0
據“封面新聞”報道,國內某支付平臺的“人臉識別”系統存在重大漏洞,黑產人員只要在黑市上買到公民的身份證照片、持證照、手機號碼、銀行卡號等信息,就可以通過修改賬戶密碼和換綁手機賬號的權限,刷走賬戶上的所有余額。
目前,據雷鋒網了解,宜賓警方已將盜刷他人賬戶28萬多元的周某、楊某抓獲歸案。
在說這個案子前,讓我們先來看看如果忘記密碼時,“人臉識別”認證需要哪些操作。
1.需要用手機攝像頭對著操作者,拍下操作者的正面靜態照片,進行系統審核。
2.系統再次要求操作者將手機攝像頭對著自己,按照指令作出“眨眼”、“搖頭”、“張嘴”等動作,同時進行攝像,完成之后,系統會自動評估。
3.如果照片、視頻符合系統要求,便獲得修改支付平臺賬戶密碼的權限,一旦修改完成用戶的登錄密碼,再換綁為自己能夠接收短信的一個手機號碼,黑產者可以將用戶支付平臺賬戶內的余額轉走。
在這個過程中,我們可以發現,只要黑產從業者知道了你的賬戶名稱,并擁有了你的身份證照片、視頻,就有了更改密碼、再重新綁定別的手機號碼進行盜刷的可能。
這時,不少人會問,即使黑產者拿到了我的身份證照片,視頻他總沒法拿到吧?
但事實是,所謂的“眨眼”、“搖頭”、“張嘴”等動作,根本不需要證明你是你,只需證明你是“活的”即可!
正是利用這個漏洞,周某和楊某開始了他們的盜刷之路,以下是他們的作案步驟。
1.找到“料商”。通過加入QQ群聯系“料商”購買公民個信息,如手機號、身份證照片、銀行卡號等。
2.找到“卡商”。讓卡商為自己提供換綁手機號的號碼,并且接收短信驗證碼,為自己實施犯罪作準備。
3.用手機自拍一張半身照,使用PHOTOSHOP將購買的公民面部照片合成到自拍的半身照上面。
4.用手機對著自己錄制一些“張嘴”、“搖頭”、“眨眼等動作”的小視頻,將照片和視頻存在PC電腦中。
5.通過在手機上登錄該支付平臺,輸入他人的賬號(即公民信息資料中的“手機號碼”),然后在系統提示下點擊“忘記登錄密碼”,再選擇輸入注冊身份證號碼,之后選擇人臉校驗。
6.將事先準備好的合成照片從電腦上打開,再將手機攝像頭對著合成照片,完成第一步靜態人臉識別,然后再按照系統的指令,在電腦上播放事先錄制好的視頻片段,播放時仍然將手機攝像頭對著電腦屏幕,完成第二部動態驗證。
系統僅會對第一張靜態人臉照片進行識別,因此通過受害人的合成照片認證就可以通過校驗,系統不會對第二次的動態視頻再進行校驗,只需辨認視頻中的人是能夠活動的活體。
7.此時賬號密碼已經修改完成,開始進行換綁手機號。通過QQ聯系卡商,卡商發來一組手機號碼(16個或32個號碼為一組),嫌疑人隨機選擇一個手機號碼,將該手機號碼綁定在受害人支付平臺賬戶上,在此過程中,支付平臺系統會發送驗證碼短信至新綁定的手機號碼里面,嫌疑人通過QQ聊天向卡商索要短信驗證碼,完成更改賬戶密碼、手機綁定操作。
這時,大功告成,周某就可以通過短信驗證碼將受害人的賬戶余額轉走。
為了銷贓滅跡,他們還將盜刷資金轉移到某賭博網站上,通過在網站內玩“PT老虎機”等賭博游戲進行洗錢,再將資金轉入到自己使用的銀行卡賬號內。
目前,周某楊某已經抓捕歸案,據封面新聞報道,該支付平臺已修復了這一漏洞。
參考來源:封面新聞
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
