• 在线阅读杂志

      2018年05月20日

      第10期 总第484期

      封面文章
      “网银”殊?#23601;?#24402;路
      金融服务似乎正在?#38405;?#24819;要的方式前行。 相应的,金融的生态及格局也在发生重大变化。技术的推动让金融的数字化转型愈发明显,传统金融机构“离柜?#30465;?#21516;互联网银行业务激增形成强?#19994;畝员取?a href="/magazine/it/2018/484/2018-05-22/190812.html">[详细]
      精彩推荐
    • 盗刷帝国:黑产涌入消费金融,刀口舔血月入百万

      时间:2017-03-09    来源:创事记    作者:一本财经 零和 我要评论() 字号:T | T

    • 近两年,消费金融上升为互联网金融的头把交?#21361;?#28779;爆异常。

        一群盗刷银行卡的黑产人员,在消费金融崛起后,尾随而来。

        他们整合各个渠道泄露的用户信息,就像完成一幅拼图般,精心?#21019;鍘?/p>

        一旦锁定目标,他们招数百变地专营各种漏洞,配合新式设备,进行大规模清洗。

        一本财经?#36153;白?#30423;刷的线索,步步深入,发?#30452;?#21518;形成一个庞大的盗刷帝国。

        这是一个暴利的地下世界,这里有一夜暴富的传奇,也?#26143;?#21051;颠覆的巨浪…

        01 帝国

        阴冷的午后,太阳在雾霾之后,只剩没?#24418;?#24230;的?#19968;啤?/p>

        黑客VV带着一个骷髅头的头罩,出现在火锅店的门口,他说:“刚做了几单大的,犒劳一下兄弟们。”

