行方面也存在管理漏洞,並沒有執行這一要求。

據悉,本案中,犯罪嫌疑人廖某某就用一臺老式電話POS機盜刷150多萬元,涉及工商銀行、農業銀行、中國銀行、建設銀行、交通銀行五大國有商業銀行及廣東華興銀行,這六家銀行都沒有關閉降級交易渠道。

通過以上案件和分析不難發現,第三方支付作為一種新興的支付機構,其所代表的支付方式更為便捷,但也容易出現紕漏。隨著第三方支付的蓬勃發展,隱藏在其背後的刑事風險也日益凸顯。第三方支付系統中的一些漏洞,一旦被犯罪分子利用,就會對用戶利益造成破壞,甚至釀成地區性的金融事件。

事實上,從年初至今,央行對於第三方支付的行業整治力度一直在加大,一方面開展支付機構備付金風險和跨機構清算業務整治,嚴格支付機構市場準入和監管,加大違規處罰;另一方面則開展無證經營支付業務的整治。數據顯示,從去年底到今年初,短短半年的時間,央行已註銷4家支付公司的業務牌照,累計對7家支付機構處以罰沒逾1億元。自今年1月至10月以來,被央行開過罰單的第三方支付機構已有22家。

那麽,如何防範這種新型犯罪手段?如果發生這種被盜刷行為後,相關的第三方支付機構是否該承擔刑責?普通消費者、受害者應該怎麽進行維權?

對此,互聯網金融業資深律師、大成律師事務所律師肖颯對《每日經濟新聞》記者指出,相關支付機構不承擔刑事責任,因為支付機構並沒有實施詐騙等犯罪行為,也沒有明知他人實施犯罪行為而提供幫助。

其次,相關支付機構應在過錯範圍內,依法承擔民事責任,民事責任的類型是侵權責任。就侵權責任而言,支付機構根據責任大小承擔侵權責任。

對於受害人的維權問題,肖颯指出,受害人應當舉證。比如開通第三方支付時候的協議,資金轉移的證明,以及刑事判決書等能夠證明事實的材料。

就如何杜絕防範此類事件而言,肖颯律師建議:一方面,要增強支付知識的學習,了解支付規定與政策;另一方面,不能貪圖便宜,不參與違法金融活動。

 
央視 曝光 宿遷 POS 機盜 盜刷 刷案 揭秘 背後 灰色 利益
PermaLink: https://articles.zkiz.com/?id=227031

車主ETC銀行卡可被隔空盜刷?教你三招“防身術”

近日多個社交媒體群里流傳著一則視頻,車輛停著、車主不在,有人用一臺移動POS機隔著前窗玻璃靠近ETC車載器,就可以盜用里頭聯名銀行卡里的資金。

這是故弄玄虛還是真能刷出資金?我愛卡網主編董崢表示:“理論上來說,這種情況的確是可以實現的。雖然視頻是刻意錄制的,但是犯罪分子確實可以在持卡人不知情的情況下盜刷資金。”

要這樣盜用資金,這臺POS機必須開通小額免密免簽功能,當然其同時也需要具備非接觸支付功能。而ETC裝置中的帶有IC卡具有“閃付”功能,在機具支付指令下,可以在近場支付的環境下被刷走300元額度內的額度,並可不用輸入密碼、不用持卡人簽字——所謂“小額免密免簽”功能。

如果真有這樣的風險隱患可怎麽辦呢?就這段流傳的視頻,本期“愉見財經”采訪中國銀聯和一家發卡銀行的相關人士,得到了三則實用的“防身術”。

第一,如果這張IC卡加載了金融功能、車主又打算插在ETC車載器里,長期不帶在身邊的話,銀聯提示車主,可以致電發卡機構關閉這張銀行卡除ETC、也就是除了“不停車電子收費系統的繳費”以外的所有功能。這樣做,很顯然,當一臺作為其它消費功能的POS機來盜用的時候,這張卡也就不會響應了。

