• 服务热线:13728883399
  • wangyp@shangeai.com

支付平台人脸识别漏洞:超20个账户20多万被盗

时间:2018-01-17 13:30:34点击:532次

通过破解某支付平台的“人脸识别”系统,犯罪嫌疑人盗窃多位受害人二十多万元账户资金。1月16日,在“向人民报告”宜宾公安网安专场新闻通气会上,宜宾警方通报了这起案件的情况。

2016年11月4日,四川省宜宾警方接到国内某支付平台公司员工到报案:其公司近日发现多起用户账户资金被盗的案件,会员用户反映其账户中增加了非本人办理的昆仑银行卡,账户信息、绑定手机号被更改后造成资金被盗。通过公司网络技术后台筛查,作案人使用的IP归属地为宜宾电信,涉案账户20余个,涉案资金20多万元。

利用人脸识别漏洞

修改用户登录密码

接到报案后,宜宾市公安局网安支队高度重视,联合长宁县公安局成立专案组进行攻坚并落地查证,发现长宁县网民周某有重大作案嫌疑人。通过对周某所使用网络虚拟账号开展工作,发现杨某系其同案犯,两人通过网络聊天工具交流作案手法,并通过互联网联系“料商”购买大量的公民个人信息、联系“卡商”购买短信服务用于作案。

在掌握了二人大量的犯罪证据后,宜宾市县专案组民警于2016年12月20日将犯罪嫌疑人周某、杨某抓获归案。

经查,犯罪嫌疑人周某、杨某结合自己对某支付平台账户登录、找回密码方式的了解,破解了该支付平台账户人脸识别校验系统的漏洞。

该支付平台账户在修改密码或者换改绑定手机号码的情况下,系统会提示人脸识别,第一步需要用手机摄像头对着操作者,拍下操作者的正面静态照片,通过系统审核之后,第二步系统再次要求操作者将手机摄像头对着操作者,按照系统要求的指令作出“眨眼”、“摇头”、“张嘴”等动作同时进行摄像,完成之后,系统会自动评估。如果照片、视频符合系统要求,便获得修改支付平台账户密码和换绑手机号码的权限,一旦修改完成用户的登录密码,并换绑为自己能够接收短信的一个手机号码,就可以将用户支付平台账户内的余额转走。

涉案金额20多万

漏洞目前已经修复

犯罪嫌疑人在破解这一漏洞之后,开始大量在网上大量购买公民个人信息。通过加入QQ群联系到“料商”,大量购买公民个信息;同时通过QQ联系“卡商”,让卡商为自己提供换绑他人支付平台手机号的号码,并且接收短信验证码,为自己实施犯罪作准备。

犯罪嫌疑人通过一系列操作,修改受害人的账户密码,再通过QQ联系卡商,卡商发来一组手机号码(16个或32个号码为一组),嫌疑人随机选择一个手机号码,将该手机号码绑定在受害人支付平台账户上,在此过程中,支付平台系统会发送验证码短信至新绑定的手机号码里面,嫌疑人通过QQ聊天向卡商索要短信验证码,完成更改账户密码、手机绑定操作,之后再次通过短信验证码将受害人的账户余额转走。

犯罪嫌疑人周某、杨某作案后,在将他人支付平台账户内的资金转移到某赌博网站上,通过在网站内玩“PT老虎机”等赌博游戏进行洗钱,再将资金转入到自己使用的银行卡账号内。

自2016年10月27日至2017年1月11日,犯罪嫌疑人周某、杨某非法购买公民个人信息5000余组,盗窃受害人刘某、许某等人的账户资金共计282676元。

警方表示,通过案件的侦破,目前该平台已修复了这一漏洞。

来源:凤凰网财经WEMONEY

  • 标签: