文 張昭新
驗證碼也難阻“刷單員”刷單
——全國最大驗證碼平臺被查全過程披露
文 張昭新
為了吸引新用戶,不少網(wǎng)絡外賣訂餐平臺都會有“首單優(yōu)惠”政策,嗅到商機的刷單員們也因此做起了賺差價的買賣。比如,用戶請刷單員以新用戶的身份訂餐,能優(yōu)惠20塊錢,用戶付給刷單員10塊,自己訂餐便宜10塊,看似雙方都得到了實惠。為了防止刷單員刷單,商家們開始使用動態(tài)驗證碼來確定用戶身份。但刷單員們卻可以通過使用“養(yǎng)卡設備”,也就是圈內(nèi)所說的“貓池”來規(guī)避網(wǎng)站的身份確認,更令人驚心的是,他們中的七成竟然用這種手段來實施詐騙。
如今,注冊各種網(wǎng)站或平臺,都需要填寫驗證碼,普通用戶手中一般只有一兩個手機號碼,同時,也有一些人在做“接驗證碼”“收大小卡”“養(yǎng)卡”的生意?!梆B(yǎng)卡設備”圈內(nèi)叫“貓池”。
它就像一個能插多張手機卡的簡易手機,可以理解為“N卡N待”。把大量的手機SIM卡插入貓池——不管有沒有實名或是否欠費,只要可以接收短信,就可以使用。一臺電腦,連接幾臺貓池,每臺貓池根據(jù)端口數(shù)量的不同,同時插入8張至64張的手機SIM卡,就可以形成驗證碼接收平臺,從而以新賬號的姿態(tài)在各種平臺上注冊,成為所謂的新用戶。一些小型商家自己買貓池、收手機SIM卡,在QQ群里兜售接受驗證碼的服務。零散的卡商,只是驗證碼產(chǎn)業(yè)鏈中很小的一部分。平臺級卡商,手中往往握有幾百萬張手機SIM卡,可以提供9000多個網(wǎng)站項目的接收驗證碼服務。
專家表示,為了刷單和占優(yōu)惠而購買服務的人,只占很小一部分。調(diào)用手機驗證碼的服務最終指向的都是大型電商平臺,有15%-20%左右去“擼羊毛”(即享受優(yōu)惠),而70%是用這些手機號生成的賬號來欺詐。
11月3日,紹興公安局首次披露的全國最大驗證碼平臺——愛碼案件,也正是從網(wǎng)絡盜號案中追蹤到的。紹興公安局網(wǎng)警支隊案件偵查大隊大隊長沈勇介紹,在一個支付寶帳號金額被盜竊的案件中,犯罪嫌疑人經(jīng)審訊承認,他的號碼是從“掃號”團伙那里買的掃出來的帳號,然后公安抓捕了一部分從事“掃號”的犯罪嫌疑人嫌犯?,通過對他們的審訊和電腦電子數(shù)據(jù)的勘查,發(fā)現(xiàn)他們在使用有手機驗證功能的軟件,可以在批量掃號時,提供一個驗證服務。隨后抓捕了該軟件的開發(fā)商,發(fā)現(xiàn)他們與驗證平臺有大量資金來往。
具體來說,由卡商購買插卡設備及手機卡,然后接到愛碼平臺上,手機號碼注冊電商平臺或網(wǎng)站之后,卡商就會接收到驗證碼短信,打碼后再傳送給驗證碼平臺,最后驗證碼平臺將結果反饋給與此有連接服務的掃號軟件,直接讓掃號者實現(xiàn)批量掃號的功能。掃號是先買了些類似帳號加密碼的數(shù)據(jù),然后通過軟件批量登陸支付寶等平臺。如果可以登的話,會提取出帳號,然后再將帳號賣給盜竊者。
成規(guī)模的卡商,往往握有幾百萬張手機SIM卡,通過介入驗證碼平臺,可提供上萬個網(wǎng)站項目的接收驗證碼服務。愛碼平臺提供的服務項目大概有上萬個,價格從一毛到一塊不等。2015年十月份破獲的,半年之間涉案的有歷史記錄的交易金額大概上千萬。
警方及互聯(lián)網(wǎng)安全專家一致認為,此類驗證碼平臺的存在,不僅破壞了網(wǎng)絡的驗證碼注冊機制,同時也破壞了互聯(lián)網(wǎng)實名制,對網(wǎng)絡安全產(chǎn)生惡劣影響,但打擊起來存在難度,如今在網(wǎng)絡上或者QQ群里搜索,依然可以找到十幾家提供類似服務的平臺及成百上千個零散的卡商。
2016年9月,工信部、銀監(jiān)會、公安部等六部委聯(lián)合發(fā)布《關于防范和打擊電信網(wǎng)絡詐騙犯罪的通告》,對實名制落實提出了明確時間表,同時對電信運營商開卡給予了數(shù)量限制,沈勇認為,這將從根本上遏制此類平臺的發(fā)展。按照“刑九”,可以以侵犯公民信息的罪名來處罰之前的掃號對象,但對打碼平臺的處罰還存在一些問題,因為“是否明知犯罪”這個定義上可能存在一些問題。六部委剛剛出臺了關于防范和打擊電信網(wǎng)絡詐騙犯罪的通告,涉及到電信卡實名認證要達到96%,年底到100%,到時此類平臺的生存環(huán)境會差一點。