随着消费金融的崛起,一群盗刷银行卡的黑产人员紧跟而来。他们整合各个渠道泄露的用户信息,专营各种漏洞,配合新式设备,对目标进行大规模清洗,由此组成了一个庞大的——盗刷帝国。
黑产人:月入百万
阴冷的午后,太阳在雾霾之后,只剩没有温度的灰黄。
黑客V带着一个骷髅头的头罩,出现在火锅店的门口,他说:“刚做了几单大的,犒劳一下兄弟们。” 所谓几单大的,就是一个晚上,“盗刷了十几个账号,挣了近10万”。
此前,V专职做银行卡盗刷,近两年消费金融的空前繁荣,“黑产很多人顺着这波浪潮,涌入新兴产业中”。
这个只有21岁的年轻人,从事消费金融盗刷一个多年头,在网络上,算资深玩家。 V手底带了2个人,“这个小小的工作室,月入百万”。
消费金融:黑产眼中的肥肉
从2014年开始,众多消费金融平台开通“透支”、“零首付分期”等功能。这些平台可以根据用户的信用消费记录,提供一定额度的“透支”,最典型的就是蚂蚁花呗。
对于曾经经历过盗刷传统银行卡的黑产人来说,盗刷网上的消费金融简直就是降维攻击。这些平台,成为了黑产眼中的肥肉。
“很多用户名和密码,可以从网络上轻易获取”,V称,“任何漏洞,都会被我们利用”,但 凡是抓住了一个小漏洞,都会被黑产深挖成金钱和欲望的入口。
从V入手,可以清晰的见到整个产业链,而这个产业链的开端,源于黑料。
黑料:罪恶的开端
何为黑料?简单来说,就是那些在*市黑**中,被反复清洗的、有金融价值的用户信息。 一般一个可登陆的金融账号和密码,在*市黑**上售价0.5元到5元不等。
黑料的来源众多,最直接的就是黑客入侵某些平台,从后台将整个用户信息数据库,拖出来——行话叫“拖库”。这些*取盗**的数据库会在*市黑**上流通,经过一轮又一轮的反复清洗,不断被榨取价值,直到渣渣都不剩下。
当然,按照行规,数据的来源并不可多问,像V这样的黑客也不关心手上数据的来源,他关心的,只有数据是否优秀。
攻坚战:黑客与风控规则的较量
V获得了一批账号和密码后,就开始“信息修复”。 “每个黑客的攻击手法都不同,破解的方式也千奇百怪,没有统一的作战方式”,V将攻防之间的战争,比喻为入侵一座城堡。 尽管有护城河、城墙,但攻击者可以从正门攻,也可以从地下挖地道,甚至逮住一个老鼠洞都能钻进来,防不胜防。
V和他的团队在实战中不断更新自己的战术:
现在大部分消费金融平台的账号都会设置“支付密码”,V的攻破方式,是通过社工库(黑产的地下数据库,黑客们*取盗**的数据,都留存在社工库中,供其查询,社工库的数据,可查询到身份证号、银行卡号、常用密码、家庭住址,甚至开房记录等众多维度数据),寻找这个账户曾经用过的其他密码。
“人类设计密码是有缺陷的,大部分人最多只有4个常用密码,一旦超过4个,就经常记混”,V称,正因为如此,一旦密码泄露,往往可以凭借这个密码攻略用户常用的多个平台账号。
破解了密码,几乎就锁定可入侵目标。目前大部分平台都会通过发送短信验证码的方式,来验证是否为用户本人的操作。手机在用户的手里,黑客一般通过两种途径来破解:
1、修改绑定手机号
过去很多金融平台修改绑定手机规则比较简单,只需要支付密码就能修改,到后来,又需要提供银行卡和支付密码修改,可这些信息,黑客几乎都能通过社工库获得。
吃了亏的金融平台不断更新风控规则,黑客也跟着见招拆招,比如用一个新号码给客服打电话,说自己原来的手机丢失,只要提供身份证、银行卡、最近收货地址、购买物品等信息后,也能修改手机号。
而一些云端漏洞,也开始被频繁利用。日前,有媒体报道称,何先生遭遇手机锁死、频繁关机后被盗刷,损失5.3万元。 结果发现,黑客破解他的360智能手机云服务平台,其中有一个“回复短信”的接口,可以从云端回复短信。黑客利用回复功能,让何先生的手机卡绑定了一张“副卡”,可以同步接受到他的验证码,因此完成盗刷。
成也短信,败也短信。针对无孔不入的黑产,很多平台不得不制定更为严苛的风控规则,封堵漏洞。这场攻坚战中,平台与黑客在此消彼长中不断成长。
2、劫持短信
木马,是拦截用户短信的一柄利器。据了解,稍微好一点儿的马子(木马和病毒)包月只需500元,就可以在一个月内“免杀”(不被杀毒软件绞杀),如果还需要继续使用,“续费”即可。 V称,给用户的手机种上木马,是成本最低的方式。
如何让用户中木马?V会将这个木马通过短信、社交软件发送到用户手机上,形式可能是网址,可能是一个会跳到网页的红包,也可能是一张美女图片或视频,甚至是一句诱人的话。
