|
今年春节的时候 蛋蛋姐曾经做了一个伟大的实验: 连续8天不出门 只靠app维持生命—— 饿了,就用外卖APP买饭 衣服脏了,就用洗衣APP叫人来洗 要交房租了,就用支付APP交房租 最终的结果可喜可贺—— 我活蹦乱跳的活了下来 其实不仅是我 这些APP 可以说是很多当代人的命根子 它们能让我们健康地活下去 然而我最近听说 就在这些APP的背后 隐藏着一个令人惊骇的黑色产业链 一些不法分子 就是利用这些APP 可以轻而易举地让我们活不下去 2017年2月 一本财经的记者深入虎穴 采访到一个头戴骷髅头罩的男子 由此揪出了APP盗刷产业的盘根错节 这名头戴骷髅头罩的男子 是一名黑客 江湖人称黑客VV 他的职业 是利用蚂蚁花呗等金融工具 盗刷用户的钱财 “刚做了几单大的, 盗刷了十几个账号,挣了快10万。” 黑客VV说 每天靠盗刷日入数十万 是再平常不过的事情 不仅如此 他还开了一家专门从事金融盗刷的工作室 还招聘到了2个员工 这个小小的工作室 能够靠盗刷月入百万 2014年开始 国内很多支付平台 提供透支额度 开通了“透支”、“零首付分期”等功能 用户可以透支购买商品 享受到了以往无法想象的便利 而据黑客VV说 盗刷微信、蚂蚁花呗等这样的金融工具 实在是太简单 如入无人之境 可以肆意妄为 在采访中 黑客VV透露了具体的盗刷方法: 首先 他在黑市上买来一批银行账号
第二步 他入侵到移动支付平台的后台 从后台把整个用户信息库拖出来 这个动作在业内叫“拖库” 第三步 登陆社工库 所谓的“社工库” 就是黑色产业的地下数据库 里面的数据量 可能不亚于任何一家大型数据公司 只要在社工库输入被盗用户的用户名 就可以查询到他的支付密码 图:社工库 而想要把钱从用户手里盗刷出来 还需要最后一步—— 截获短信验证码 目前大部分支付平台 都会通过发送短信验证码的方式 来验证是否是本人操作 这个步骤非常重要 被称为移动支付的“安全阀门” 然而这个阀门 在从事盗刷的黑客们那里 完全形同虚设 据黑客VV说 他会从同行手里 买来一种能够拦截短信的木马病毒 将这个木马通过短信、社交软件等形式 发送到用户的手机上 用户一旦点开了短信中的网址 就会被要求下载一个插件 这个插件就是木马包 一旦安装 黑客就可以看到用户的每一条短信 从而获取短信验证码 而这一切 用户完全无从察觉 黑客VV还说 他还有更新型的木马—— 以微信红包和现金券的形式 进行盗刷 “通过微信小号,给微信好友群发红包, 看起来是个红包,实际上是一个网页。” 当用户点击了红包之后 就会跳出“现在领取红包的人数太多, 请先进行提现哦”的提示 他就会通过用户输入的银行卡信息 把钱财盗走
图:微信红包暗藏杀机 以上就是黑客VV盗刷用户钱财的方法 然而除此之外 在这条黑色产业链中 每个人使用的盗刷方法都不尽相同 几天以前 就出了这样一个新闻: 用户何先生的手机莫名被锁死 频繁关机之后发现被盗刷 损失5.3万元 后来警方发现 这位何先生的手机 下载了360智能手机云服务平台 黑客侵入了这个平台的“回复短信”接口 从云端回复短信 把钱盗刷一空
黑客VV说 在盗刷行业内 还有一种更厉害的东西 叫做“伪基站” 伪基站的作用 和电信运营商的基站相同 能够拦截用户短信、通话等功能 只要这个伪基站开始启动 方圆1.5公里内所有的手机 都会被监控
然而这样一个祸害社会的设备 售价却很便宜 “黑市上的价格是六七千, 如果从广东的厂家直接拿货, 只需要3700元。” 而黑客VV听说 租用伪基站会更便宜 一天只要300元 利用伪基站 盗刷者可以操控附近任何一个人的手机 让手机“停机”、“无信号” 然后截获所有短信记录 根据获得的信息盗取钱财
图:伪基站 蛋蛋姐查阅资料后发现 伪基站这种东西 虽然已经很强大 但是还在不断的升级换代中 一种名叫“组合基站”的东西已经出现 监控范围大大增强 已经达到了方圆10公里 组合基站不仅可以截获短信 甚至还能读取通讯录、窃取APP数据 截获聊天记录 用户将变得毫无隐私可言
除了直接盗刷支付平台外 有些黑客还会盗刷实体物品 黑客VV透露: “手机、电脑、手表、金项链、茅台, 我们会盗刷这些好变现的商品” 他会用一个新办的手机号 给客服打电话 说自己原来的手机丢了 只要提供身份证号、 银行卡号、收货地址和购买物品等信息 就可以修改手机号
黑客VV还见过一些同行 甚至在商家发货后 直接给后台店铺留言 要求修改送货地址
采访过后 |
|
|
