據(jù)“封面新聞”報(bào)道，國內(nèi)某支付平臺(tái)的“人臉識(shí)別”系統(tǒng)存在重大漏洞，黑產(chǎn)人員只要在黑市上買到公民的身份證照片、持證照、手機(jī)號(hào)碼、銀行卡號(hào)等信息，就可以通過修改賬戶密碼和換綁手機(jī)賬號(hào)的權(quán)限，刷走賬戶上的所有余額。

目前，據(jù)雷鋒網(wǎng)了解，宜賓警方已將盜刷他人賬戶28萬多元的周某、楊某抓獲歸案。

在說這個(gè)案子前，讓我們先來看看如果忘記密碼時(shí)，“人臉識(shí)別”認(rèn)證需要哪些操作。

1.需要用手機(jī)攝像頭對(duì)著操作者，拍下操作者的正面靜態(tài)照片，進(jìn)行系統(tǒng)審核。

2.系統(tǒng)再次要求操作者將手機(jī)攝像頭對(duì)著自己，按照指令作出“眨眼”、“搖頭”、“張嘴”等動(dòng)作，同時(shí)進(jìn)行攝像，完成之后，系統(tǒng)會(huì)自動(dòng)評(píng)估。

3.如果照片、視頻符合系統(tǒng)要求，便獲得修改支付平臺(tái)賬戶密碼的權(quán)限，一旦修改完成用戶的登錄密碼，再換綁為自己能夠接收短信的一個(gè)手機(jī)號(hào)碼，黑產(chǎn)者可以將用戶支付平臺(tái)賬戶內(nèi)的余額轉(zhuǎn)走。

在這個(gè)過程中，我們可以發(fā)現(xiàn)，只要黑產(chǎn)從業(yè)者知道了你的賬戶名稱，并擁有了你的身份證照片、視頻，就有了更改密碼、再重新綁定別的手機(jī)號(hào)碼進(jìn)行盜刷的可能。

這時(shí)，不少人會(huì)問，即使黑產(chǎn)者拿到了我的身份證照片，視頻他總沒法拿到吧？

但事實(shí)是，所謂的“眨眼”、“搖頭”、“張嘴”等動(dòng)作，根本不需要證明你是你，只需證明你是“活的”即可！

正是利用這個(gè)漏洞，周某和楊某開始了他們的盜刷之路，以下是他們的作案步驟。

1.找到“料商”。通過加入QQ群聯(lián)系“料商”購買公民個(gè)信息，如手機(jī)號(hào)、身份證照片、銀行卡號(hào)等。

2.找到“卡商”。讓卡商為自己提供換綁手機(jī)號(hào)的號(hào)碼，并且接收短信驗(yàn)證碼，為自己實(shí)施犯罪作準(zhǔn)備。

3.用手機(jī)自拍一張半身照，使用PHOTOSHOP將購買的公民面部照片合成到自拍的半身照上面。

4.用手機(jī)對(duì)著自己錄制一些“張嘴”、“搖頭”、“眨眼等動(dòng)作”的小視頻，將照片和視頻存在PC電腦中。

5.通過在手機(jī)上登錄該支付平臺(tái)，輸入他人的賬號(hào)(即公民信息資料中的“手機(jī)號(hào)碼”)，然后在系統(tǒng)提示下點(diǎn)擊“忘記登錄密碼”，再選擇輸入注冊(cè)身份證號(hào)碼，之后選擇人臉校驗(yàn)。

6.將事先準(zhǔn)備好的合成照片從電腦上打開，再將手機(jī)攝像頭對(duì)著合成照片，完成第一步靜態(tài)人臉識(shí)別，然后再按照系統(tǒng)的指令，在電腦上播放事先錄制好的視頻片段，播放時(shí)仍然將手機(jī)攝像頭對(duì)著電腦屏幕，完成第二部動(dòng)態(tài)驗(yàn)證。

系統(tǒng)僅會(huì)對(duì)第一張靜態(tài)人臉照片進(jìn)行識(shí)別，因此通過受害人的合成照片認(rèn)證就可以通過校驗(yàn)，系統(tǒng)不會(huì)對(duì)第二次的動(dòng)態(tài)視頻再進(jìn)行校驗(yàn)，只需辨認(rèn)視頻中的人是能夠活動(dòng)的活體。

7.此時(shí)賬號(hào)密碼已經(jīng)修改完成，開始進(jìn)行換綁手機(jī)號(hào)。通過QQ聯(lián)系卡商，卡商發(fā)來一組手機(jī)號(hào)碼(16個(gè)或32個(gè)號(hào)碼為一組)，嫌疑人隨機(jī)選擇一個(gè)手機(jī)號(hào)碼，將該手機(jī)號(hào)碼綁定在受害人支付平臺(tái)賬戶上，在此過程中，支付平臺(tái)系統(tǒng)會(huì)發(fā)送驗(yàn)證碼短信至新綁定的手機(jī)號(hào)碼里面，嫌疑人通過QQ聊天向卡商索要短信驗(yàn)證碼，完成更改賬戶密碼、手機(jī)綁定操作。

這時(shí)，大功告成，周某就可以通過短信驗(yàn)證碼將受害人的賬戶余額轉(zhuǎn)走。

為了銷贓滅跡，他們還將盜刷資金轉(zhuǎn)移到某賭博網(wǎng)站上，通過在網(wǎng)站內(nèi)玩“PT老虎機(jī)”等賭博游戲進(jìn)行洗錢，再將資金轉(zhuǎn)入到自己使用的銀行卡賬號(hào)內(nèi)。

目前，周某楊某已經(jīng)抓捕歸案，據(jù)封面新聞報(bào)道，該支付平臺(tái)已修復(fù)了這一漏洞。

參考來源：封面新聞

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。