        所谓几单大的,就是一个晚上,“盗刷了十几个账号,挣了近10万”。

        VV此前,专?#30333;?#38134;行卡盗刷,近两年消费金融的空前?#27604;伲?ldquo;黑产很多人顺着这波浪潮,涌入新兴产业中”。

        这个只有21岁的年轻人,从事消费金融盗刷一个多年头,在网络上,算资深玩家。

        VV手?#29366;?#20102;2个人,“这个小小的工作室,月入百万”。

        从2014年开始,众多消费金融平台开通“透支”、“零首付分期”功能。

        根据用户的信用消费记录,平台提供一定的“透支”额度,购买商?#32602;?#26368;典型的就是蚂蚁花呗。

        这些平台,正在成为黑产眼中的肥肉。

        ?#26434;?#20182;们来说,用盗刷传统银行卡的手?#21361;?#26469;盗刷网上的消费金融,就是?#28404;?#25915;击。

        “因为很多用户名和密码,可以从网络上轻易获取”,VV称,“任何漏洞,都会被我们利用”。

        在这片利益泛滥的江湖,任何小漏洞,都会被黑产深挖成金钱和欲望的洞口。

        ?#30333;臯V这条线索,我们追踪其下——一个庞大的黑暗帝国,从云雾下缓缓呈现。

        02 黑料

        VV如一根绳子,将产?#30423;?#19978;所有的人,连珠成串。

        这个产?#30423;?#30340;开端,来自黑料。

        那些在黑市中,被反复清洗的、有金融价值的用户信息,这就是传说中的“黑料”。

        一般一个可登陆的金融账号和密码,在黑市上售价0.5元到5元不?#21462;?/p>

        ?#20945;?#34892;规,?#26434;?#25968;据来源,“不可多问”,VV也并不关心,他只关心数据是否优秀。

        黑料的来源众多,而最直接的,就是黑客入侵某些平台,从后台,将整个用户信息数据库,拖出来——行话叫“拖库”。

        这些数据库,会在黑市上流通,被反复清洗、榨取价值,“直到渣渣都不剩下”。

        通常,VV获得了一批账号和密码后,就开始“信息修复”。

        “每个黑客的攻击手法都不同,破解的方式也千奇百怪,没有统一的作战方式”,VV将攻防之间的战争,比喻为入侵一座城堡。

        尽管有护城河、城墙,但攻击者,可以从正门攻,?#37096;?#20197;从地下挖地道,甚?#38142;?#20303;一个老鼠洞,都能钻进来,防不胜防。

        这也是攻守力量悬殊的原因。

        VV和他的团队,在实战中,也总结了一套独特战术。

        现在大部分消费金融平台的账号,都会设置“支付密码”,和登?#27982;?#30721;不同,因此,第一步,就是突破支付密码。

        VV的攻?#21697;?#24335;,是通过社工库,寻找这个账户曾经用过的其他密码。

        所谓社工库,就是黑产的地下数据库,其广博的深度,恐怕不?#28909;?#20309;“大数据公司”差。黑客们盗取的数据,都留存在社工库中,供黑客们查询。

        “社工库的数据,可查询到身份证号、银行卡号、常用密码、家庭住?#32602;?#29978;至开房记录等众多维度数据”,VV通过社工库和他的黑市数据搜索,就?#19994;?#20102;每个账号之下,可能使用的其他密码。

        “人类设计密码是有缺陷的,大部分人最多只有4个常用密码,一旦超过4个,就经常记混”,VV称,正因为如此,一家账号泄露,就会殃及池鱼。

        有了双密之后,几乎锁定可入侵目标,剩下的操作手?#21361;?#26356;是花招百出。

        但万变不离其宗的一条定理是:短信正在成为最关键的“Key”,成为核心的安全阀门。

        这是因为,大部分平台都会通过发?#25237;?#20449;验证码的方式,来验证是否为用户本人的操作。

        一般掌控这个“安全阀门”,只要有两个手?#21361;?#19968;个是修改“绑定的手机号”,一个就是“劫持短信”。

        修改绑定手机号,就是钻营各大平台的风控漏洞,VV将其为“老鼠洞式”的入侵。

        VV回忆称:“一年前,很多金融平台修改绑定手机规则比较简单,只需要支付密码就能修改,到后来,又需要提供银行卡和支付密码修改,可这些信息,黑?#22270;?#20046;都能通过社工库获得,成了盗刷黑产的盛宴。”

        在这场攻?#26469;?#25112;中,双方在过招中相互制衡成长——风控规则不停地变,黑客就见招拆?#23567;?/p>

        “我听说曾经一帮盗刷者,会用一个新号码给?#22836;?#25171;电话,说自己原来的手机丢失,只要提供身份证、银行卡、最近收货地址、购买物品等信息后,也能修改手机号”,VV称,盗刷者会花样触底,来测试风控的底线。

        ?#34892;?#30423;刷者,甚至手机号都不改。

        他们在发货后,直接给后台店铺留言,要求修改?#31361;?#22320;址。

        而一些云端漏洞,?#37096;?#22987;被频繁利用。

        日前,有媒体报道称,何先生遭遇手机锁死、频繁关机后被盗刷,损失5.3万元。

        结果发现,黑?#25512;?#35299;他的360智能手机云服务平台,其中有一个“回复短信”的?#28044;冢?#21487;以从云端回复短信。

        黑客利用回复功能,让何先生的手机卡,绑定了一张“副卡”,可以同步接受到他的验证码,因此完成盗刷。

        作为最后安全阀门的短信,真的还安全吗?

        针对无孔不入的黑产,很多平台不得不制定更为严苛的风控规则,封堵漏洞。

        “但控制一个人手机的方式很多,漏洞也很多,修补上一个,我们再换另一个”,VV称,给用户的手机种上木马,依然是成本最低的方式。

        此时,传说中的第二种方式开?#20960;?#20986;水面——“短信拦截马”。

        03 马子

        黑产链条,就像一部无人值守,却能自行运作的机器。

        有意思的是,似乎没有哪个产?#30423;矗?#22312;毫无组织、全部匿名的情况下,能如此有条不紊的进行,配合得严丝合缝。

        唯一的动力源,就是暴利。

        “马子包月500元”,黑客小N是一个圈内知名的马子供应商。

        因为他技术不错,编写的马子(行话,就是病毒和木马)出战,无往不利,因此名望很高。

        马子包月的意思是,只能在一个月内“免杀”(不被杀?#25937;?#20214;绞杀),如果还需要继续使用,就需要“续费”。

        而“短信拦截马”,就是小N开发的核心产品。

        不要小?#20945;?#20010;木马,一旦安装成功,就可以拦截用户短信。

        VV会将这个木马通过短信、社交软件发送?#25509;?#25143;手机上,?#38382;?#21487;以是网?#32602;部?#33021;是一张美女?#35745;?#25110;视频,甚至是一句诱人的话。

