通過破解某支付平臺的“人臉識別”系統,犯罪嫌疑人盜竊多位受害人二十多萬元賬戶資金。1月16日,在“向人民報告”宜賓公安網安專場新聞通氣會上,宜賓警方通報了這起案件的情況。

2016年11月4日,四川省宜賓警方接到國內某支付平臺公司員工到報案:其公司近日發現多起用戶賬戶資金被盜的案件,會員用戶反映其賬戶中增加了非本人辦理的昆侖銀行卡,賬戶信息、綁定手機號被更改后造成資金被盜。通過公司網絡技術后臺篩查,作案人使用的IP歸屬地為宜賓電信,涉案賬戶20余個,涉案資金20多萬元。

利用人臉識別漏洞

修改用戶登錄密碼

接到報案后,宜賓市公安局網安支隊高度重視,聯合長寧縣公安局成立專案組進行攻堅并落地查證,發現長寧縣網民周某有重大作案嫌疑人。通過對周某所使用網絡虛擬賬號開展工作,發現楊某系其同案犯,兩人通過網絡聊天工具交流作案手法,并通過互聯網聯系“料商”購買大量的公民個人信息、聯系“卡商”購買短信服務用于作案。

在掌握了二人大量的犯罪證據后,宜賓市縣專案組民警于2016年12月20日將犯罪嫌疑人周某、楊某抓獲歸案。

經查,犯罪嫌疑人周某、楊某結合自己對某支付平臺賬戶登錄、找回密碼方式的了解,破解了該支付平臺賬戶人臉識別校驗系統的漏洞。

該支付平臺賬戶在修改密碼或者換改綁定手機號碼的情況下,系統會提示人臉識別,第一步需要用手機攝像頭對著操作者,拍下操作者的正面靜態照片,通過系統審核之后,第二步系統再次要求操作者將手機攝像頭對著操作者,按照系統要求的指令作出“眨眼”、“搖頭”、“張嘴”等動作同時進行攝像,完成之后,系統會自動評估。如果照片、視頻符合系統要求,便獲得修改支付平臺賬戶密碼和換綁手機號碼的權限,一旦修改完成用戶的登錄密碼,并換綁為自己能夠接收短信的一個手機號碼,就可以將用戶支付平臺賬戶內的余額轉走。

涉案金額20多萬

漏洞目前已經修復

犯罪嫌疑人在破解這一漏洞之后,開始大量在網上大量購買公民個人信息。通過加入QQ群聯系到“料商”,大量購買公民個信息;同時通過QQ聯系“卡商”,讓卡商為自己提供換綁他人支付平臺手機號的號碼,并且接收短信驗證碼,為自己實施犯罪作準備。

犯罪嫌疑人通過一系列操作,修改受害人的賬戶密碼,再通過QQ聯系卡商,卡商發來一組手機號碼(16個或32個號碼為一組),嫌疑人隨機選擇一個手機號碼,將該手機號碼綁定在受害人支付平臺賬戶上,在此過程中,支付平臺系統會發送驗證碼短信至新綁定的手機號碼里面,嫌疑人通過QQ聊天向卡商索要短信驗證碼,完成更改賬戶密碼、手機綁定操作,之后再次通過短信驗證碼將受害人的賬戶余額轉走。

犯罪嫌疑人周某、楊某作案后,在將他人支付平臺賬戶內的資金轉移到某賭博網站上,通過在網站內玩“PT老虎機”等賭博游戲進行洗錢,再將資金轉入到自己使用的銀行卡賬號內。

自2016年10月27日至2017年1月11日,犯罪嫌疑人周某、楊某非法購買公民個人信息5000余組,盜竊受害人劉某、許某等人的賬戶資金共計282676元。

警方表示,通過案件的偵破,目前該平臺已修復了這一漏洞。

來源：鳳凰網財經WEMONEY