第二,記者本人也用ETC,能體會到一些車主的習慣,比如加油、洗車等,都喜歡用這張卡。那以防萬一,還是請車主保管好卡片,比如長時間停在一些相對監控偏弱的停車場的時候,考慮順手把卡片拔出,放在車里儲物的地方,一般超過7、8厘米,也就超過了“近場支付”的最大距離了,這樣POS機也就夠不到這張卡片了;或者,車主朋友就幹脆隨身帶走這張卡,還能做其它刷卡消費。

第三,也請大家不必過於擔心資金風險。之所以一臺POS機靠近就能盜用,是因為這張卡片有“小額免密免簽”支付功能,也正是因為這“免密免簽”,銀聯聯合各商業銀行,是給予這種特殊業務專項風險保障的。所以持卡人一旦發現異常的交易,您沒輸密碼也沒簽字的,可以第一時間聯系發卡銀行申請補償。

最後要說明的一點是,並不是所有商戶都能開通POS小額免密免簽業務的,他們需要滿足一系列條件來確保終端管理規範,獲得商戶白名單才行,而且隨意轉讓和買賣POS機也是違法的。所以持卡人不用過於擔心這類POS機四處散落,誰都能搞到一臺。

此外,對於“小額免密免簽”支付功能也沒必要因噎廢食。這一服務是中國銀聯聯合各成員機構為滿足持卡人和商戶快速支付業務需求而推出的創新服務,除了能為持卡人提供快速便利地支付體驗,在風控方面,也配以優質商戶白名單、交易限額、交易監控等一系列保障措施。正如上文所及,其有專項風險保障,掛失72小時內盜刷是可賠付的。

同時,對於個別不法分子而言,盜用他人卡內資金是涉嫌刑事犯罪的,“小額免密免簽”支付具有嚴格的後臺交易監控,會追蹤機具和資金;而剛剛提到的這種POS使用方法也違反了《銀行卡收單業務管理辦法》。對POS機如此管理不慎,將面臨行政及刑事處罰。

車主 ETC 銀行 卡可 可被 被隔 隔空 空盜 盜刷 教你 你三 三招 防身術 防身
PermaLink: https://articles.zkiz.com/?id=227608

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

來源: http://www.iheima.com/zixun/2017/0309/161769.shtml

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬
一本財經 一本財經

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

“一晚上盜刷了十幾個賬號,掙了近10萬。”

本文由一本財經(微信ID: yibencaijing)授權i黑馬發布,作者零和。

近兩年,消費金融上升為互聯網金融的頭把交椅,火爆異常。

一群盜刷銀行卡的黑產人員,在消費金融崛起後,尾隨而來。

他們整合各個渠道泄露的用戶信息,就像完成一幅拼圖般,精心拼湊。

一旦鎖定目標,他們招數百變地專營各種漏洞,配合新式設備,進行大規模清洗。

一本財經追尋著盜刷的線索,步步深入,發現背後形成一個龐大的盜刷帝國。

這是一個暴利的地下世界,這里有一夜暴富的傳奇,也有頃刻顛覆的巨浪…

01帝國

陰冷的午後,太陽在霧霾之後,只剩沒有溫度的灰黃。

黑客VV帶著一個骷髏頭的頭罩,出現在火鍋店的門口,他說:“剛做了幾單大的,犒勞一下兄弟們。”

