盗刷28万,某支付平台“人脸识别”现重大漏洞

据“封面新闻”报道,国内某支付平台的“人脸识别”系统存在重大漏洞,黑产人员只要在黑市上买到公民的身份证照片、持证照、手机号码、银行卡号等信息,就可以通过修改账户密码和换绑手机账号的权限,刷走账户上的所有余额。

目前,据雷锋网(公众号:雷锋网)了解,宜宾警方已将盗刷他人账户28万多元的周某、杨某抓获归案。

在说这个案子前,让我们先来看看如果忘记密码时,“人脸识别”认证需要哪些操作。

1.需要用手机摄像头对着操作者,拍下操作者的正面静态照片,进行系统审核。

2.系统再次要求操作者将手机摄像头对着自己,按照指令作出“眨眼”、“摇头”、“张嘴”等动作,同时进行摄像,完成之后,系统会自动评估。

3.如果照片、视频符合系统要求,便获得修改支付平台账户密码的权限,一旦修改完成用户的登录密码,再换绑为自己能够接收短信的一个手机号码,黑产者可以将用户支付平台账户内的余额转走。

在这个过程中,我们可以发现,只要黑产从业者知道了你的账户名称,并拥有了你的身份证照片、视频,就有了更改密码、再重新绑定别的手机号码进行盗刷的可能。

这时,不少人会问,即使黑产者拿到了我的身份证照片,视频他总没法拿到吧?

但事实是,所谓的“眨眼”、“摇头”、“张嘴”等动作,根本不需要证明你是你,只需证明你是“活的”即可!

正是利用这个漏洞,周某和杨某开始了他们的盗刷之路,以下是他们的作案步骤。

1.找到“料商”。通过加入QQ群联系“料商”购买公民个信息,如手机号、身份证照片、银行卡号等。

2.找到“卡商”。让卡商为自己提供换绑手机号的号码,并且接收短信验证码,为自己实施犯罪作准备。

3.用手机自拍一张半身照,使用PHOTOSHOP将购买的公民面部照片合成到自拍的半身照上面。

4.用手机对着自己录制一些“张嘴”、“摇头”、“眨眼等动作”的小视频,将照片和视频存在PC电脑中。

5.通过在手机上登录该支付平台,输入他人的账号(即公民信息资料中的“手机号码”),然后在系统提示下点击“忘记登录密码”,再选择输入注册身份证号码,之后选择人脸校验。

6.将事先准备好的合成照片从电脑上打开,再将手机摄像头对着合成照片,完成第一步静态人脸识别,然后再按照系统的指令,在电脑上播放事先录制好的视频片段,播放时仍然将手机摄像头对着电脑屏幕,完成第二部动态验证。

系统仅会对第一张静态人脸照片进行识别,因此通过受害人的合成照片认证就可以通过校验,系统不会对第二次的动态视频再进行校验,只需辨认视频中的人是能够活动的活体。

7.此时账号密码已经修改完成,开始进行换绑手机号。通过QQ联系卡商,卡商发来一组手机号码(16个或32个号码为一组),嫌疑人随机选择一个手机号码,将该手机号码绑定在受害人支付平台账户上,在此过程中,支付平台系统会发送验证码短信至新绑定的手机号码里面,嫌疑人通过QQ聊天向卡商索要短信验证码,完成更改账户密码、手机绑定操作。

这时,大功告成,周某就可以通过短信验证码将受害人的账户余额转走。

为了销赃灭迹,他们还将盗刷资金转移到某赌博网站上,通过在网站内玩“PT老虎机”等赌博游戏进行洗钱,再将资金转入到自己使用的银行卡账号内。

目前,周某杨某已经抓捕归案,据封面新闻报道,该支付平台已修复了这一漏洞。

参考来源:封面新闻

雷锋网版权文章,未经授权禁止转载。详情见。

原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/112104.html

(0)
上一篇 2021年8月27日
下一篇 2021年8月27日

相关推荐

发表回复

登录后才能评论