央广网北京11月4日消息(记者周益帆 贺威通)据中国之声《新闻纵横》报道,为了吸引新用户,不少网络外卖订餐平台都会有“首单优惠”政策,嗅到商机的“刷手”们也因此做起了赚差价的买卖。比如,用户请刷手以新用户的身份订餐,能优惠20块钱,用户付给刷手10块,自己订餐便宜10块,看似双方都得到了实惠。为了防止“刷手”刷单,商家们开始使用动态验证码来确定用户身份。但刷手们却可以通过使用“养卡设备”,也就是圈内所说的“猫池”来规避网站的身份确认,更令人惊心的是,他们中的七成竟然用这种手段来实施诈骗。
记者调查发现,从设备的生产者到sim卡贩卖者再到卡商,验证码平台背后竟暗藏一条完整的灰色产业链。昨日(11月3日),中国之声记者专访了绍兴市公安局,首次披露全国最大的验证码平台——爱码被查获的全过程。
如今,注册各种网站或平台,都需要填写验证码,普通用户手中一般只有一两个手机号码,同时,也有一些人在做“接验证码”、“收大小卡”、“养卡”的生意。“养卡设备”圈内叫“猫池”。
它就像一个能插多张手机卡的简易手机,可以理解为n卡n待。把大量的手机sim卡插入猫池——不管有没有实名或是否欠费,只要可以接收短信,就可以使用。一台电脑,连接几台“猫池”,每台猫池根据端口数量的不同,同时插入8张至64张的手机sim卡,就可以形成验证码接收平台,从而以新账号的姿态在各种平台上注册,成为所谓的新用户。一些小型商家自己买猫池、收手机sim卡,在qq群里兜售接受验证码的服务。零散的卡商,只是验证码产业链中很小的一部分。平台级卡商,手中往往握有几百万张手机sim卡,可以提供9000多个网站项目的接收验证码服务。
阿里巴巴集团安全部合成作战中心高级安全专家璃珞表示,为了刷单和占优惠而购买服务的人,只占很小一部分。“调用手机验证码的服务最终指向的都是大型电商平台,有15%-20%左右去“撸羊毛”(即享受优惠),而70%是用这些手机号生成的账号来欺诈。”
绍兴公安局首次披露的全国最大验证码平台——爱码案件,也正是从网络盗号案中追踪到的。绍兴公安局网警支队案件侦查大队大队长沈勇介绍,在一个支付宝帐号金额被盗窃的案件中,盗号对象经审讯承认,他的号码是从扫号团伙那里买的扫出来的帐号,然后我们抓捕了一部分扫号对象,通过对他们的审讯和电脑电子数据的勘查,发现他们在使用有手机验证功能的林林软件,可以在批量扫号时,提供一个验证服务。随后我们抓捕了林林软件的开发商,发现他们与验证平台有大量资金来往。
具体来说,由卡商购买插卡设备及手机卡,然后接到爱码平台上,手机号码注册电商平台或网站之后,卡商就会接收到验证码短信,打码后再传送给验证码平台,最后验证码平台将结果反馈给与此有连接服务的扫号软件,直接让扫号者实现批量扫号的功能。沈勇说,“扫号是先买了些类似帐号加密码的数据,然后通过软件批量登陆支付宝等平台。如果可以登的话,会提取出帐号,然后再将帐号卖给盗窃者。”
沈勇介绍,成规模的卡商,往往握有几百万张手机sim卡,通过介入验证码平台,可提供上万个网站项目的接收验证码服务。“当时我们发现爱码平台提供的服务项目大概有上万个,价格从一毛到一块不等。去年十分份破获的,半年之间涉案的有历史记录的交易金额大概上千万。”
警方及互联网安全专家一致认为,此类验证码平台的存在,不仅破坏了网络的验证码注册机制,同时也破坏了互联网实名制,对网络安全产生恶劣影响,但打击起来存在难度,如今在网络上或者qq群里搜索,依然可以找到十几家提供类似服务的平台及成百上千个零散的卡商。阿里巴巴高级安全专家璃珞表示,“一是法律定罪的问题,这些人提供的服务是用来做坏事的,但是平台不是直接提供违法服务的,所以很难定性。当时给爱码平台定罪便存在困难,所以法律上要么无法定罪,要么轻罪轻罚,但是这些平台一年内的流量是相当大的。另外一方面,今年以来,手机运营商在实名制方面做了很多工作,但是对于二级服务商的管理上,还是存在问题。
今年9月,工信部、银监会、公安部等六部委联合发布《关于防范和打击电信网络诈骗犯罪的通告》,对实名制落实提出了明确时间表,同时对电信运营商开卡给予了数量限制,沈勇认为,这将从根本上遏制此类平台的发展。“按照刑九(《中华人民共和国刑法修正案(九)》),可以以侵犯公民信息的罪名来处罚之前的扫号对象,但对打码平台的处罚还存在一些问题,因为“是否明知犯罪”这个定义上可能存在一些问题。六部委刚刚出台了关于防范和打击电信网络诈骗犯罪的通告,涉及到电信卡实名认证要达到96%,年底到100%,到时此类平台的生存环境会差一点。”
(原标题:全国最大验证码平台被查 公安首次披露被查获全过程)