盗刷帝国:涌入消费金融的黑产


2017-3-9 15:05

近两年,消费金融上升为互联网金融的头把交椅,火爆异常。

一群盗刷银行卡的黑产人员,在消费金融崛起后,尾随而来。

他们整合各个渠道泄露的用户信息,就像完成一幅拼图般,精心拼凑。

一旦锁定目标,他们招数百变地专营各种漏洞,配合新式设备,进行大规模清洗。

一本财经追寻着盗刷的线索,步步深入,发现背后形成一个庞大的盗刷帝国。

这是一个暴利的地下世界,这里有一夜暴富的传奇,也有顷刻颠覆的巨浪…

01帝国

阴冷的午后,太阳在雾霾之后,只剩没有温度的灰黄。

黑客VV带着一个骷髅头的头罩,出现在火锅店的门口,他说:“刚做了几单大的,犒劳一下兄弟们。”

所谓几单大的,就是一个晚上,“盗刷了十几个账号,挣了近10万”。

VV此前,专职做银行卡盗刷,近两年消费金融的空前繁荣,“黑产很多人顺着这波浪潮,涌入新兴产业中”。

这个只有21岁的年轻人,从事消费金融盗刷一个多年头,在网络上,算资深玩家。

VV手底带了2个人,“这个小小的工作室,月入百万”。

从2014年开始,众多消费金融平台开通“透支”、“零首付分期”功能。

根据用户的信用消费记录,平台提供一定的“透支”额度,购买商品,最典型的就是蚂蚁花呗。

这些平台,正在成为黑产眼中的肥肉。

对于他们来说,用盗刷传统银行卡的手段,来盗刷网上的消费金融,就是降维攻击。

“因为很多用户名和密码,可以从网络上轻易获取”,VV称,“任何漏洞,都会被我们利用”。

在这片利益泛滥的江湖,任何小漏洞,都会被黑产深挖成金钱和欲望的洞口。

寻着VV这条线索,我们追踪其下——一个庞大的黑暗帝国,从云雾下缓缓呈现。

02黑料

VV如一根绳子,将产业链上所有的人,连珠成串。

这个产业链的开端,来自黑料。

那些在黑市中,被反复清洗的、有金融价值的用户信息,这就是传说中的“黑料”。

一般一个可登陆的金融账号和密码,在黑市上售价0.5元到5元不等。

按照行规,对于数据来源,“不可多问”,VV也并不关心,他只关心数据是否优秀。

黑料的来源众多,而最直接的,就是黑客入侵某些平台,从后台,将整个用户信息数据库,拖出来——行话叫“拖库”。

这些数据库,会在黑市上流通,被反复清洗、榨取价值,“直到渣渣都不剩下”。

通常,VV获得了一批账号和密码后,就开始“信息修复”。

“每个黑客的攻击手法都不同,破解的方式也千奇百怪,没有统一的作战方式”,VV将攻防之间的战争,比喻为入侵一座城堡。

尽管有护城河、城墙,但攻击者,可以从正门攻,也可以从地下挖地道,甚至逮住一个老鼠洞,都能钻进来,防不胜防。

这也是攻守力量悬殊的原因。

VV和他的团队,在实战中,也总结了一套独特战术。

现在大部分消费金融平台的账号,都会设置“支付密码”,和登录密码不同,因此,第一步,就是突破支付密码。

VV的攻破方式,是通过社工库,寻找这个账户曾经用过的其他密码。

所谓社工库,就是黑产的地下数据库,其广博的深度,恐怕不比任何“大数据公司”差。黑客们盗取的数据,都留存在社工库中,供黑客们查询。

“社工库的数据,可查询到身份证号、银行卡号、常用密码、家庭住址,甚至开房记录等众多维度数据”,VV通过社工库和他的黑市数据搜索,就找到了每个账号之下,可能使用的其他密码。

