某支付平台“人脸识别”惊现重大漏洞 附:破解步骤


2018-1-16 20:27

通过破解某支付平台的“人脸识别”系统,犯罪嫌疑人盗窃多位受害人二十多万元账户资金。1月16日,在“向人民报告”宜宾公安网安专场新闻通气会上,宜宾警方通报了这起案件的情况。

2016年11月4日,四川省宜宾警方接到国内某支付平台公司员工到报案:其公司近日发现多起用户账户资金被盗的案件,会员用户反映其账户中增加了非本人办理的昆仑银行卡,账户信息、绑定手机号被更改后造成资金被盗。通过公司网络技术后台筛查,作案人使用的IP归属地为宜宾电信,涉案账户20余个,涉案资金20多万元。

接到报案后,宜宾市公安局网安支队高度重视,联合长宁县公安局成立专案组进行攻坚并落地查证,发现长宁县网民周某有重大作案嫌疑人。通过对周某所使用网络虚拟账号开展工作,发现杨某系其同案犯,两人通过网络聊天工具交流作案手法,并通过互联网联系“料商”购买大量的公民个人信息、联系“卡商”购买短信服务用于作案。

在掌握了二人大量的犯罪证据后,宜宾市县专案组民警于2016年12月20日将犯罪嫌疑人周某、杨某抓获归案。

经查,犯罪嫌疑人周某、杨某结合自己对某支付平台账户登录、找回密码方式的了解,破解了该支付平台账户人脸识别校验系统的漏洞。

该支付平台账户在修改密码或者换改绑定手机号码的情况下,系统会提示人脸识别,第一步需要用手机摄像头对着操作者,拍下操作者的正面静态照片,通过系统审核之后,第二步系统再次要求操作者将手机摄像头对着操作者,按照系统要求的指令作出“眨眼”、“摇头”、“张嘴”等动作同时进行摄像,完成之后,系统会自动评估。如果照片、视频符合系统要求,便获得修改支付平台账户密码和换绑手机号码的权限,一旦修改完成用户的登录密码,并换绑为自己能够接收短信的一个手机号码,就可以将用户支付平台账户内的余额转走。

犯罪嫌疑人在破解这一漏洞之后,开始大量在网上大量购买公民个人信息。通过加入QQ群联系到“料商”,大量购买公民个信息;同时通过QQ联系“卡商”,让卡商为自己提供换绑他人支付平台手机号的号码,并且接收短信验证码,为自己实施犯罪作准备。

犯罪嫌疑人购买的公民个人信息资料包含该公民的身份证照片正反照片、公民持证照、公民手机号码、银行卡号和开卡地等信息。破解步骤是:

1、用手机自拍一张半身照,使用PHOTOSHOP将购买的公民面部照片合成到自拍的半身照上面。

2、用手机对着自己录制一些“张嘴”、“摇头”、“眨眼等动作”的小视频,将照片和视频存在PC电脑中。

3、通过在手机上登录该支付平台,输入他人的该支付平台的账号(即公民信息资料中的“手机号码”),然后在系统提示下点击“忘记登录密码”,再选择输入注册身份证号码,之后选择人脸校验。

4、将事先准备好的合成照片从电脑上打开,再将手机摄像头对着合成照片,完成第一步静态人脸识别,然后再按照系统的指令,在电脑上播放事先录制好的视频片段,播放时仍然将手机摄像头对着电脑屏幕,完成第二部动态验证。系统仅会对第一张静态人脸照片进行识别,因此通过受害人的合成照片认证就可以通过校验,系统不会对第二次的动态视频再进行校验,只需辨认视频中的人是能够活动的活体。

完成上述验证,该公民的账户密码就可以被修改。犯罪嫌疑人再通过QQ联系卡商,卡商发来一组手机号码(16个或32个号码为一组),嫌疑人随机选择一个手机号码,将该手机号码绑定在受害人支付平台账户上,在此过程中,支付平台系统会发送验证码短信至新绑定的手机号码里面,嫌疑人通过QQ聊天向卡商索要短信验证码,完成更改账户密码、手机绑定操作,之后再次通过短信验证码将受害人的账户余额转走。

犯罪嫌疑人周某、杨某作案后,在将他人支付平台账户内的资金转移到某赌博网站上,通过在网站内玩“PT老虎机”等赌博游戏进行洗钱,再将资金转入到自己使用的银行卡账号内。

自2016年10月27日至2017年1月11日,犯罪嫌疑人周某、杨某非法购买公民个人信息5000余组,盗窃受害人刘某、许某等人的账户资金共计282676元。

警方表示,通过案件的侦破,目前该平台已修复了这一漏洞。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606