许多第三方支付平台都有一个“小额支付免密码(验证码)“功能,为了方便用户不需要每次支付都输入密码。自今年 3 月起,某电商平台陆续收到客户投诉称,与平台绑定的第三方支付平台账户被盗刷,单笔金额数目都不大,从 99 元—— 299 元不等,而 300 元恰恰是该平台设置的小额支付免验证码的最高值。直到 9 月底,全国累计竟有 60 多名受害人,涉及金额共有 5 万多元。10 月初,该平台负责人在自查无果后向南京鼓楼警方报案。
利用二手闲置平台 自编自演“虚假交易“
警方在调查中发现,所有的受害人账户都曾经在某二手闲置平台有过交易。但据受害人称,这些交易都非本人操作,而在交易成功后不久账户即被盗刷。而其中有 30 多个受害人都在同一个二手卖家处购买过闲置物品。平台负责人告诉警方,一般他们接到投诉就会暂时冻结这个账号,如果账号的所有人进行申诉是可以解冻的。蹊跷的是,这个被投诉的账户所有人却没有申诉,而是换了别的账户继续发布二手买卖信息,而他总共换过 6 个不同的账户。这显然是一个不正常的现象。随着调查的深入,警方发现受害人登陆时 IP 地址和发布二手淘信息的 IP 地址是一致的。也就是说是同一个人自己卖自己买,这不仅是一场虚假交易,还是一幕‘独角戏’。在调查资金流的去向时,警方发现最终钱款流入了同一个账号,账户所有人就是本案的重要嫌疑人张某。通过前期侦查,警方最终确认了张某的住处,在位于山东莱州的家中将他抓捕归案。现场收缴了涉案银行卡 53 张,POS 机 22 台,手机 11 部,动态密码器(优盾)32 个。
“扫库“与“撞库“相结合的犯罪手段
为了方便记忆,大部分人在不同的 app 上使用的都是同一套用户名和密码,甚至有的人与个人金融相关的 app 上登录密码和支付密码也是同一套。正是因为这两个相同,才有了张某这类利用“扫库“与“撞库“相结合的方式实施网络诈骗的嫌疑人。
所谓“扫库“就是选择一些安全级别比较低的网站,比如视频网站,通过黑客的方式批量得账号和密码。而“撞库“就是用获得的用户名和密码去批量碰撞可能绑定银行卡或者第三方支付平台的 APP,撞上的概率能达到 10% —— 20%。撞上之后,嫌疑人就等于打开了你的“电子钱包“。本案中,张某属于初级的网络诈骗,所以他没有办法获知支付前手机收到的那个验证码,所以他利用的是“小额支付免验证码“的功能,单笔盗刷不超过 300 元,但是批量盗刷,还是很可观的。而想获知验证码,其实并不难,只要给你的手机发送一个含有木马病毒的链接,一旦点开,你的验证码将在后台被嫌疑人拦截,盗刷金额只取决于你卡上有多少钱。
警方提醒,网络支付越来越便捷,不少支付软件推出了“小额免密”“快捷支付”等功能。如果开通了“免密支付”功能,要注意保护好账户信息;如果不再需要这种功能,应及时关闭;尽量避免使用同一套用户名和密码,尤其是涉及个人金融的 app,此外不要点开任何陌生号码发送来的不明链接,无论链接前的名目多么吸引眼球,激起好奇心,都不要点击,因为那很可能就隐含木马病毒。