        “有时候我们会通过手机号,?#19994;接?#25143;的社交软件,加上好友,再发送病毒”,VV称。

        用户一旦激活木马,就会要求下载一个插件。

        这个插件就是木马包,一旦安装,短信将会完全被黑?#22270;?#31649;。用户收到任何一条验证码,就会同时发送到VV绑定的邮箱中,或者直接拦截用户短信,让他完全收不到。

        或者,直接发送到小N指定的手机号码中。

        一些黑客,开始研究新式马子——通过社交平台,以“红包”“现金券”等方式钓鱼。

        “铁骑”是一位专注研究新马子的黑客。

        “现在人们的防范意识也提高,通过短信点击网址的几率,越来越小”,这也是铁骑开始研发新马子的初衷。

        社交时代,最能引发点击欲的,无疑是微信红包。

        “我们通过微信小号,给微信好友群发红包,看起来是个红包,?#23548;?#19978;是一个网页”,铁骑并不通过微信群?#38431;悖?#22240;为总会“聪明人”提示异常,很快就会被踢群。

        而单点击破的可能性更大,?#33322;?#26399;间群发,效果更佳。

        当用户领取了红包后,就会跳出“现在领取红包的人太多,请先进行提现哦”的提示,这个时候,一般的黑客会再植入一个页面,套取用户的银行卡信息,最后再安装“短信拦截马”。

        “现在市面上流通的木马,多为安卓系统的”,铁骑说,?#26434;?#33529;果用户,只能通过网页木马,“但对方一旦关闭网页,对短信的拦截就会失效”。
       

        而拿下苹果系统,目前已成为黑产中顶级黑客们的堡垒战,至于是否攻破——起码黑市上,还没有开始大面积流通。

        不论是小N?#25925;?#38081;骑,一般都通过QQ交易——这明显是目前匿名性最强的社交工具。

        因为涉及黑产太深,小N注册的上百个QQ号都曾被“封号”。

        “几千个客户,?#24471;?#23601;没”,小N在巅峰时期,一个月销售“马子”,可赚20多万。

        “一个号的生命周期也就一两个月,还好圈内有一点名气了,注册了新号,大?#19968;?#20250;慕名而来”,小N说。

        04 上帝模式

        马子黑客,一般都藏在最深的幕后,他们通常懂些技术,?#37096;?#32534;写小工具,他们给整条产?#30423;矗?#25552;供“技术”支持。

        而另外一拨人,则给产?#30423;?#25552;供“设备”支持。

        VV会积攒一?#38382;?#38388;账号的素?#27169;?#23450;时会对一些账号集中区域,进行集中清洗。

        而使用的设备,就是伪基站。

        “一旦使用了伪基站,就开启了上帝模式”,VV称。

        和VV长期合作的伪基站搭档,叫“宾利”,他的伪基站设备,着?#23548;?#38475;。

        “一台电脑,一台主机,一个发射器,一根天线,这就是我全部的设备”,这套设备,由短信群发的设备改装而来,虽然简陋,却颇为好使。

        伪基站的作用,和运营商的基站一样,可以拦截用户短信、通话等功能。

        当宾利的“伪基站”开?#35745;?#21160;,方圆1.5公里的用户的手机,都在他监控和操纵?#27573;?#20869;。

        ?#23548;?#19978;,伪基站的价格,颇为便宜。

        “黑市上的价格是六七千,如果从广东的厂家直接?#27809;酰?#21482;需要3700元”,宾利称。

        而VV租用设备一个晚上的价格,只需要300元。

        如今,伪基站正在成为入侵的利器。

        VV和宾利?#21592;?#37197;合下,登录用户账号开始盗刷后,可以直接让用户手机“停机”、“无信号”,?#37096;?#20197;截获所有短信记录。

