任务统计:
发布数/完成数/奖励数:
0/0/0
承接数/奖励数/收入数:
0/0/0
限制会员
- 积分
- -1705
扫一扫,手机访问本帖
|
文 | 零和
近两年,消费金融上升为互联网金融的头把交椅,火爆异常。
一群盗刷银行卡的黑产人员,在消费金融崛起后,尾随而来。
他们整合各个渠道泄露的用户信息,就像完成一幅拼图般,精心拼凑。
一旦锁定目标,他们招数百变地专营各种漏洞,配合新式设备,进行大规模清洗。
一本财经追寻着盗刷的线索,步步深入,发现背后形成一个庞大的盗刷帝国。
这是一个暴利的地下世界,这里有一夜暴富的传奇,也有顷刻颠覆的巨浪…
01 帝国
阴冷的午后,太阳在雾霾之后,只剩没有温度的灰黄。
黑客VV带着一个骷髅头的头罩,出现在火锅店的门口,他说:“刚做了几单大的,犒劳一下兄弟们。”
所谓几单大的,就是一个晚上,“盗刷了十几个账号,挣了近 10 万”。
VV此前,专职做银行卡盗刷,近两年消费金融的空前繁荣,“黑产很多人顺着这波浪潮,涌入新兴产业中”。
这个只有 21 岁的年轻人,从事消费金融盗刷一个多年头,在网络上,算资深玩家。
VV手底带了 2 个人,“这个小小的工作室,月入百万”。
从 2014 年开始,众多消费金融平台开通“透支”、“零首付分期”功能。
根据用户的信用消费记录,平台提供一定的“透支”额度,购买商品,最典型的就是蚂蚁花呗。
这些平台,正在成为黑产眼中的肥肉。
对于他们来说,用盗刷传统银行卡的手段,来盗刷网上的消费金融,就是降维攻击。
“因为很多用户名和密码,可以从网络上轻易获取”,VV称,“任何漏洞,都会被我们利用”。
在这片利益泛滥的江湖,任何小漏洞,都会被黑产深挖成金钱和欲望的洞口。
寻着VV这条线索,我们追踪其下——一个庞大的黑暗帝国,从云雾下缓缓呈现。
02 黑料
VV如一根绳子,将产业链上所有的人,连珠成串。
这个产业链的开端,来自黑料。
那些在黑市中,被反复清洗的、有金融价值的用户信息,这就是传说中的“黑料”。
一般一个可登陆的金融账号和密码,在黑市上售价0. 5 元到 5 元不等。
按照行规,对于数据来源,“不可多问”,VV也并不关心,他只关心数据是否优秀。
黑料的来源众多,而最直接的,就是黑客入侵某些平台,从后台,将整个用户信息数据库,拖出来——行话叫“拖库”。
这些数据库,会在黑市上流通,被反复清洗、榨取价值,“直到渣渣都不剩下”。
通常,VV获得了一批账号和密码后,就开始“信息修复”。
“每个黑客的攻击手法都不同,破解的方式也千奇百怪,没有统一的作战方式”,VV将攻防之间的战争,比喻为入侵一座城堡。
尽管有护城河、城墙,但攻击者,可以从正门攻,也可以从地下挖地道,甚至逮住一个老鼠洞,都能钻进来,防不胜防。
这也是攻守力量悬殊的原因。
VV和他的团队,在实战中,也总结了一套独特战术。
现在大部分消费金融平台的账号,都会设置“支付密码”,和登录密码不同,因此,第一步,就是突破支付密码。
VV的攻破方式,是通过社工库,寻找这个账户曾经用过的其他密码。
所谓社工库,就是黑产的地下数据库,其广博的深度,恐怕不比任何“大数据公司”差。黑客们盗取的数据,都留存在社工库中,供黑客们查询。
“社工库的数据,可查询到身份证号、银行卡号、常用密码、家庭住址,甚至开房记录等众多维度数据”,VV通过社工库和他的黑市数据搜索,就找到了每个账号之下,可能使用的其他密码。
“人类设计密码是有缺陷的,大部分人最多只有 4 个常用密码,一旦超过 4 个,就经常记混”,VV称,正因为如此,一家账号泄露,就会殃及池鱼。
有了双密之后,几乎锁定可入侵目标,剩下的操作手段,更是花招百出。
但万变不离其宗的一条定理是:短信正在成为最关键的“Key”,成为核心的安全阀门。
这是因为,大部分平台都会通过发送短信验证码的方式,来验证是否为用户本人的操作。
一般掌控这个“安全阀门”,只要有两个手段,一个是修改“绑定的手机号”,一个就是“劫持短信”。
修改绑定手机号,就是钻营各大平台的风控漏洞,VV将其为“老鼠洞式”的入侵。
VV回忆称:“一年前,很多金融平台修改绑定手机规则比较简单,只需要支付密码就能修改,到后来,又需要提供银行卡和支付密码修改,可这些信息,黑客几乎都能通过社工库获得,成了盗刷黑产的盛宴。”
在这场攻防大战中,双方在过招中相互制衡成长——风控规则不停地变,黑客就见招拆招。
“我听说曾经一帮盗刷者,会用一个新号码给客服打电话,说自己原来的手机丢失,只要提供身份证、银行卡、最近收货地址、购买物品等信息后,也能修改手机号”,VV称,盗刷者会花样触底,来测试风控的底线。
有些盗刷者,甚至手机号都不改。
他们在发货后,直接给后台店铺留言,要求修改送货地址。
而一些云端漏洞,也开始被频繁利用。
日前,有媒体报道称,何先生遭遇手机锁死、频繁关机后被盗刷,损失5. 3 万元。
结果发现,黑客破解他的 360 智能手机云服务平台,其中有一个“回复短信”的接口,可以从云端回复短信。
黑客利用回复功能,让何先生的手机卡,绑定了一张“副卡”,可以同步接受到他的验证码,因此完成盗刷。
作为最后安全阀门的短信,真的还安全吗?
针对无孔不入的黑产,很多平台不得不制定更为严苛的风控规则,封堵漏洞。
“但控制一个人手机的方式很多,漏洞也很多,修补上一个,我们再换另一个”,VV称,给用户的手机种上木马,依然是成本最低的方式。
此时,传说中的第二种方式开始浮出水面——“短信拦截马”。 |
|