b62a18aeb6399de3bdc421caa2111e1f

所謂幾單大的,就是一個晚上,“盜刷了十幾個賬號,掙了近10萬”。

VV此前,專職做銀行卡盜刷,近兩年消費金融的空前繁榮,“黑產很多人順著這波浪潮,湧入新興產業中”。

這個只有21歲的年輕人,從事消費金融盜刷一個多年頭,在網絡上,算資深玩家。

VV手底帶了2個人,“這個小小的工作室,月入百萬”。

從2014年開始,眾多消費金融平臺開通“透支”、“零首付分期”功能。

根據用戶的信用消費記錄,平臺提供一定的“透支”額度,購買商品,最典型的就是螞蟻花唄。

這些平臺,正在成為黑產眼中的肥肉。

對於他們來說,用盜刷傳統銀行卡的手段,來盜刷網上的消費金融,就是降維攻擊。

“因為很多用戶名和密碼,可以從網絡上輕易獲取”,VV稱,“任何漏洞,都會被我們利用”。

在這片利益泛濫的江湖,任何小漏洞,都會被黑產深挖成金錢和欲望的洞口。

尋著VV這條線索,我們追蹤其下——一個龐大的黑暗帝國,從雲霧下緩緩呈現。

02黑料

VV如一根繩子,將產業鏈上所有的人,連珠成串。

這個產業鏈的開端,來自黑料。

那些在黑市中,被反複清洗的、有金融價值的用戶信息,這就是傳說中的“黑料”。

一般一個可登陸的金融賬號和密碼,在黑市上售價0.5元到5元不等。

按照行規,對於數據來源,“不可多問”,VV也並不關心,他只關心數據是否優秀。

黑料的來源眾多,而最直接的,就是黑客入侵某些平臺,從後臺,將整個用戶信息數據庫,拖出來——行話叫“拖庫”。

這些數據庫,會在黑市上流通,被反複清洗、榨取價值,“直到渣渣都不剩下”。

通常,VV獲得了一批賬號和密碼後,就開始“信息修複”。

“每個黑客的攻擊手法都不同,破解的方式也千奇百怪,沒有統一的作戰方式”,VV將攻防之間的戰爭,比喻為入侵一座城堡。

盡管有護城河、城墻,但攻擊者,可以從正門攻,也可以從地下挖地道,甚至逮住一個老鼠洞,都能鉆進來,防不勝防。

這也是攻守力量懸殊的原因。

VV和他的團隊,在實戰中,也總結了一套獨特戰術。

0add744a1bd09fdda2c34799220d9023

現在大部分消費金融平臺的賬號,都會設置“支付密碼”,和登錄密碼不同,因此,第一步,就是突破支付密碼。

VV的攻破方式,是通過社工庫,尋找這個賬戶曾經用過的其他密碼。

所謂社工庫,就是黑產的地下數據庫,其廣博的深度,恐怕不比任何“大數據公司”差。黑客們盜取的數據,都留存在社工庫中,供黑客們查詢。

“社工庫的數據,可查詢到身份證號、銀行卡號、常用密碼、家庭住址,甚至開房記錄等眾多維度數據”,VV通過社工庫和他的黑市數據搜索,就找到了每個賬號之下,可能使用的其他密碼。

“人類設計密碼是有缺陷的,大部分人最多只有4個常用密碼,一旦超過4個,就經常記混”,VV稱,正因為如此,一家賬號泄露,就會殃及池魚。

有了雙密之後,幾乎鎖定可入侵目標,剩下的操作手段,更是花招百出。

但萬變不離其宗的一條定理是:短信正在成為最關鍵的“Key”,成為核心的安全閥門。

7c9838823fdafdb90c23657a615be22d

這是因為,大部分平臺都會通過發送短信驗證碼的方式,來驗證是否為用戶本人的操作。

一般掌控這個“安全閥門”,只要有兩個手段,一個是修改“綁定的手機號”,一個就是“劫持短信”。

修改綁定手機號,就是鉆營各大平臺的風控漏洞,VV將其為“老鼠洞式”的入侵。

VV回憶稱:“一年前,很多金融平臺修改綁定手機規則比較簡單,只需要支付密碼就能修改,到後來,又需要提供銀行卡和支付密碼修改,可這些信息,黑客幾乎都能通過社工庫獲得,成了盜刷黑產的盛宴。”