“人类设计密码是有缺陷的,大部分人最多只有4个常用密码,一旦超过4个,就经常记混”,VV称,正因为如此,一家账号泄露,就会殃及池鱼。

有了双密之后,几乎锁定可入侵目标,剩下的操作手段,更是花招百出。

但万变不离其宗的一条定理是:短信正在成为最关键的“Key”,成为核心的安全阀门。

这是因为,大部分平台都会通过发送短信验证码的方式,来验证是否为用户本人的操作。

一般掌控这个“安全阀门”,只要有两个手段,一个是修改“绑定的手机号”,一个就是“劫持短信”。

修改绑定手机号,就是钻营各大平台的风控漏洞,VV将其为“老鼠洞式”的入侵。

VV回忆称:“一年前,很多金融平台修改绑定手机规则比较简单,只需要支付密码就能修改,到后来,又需要提供银行卡和支付密码修改,可这些信息,黑客几乎都能通过社工库获得,成了盗刷黑产的盛宴。”

在这场攻防大战中,双方在过招中相互制衡成长——风控规则不停地变,黑客就见招拆招。

“我听说曾经一帮盗刷者,会用一个新号码给客服打电话,说自己原来的手机丢失,只要提供身份证、银行卡、最近收货地址、购买物品等信息后,也能修改手机号”,VV称,盗刷者会花样触底,来测试风控的底线。

有些盗刷者,甚至手机号都不改。

他们在发货后,直接给后台店铺留言,要求修改送货地址。

而一些云端漏洞,也开始被频繁利用。

日前,有媒体报道称,何先生遭遇手机锁死、频繁关机后被盗刷,损失5.3万元。

结果发现,黑客破解他的360智能手机云服务平台,其中有一个“回复短信”的接口,可以从云端回复短信。

黑客利用回复功能,让何先生的手机卡,绑定了一张“副卡”,可以同步接受到他的验证码,因此完成盗刷。

作为最后安全阀门的短信,真的还安全吗?

针对无孔不入的黑产,很多平台不得不制定更为严苛的风控规则,封堵漏洞。

“但控制一个人手机的方式很多,漏洞也很多,修补上一个,我们再换另一个”,VV称,给用户的手机种上木马,依然是成本最低的方式。

此时,传说中的第二种方式开始浮出水面——“短信拦截马”。

03马子

黑产链条,就像一部无人值守,却能自行运作的机器。

有意思的是,似乎没有哪个产业链,在毫无组织、全部匿名的情况下,能如此有条不紊的进行,配合得严丝合缝。

唯一的动力源,就是暴利。

“马子包月500元”,黑客小N是一个圈内知名的马子供应商。

因为他技术不错,编写的马子(行话,就是病毒和木马)出战,无往不利,因此名望很高。

马子包月的意思是,只能在一个月内“免杀”(不被杀毒软件绞杀),如果还需要继续使用,就需要“续费”。

而“短信拦截马”,就是小N开发的核心产品。

不要小看这个木马,一旦安装成功,就可以拦截用户短信。

VV会将这个木马通过短信、社交软件发送到用户手机上,形式可以是网址,也可能是一张美女图片或视频,甚至是一句诱人的话。

“有时候我们会通过手机号,找到用户的社交软件,加上好友,再发送病毒”,VV称。

用户一旦激活木马,就会要求下载一个插件。

这个插件就是木马包,一旦安装,短信将会完全被黑客监管。用户收到任何一条验证码,就会同时发送到VV绑定的邮箱中,或者直接拦截用户短信,让他完全收不到。

或者,直接发送到小N指定的手机号码中。

一些黑客,开始研究新式马子——通过社交平台,以“红包”“现金券”等方式钓鱼。

“铁骑”是一位专注研究新马子的黑客。

“现在人们的防范意识也提高,通过短信点击网址的几率,越来越小”,这也是铁骑开始研发新马子的初衷。

社交时代,最能引发点击欲的,无疑是微信红包。

“我们通过微信小号,给微信好友群发红包,看起来是个红包,实际上是一个网页”,铁骑并不通过微信群捕鱼,因为总会“聪明人”提示异常,很快就会被踢群。

而单点击破的可能性更大,春节期间群发,效果更佳。

当用户领取了红包后,就会跳出“现在领取红包的人太多,请先进行提现哦”的提示,这个时候,一般的黑客会再植入一个页面,套取用户的银行卡信息,最后再安装“短信拦截马”。

