盗刷 28 万，某支付平台“人脸识别”现重大漏洞

AI掘金志出品

雷锋网旗下只报道“AI+传统”的内容频道

据“封面新闻”报道，国内某支付平台的“人脸识别”系统存在重大漏洞，黑产人员只要在黑市上买到公民的身份证照片、持证照、手机号码、银行卡号等信息，就可以通过修改账户密码和换绑手机账号的权限，刷走账户上的所有余额。

目前，据了解，宜宾警方已将盗刷他人账户28万多元的周某、杨某抓获归案。

在说这个案子前，让我们先来看看如果忘记密码时，“人脸识别”认证需要哪些操作。

1.需要用手机摄像头对着操作者，拍下操作者的正面静态照片，进行系统审核。

2.系统再次要求操作者将手机摄像头对着自己，按照指令作出“眨眼”、“摇头”、“张嘴”等动作，同时进行摄像，完成之后，系统会自动评估。

3.如果照片、视频符合系统要求，便获得修改支付平台账户密码的权限，一旦修改完成用户的登录密码，再换绑为自己能够接收短信的一个手机号码，黑产者可以将用户支付平台账户内的余额转走。

在这个过程中，我们可以发现，只要黑产从业者知道了你的账户名称，并拥有了你的身份证照片、视频，就有了更改密码、再重新绑定别的手机号码进行盗刷的可能。

这时，不少人会问，即使黑产者拿到了我的身份证照片，视频他总没法拿到吧？

但事实是，所谓的“眨眼”、“摇头”、“张嘴”等动作，根本不需要证明你是你，只需证明你是“活的”即可！

正是利用这个漏洞，周某和杨某开始了他们的盗刷之路，以下是他们的作案步骤。

1.找到“料商”。通过加入QQ群联系“料商”购买公民个信息，如手机号、身份证照片、银行卡号等。

2.找到“卡商”。让卡商为自己提供换绑手机号的号码，并且接收短信验证码，为自己实施犯罪作准备。

3.用手机自拍一张半身照，使用PHOTOSHOP将购买的公民面部照片合成到自拍的半身照上面。

4.用手机对着自己录制一些“张嘴”、“摇头”、“眨眼等动作”的小视频，将照片和视频存在PC电脑中。

5.通过在手机上登录该支付平台，输入他人的账号(即公民信息资料中的“手机号码”)，然后在系统提示下点击“忘记登录密码”，再选择输入注册身份证号码，之后选择人脸校验。

6.将事先准备好的合成照片从电脑上打开，再将手机摄像头对着合成照片，完成第一步静态人脸识别，然后再按照系统的指令，在电脑上播放事先录制好的视频片段，播放时仍然将手机摄像头对着电脑屏幕，完成第二部动态验证。

系统仅会对第一张静态人脸照片进行识别，因此通过受害人的合成照片认证就可以通过校验，系统不会对第二次的动态视频再进行校验，只需辨认视频中的人是能够活动的活体。

7.此时账号密码已经修改完成，开始进行换绑手机号。通过QQ联系卡商，卡商发来一组手机号码(16个或32个号码为一组)，嫌疑人随机选择一个手机号码，将该手机号码绑定在受害人支付平台账户上，在此过程中，支付平台系统会发送验证码短信至新绑定的手机号码里面，嫌疑人通过QQ聊天向卡商索要短信验证码，完成更改账户密码、手机绑定操作。

这时，大功告成，周某就可以通过短信验证码将受害人的账户余额转走。

为了销赃灭迹，他们还将盗刷资金转移到某赌博网站上，通过在网站内玩“PT老虎机”等赌博游戏进行洗钱，再将资金转入到自己使用的银行卡账号内。

目前，周某杨某已经抓捕归案，据封面新闻报道，该支付平台已修复了这一漏洞。

参考来源：封面新闻

特辑早鸟票5折促销中

雷锋网AI掘金志精选了63篇深度案例报道，重磅推出“AI+医疗经典项目案例库”。

深入挖掘「行业标杆企业、三甲医院、海内外名校」三界63个“医疗人工智能”案例（平均每篇4300字），全链条梳理AI在医疗各细分场景，尤其是医学影像中的“学术研究+算法实战+工程实施+解决方案搭建+系统集成+最终落地”流程。（共825页PDF），助力AI和医疗从业者更快地让产品落地并实现大规模商业化。

「825页PDF」60＋经典项目案例库，手把手教你“AI＋医疗”落地

限量500份，欲购从速

购买特辑后，如果您有任何售后问题

可联系我们的特辑小助手