用户一旦激活木马,就会要求*载下**一个插件,一旦安装,短信将会完全被黑客监管。用户收到任何一条验证码,就会同时发送到V绑定的邮箱/手机号中,或者直接拦截用户短信,让他完全收不到。
据业内人士说,在巅峰时期,一个月销售“马子”,可赚20多万。不过现在市面上流通的木马,多针对安卓系统,如何拿下苹果系统,目前已成为黑产中顶级黑客们的堡垒战,至于是否攻破,起码*市黑**上,还没有开始大面积流通。
伪基站:黑产的帮凶
如今,伪基站正在成为入侵的帮凶。
伪基站的作用,和运营商的基站一样,可以拦截用户短信、通话等功能。它的价格也颇为便宜,*市黑**上的价格是六七千,如果从广东的厂家直接拿货,只需要一半的价钱,租用一晚只需要300元。
一台电脑,一台主机,一个发射器,一根天线,这就是全部的设备,这套设备虽然简陋,却颇为好使:当伪基站开始启动,方圆1.5公里的用户的手机,都在监控和操纵范围内。 登录用户账号开始盗刷后,可以直接让用户手机“停机”、“无信号”,也可以截获所有短信记录。
一位不愿具名的黑产人员透露,现在“组合基站”开始出现,功能模块可以随意组合,同时运行,“而有限距离,也大大增强,已可做到方圆10公里”。 组合基站不仅可以截获短信、通讯、钓鱼WiFi等基础功能,甚至可以读取通讯录、安装APP数据,甚至聊天记录,堪比PC时代的远程操控“肉鸡”劫持。
不管是伪基站还是木马,核心的逻辑,都是控制短信,截获验证码。
套现者与销赃者:产业链的最后端
经过多番波折*取盗**数据、拦截短信,最终的目的都是——获利。
产业链最后端的套现者,一般通过两种单子赚钱:
第一种,白单。
告诉用户购买商品或者虚拟物品会有返点,然而大部分人,在购买之后拿不到这笔钱。很多人钱一打过来,就直接被拉黑,而用户自己违规操作在先,也不会报警,正是抓住了这点,套现者出手狠辣,毫无留情。 除非这个用户还能拉来更多“生意”,否则就是“一锤子买卖,人傻钱多的逮住一个算一个”。
第二种,黑单。
例如盗刷用户的账号, Q币、话费、油卡等,因为虚拟物品不需要物流,更容易套现。一般平台为防止大规模套现,对虚拟物品的额度较低,一般只有几百元。
为了迷惑用户,黑客会先用短信轰炸用户的手机,一下蹦出来几十条各个平台的验证码短信,然后将盗刷平台的验证码藏在其中,一般用户只会认为是骚扰,就不会打开账户来查看信息。
虚拟物品之后,盗刷物品才是更为复杂的产业链,手机、电脑、手表、金项链、茅台……都是好变现的商品。
套现者的下游,就是销赃者,他们会将这些盗刷物品套现。物品会流向专门的二手*市黑**,比如一个全新的iPhone,打8折出售。 据某销赃者透露,他一个月纯利润,大概10万左右。
在各大Q群、微信群中,聚集着大量的套现者,他们公开“招商”“招中介”,任何能提供分期购物的平台,都会成为他们的套现对象。
刀口舔血:难以绞杀的黑产
新闻报道中的受骗者还只是冰山一角,在各大平台的“盗刷维权群”里,每天都会增加两到三位被盗刷者过来寻找同盟。这些人普遍认为账号外泄是因为平台存在漏洞,在一定程度上,平台的风控规则不严,让盗刷者有机可乘。
但各家平台对于盗刷事件,很难做到“全盘接受”,他们同样担心被反向利用,比如用户自己刷了,然后说是黑客干的。 在利益的碰撞中,人性的恶与善,被无限放大。
V称,有些盗刷完全是因为账号外泄和风控漏洞,但有些用户则是自身不谨慎,中了木马。要完全解开这个结,还需要多方合力:运营商,堵上伪基站的漏洞;各个平台,安全和风控提高;用户,安全意识提升,一个都不能少。
本文所提及的黑产,仅仅只是浮在表面的一部分,真正涉及的广度与深度,可能超乎想象。完全绞杀黑产,恐怕很困难,毕竟每个月都有数百万的利益摆在面前。
但暴利背后是高风险,“刀口舔血”的高危生活并不好过。各大黑产群活跃的一位“师傅”,几天前突然人间蒸发,和“师傅”相熟的一位黑客称,“师傅”被警方盯上,恐怕已经进去了。
很多“涉黑”人员,一转身,就会变成公司的“安全人员”,由攻变守,由黑到白,似乎只是一线之间。 突然消失,在这里是经常的故事——可能是隐退,也可能,再也回不来了。
在这个暴利的盗刷帝国中,有暴富的神话,也有隐退的洗白,也有瞬间倾覆的惊涛骇浪。
有利益的地方就有黑产,当消费金融沉浸在阳光中享受发展的喜悦时,黑产就如同隐藏的猛兽,等待着对方松懈的那一刻,因此,任何时刻都不能放松戒备。
来源:一本财经(柠檬侠略有删改)