在這場攻防大戰中,雙方在過招中相互制衡成長——風控規則不停地變,黑客就見招拆招。

“我聽說曾經一幫盜刷者,會用一個新號碼給客服打電話,說自己原來的手機丟失,只要提供身份證、銀行卡、最近收貨地址、購買物品等信息後,也能修改手機號”,VV稱,盜刷者會花樣觸底,來測試風控的底線。

有些盜刷者,甚至手機號都不改。

他們在發貨後,直接給後臺店鋪留言,要求修改送貨地址。

1480c9330b0004108118834fa70611aa

而一些雲端漏洞,也開始被頻繁利用。

日前,有媒體報道稱,何先生遭遇手機鎖死、頻繁關機後被盜刷,損失5.3萬元。

結果發現,黑客破解他的360智能手機雲服務平臺,其中有一個“回複短信”的接口,可以從雲端回複短信。

黑客利用回複功能,讓何先生的手機卡,綁定了一張“副卡”,可以同步接受到他的驗證碼,因此完成盜刷。

作為最後安全閥門的短信,真的還安全嗎?

針對無孔不入的黑產,很多平臺不得不制定更為嚴苛的風控規則,封堵漏洞。

“但控制一個人手機的方式很多,漏洞也很多,修補上一個,我們再換另一個”,VV稱,給用戶的手機種上木馬,依然是成本最低的方式。

此時,傳說中的第二種方式開始浮出水面——“短信攔截馬”。

03馬子

黑產鏈條,就像一部無人值守,卻能自行運作的機器。

有意思的是,似乎沒有哪個產業鏈,在毫無組織、全部匿名的情況下,能如此有條不紊的進行,配合得嚴絲合縫。

唯一的動力源,就是暴利。

“馬子包月500元”,黑客小N是一個圈內知名的馬子供應商。

因為他技術不錯,編寫的馬子(行話,就是病毒和木馬)出戰,無往不利,因此名望很高。

馬子包月的意思是,只能在一個月內“免殺”(不被殺毒軟件絞殺),如果還需要繼續使用,就需要“續費”。

而“短信攔截馬”,就是小N開發的核心產品。

不要小看這個木馬,一旦安裝成功,就可以攔截用戶短信。

VV會將這個木馬通過短信、社交軟件發送到用戶手機上,形式可以是網址,也可能是一張美女圖片或視頻,甚至是一句誘人的話。

“有時候我們會通過手機號,找到用戶的社交軟件,加上好友,再發送病毒”,VV稱。

用戶一旦激活木馬,就會要求下載一個插件。

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

這個插件就是木馬包,一旦安裝,短信將會完全被黑客監管。用戶收到任何一條驗證碼,就會同時發送到VV綁定的郵箱中,或者直接攔截用戶短信,讓他完全收不到。

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

或者,直接發送到小N指定的手機號碼中。

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

一些黑客,開始研究新式馬子——通過社交平臺,以“紅包”“現金券”等方式釣魚。

“鐵騎”是一位專註研究新馬子的黑客。

“現在人們的防範意識也提高,通過短信點擊網址的幾率,越來越小”,這也是鐵騎開始研發新馬子的初衷。

社交時代,最能引發點擊欲的,無疑是微信紅包。

“我們通過微信小號,給微信好友群發紅包,看起來是個紅包,實際上是一個網頁”,鐵騎並不通過微信群捕魚,因為總會“聰明人”提示異常,很快就會被踢群。

而單點擊破的可能性更大,春節期間群發,效果更佳。

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

當用戶領取了紅包後,就會跳出“現在領取紅包的人太多,請先進行提現哦”的提示,這個時候,一般的黑客會再植入一個頁面,套取用戶的銀行卡信息,最後再安裝“短信攔截馬”。

