消費金融“黑色產業”浮出水面,有組織、高科技騙貸如何防範?
“過去幾年,中國互聯網金融高速發展,互聯網黑產也在正規化、集團化、產業分工化,
一位互聯網金融一線從業人員在接受騰訊財經的採訪時,一語道出了消費金融“黑色產業”的發展現狀。
所謂網路黑產,與傳統行業長期存在的“黑市”相同,在互聯網行業,也普遍存在著利用非法手段謀取不當利益的“黑色產業”,即以電腦網路為工具,運用電腦和網路技術實施的以營利為目的的,有組織、有計劃、分工明確的團夥式犯罪行為,
互聯網金融出現後,黑產就像找到了一個金礦
早年,當移動互聯網業務興起時,黑產的關注點通常是滴滴、美團這些“燒錢”企業給出的大量用戶補貼,“但互聯網金融出來之後,簡直碰到了一個金礦,發現可以騙到更多的錢。”
因為相較於銀行,消費信貸公司的定位服務次級客戶。這些客戶是銀行不願意或者無法服務物件。也因此,他們在為平臺帶來利潤的同時,或許也帶來了更高的風險。再加上,消費金融仍處於成長期,部分平臺安全風險意識相對薄弱,風控形同虛設,這在黑產者的眼裡,無疑形同裸奔。
而這也正是黑產所利用的地方。對於他們來說用盜刷傳統銀行卡的手段,
“因為很多用戶名和密碼,可以從網路上輕易獲取,任何漏洞,都會被我們利用”。一位黑產者稱。
網路黑產獲利模式清晰,不同團夥分工配合緊密
據中國互聯網協會發佈的《2016中國線民權益保護調查報告》顯示,從2015年下半年到2016年上半年的一年間,我國線民因垃圾資訊、詐騙資訊、個人資訊洩露等遭受的經濟損失高達915億元。據不完全統計,
而與千億規模相對應的則是整個黑色產業鏈已經形成,不同團夥分工配合緊密。
產業鏈的開端:黑料
這個產業鏈的開端,來自黑料。那些在黑市中,被反復清洗的、有金融價值的使用者資訊,這就是傳說中的“黑料”。一般一個可登陸的金融帳號和密碼,在黑市上售價0.5元到5元不等。
黑料的來源眾多,而最直接的,
“每個駭客的攻擊手法都不同,破解的方式也千奇百怪,沒有統一的作戰方式”,可謂防不勝防。 在這場攻防大戰中,平臺與駭客在相互制衡中逐漸成長——風控規則不停地變,駭客就見招拆招。
安全閥門:短信
有了黑料,接下來就是具體的操作手段了,這在黑色產業鏈裡更是花招百出。但在這其中有一條萬變不離其宗的定理:短信正在成為最關鍵的“Key”,成為核心的安全閥門。這是因為,大部分平臺都會通過發送短信驗證碼的方式,來驗證是否為用戶本人的操作。
一般掌控這個“安全閥門”,只要有兩個手段,一個是修改“綁定的手機號”,一個就是“劫持短信”。修改綁定手機號,就是鑽營各大平臺的風控漏洞。“一年前,很多金融平臺修改綁定手機規則比較簡單,只需要支付密碼就能修改,到後來,又需要提供銀行卡和支付密碼修改,可這些資訊,駭客幾乎都能通過社工庫獲得,成了盜刷黑產的盛宴。”
所謂社工庫,就是黑產的地下資料庫,其廣博的深度,恐怕不比任何“大資料公司”差。駭客們盜取的資料,都留存在社工庫中,供駭客們查詢。“社工庫的資料,可查詢到身份證號、銀行卡號、常用密碼、家庭住址,甚至開房記錄等眾多維度數據”
除了技術上鑽風控外,還有一個更可怕的手段——偽基站。偽基站的作用,和運營商的基站一樣,可以攔截用戶短信、通話等功能。當“偽基站”開始啟動,周圍的用戶的手機,都在它監控和操縱範圍內。其最遠的監控範圍已經可以擴展到10公里以外的地方。
產業鏈的後端:套現
搞定了平臺的監控,接下來就是套現者上場了。
首先盜刷的,是虛擬物品,比如QQ幣、話費、油卡等。因為虛擬物品不需要物流,更容易套現。但一般平臺也為防止大規模套現,對虛擬物品的額度較低,一般只有幾百元。因此,盜刷物品才是重頭。
“手機、電腦、手錶、金項鍊、茅臺,一般都是這些好變現的商品。”物品成功盜刷出來後,就是銷贓,物品最終會流向專門的二手黑市,比如一個全新的iPhone,打8折出售。而參與到這其中的人,就像是分一塊蛋糕一樣,將盜刷來的物品分得一乾二淨。
正在蔓延的黑產,該如何防控?
