據 " 封面新聞 " 報道,國內某支付平臺的 " 人臉識別 " 系統存在重大漏洞,黑產人員隻要在黑市上買到公民的身份證照片、持證照、手機號碼、銀行卡號等信息,就可以通過修改賬戶密碼和換綁手機賬號的權限,刷走賬戶上的所有餘額。
目前,據雷鋒網瞭解,宜賓警方已將盜刷他人賬戶 28 萬多元的周某、楊某抓獲歸案。
在說這個案子前,讓我們先來看看如果忘記密碼時," 人臉識別 " 認證需要哪些操作。
1. 需要用手機攝像頭對著操作者,拍下操作者的正面靜態照片,進行系統審核。
2. 系統再次要求操作者將手機攝像頭對著自己,按照指令作出 " 眨眼 "、" 搖頭 "、" 張嘴 " 等動作,同時進行攝像,完成之後,系統會自動評估。
3. 如果照片、視頻符合系統要求,便獲得修改支付平臺賬戶密碼的權限,一旦修改完成用戶的登錄密碼,再換綁為自己能夠接收短信的一個手機號碼,黑產者可以將用戶支付平臺賬戶內的餘額轉走。
在這個過程中,我們可以發現,隻要黑產從業者知道瞭你的賬戶名稱,並擁有瞭你的身份證照片、視頻,就有瞭更改密碼、再重新綁定別的手機號碼進行盜刷的可能。
這時,不少人會問,即使黑產者拿到瞭我的身份證照片,視頻他總沒法拿到吧?
但事實是,所謂的 " 眨眼 "、" 搖頭 "、" 張嘴 " 等動作,根本不需要證明你是你,隻需證明你是 " 活的 " 即可!
正是利用這個漏洞,周某和楊某開始瞭他們的盜刷之路,以下是他們的作案步驟。
1. 找到 " 料商 "。通過加入 QQ 群聯系 " 料商 " 購買公民個信息,如手機號、身份證照片、銀行卡號等。
2. 找到 " 卡商 "。讓卡商為自己提供換綁手機號的號碼,並且接收短信驗證碼,為自己實施犯罪作準備。
3. 用手機自拍一張半身照,使用 PHOTOSHOP 將購買的公民面部照片合成到自拍的半身照上面。
4. 用手機對著自己錄制一些 " 張嘴 "、" 搖頭 "、" 眨眼等動作 " 的小視頻,將照片和視頻存在 PC 電腦中。
5. 通過在手機上登錄該支付平臺,輸入他人的賬號 ( 即公民信息資料中的 " 手機號碼 " ) ,然後在系統提示下點擊 " 忘記登錄密碼 ",再選擇輸入註冊身份證號碼,之後選擇人臉校驗。
6. 將事先準備好的合成照片從電腦上打開,再將手機攝像頭對著合成照片,完成第一步靜態人臉識別,然後再按照系統的指令,在電腦上播放事先錄制好的視頻片段,播放時仍然將手機攝像頭對著電腦屏幕,完成第二部動態驗證。
系統僅會對第一張靜態人臉照片進行識別,因此通過受害人的合成照片認證就可以通過校驗,系統不會對第二次的動態視頻再進行校驗,隻需辨認視頻中的人是能夠活動的活體。
7. 此時賬號密碼已經修改完成,開始進行換綁手機號。通過 QQ 聯系卡商,卡商發來一組手機號碼 ( 16 個或 32 個號碼為一組 ) ,嫌疑人隨機選擇一個手機號碼,將該手機號碼綁定在受害人支付平臺賬戶上,在此過程中,支付平臺系統會發送驗證碼短信至新綁定的手機號碼裡面,嫌疑人通過 QQ 聊天向卡商索要短信驗證碼,完成更改賬戶密碼、手機綁定操作。
這時,大功告成,周某就可以通過短信驗證碼將受害人的賬戶餘額轉走。
為瞭銷贓滅跡,他們還將盜刷資金轉移到某賭博網站上,通過在網站內玩 "PT 老虎機 " 等賭博遊戲進行洗錢,再將資金轉入到自己使用的銀行卡賬號內。
目前,周某楊某已經抓捕歸案,據封面新聞報道,該支付平臺已修復瞭這一漏洞。
參考來源:封面新聞