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

“現在市面上流通的木馬,多為安卓系統的”,鐵騎說,對於蘋果用戶,只能通過網頁木馬,“但對方一旦關閉網頁,對短信的攔截就會失效”。

而拿下蘋果系統,目前已成為黑產中頂級黑客們的堡壘戰,至於是否攻破——起碼黑市上,還沒有開始大面積流通。

不論是小N還是鐵騎,一般都通過QQ交易——這明顯是目前匿名性最強的社交工具。

因為涉及黑產太深,小N註冊的上百個QQ號都曾被“封號”。

“幾千個客戶,說沒就沒”,小N在巔峰時期,一個月銷售“馬子”,可賺20多萬。

“一個號的生命周期也就一兩個月,還好圈內有一點名氣了,註冊了新號,大家還會慕名而來”,小N說。

04上帝模式

馬子黑客,一般都藏在最深的幕後,他們通常懂些技術,也可編寫小工具,他們給整條產業鏈,提供“技術”支持。

而另外一撥人,則給產業鏈提供“設備”支持。

VV會積攢一段時間賬號的素材,定時會對一些賬號集中區域,進行集中清洗。

而使用的設備,就是偽基站。

“一旦使用了偽基站,就開啟了上帝模式”,VV稱。

和VV長期合作的偽基站搭檔,叫“賓利”,他的偽基站設備,著實簡陋。

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

“一臺電腦,一臺主機,一個發射器,一根天線,這就是我全部的設備”,這套設備,由短信群發的設備改裝而來,雖然簡陋,卻頗為好使。

偽基站的作用,和運營商的基站一樣,可以攔截用戶短信、通話等功能。

當賓利的“偽基站”開始啟動,方圓1.5公里的用戶的手機,都在他監控和操縱範圍內。

實際上,偽基站的價格,頗為便宜。

“黑市上的價格是六七千,如果從廣東的廠家直接拿貨,只需要3700元”,賓利稱。

而VV租用設備一個晚上的價格,只需要300元。

如今,偽基站正在成為入侵的利器。

VV和賓利旁邊配合下,登錄用戶賬號開始盜刷後,可以直接讓用戶手機“停機”、“無信號”,也可以截獲所有短信記錄。

“而偽基站,正在升級”,一位不願具名的黑產人員透露,現在“組合基站”開始出現,功能模塊可以隨意組合,同時運行,“而有限距離,也大大增強,已可做到方圓10公里”。

組合基站不僅可以截獲短信、通訊、釣魚WiFi等基礎功能,甚至可以讀取通訊錄、安裝APP數據,甚至聊天記錄,堪比PC時代的遠程操控“肉雞”劫持。

此時,才是真正的上帝模式——黑產也到了一個技術飛躍的關鍵節點,而其釋放的黑暗力量,不得不讓人恐懼。

不管是偽基站還是木馬,核心的邏輯,都是控制短信,截獲驗證碼。

05套現者

當VV開始實施盜刷時,產業鏈最後端的套現者,開始浮出水面。

白夜已從事套現生意2年了,他接兩種單子:黑與白。

所謂的“白單”,就是一些用戶自己缺錢,試圖套現。

“一般虛擬物品,我收20%的返點,如果走物流,我收10到15%的返點”,白夜稱,然而大部分人,拿不到套現。

“很多人錢一打過來,我們就直接拉黑”,而用戶自己違規操作在先,也不會報警,正是抓住了這點,白夜出手狠辣,毫無留情。

除非他覺得對方還能給他拉來更多“生意”,否則就是“一錘子買賣,逮住一個傻子算一個”。

一般走物流的話,白夜就會將指定商品發給用戶,用戶下單後用透支功能付款。

第二天配送時,用戶需要發送一條短信給快遞員:“師傅您好,我是某某,訂單請給我的朋友某人簽收”,並留下簽收人的電話。

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

“一旦對方發送了這條短信,我就馬上拉黑”,白夜稱,快遞員收到這條短信後,就可以完全從這次騙局中全身而退,平臺無法再對他們追責。

而實際上,這些送貨的快遞員,都和白夜相勾結,“每次給他們10%到20%的返點”。

而黑客們找過來的,就是黑單。

VV和白夜密切配合。開始盜刷前,還會有一些套路。

比如,為了迷惑用戶,VV會先用一個“短信轟炸器”,轟炸用戶的手機,一下蹦出來幾十條各個平臺的驗證碼短信,“目的就是迷惑用戶,然後將盜刷平臺的驗證碼藏在其中,一般用戶只會認為是騷擾,就不會打開賬戶來查看信息”。

