我的商務中心 | 修改資料 | 退出登錄
通行證: 立即注冊
首頁 » 資訊 » 技術動態 » 某支付平臺“人臉識別”現重大漏洞,所謂“眨眼 搖頭 張嘴”只是證明你是“活的”!
支付圈公眾微信平臺號:paycircle | 超級QQ群:210331756
123456
123456

某支付平臺“人臉識別”現重大漏洞,所謂“眨眼 搖頭 張嘴”只是證明你是“活的”!


【發布日期】:2018-01-18

據“封面新聞”報道,國內某支付平臺的“人臉識別”系統存在重大漏洞,黑產人員只要在黑市上買到公民的身份證照片、持證照、手機號碼、銀行卡號等信息,就可以通過修改賬戶密碼和換綁手機賬號的權限,刷走賬戶上的所有余額。
 
2016年11月4日,四川省宜賓警方接到國內某支付平臺公司員工到報案:其公司近日發現多起用戶賬戶資金被盜的案件,會員用戶反映其賬戶中增加了非本人辦理的昆侖銀行卡,賬戶信息、綁定手機號被更改后造成資金被盜。通過公司網絡技術后臺篩查,作案人使用的IP歸屬地為宜賓電信,涉案賬戶20余個,涉案資金20多萬元。
 
接到報案后,宜賓市公安局網安支隊高度重視,聯合長寧縣公安局成立專案組進行攻堅并落地查證,發現長寧縣網民周某有重大作案嫌疑人。通過對周某所使用網絡虛擬賬號開展工作,發現楊某系其同案犯,兩人通過網絡聊天工具交流作案手法,并通過互聯網聯系“料商”購買大量的公民個人信息、聯系“卡商”購買短信服務用于作案。
 
在掌握了二人大量的犯罪證據后,宜賓市縣專案組民警于2016年12月20日將犯罪嫌疑人周某、楊某抓獲歸案。
 
經查,犯罪嫌疑人周某、楊某結合自己對某支付平臺賬戶登錄、找回密碼方式的了解,破解了該支付平臺賬戶人臉識別校驗系統的漏洞。

據悉,當忘記密碼的時候,“人臉識別”認證需要驗證以下信息:
 
1.需要用手機攝像頭對著操作者,拍下操作者的正面靜態照片,進行系統審核。
 
2.系統再次要求操作者將手機攝像頭對著自己,按照指令作出“眨眼”、“搖頭”、“張嘴”等動作,同時進行攝像,完成之后,系統會自動評估。
 
3.如果照片、視頻符合系統要求,便獲得修改支付平臺賬戶密碼的權限,一旦修改完成用戶的登錄密碼,再換綁為自己能夠接收短信的一個手機號碼,黑產者可以將用戶支付平臺賬戶內的余額轉走。
 
在這個過程中,我們可以發現,只要黑產從業者知道了你的賬戶名稱,并擁有了你的身份證照片、視頻,就有了更改密碼、再重新綁定別的手機號碼進行盜刷的可能。
 
但事實是,所謂的“眨眼”、“搖頭”、“張嘴”等動作,根本不需要證明你是你,只需證明你是“活的”即可!
 
犯罪嫌疑人在破解這一漏洞之后,開始大量在網上大量購買公民個人信息。通過加入QQ群聯系到“料商”,大量購買公民個信息;同時通過QQ聯系“卡商”,讓卡商為自己提供換綁他人支付平臺手機號的號碼,并且接收短信驗證碼,為自己實施犯罪作準備。
 
犯罪嫌疑人購買的公民個人信息資料包含該公民的身份證照片正反照片、公民持證照、公民手機號碼、銀行卡號和開卡地等信息。
 
破解步驟是:
1.找到“料商”。通過加入QQ群聯系“料商”購買公民個信息,如手機號、身份證照片、銀行卡號等。
 
2.找到“卡商”。讓卡商為自己提供換綁手機號的號碼,并且接收短信驗證碼,為自己實施犯罪作準備。
 
3.用手機自拍一張半身照,使用PHOTOSHOP將購買的公民面部照片合成到自拍的半身照上面。
 
4.用手機對著自己錄制一些“張嘴”、“搖頭”、“眨眼等動作”的小視頻,將照片和視頻存在PC電腦中。
 
5.通過在手機上登錄該支付平臺,輸入他人的賬號(即公民信息資料中的“手機號碼”),然后在系統提示下點擊“忘記登錄密碼”,再選擇輸入注冊身份證號碼,之后選擇人臉校驗。
 
6.將事先準備好的合成照片從電腦上打開,再將手機攝像頭對著合成照片,完成第一步靜態人臉識別,然后再按照系統的指令,在電腦上播放事先錄制好的視頻片段,播放時仍然將手機攝像頭對著電腦屏幕,完成第二部動態驗證。
系統僅會對第一張靜態人臉照片進行識別,因此通過受害人的合成照片認證就可以通過校驗,系統不會對第二次的動態視頻再進行校驗,只需辨認視頻中的人是能夠活動的活體。
 
7.此時賬號密碼已經修改完成,開始進行換綁手機號。通過QQ聯系卡商,卡商發來一組手機號碼(16個或32個號碼為一組),嫌疑人隨機選擇一個手機號碼,將該手機號碼綁定在受害人支付平臺賬戶上,在此過程中,支付平臺系統會發送驗證碼短信至新綁定的手機號碼里面,嫌疑人通過QQ聊天向卡商索要短信驗證碼,完成更改賬戶密碼、手機綁定操作。
 
這時,大功告成,周某就可以通過短信驗證碼將受害人的賬戶余額轉走。
 
為了銷贓滅跡,他們還將盜刷資金轉移到某賭博網站上,通過在網站內玩“PT老虎機”等賭博游戲進行洗錢,再將資金轉入到自己使用的銀行卡賬號內。
 
目前,周某楊某已經抓捕歸案,據封面新聞報道,該支付平臺已修復了這一漏洞。

摘自:支付之家網
 
 
[ 資訊搜索 ]  [ ]  [ 告訴好友 ]  [ 打印本文 ]  [ 關閉窗口 ]
 
0條 [查看全部]  相關評論
123456
TOP10PayCircle熱點新聞排行榜
  • 排行
  • 文章標題
查看完整榜單>>
查看完整榜單>>
财神猛料单双中特网
收縮