近日,一篇標題為《一部手機失竊而揭露的竊取個人資訊實現資金盜取的黑色產業鏈》的文章引發關注和熱議。
據瞭解,該文作者老駱駝,擁有10多年網路攻防工作經驗,多年金融資訊保安服務從業經歷。其講述了自己家人手機被盜之後,經歷的一場與一夥專業老練、利用竊取個人資訊盜取他人銀行賬戶資金的犯罪團伙鬥智鬥勇的事件。其中提到了眾多企業,包括電信、華為、支付寶、美團、蘇寧金融等。
文章結尾,老駱駝總結這條黑產鏈的全貌如下:
1、一線扒手特定時間選定目標:年輕人、移動支付頻率高,在對方注意力分散的情況下出手,運營商營業廳下班後,失主沒法當晚立即補卡,給團隊預留了一晚上的作案時間;
2、拿到手機後迅速送到團隊窩點,迅速完成身份證資訊獲取、電信服務密碼、手機廠商服務登入密碼修改,一下子讓受害者陷入被動;
3、獲取所有銀行卡資訊,使用技術手段繞過活體人臉識別驗證,在各個平臺上建立新賬號,繫結受害者銀行卡;
4、選好幾家風控不嚴的支付公司,開始申請線上貸款,貸款到賬後透過虛擬卡充值、購買虛擬卡以及銀聯轉賬,將錢轉走;
5、保留新建的支付賬號許可權, 如果未被發現,後期還可以繼續竊取資金。
對此,支付寶相關部門人員在朋友圈回應稱,文章所披露的黑產在支付寶裡沒套到錢和資訊;且支付寶承諾資金被盜全額賠付,包括手機丟失導致的。
回應中提到,熱文中的對手確實是高階黑產,但黑產在修改支付密碼時被支付寶風控攔住了,查不了銀行卡號,也沒法收付款,才註冊了一個新號,但新號也不能使用原號裡的錢。
不過,支付寶回應也指出,黑產並沒有突破人臉識別:能註冊新號是透過其他渠道已掌握的身份資訊和簡訊驗證碼,在常用裝置上實現的。黑產不是透過快速綁卡獲得銀行卡號的,而是透過輸入使用者的銀行卡卡號+預留手機的簡訊驗證碼綁卡的,卡號是黑產透過其他渠道獲得的。
回應同時表示,這篇文章既給使用者提了醒,也讓支付寶的風控能做進一步的最佳化。並建議大家單獨為SIM卡設定密碼, 能在一定程度上防止黑產接收驗證碼。
此外,據老駱駝表示,事發後,事件中涉及的幾家支付公司都積極聯絡到其本人,美團的貸款記錄消除了,蘇寧金融把損失的幾千都賠付了。
後續,老駱駝在提到支付寶人臉識別的繞過時表示,“支付寶在進行業務設計時,對在原手機上建立並登陸的子賬號,在實名認證時匹配身份資訊的各項要素透過風控規則校驗與主賬號一致的情況下,是不需要人臉驗證的,這一點我們辦公室的多位工程師今天下午在對我的被盜刷事件進行技術覆盤時也驗證確實是如此,人臉識別的繞過確實錯怪他們了。這也解釋得通為何犯罪分子需要解鎖偷到的手機進行支付寶的登入,推測是為了不觸發支付寶的風控規則。”
以下為支付寶相關團隊回應原文:支付寶「非攻」安全實驗室的同學第一時間和老駱駝聯絡上了,根據賬號我們復原了支付寶相關的情況,和大家做個說明。
先說結論:
1、黑產在支付寶這裡沒套到錢和資訊;
2、大家放心,支付寶承諾資金被盜全額賠付,包括手機丟失導致的。
看了長文,對手確實是高階黑產,老駱駝也很厲害,抽絲剝繭分析得很詳盡。黑產修改支付密碼時被支付寶風控攔住了,查不了銀行卡號,也沒法收付款,才註冊了一個新號,但新號也不能使用原號裡的錢。
不過他有2點推斷與實際情況不符,在這個case中:
1、黑產並沒有突破人臉識別:能註冊新號是透過其他渠道已掌握的身份資訊和簡訊驗證碼,在常用裝置上實現的。
2、黑產不是透過快速綁卡獲得銀行卡號的,而是透過輸入使用者的銀行卡卡號+預留手機的簡訊驗證碼綁卡的,卡號是黑產透過其他渠道獲得的。
很感謝老駱駝的記載,既給使用者提了醒,也讓我們的風控能做進一步的最佳化。希望老駱駝在其他平臺上的損失能儘快找回。
建議大家單獨為sim卡設定密碼, 能在一定程度上防止黑產接收驗證碼。另外,如果使用支付寶時有什麼問題,可以隨時電話我們的客服95188。
(鈦媒體編輯劉萌萌整理)