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

短信驗證碼轟炸

緊接著,白夜會給提供下單的物品和地址,VV操控著盜刷的賬號下單。

首先盜刷的,是虛擬物品,比如QQ幣、話費、油卡等。

因為虛擬物品不需要物流,更容易套現。一般平臺也為防止大規模套現,對虛擬物品的額度較低,一般只有幾百元。

虛擬物品之後,盜刷物品才是更為複雜得產業鏈。

“手機、電腦、手表、金項鏈、茅臺,一般都是這些好變現的商品”,VV也會偶爾給自己刷點生活用品。

在一本財經采訪的盜刷受害者中,有人被盜刷了10袋大米、2箱可樂、甚至避孕套等物品。

“通常我會將收貨地址,填寫為非固定地址,比如,某煙酒超市、某街道口、快餐店門口等,收貨人聯系方式,更換成接頭人電話”,白夜稱,“快遞員都是熟人,會在指定地點,將貨送到接頭人手中”。

而這些物品“變現”,依然需要白夜出場。

而他的下遊,還有一些渠道“銷贓”,將這些盜刷物品套現。物品會流向專門的二手黑市,比如一個全新的iPhone,打8折出售。

對於黑單,一般白夜要提更高的返點,虛擬物品40%,貨物物流30%。

前幾日和VV的一次合作,白夜就掙了2萬元。他一個月純利潤,大概10萬左右。

他們是這條產業鏈中的“銷臟者”。

在各大QQ群中,聚集著大量的套現者,他們公開“招商”“招中介”,任何能提供分期購物的平臺,都會成為他們的套現對象。

06刀口舔血

在各大平臺的“盜刷維權群”里,每天都會增加兩到三位被盜刷者,過來尋找同盟。

盜刷帝國:黑產湧入消費金融,刀口舔血月入百萬

他們普遍認為,是平臺漏洞,導致了賬號外泄,才會引發後續一系列的盜刷事件;而平臺的風控規則不嚴,也讓盜刷得以實施。

“現在每天,我的滯納金都在上漲,我擔心這影響我的征信記錄”,被盜刷者羅青稱。

但目前各家平臺對於盜刷事件,很難做到“全盤接受”——他們擔心被反向利用,用戶自己刷了,然後說是黑客幹的。

關於人性的惡與善,在利益的碰撞中,就會無限放大。

“每一個案件都是複雜的,恐怕很難找到統一的解決方式”,VV稱,有些盜刷完全是因為賬號外泄和風控漏洞,有些用戶自身不謹慎,中了木馬。

要完全解開這個結,恐怕需要多方合力。

運營商,堵上偽基站的漏洞;各個平臺,安全和風控提高;用戶,安全意識提升,一個都不能少。

至於這條黑產,恐怕難以完全絞殺,在利益面前,他們寧願過著“刀口舔血”的高危生活。

而盜刷者,多是團夥合作,每個團夥的攻擊和入侵方式都不相同。

一本財經深挖VV這條線索,就花費2個月的時間,而大部分的團夥,還深藏地下某個黑暗角落。

由VV串聯的這條線,每個月會產生百萬收益,所有的人再來分食。

但,暴利的背後,同樣面臨著高風險。

各大黑產群活躍的一位“師傅”,幾天前突然人間蒸發。

和“師傅”相熟的一位黑客稱,“師傅”被警方盯上,“恐怕已經進去了”。

“常在河邊走,哪有不濕鞋?”師傅出事的消息,讓圈內人心惶惶,VV也準備金盆洗手,帶著兩個兄弟撤退。

很多“涉黑”人員,一轉身,就會變成公司的“安全人員”,由攻變守,由黑到白,似乎只是一線之間。