“现在市面上流通的木马,多为安卓系统的”,铁骑说,对于苹果用户,只能通过网页木马,“但对方一旦关闭网页,对短信的拦截就会失效”。

而拿下苹果系统,目前已成为黑产中顶级黑客们的堡垒战,至于是否攻破——起码黑市上,还没有开始大面积流通。

不论是小N还是铁骑,一般都通过QQ交易——这明显是目前匿名性最强的社交工具。

因为涉及黑产太深,小N注册的上百个QQ号都曾被“封号”。

“几千个客户,说没就没”,小N在巅峰时期,一个月销售“马子”,可赚20多万。

“一个号的生命周期也就一两个月,还好圈内有一点名气了,注册了新号,大家还会慕名而来”,小N说。

04上帝模式

马子黑客,一般都藏在最深的幕后,他们通常懂些技术,也可编写小工具,他们给整条产业链,提供“技术”支持。

而另外一拨人,则给产业链提供“设备”支持。

VV会积攒一段时间账号的素材,定时会对一些账号集中区域,进行集中清洗。

而使用的设备,就是伪基站。

“一旦使用了伪基站,就开启了上帝模式”,VV称。

和VV长期合作的伪基站搭档,叫“宾利”,他的伪基站设备,着实简陋。

“一台电脑,一台主机,一个发射器,一根天线,这就是我全部的设备”,这套设备,由短信群发的设备改装而来,虽然简陋,却颇为好使。

伪基站的作用,和运营商的基站一样,可以拦截用户短信、通话等功能。

当宾利的“伪基站”开始启动,方圆1.5公里的用户的手机,都在他监控和操纵范围内。

实际上,伪基站的价格,颇为便宜。

“黑市上的价格是六七千,如果从广东的厂家直接拿货,只需要3700元”,宾利称。

而VV租用设备一个晚上的价格,只需要300元。

如今,伪基站正在成为入侵的利器。

VV和宾利旁边配合下,登录用户账号开始盗刷后,可以直接让用户手机“停机”、“无信号”,也可以截获所有短信记录。

“而伪基站,正在升级”,一位不愿具名的黑产人员透露,现在“组合基站”开始出现,功能模块可以随意组合,同时运行,“而有限距离,也大大增强,已可做到方圆10公里”。

组合基站不仅可以截获短信、通讯、钓鱼WiFi等基础功能,甚至可以读取通讯录、安装APP数据,甚至聊天记录,堪比PC时代的远程操控“肉鸡”劫持。

此时,才是真正的上帝模式——黑产也到了一个技术飞跃的关键节点,而其释放的黑暗力量,不得不让人恐惧。

不管是伪基站还是木马,核心的逻辑,都是控制短信,截获验证码。

05套现者

当VV开始实施盗刷时,产业链最后端的套现者,开始浮出水面。

白夜已从事套现生意2年了,他接两种单子:黑与白。

所谓的“白单”,就是一些用户自己缺钱,试图套现。

“一般虚拟物品,我收20%的返点,如果走物流,我收10到15%的返点”,白夜称,然而大部分人,拿不到套现。

“很多人钱一打过来,我们就直接拉黑”,而用户自己违规操作在先,也不会报警,正是抓住了这点,白夜出手狠辣,毫无留情。

除非他觉得对方还能给他拉来更多“生意”,否则就是“一锤子买卖,逮住一个傻子算一个”。

一般走物流的话,白夜就会将指定商品发给用户,用户下单后用透支功能付款。

第二天配送时,用户需要发送一条短信给快递员:“师傅您好,我是某某,订单请给我的朋友某人签收”,并留下签收人的电话。

“一旦对方发送了这条短信,我就马上拉黑”,白夜称,快递员收到这条短信后,就可以完全从这次骗局中全身而退,平台无法再对他们追责。

而实际上,这些送货的快递员,都和白夜相勾结,“每次给他们10%到20%的返点”。

而黑客们找过来的,就是黑单。

VV和白夜密切配合。开始盗刷前,还会有一些套路。

比如,为了迷惑用户,VV会先用一个“短信轰炸器”,轰炸用户的手机,一下蹦出来几十条各个平台的验证码短信,“目的就是迷惑用户,然后将盗刷平台的验证码藏在其中,一般用户只会认为是骚扰,就不会打开账户来查看信息”。

