验证码也难阻“刷单员”刷单
——全国最大验证码平台被查全过程披露
2016-02-02张昭新
文 张昭新
验证码也难阻“刷单员”刷单
——全国最大验证码平台被查全过程披露
文 张昭新
为了吸引新用户,不少网络外卖订餐平台都会有“首单优惠”政策,嗅到商机的刷单员们也因此做起了赚差价的买卖。比如,用户请刷单员以新用户的身份订餐,能优惠20块钱,用户付给刷单员10块,自己订餐便宜10块,看似双方都得到了实惠。为了防止刷单员刷单,商家们开始使用动态验证码来确定用户身份。但刷单员们却可以通过使用“养卡设备”,也就是圈内所说的“猫池”来规避网站的身份确认,更令人惊心的是,他们中的七成竟然用这种手段来实施诈骗。
如今,注册各种网站或平台,都需要填写验证码,普通用户手中一般只有一两个手机号码,同时,也有一些人在做“接验证码”“收大小卡”“养卡”的生意。“养卡设备”圈内叫“猫池”。
它就像一个能插多张手机卡的简易手机,可以理解为“N卡N待”。把大量的手机SIM卡插入猫池——不管有没有实名或是否欠费,只要可以接收短信,就可以使用。一台电脑,连接几台猫池,每台猫池根据端口数量的不同,同时插入8张至64张的手机SIM卡,就可以形成验证码接收平台,从而以新账号的姿态在各种平台上注册,成为所谓的新用户。一些小型商家自己买猫池、收手机SIM卡,在QQ群里兜售接受验证码的服务。零散的卡商,只是验证码产业链中很小的一部分。平台级卡商,手中往往握有几百万张手机SIM卡,可以提供9000多个网站项目的接收验证码服务。
专家表示,为了刷单和占优惠而购买服务的人,只占很小一部分。调用手机验证码的服务最终指向的都是大型电商平台,有15%-20%左右去“撸羊毛”(即享受优惠),而70%是用这些手机号生成的账号来欺诈。
11月3日,绍兴公安局首次披露的全国最大验证码平台——爱码案件,也正是从网络盗号案中追踪到的。绍兴公安局网警支队案件侦查大队大队长沈勇介绍,在一个支付宝帐号金额被盗窃的案件中,犯罪嫌疑人经审讯承认,他的号码是从“扫号”团伙那里买的扫出来的帐号,然后公安抓捕了一部分从事“扫号”的犯罪嫌疑人嫌犯?,通过对他们的审讯和电脑电子数据的勘查,发现他们在使用有手机验证功能的软件,可以在批量扫号时,提供一个验证服务。随后抓捕了该软件的开发商,发现他们与验证平台有大量资金来往。
具体来说,由卡商购买插卡设备及手机卡,然后接到爱码平台上,手机号码注册电商平台或网站之后,卡商就会接收到验证码短信,打码后再传送给验证码平台,最后验证码平台将结果反馈给与此有连接服务的扫号软件,直接让扫号者实现批量扫号的功能。扫号是先买了些类似帐号加密码的数据,然后通过软件批量登陆支付宝等平台。如果可以登的话,会提取出帐号,然后再将帐号卖给盗窃者。
成规模的卡商,往往握有几百万张手机SIM卡,通过介入验证码平台,可提供上万个网站项目的接收验证码服务。爱码平台提供的服务项目大概有上万个,价格从一毛到一块不等。2015年十月份破获的,半年之间涉案的有历史记录的交易金额大概上千万。
警方及互联网安全专家一致认为,此类验证码平台的存在,不仅破坏了网络的验证码注册机制,同时也破坏了互联网实名制,对网络安全产生恶劣影响,但打击起来存在难度,如今在网络上或者QQ群里搜索,依然可以找到十几家提供类似服务的平台及成百上千个零散的卡商。
2016年9月,工信部、银监会、公安部等六部委联合发布《关于防范和打击电信网络诈骗犯罪的通告》,对实名制落实提出了明确时间表,同时对电信运营商开卡给予了数量限制,沈勇认为,这将从根本上遏制此类平台的发展。按照“刑九”,可以以侵犯公民信息的罪名来处罚之前的扫号对象,但对打码平台的处罚还存在一些问题,因为“是否明知犯罪”这个定义上可能存在一些问题。六部委刚刚出台了关于防范和打击电信网络诈骗犯罪的通告,涉及到电信卡实名认证要达到96%,年底到100%,到时此类平台的生存环境会差一点。