盗刷帝国：黑产涌入消费金融，刀口舔血月入百万

文 | 零和 

近两年，消费金融上升为互联网金融的头把交椅，火爆异常。

一群盗刷银行卡的黑产人员，在消费金融崛起后，尾随而来。

他们整合各个渠道泄露的用户信息，就像完成一幅拼图般，精心拼凑。

一旦锁定目标，他们招数百变地专营各种漏洞，配合新式设备，进行大规模清洗。

一本财经追寻着盗刷的线索，步步深入，发现背后形成一个庞大的盗刷帝国。

这是一个暴利的地下世界，这里有一夜暴富的传奇，也有顷刻颠覆的巨浪…

01 帝国

阴冷的午后，太阳在雾霾之后，只剩没有温度的灰黄。

黑客VV带着一个骷髅头的头罩，出现在火锅店的门口，他说：“刚做了几单大的，犒劳一下兄弟们。”

所谓几单大的，就是一个晚上，“盗刷了十几个账号，挣了近 10 万”。

VV此前，专职做银行卡盗刷，近两年消费金融的空前繁荣，“黑产很多人顺着这波浪潮，涌入新兴产业中”。

这个只有 21 岁的年轻人，从事消费金融盗刷一个多年头，在网络上，算资深玩家。

VV手底带了 2 个人，“这个小小的工作室，月入百万”。

从 2014 年开始，众多消费金融平台开通“透支”、“零首付分期”功能。

根据用户的信用消费记录，平台提供一定的“透支”额度，购买商品，最典型的就是蚂蚁花呗。

这些平台，正在成为黑产眼中的肥肉。

对于他们来说，用盗刷传统银行卡的手段，来盗刷网上的消费金融，就是降维攻击。

“因为很多用户名和密码，可以从网络上轻易获取”，VV称，“任何漏洞，都会被我们利用”。

在这片利益泛滥的江湖，任何小漏洞，都会被黑产深挖成金钱和欲望的洞口。

寻着VV这条线索，我们追踪其下——一个庞大的黑暗帝国，从云雾下缓缓呈现。

02 黑料

VV如一根绳子，将产业链上所有的人，连珠成串。

这个产业链的开端，来自黑料。

那些在黑市中，被反复清洗的、有金融价值的用户信息，这就是传说中的“黑料”。

一般一个可登陆的金融账号和密码，在黑市上售价0. 5 元到 5 元不等。

按照行规，对于数据来源，“不可多问”，VV也并不关心，他只关心数据是否优秀。

黑料的来源众多，而最直接的，就是黑客入侵某些平台，从后台，将整个用户信息数据库，拖出来——行话叫“拖库”。

这些数据库，会在黑市上流通，被反复清洗、榨取价值，“直到渣渣都不剩下”。

通常，VV获得了一批账号和密码后，就开始“信息修复”。

“每个黑客的攻击手法都不同，破解的方式也千奇百怪，没有统一的作战方式”，VV将攻防之间的战争，比喻为入侵一座城堡。

尽管有护城河、城墙，但攻击者，可以从正门攻，也可以从地下挖地道，甚至逮住一个老鼠洞，都能钻进来，防不胜防。

这也是攻守力量悬殊的原因。

VV和他的团队，在实战中，也总结了一套独特战术。

现在大部分消费金融平台的账号，都会设置“支付密码”，和登录密码不同，因此，第一步，就是突破支付密码。

VV的攻破方式，是通过社工库，寻找这个账户曾经用过的其他密码。

所谓社工库，就是黑产的地下数据库，其广博的深度，恐怕不比任何“大数据公司”差。黑客们盗取的数据，都留存在社工库中，供黑客们查询。

“社工库的数据，可查询到身份证号、银行卡号、常用密码、家庭住址，甚至开房记录等众多维度数据”，VV通过社工库和他的黑市数据搜索，就找到了每个账号之下，可能使用的其他密码。

“人类设计密码是有缺陷的，大部分人最多只有 4 个常用密码，一旦超过 4 个，就经常记混”，VV称，正因为如此，一家账号泄露，就会殃及池鱼。

有了双密之后，几乎锁定可入侵目标，剩下的操作手段，更是花招百出。

但万变不离其宗的一条定理是：短信正在成为最关键的“Key”，成为核心的安全阀门。

这是因为，大部分平台都会通过发送短信验证码的方式，来验证是否为用户本人的操作。

一般掌控这个“安全阀门”，只要有两个手段，一个是修改“绑定的手机号”，一个就是“劫持短信”。

修改绑定手机号，就是钻营各大平台的风控漏洞，VV将其为“老鼠洞式”的入侵。

VV回忆称：“一年前，很多金融平台修改绑定手机规则比较简单，只需要支付密码就能修改，到后来，又需要提供银行卡和支付密码修改，可这些信息，黑客几乎都能通过社工库获得，成了盗刷黑产的盛宴。”

在这场攻防大战中，双方在过招中相互制衡成长——风控规则不停地变，黑客就见招拆招。

“我听说曾经一帮盗刷者，会用一个新号码给客服打电话，说自己原来的手机丢失，只要提供身份证、银行卡、最近收货地址、购买物品等信息后，也能修改手机号”，VV称，盗刷者会花样触底，来测试风控的底线。

有些盗刷者，甚至手机号都不改。

他们在发货后，直接给后台店铺留言，要求修改送货地址。

而一些云端漏洞，也开始被频繁利用。

日前，有媒体报道称，何先生遭遇手机锁死、频繁关机后被盗刷，损失5. 3 万元。

结果发现，黑客破解他的 360 智能手机云服务平台，其中有一个“回复短信”的接口，可以从云端回复短信。

黑客利用回复功能，让何先生的手机卡，绑定了一张“副卡”，可以同步接受到他的验证码，因此完成盗刷。

作为最后安全阀门的短信，真的还安全吗?

针对无孔不入的黑产，很多平台不得不制定更为严苛的风控规则，封堵漏洞。

“但控制一个人手机的方式很多，漏洞也很多，修补上一个，我们再换另一个”，VV称，给用户的手机种上木马，依然是成本最低的方式。

此时，传说中的第二种方式开始浮出水面——“短信拦截马”。

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!