        “而伪基站,正在升级”,一位不愿具名的黑产人员透露,现在“组合基站”开始出现,功能模块可以随意组合,同时运行,“而有限距离,也大大增强,已可做到方圆10公里”。

        组合基站不仅可以截获短信、通讯、钓鱼WiFi等基础功能,甚至可以读取通讯录、安装APP数据,甚至聊天记录,堪比PC时代的远程操控“肉鸡”劫持。

        此时,才是真正的上帝模式——黑产也到了一个技术?#31245;?#30340;关键节点,而其?#22836;?#30340;黑?#30423;?#37327;,不得不让人?#24535;濉?/p>

        不管是伪基站?#25925;?#26408;马,核心的逻辑,都是控制短信,截获验证码。

        05 套现者

        当VV开始实施盗刷时,产?#30423;?#26368;后端的套现者,开?#20960;?#20986;水面。

        白夜已从事套现生意2年了,他接两种单子:黑与白。

        所谓的“白单”,就是一些用户自己缺钱,试图套现。

        “一般虚拟物?#32602;?#25105;收20%的返点,如果走物流,我收10到15%的返点”,白夜称,然而大部分人,拿不到套现。

        “很多人钱一打过来,我们就直接拉黑”,而用户自?#20309;?#35268;操作在先,也不会报警,正是抓住了这点,白夜出手狠辣,毫无留情。

        除非他觉得对方还能给他拉来更多“生意”,否则就是“一锤子买卖,逮住一个?#24213;?#31639;一个”。

        一般走物流的话,白夜就会将指定商品发给用户,用户下单后用透支功能付款。

        第二天配送时,用户需要发送一条短信给快递员:“师?#30340;?#22909;,我是某?#24120;?#35746;单请给?#19994;?#26379;友某人签收”,并留下签收人的电话。

        “一旦对方发送了这条短信,我就马上拉黑”,白夜称,快递员收到这条短信后,就可以完全从这次骗?#31181;?#20840;身而退,平台无法再对他们追责。

        而?#23548;?#19978;,这些?#31361;?#30340;快递员,都和白夜相勾结,“每次给他们10%到20%的返点”。

        而黑客们找过来的,就是黑单。

        VV和白夜密?#20449;?#21512;。开始盗刷前,还会有一些套路。

        ?#28909;紓?#20026;了迷惑用户,VV会先用一个“短信轰炸器”,轰炸用户的手机,一下蹦出来几十条各个平台的验证码短信,“目的就是迷惑用户,然后将盗刷平台的验证码藏在其中,一般用户?#25442;崛?#20026;是骚扰,就不会打开账户来查看信息”。

        ▲短信验证码轰炸

        紧接着,白夜会给提供下单的物品和地?#32602;琕V操控着盗刷的账号下单。

        首先盗刷的,是虚拟物?#32602;热鏠Q币、话费、油卡?#21462;?/p>

        因为虚拟物品不需要物流,更容易套现。一般平台也为?#20048;?#22823;规模套现,对虚拟物品的额度?#31995;停?#19968;般只有几百元。

        虚拟物品之后,盗刷物品才是更为复杂得产?#30423;础?/p>

        “手机、电脑、手表、金项链、茅台,一般都是这些好变现的商品”,VV也会偶尔给自己刷点生活用品。

        在一本财经采访的盗刷受害者中,有人被盗刷了10袋大米、2箱可乐、甚至避孕套等物品。

        “通常?#19968;?#23558;收货地?#32602;?#22635;写为非固定地?#32602;热紓?#26576;烟酒超市、某街道口、快餐店门口等,收货人联系方式,更换成接头人电话”,白夜称,“快递员都是熟人,会在指定地点,将货送到接头人手中”。

