盜刷28萬，某支付平台「人臉識別」現重大漏洞

據「封面新聞」報道，國內某支付平台的「人臉識別」系統存在重大漏洞，黑產人員只要在黑市上買到公民的身份證照片、持證照、手機號碼、銀行卡號等信息，就可以通過修改賬戶密碼和換綁手機賬號的許可權，刷走賬戶上的所有餘額。

目前，據雷鋒網了解，宜賓警方已將盜刷他人賬戶28萬多元的周某、楊某抓獲歸案。

在說這個案子前，讓我們先來看看如果忘記密碼時，「人臉識別」認證需要哪些操作。

1.需要用手機攝像頭對著操作者，拍下操作者的正面靜態照片，進行系統審核。

2.系統再次要求操作者將手機攝像頭對著自己，按照指令作出「眨眼」、「搖頭」、「張嘴」等動作，同時進行攝像，完成之後，系統會自動評估。

3.如果照片、視頻符合系統要求，便獲得修改支付平台賬戶密碼的許可權，一旦修改完成用戶的登錄密碼，再換綁為自己能夠接收簡訊的一個手機號碼，黑產者可以將用戶支付平台賬戶內的餘額轉走。

在這個過程中，我們可以發現，只要黑產從業者知道了你的賬戶名稱，並擁有了你的身份證照片、視頻，就有了更改密碼、再重新綁定別的手機號碼進行盜刷的可能。

這時，不少人會問，即使黑產者拿到了我的身份證照片，視頻他總沒法拿到吧？

但事實是，所謂的「眨眼」、「搖頭」、「張嘴」等動作，根本不需要證明你是你，只需證明你是「活的」即可！

正是利用這個漏洞，周某和楊某開始了他們的盜刷之路，以下是他們的作案步驟。

1.找到「料商」。通過加入QQ群聯繫「料商」購買公民個信息，如手機號、身份證照片、銀行卡號等。

2.找到「卡商」。讓卡商為自己提供換綁手機號的號碼，並且接收簡訊驗證碼，為自己實施犯罪作準備。

3.用手機自拍一張半身照，使用PHOTOSHOP將購買的公民面部照片合成到自拍的半身照上面。

4.用手機對著自己錄製一些「張嘴」、「搖頭」、「眨眼等動作」的小視頻，將照片和視頻存在PC電腦中。

5.通過在手機上登錄該支付平台，輸入他人的賬號(即公民信息資料中的「手機號碼」)，然後在系統提示下點擊「忘記登錄密碼」，再選擇輸入註冊身份證號碼，之後選擇人臉校驗。

6.將事先準備好的合成照片從電腦上打開，再將手機攝像頭對著合成照片，完成第一步靜態人臉識別，然後再按照系統的指令，在電腦上播放事先錄製好的視頻片段，播放時仍然將手機攝像頭對著電腦屏幕，完成第二部動態驗證。

系統僅會對第一張靜態人臉照片進行識別，因此通過受害人的合成照片認證就可以通過校驗，系統不會對第二次的動態視頻再進行校驗，只需辨認視頻中的人是能夠活動的活體。

7.此時賬號密碼已經修改完成，開始進行換綁手機號。通過QQ聯繫卡商，卡商發來一組手機號碼(16個或32個號碼為一組)，嫌疑人隨機選擇一個手機號碼，將該手機號碼綁定在受害人支付平台賬戶上，在此過程中，支付平台系統會發送驗證碼簡訊至新綁定的手機號碼裡面，嫌疑人通過QQ聊天向卡商索要簡訊驗證碼，完成更改賬戶密碼、手機綁定操作。

這時，大功告成，周某就可以通過簡訊驗證碼將受害人的賬戶餘額轉走。

為了銷贓滅跡，他們還將盜刷資金轉移到某賭博網站上，通過在網站內玩「PT老虎機」等賭博遊戲進行洗錢，再將資金轉入到自己使用的銀行卡賬號內。

目前，周某楊某已經抓捕歸案，據封面新聞報道，該支付平台已修復了這一漏洞。

參考來源：封面新聞

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！