通過破解某支付平臺(tái)的“人臉識(shí)別”系統(tǒng),犯罪嫌疑人盜竊多位受害人二十多萬元賬戶資金。1月16日,在“向人民報(bào)告”宜賓公安網(wǎng)安專場新聞通氣會(huì)上,宜賓警方通報(bào)了這起案件的情況。

2016年11月4日,四川省宜賓警方接到國內(nèi)某支付平臺(tái)公司員工到報(bào)案:其公司近日發(fā)現(xiàn)多起用戶賬戶資金被盜的案件,會(huì)員用戶反映其賬戶中增加了非本人辦理的昆侖銀行卡,賬戶信息、綁定手機(jī)號(hào)被更改后造成資金被盜。通過公司網(wǎng)絡(luò)技術(shù)后臺(tái)篩查,作案人使用的IP歸屬地為宜賓電信,涉案賬戶20余個(gè),涉案資金20多萬元。

利用人臉識(shí)別漏洞

修改用戶登錄密碼

接到報(bào)案后,宜賓市公安局網(wǎng)安支隊(duì)高度重視,聯(lián)合長寧縣公安局成立專案組進(jìn)行攻堅(jiān)并落地查證,發(fā)現(xiàn)長寧縣網(wǎng)民周某有重大作案嫌疑人。通過對周某所使用網(wǎng)絡(luò)虛擬賬號(hào)開展工作,發(fā)現(xiàn)楊某系其同案犯,兩人通過網(wǎng)絡(luò)聊天工具交流作案手法,并通過互聯(lián)網(wǎng)聯(lián)系“料商”購買大量的公民個(gè)人信息、聯(lián)系“卡商”購買短信服務(wù)用于作案。

在掌握了二人大量的犯罪證據(jù)后,宜賓市縣專案組民警于2016年12月20日將犯罪嫌疑人周某、楊某抓獲歸案。

經(jīng)查,犯罪嫌疑人周某、楊某結(jié)合自己對某支付平臺(tái)賬戶登錄、找回密碼方式的了解,破解了該支付平臺(tái)賬戶人臉識(shí)別校驗(yàn)系統(tǒng)的漏洞。

該支付平臺(tái)賬戶在修改密碼或者換改綁定手機(jī)號(hào)碼的情況下,系統(tǒng)會(huì)提示人臉識(shí)別,第一步需要用手機(jī)攝像頭對著操作者,拍下操作者的正面靜態(tài)照片,通過系統(tǒng)審核之后,第二步系統(tǒng)再次要求操作者將手機(jī)攝像頭對著操作者,按照系統(tǒng)要求的指令作出“眨眼”、“搖頭”、“張嘴”等動(dòng)作同時(shí)進(jìn)行攝像,完成之后,系統(tǒng)會(huì)自動(dòng)評(píng)估。如果照片、視頻符合系統(tǒng)要求,便獲得修改支付平臺(tái)賬戶密碼和換綁手機(jī)號(hào)碼的權(quán)限,一旦修改完成用戶的登錄密碼,并換綁為自己能夠接收短信的一個(gè)手機(jī)號(hào)碼,就可以將用戶支付平臺(tái)賬戶內(nèi)的余額轉(zhuǎn)走。

涉案金額20多萬

漏洞目前已經(jīng)修復(fù)

犯罪嫌疑人在破解這一漏洞之后,開始大量在網(wǎng)上大量購買公民個(gè)人信息。通過加入QQ群聯(lián)系到“料商”,大量購買公民個(gè)信息;同時(shí)通過QQ聯(lián)系“卡商”,讓卡商為自己提供換綁他人支付平臺(tái)手機(jī)號(hào)的號(hào)碼,并且接收短信驗(yàn)證碼,為自己實(shí)施犯罪作準(zhǔn)備。

犯罪嫌疑人通過一系列操作,修改受害人的賬戶密碼,再通過QQ聯(lián)系卡商,卡商發(fā)來一組手機(jī)號(hào)碼(16個(gè)或32個(gè)號(hào)碼為一組),嫌疑人隨機(jī)選擇一個(gè)手機(jī)號(hào)碼,將該手機(jī)號(hào)碼綁定在受害人支付平臺(tái)賬戶上,在此過程中,支付平臺(tái)系統(tǒng)會(huì)發(fā)送驗(yàn)證碼短信至新綁定的手機(jī)號(hào)碼里面,嫌疑人通過QQ聊天向卡商索要短信驗(yàn)證碼,完成更改賬戶密碼、手機(jī)綁定操作,之后再次通過短信驗(yàn)證碼將受害人的賬戶余額轉(zhuǎn)走。

犯罪嫌疑人周某、楊某作案后,在將他人支付平臺(tái)賬戶內(nèi)的資金轉(zhuǎn)移到某賭博網(wǎng)站上,通過在網(wǎng)站內(nèi)玩“PT老虎機(jī)”等賭博游戲進(jìn)行洗錢,再將資金轉(zhuǎn)入到自己使用的銀行卡賬號(hào)內(nèi)。

自2016年10月27日至2017年1月11日,犯罪嫌疑人周某、楊某非法購買公民個(gè)人信息5000余組,盜竊受害人劉某、許某等人的賬戶資金共計(jì)282676元。

警方表示,通過案件的偵破,目前該平臺(tái)已修復(fù)了這一漏洞。

來源：鳳凰網(wǎng)財(cái)經(jīng)WEMONEY