近日，一篇標(biāo)題為《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》的文章引發(fā)關(guān)注和熱議。

據(jù)了解，該文作者老駱駝，擁有10多年網(wǎng)絡(luò)攻防工作經(jīng)驗(yàn)，多年金融信息安全服務(wù)從業(yè)經(jīng)歷。其講述了自己家人手機(jī)被盜之后，經(jīng)歷的一場(chǎng)與一伙專業(yè)老練、利用竊取個(gè)人信息盜取他人銀行賬戶資金的犯罪團(tuán)伙斗智斗勇的事件。其中提到了眾多企業(yè)，包括電信、華為、支付寶、美團(tuán)、蘇寧金融等。

文章結(jié)尾，老駱駝總結(jié)這條黑產(chǎn)鏈的全貌如下：

1、一線扒手特定時(shí)間選定目標(biāo)：年輕人、移動(dòng)支付頻率高，在對(duì)方注意力分散的情況下出手，運(yùn)營(yíng)商營(yíng)業(yè)廳下班后，失主沒法當(dāng)晚立即補(bǔ)卡，給團(tuán)隊(duì)預(yù)留了一晚上的作案時(shí)間；

2、拿到手機(jī)后迅速送到團(tuán)隊(duì)窩點(diǎn)，迅速完成身份證信息獲取、電信服務(wù)密碼、手機(jī)廠商服務(wù)登錄密碼修改，一下子讓受害者陷入被動(dòng)；

3、獲取所有銀行卡信息，使用技術(shù)手段繞過活體人臉識(shí)別驗(yàn)證，在各個(gè)平臺(tái)上創(chuàng)建新賬號(hào)，綁定受害者銀行卡；

4、選好幾家風(fēng)控不嚴(yán)的支付公司，開始申請(qǐng)?jiān)诰€貸款，貸款到賬后通過虛擬卡充值、購(gòu)買虛擬卡以及銀聯(lián)轉(zhuǎn)賬，將錢轉(zhuǎn)走；

5、保留新建的支付賬號(hào)權(quán)限， 如果未被發(fā)現(xiàn)，后期還可以繼續(xù)竊取資金。

對(duì)此，支付寶相關(guān)部門人員在朋友圈回應(yīng)稱，文章所披露的黑產(chǎn)在支付寶里沒套到錢和信息；且支付寶承諾資金被盜全額賠付，包括手機(jī)丟失導(dǎo)致的。

回應(yīng)中提到，熱文中的對(duì)手確實(shí)是高階黑產(chǎn)，但黑產(chǎn)在修改支付密碼時(shí)被支付寶風(fēng)控?cái)r住了，查不了銀行卡號(hào)，也沒法收付款，才注冊(cè)了一個(gè)新號(hào)，但新號(hào)也不能使用原號(hào)里的錢。

不過，支付寶回應(yīng)也指出，黑產(chǎn)并沒有突破人臉識(shí)別：能注冊(cè)新號(hào)是通過其他渠道已掌握的身份信息和短信驗(yàn)證碼，在常用設(shè)備上實(shí)現(xiàn)的。黑產(chǎn)不是通過快速綁卡獲得銀行卡號(hào)的，而是通過輸入用戶的銀行卡卡號(hào)+預(yù)留手機(jī)的短信驗(yàn)證碼綁卡的，卡號(hào)是黑產(chǎn)通過其他渠道獲得的。

回應(yīng)同時(shí)表示，這篇文章既給用戶提了醒，也讓支付寶的風(fēng)控能做進(jìn)一步的優(yōu)化。并建議大家單獨(dú)為SIM卡設(shè)置密碼， 能在一定程度上防止黑產(chǎn)接收驗(yàn)證碼。

此外，據(jù)老駱駝表示，事發(fā)后，事件中涉及的幾家支付公司都積極聯(lián)系到其本人，美團(tuán)的貸款記錄消除了，蘇寧金融把損失的幾千都賠付了。

后續(xù)，老駱駝在提到支付寶人臉識(shí)別的繞過時(shí)表示，“支付寶在進(jìn)行業(yè)務(wù)設(shè)計(jì)時(shí)，對(duì)在原手機(jī)上創(chuàng)建并登陸的子賬號(hào)，在實(shí)名認(rèn)證時(shí)匹配身份信息的各項(xiàng)要素通過風(fēng)控規(guī)則校驗(yàn)與主賬號(hào)一致的情況下，是不需要人臉驗(yàn)證的，這一點(diǎn)我們辦公室的多位工程師今天下午在對(duì)我的被盜刷事件進(jìn)行技術(shù)復(fù)盤時(shí)也驗(yàn)證確實(shí)是如此，人臉識(shí)別的繞過確實(shí)錯(cuò)怪他們了。這也解釋得通為何犯罪分子需要解鎖偷到的手機(jī)進(jìn)行支付寶的登錄，推測(cè)是為了不觸發(fā)支付寶的風(fēng)控規(guī)則。”

以下為支付寶相關(guān)團(tuán)隊(duì)回應(yīng)原文：

支付寶「非攻」安全實(shí)驗(yàn)室的同學(xué)第一時(shí)間和老駱駝聯(lián)系上了，根據(jù)賬號(hào)我們復(fù)原了支付寶相關(guān)的情況，和大家做個(gè)說明。

先說結(jié)論：

1、黑產(chǎn)在支付寶這里沒套到錢和信息；

2、大家放心，支付寶承諾資金被盜全額賠付，包括手機(jī)丟失導(dǎo)致的。

看了長(zhǎng)文，對(duì)手確實(shí)是高階黑產(chǎn)，老駱駝也很厲害，抽絲剝繭分析得很詳盡。黑產(chǎn)修改支付密碼時(shí)被支付寶風(fēng)控?cái)r住了，查不了銀行卡號(hào)，也沒法收付款，才注冊(cè)了一個(gè)新號(hào)，但新號(hào)也不能使用原號(hào)里的錢。

不過他有2點(diǎn)推斷與實(shí)際情況不符，在這個(gè)case中：

1、黑產(chǎn)并沒有突破人臉識(shí)別：能注冊(cè)新號(hào)是通過其他渠道已掌握的身份信息和短信驗(yàn)證碼，在常用設(shè)備上實(shí)現(xiàn)的。

2、黑產(chǎn)不是通過快速綁卡獲得銀行卡號(hào)的，而是通過輸入用戶的銀行卡卡號(hào)+預(yù)留手機(jī)的短信驗(yàn)證碼綁卡的，卡號(hào)是黑產(chǎn)通過其他渠道獲得的。

很感謝老駱駝的記載，既給用戶提了醒，也讓我們的風(fēng)控能做進(jìn)一步的優(yōu)化。希望老駱駝在其他平臺(tái)上的損失能盡快找回。

建議大家單獨(dú)為sim卡設(shè)置密碼， 能在一定程度上防止黑產(chǎn)接收驗(yàn)證碼。另外，如果使用支付寶時(shí)有什么問題，可以隨時(shí)電話我們的客服95188。

（鈦媒體編輯劉萌萌整理）

更多精彩內(nèi)容，關(guān)注鈦媒體微信號(hào)（ID：taimeiti），或者下載鈦媒體App