        而这些物品“变现”,依然需要白夜出场。

        而他的下游,还有一些渠道“销赃”,将这些盗刷物品套现。物品会流向专门的二手黑市,?#28909;?#19968;个全新的iPhone,打8折出售。

        ?#26434;?#40657;单,一般白夜要提更高的返点,虚拟物品40%,货物物流30%。

        前几日和VV的一次合作,白夜就挣了2万元。他一个月纯利润,大概10万左右。

        他们是这条产?#30423;?#20013;的“销脏者”。

        在各大QQ群中,聚集着大量的套现者,他们公开“招商”“招中介”,任?#25991;?#25552;供分期购物的平台,都会成为他们的套现对象。

        06 刀口舔血

        在各大平台的“盗刷维权群”里,每天都会增加两到三位被盗刷者,过来寻找同盟。

        他们普遍认为,是平台漏洞,导致了账号外泄,才会引发后续一?#30423;?#30340;盗刷事件;而平台的风控规则不严,也让盗刷得以实施。

        “现在每天,?#19994;?#28382;纳金都在上涨,?#19994;?#24515;这影响?#19994;?#24449;信记录”,被盗刷者罗青称。

        但目前各家平台?#26434;?#30423;刷事件,很难做到“全盘接受”——他们担心被反向利用,用户自己刷了,然后说是黑客干的。

        关于人性的恶与善,在利益的碰撞中,就会无限放大。

        “每一个案件都是复杂的,恐怕很难?#19994;?#32479;一的解决方式”,VV称,?#34892;?#30423;刷完全是因为账号外?#36141;头?#25511;漏洞,?#34892;?#29992;户自身不谨慎,中了木马。

        要完全解开这个结,恐怕需要多方合力。

        运营商,堵上伪基站的漏洞;各个平台,安全?#22836;?#25511;提高;用户,安全意识提升,一个都不能少。

        至于这条黑产,恐怕难以完全绞杀,在利益面前,他们宁愿过着“刀口舔血”的高危生活。

        而盗刷者,多是团伙合作,每个团伙的攻击和入侵方式都不相同。

        一本财经深挖VV这条线索,就花费2个月的时间,而大部分的团伙,还深藏地下某个黑?#21040;?#33853;。

        由VV串联的这条线,每个月会产生百万收益,所有的人再来?#36136;场?/p>

        但,暴利的背后,同样面临着高风险。

        各大黑产群活跃的一位“师傅”,几天前突然人间蒸发。

        和“师傅”相熟的一位黑?#32479;疲?ldquo;师傅”被警方盯上,“恐怕已经进去了”。

        “常在河边走,哪有不湿鞋?”师傅出事的消息,让圈内人心惶惶,VV也准备金盆洗手,带着两个兄弟撤退。

        很多“涉黑”人员,一转身,就会变成公司的“安全人员”,由攻变守,由黑到白,似乎只是一线之间。

        突然消失,在这里是经常的故事——可能是隐退,?#37096;?#33021;,就是再?#19981;?#19981;来了。

        在这个暴利的盗刷帝国中,有暴富的神话,也有隐退的洗白,也?#20852;?#38388;倾覆的惊涛骇浪。

        [音符]

        互联网消费金融,成为黑产攻坚对象。

        从信用卡到消费金融,黑产也迎来了转型升级的关键时刻。

        黑产如猛兽般,正在草丛后匍匐,等待新羊群松懈的那一刻……

    • 加入收藏
    • [ 作者:一本财经 零和 ]
    • 分享到: 更多
      标签:
    • 相关推荐
      · 暗网买信用卡纪实:亲测盗刷无门槛2017-03-01
      · 央视曝光新型盗刷案 POS机代理、银行多个关口失守2016-12-08
      · 易到多个账户被盗刷2016-07-25
      · 多名?#34892;?#23458;户遭银行卡盗刷 没收到验证码钱就被转走2016-05-13
      · 用户被盗刷2.5万!支付宝回应缘何“轻描淡写”2016-03-15
    • 最新消息
      · 盗刷帝国:黑产涌入消费金融,刀口舔血月入百万2017-03-09
      · 跌破质押成本线:?#36136;?#29983;态化反的故事已到尽头?2017-03-06
      · 刚起步的共享汽?#30340;?#21507;到风口上的肥肉吗?2017-03-02
      · 音乐IP稀缺的背后,为什么说罪魁祸首在于渠道?2017-02-28
      · “勇敢”的李厂长做了失败的综艺公关2017-02-24
        ?#24310;?b>条评论,查看更多评伦发表评论
    • 用户名:  密码:              匿名发表  | 注册会员
    • 网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述
    好彩1在线购买
  • 魔术气球 探灵笔记游戏人物形象图片 wow赤红熊猫人凤凰 热血羽毛球大奖 皇家马德里对维戈塞尔塔视频直播 圣埃蒂安vs波尔多 猎鱼达人h5 活塞vs尼克斯 21点 网页游戏 穿越火线灵狐者