不僅在互聯網金融領域,在其他領域黑產也在蔓延。但在實踐中,不僅黑產的從業者不認為是違法犯罪,而且由於法律不完善,執法、司法部門對此也存在模糊認識,打擊力度不盡人意。
黑灰產給企業帶來的危害不言而喻,相關公司也投入了極大人力財力用於防控,但仍力不從心。僅寄希望於執法機關加大打擊力度,在現階段來說難以解決問題。
“讓服務提供者甚至有關行政部門就資訊洩露事實對電信詐騙承擔連帶責任,沒有推翻而是調整了“技術中立”抗辯,使得它更能適應資訊洩露風險猛增的大資料時代。”中國社會科學院法學所研究員劉自欽認為,資訊技術不過是方便人們交流溝通的工具,可程式碼是一系列人機互動的協定,網路運行也離不開服務提供者所雇程式師對代碼序列的編寫。
消費金融行業評論 或 xfjrhypl (長按可複製)
剖析新金融領域的最新行業資訊,分享獨特視角的商業評論。
這在黑色產業鏈裡更是花招百出。但在這其中有一條萬變不離其宗的定理:短信正在成為最關鍵的“Key”,成為核心的安全閥門。這是因為,大部分平臺都會通過發送短信驗證碼的方式,來驗證是否為用戶本人的操作。一般掌控這個“安全閥門”,只要有兩個手段,一個是修改“綁定的手機號”,一個就是“劫持短信”。修改綁定手機號,就是鑽營各大平臺的風控漏洞。“一年前,很多金融平臺修改綁定手機規則比較簡單,只需要支付密碼就能修改,到後來,又需要提供銀行卡和支付密碼修改,可這些資訊,駭客幾乎都能通過社工庫獲得,成了盜刷黑產的盛宴。”
所謂社工庫,就是黑產的地下資料庫,其廣博的深度,恐怕不比任何“大資料公司”差。駭客們盜取的資料,都留存在社工庫中,供駭客們查詢。“社工庫的資料,可查詢到身份證號、銀行卡號、常用密碼、家庭住址,甚至開房記錄等眾多維度數據”
除了技術上鑽風控外,還有一個更可怕的手段——偽基站。偽基站的作用,和運營商的基站一樣,可以攔截用戶短信、通話等功能。當“偽基站”開始啟動,周圍的用戶的手機,都在它監控和操縱範圍內。其最遠的監控範圍已經可以擴展到10公里以外的地方。
產業鏈的後端:套現
搞定了平臺的監控,接下來就是套現者上場了。
首先盜刷的,是虛擬物品,比如QQ幣、話費、油卡等。因為虛擬物品不需要物流,更容易套現。但一般平臺也為防止大規模套現,對虛擬物品的額度較低,一般只有幾百元。因此,盜刷物品才是重頭。
“手機、電腦、手錶、金項鍊、茅臺,一般都是這些好變現的商品。”物品成功盜刷出來後,就是銷贓,物品最終會流向專門的二手黑市,比如一個全新的iPhone,打8折出售。而參與到這其中的人,就像是分一塊蛋糕一樣,將盜刷來的物品分得一乾二淨。
正在蔓延的黑產,該如何防控?
不僅在互聯網金融領域,在其他領域黑產也在蔓延。但在實踐中,不僅黑產的從業者不認為是違法犯罪,而且由於法律不完善,執法、司法部門對此也存在模糊認識,打擊力度不盡人意。
黑灰產給企業帶來的危害不言而喻,相關公司也投入了極大人力財力用於防控,但仍力不從心。僅寄希望於執法機關加大打擊力度,在現階段來說難以解決問題。
“讓服務提供者甚至有關行政部門就資訊洩露事實對電信詐騙承擔連帶責任,沒有推翻而是調整了“技術中立”抗辯,使得它更能適應資訊洩露風險猛增的大資料時代。”中國社會科學院法學所研究員劉自欽認為,資訊技術不過是方便人們交流溝通的工具,可程式碼是一系列人機互動的協定,網路運行也離不開服務提供者所雇程式師對代碼序列的編寫。
消費金融行業評論 或 xfjrhypl (長按可複製)
剖析新金融領域的最新行業資訊,分享獨特視角的商業評論。