突然消失,在這里是經常的故事——可能是隱退,也可能,就是再也回不來了。

在這個暴利的盜刷帝國中,有暴富的神話,也有隱退的洗白,也有瞬間傾覆的驚濤駭浪。

結尾

互聯網消費金融,成為黑產攻堅對象。

從信用卡到消費金融,黑產也迎來了轉型升級的關鍵時刻。

黑產如猛獸般,正在草叢後匍匐,等待新羊群松懈的那一刻……

互聯網金融
贊(...)
文章評論
匿名用戶
發布
盜刷 帝國 黑產 湧入 消費 金融 刀口 舔血 月入 百萬
PermaLink: https://articles.zkiz.com/?id=239055

最高法征求意見,擬明確盜刷等銀行卡糾紛如何審理

6月6日,最高法發布《關於審理銀行卡民事糾紛案件若幹問題的規定》(征求意見稿),就信用卡透支、偽卡交易、網絡盜刷等方面的糾紛案件審理作出規範。

針對信用卡透支全額支付利息規定的效力,最高法提出了兩種方案:

一是,為持卡人選擇最低還款額方式償還信用卡透支款並已償還最低還款額,其主張按照未償還透支額計付記賬日到還款日的透支利息的,人民法院應予支持。

二是,指出發卡行對“按照最低還款額方式償還信用卡透支款、應按照全部透支額收取從記賬日到還款日的透支利息”的條款未盡到合理的提示和說明義務,持卡人主張按照未償還透支額計付透支利息的,人民法院應予支持。發卡行雖盡到合理的提示和說明義務,但持卡人已償還全部透支額百分之九十,持卡人主張按照未償還數額計付透支利息的,人民法院應予支持。

關於偽卡交易問題,意見稿明確,發生信用卡偽卡交易,發卡行請求持卡人根據合同的約定償還透支款及利息的,人民法院不予支持。持卡人請求發卡行返還扣劃的銀行卡透支款本息並賠償損失的,人民法院應予支持。但是,如果發卡行舉證證明持卡人對信用卡偽卡盜刷具有過錯,主張在持卡人的過錯範圍內減輕或者免除發卡行責任的,人民法院應予支持。

全文:

 

 

高法 征求 意見 明確 盜刷 刷等 銀行 糾紛 如何 審理
PermaLink: https://articles.zkiz.com/?id=265470

股票掌故 | 香港股票資訊 | 神州股票資訊 | 台股資訊 | 博客好文 | 文庫舊文 | 香港股票資訊 | 第一財經 | 微信公眾號 | Webb哥點將錄 | 港股專區 | 股海挪亞方舟 | 動漫遊戲音樂 | 好歌 | 動漫綜合 | RealBlog | 測試 | 強國 | 潮流潮物 [Fashion board] | 龍鳳大茶樓 | 文章保管庫 | 財經人物 | 智慧 | 世界之大,無奇不有 | 創業 | 股壇維基研發區 | 英文 | 財經書籍 | 期權期指輪天地 | 郊遊遠足 | 站務 | 飲食 | 國際經濟 | 上市公司新聞 | 美股專區 | 書藉及文章分享區 | 娛樂廣場 | 波馬風雲 | 政治民生區 | 財經專業機構 | 識飲色食 | 即市討論區 | 股票專業討論區 | 全球政治經濟社會區 | 建築 | I.T. | 馬後砲膠區之圖表 | 打工仔 | 蘋果專欄 | 雨傘革命 | Louis 先生投資時事分享區 | 地產 |
ZKIZ Archives @ 2019