短信验证码轰炸

紧接着,白夜会给提供下单的物品和地址,VV操控着盗刷的账号下单。

首先盗刷的,是虚拟物品,比如QQ币、话费、油卡等。

因为虚拟物品不需要物流,更容易套现。一般平台也为防止大规模套现,对虚拟物品的额度较低,一般只有几百元。

虚拟物品之后,盗刷物品才是更为复杂得产业链。

“手机、电脑、手表、金项链、茅台,一般都是这些好变现的商品”,VV也会偶尔给自己刷点生活用品。

在一本财经采访的盗刷受害者中,有人被盗刷了10袋大米、2箱可乐、甚至避孕套等物品。

“通常我会将收货地址,填写为非固定地址,比如,某烟酒超市、某街道口、快餐店门口等,收货人联系方式,更换成接头人电话”,白夜称,“快递员都是熟人,会在指定地点,将货送到接头人手中”。

而这些物品“变现”,依然需要白夜出场。

而他的下游,还有一些渠道“销赃”,将这些盗刷物品套现。物品会流向专门的二手黑市,比如一个全新的iPhone,打8折出售。

对于黑单,一般白夜要提更高的返点,虚拟物品40%,货物物流30%。

前几日和VV的一次合作,白夜就挣了2万元。他一个月纯利润,大概10万左右。

他们是这条产业链中的“销脏者”。

在各大QQ群中,聚集着大量的套现者,他们公开“招商”“招中介”,任何能提供分期购物的平台,都会成为他们的套现对象。

06刀口舔血

在各大平台的“盗刷维权群”里,每天都会增加两到三位被盗刷者,过来寻找同盟。

他们普遍认为,是平台漏洞,导致了账号外泄,才会引发后续一系列的盗刷事件;而平台的风控规则不严,也让盗刷得以实施。

“现在每天,我的滞纳金都在上涨,我担心这影响我的征信记录”,被盗刷者罗青称。

但目前各家平台对于盗刷事件,很难做到“全盘接受”——他们担心被反向利用,用户自己刷了,然后说是黑客干的。

关于人性的恶与善,在利益的碰撞中,就会无限放大。

“每一个案件都是复杂的,恐怕很难找到统一的解决方式”,VV称,有些盗刷完全是因为账号外泄和风控漏洞,有些用户自身不谨慎,中了木马。

要完全解开这个结,恐怕需要多方合力。

运营商,堵上伪基站的漏洞;各个平台,安全和风控提高;用户,安全意识提升,一个都不能少。

至于这条黑产,恐怕难以完全绞杀,在利益面前,他们宁愿过着“刀口舔血”的高危生活。

而盗刷者,多是团伙合作,每个团伙的攻击和入侵方式都不相同。

一本财经深挖VV这条线索,就花费2个月的时间,而大部分的团伙,还深藏地下某个黑暗角落。

由VV串联的这条线,每个月会产生百万收益,所有的人再来分食。

但,暴利的背后,同样面临着高风险。

各大黑产群活跃的一位“师傅”,几天前突然人间蒸发。

和“师傅”相熟的一位黑客称,“师傅”被警方盯上,“恐怕已经进去了”。

“常在河边走,哪有不湿鞋?”师傅出事的消息,让圈内人心惶惶,VV也准备金盆洗手,带着两个兄弟撤退。

很多“涉黑”人员,一转身,就会变成公司的“安全人员”,由攻变守,由黑到白,似乎只是一线之间。

突然消失,在这里是经常的故事——可能是隐退,也可能,就是再也回不来了。

在这个暴利的盗刷帝国中,有暴富的神话,也有隐退的洗白,也有瞬间倾覆的惊涛骇浪。

结尾

互联网消费金融,成为黑产攻坚对象。

从信用卡到消费金融,黑产也迎来了转型升级的关键时刻。

黑产如猛兽般,正在草丛后匍匐,等待新羊群松懈的那一刻……

2017中国移动金融发展大会上将于4月20在京举行,会议从政策、金融支付、金融风控、消费金融等4个方面,邀请产业链各方全面探讨移动金融发展。

大会详情:http://www.mpaypass.com.cn/MFDC2017/

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606