南報(bào)網(wǎng)訊（通訊員 鼓公宣 趙柏戀茹 記者 朱靜）許多第三方支付平臺(tái)都有一個(gè)“小額支付免密碼（驗(yàn)證碼）”功能，為了方便用戶不需要每次支付都輸入密碼，可究竟方便的是用戶還是竊賊呢？

自今年3月起，某電商平臺(tái)陸續(xù)收到客戶投訴稱(chēng)與平臺(tái)綁定的第三方支付平臺(tái)賬戶被盜刷，但是單筆金額數(shù)目都不大，從99元—299元不等，而300元恰恰是該平臺(tái)設(shè)置的小額支付免驗(yàn)證碼的最高值。直到9月底，全國(guó)累計(jì)竟有60多名受害人，涉及金額共有5萬(wàn)多元。

10月初，該平臺(tái)負(fù)責(zé)人在自查無(wú)果后向鼓樓警方報(bào)案。警方隨即展開(kāi)偵查。

利用二手閑置平臺(tái)自編自演“虛假交易”

警方在調(diào)查中發(fā)現(xiàn)，所有的受害人賬戶都曾經(jīng)在某二手閑置平臺(tái)有過(guò)交易。但據(jù)受害人稱(chēng)，這些交易都非本人操作，而在交易成功后不久，賬戶即被盜刷，其中大約有三十幾個(gè)受害人都在同一個(gè)二手賣(mài)家處購(gòu)買(mǎi)過(guò)閑置物品。

在這個(gè)過(guò)程中，也有受害人向平臺(tái)投訴。“一般我們接到投訴就會(huì)暫時(shí)凍結(jié)這個(gè)賬號(hào)，但是如果賬號(hào)的所有人進(jìn)行申訴是可以解凍的。”平臺(tái)負(fù)責(zé)人告訴警方，但是這個(gè)被投訴的賬戶所有人卻沒(méi)有申訴，而是換了別的賬戶繼續(xù)發(fā)布二手買(mǎi)賣(mài)信息，而他總共換過(guò)6個(gè)不同的賬戶。“這就非常不正常，說(shuō)明這個(gè)賬戶所有人心里有鬼。”

隨著調(diào)查的深入，警方發(fā)現(xiàn)受害人登陸時(shí)IP地址和發(fā)布二手淘信息的IP地址居然是一致的。“也就是說(shuō)是同一個(gè)人自己賣(mài)、自己買(mǎi)，這不僅是一場(chǎng)虛假交易，還是一幕‘獨(dú)角戲’。”

在調(diào)查資金流的去向時(shí)，警方發(fā)現(xiàn)最終錢(qián)款流入了同一個(gè)賬號(hào)，而賬戶所有人就是本案的重要嫌疑人張某。

嫌疑人竟在家門(mén)口安裝了7個(gè)攝像頭

通過(guò)前期偵查，警方最終確認(rèn)了張某的住處，位于山東萊州某家屬院內(nèi)。

因?yàn)椴淮_定張某是住戶還是租戶，所以警方怕打草驚蛇，不敢貿(mào)然實(shí)施抓捕。“走訪調(diào)查中，我們了解到，張某系吸毒人員，和其妻子租住在此，因?yàn)槲厩废赂哳~債務(wù)，害怕追債的上門(mén)，所以在家門(mén)口附近安裝了7個(gè)高清攝像頭。在進(jìn)入他家的必經(jīng)通道前后都有攝像頭。”

為了騙得張某的信任，民警化裝成保安人員敲開(kāi)了張某家的大門(mén)。“我們敲門(mén)后他足足等了十幾分鐘才來(lái)開(kāi)門(mén)，應(yīng)該就是在通過(guò)攝像頭觀察。”

在確定了張某的身份之后，11月2日，警方在其家中將他抓捕歸案。并在現(xiàn)場(chǎng)收繳了涉案銀行卡53張、POS機(jī)22臺(tái)、手機(jī)11部、動(dòng)態(tài)密碼器（優(yōu)盾）32個(gè)。

“掃庫(kù)”與“撞庫(kù)”相結(jié)合的犯罪手段

為了方便記憶，大部分人在不同的APP上使用的都是同一套用戶名和密碼，甚至有的人與個(gè)人金融相關(guān)的APP上登錄密碼和支付密碼也是同一套。正是因?yàn)檫@兩個(gè)相同，才有了張某這類(lèi)利用“掃庫(kù)”與“撞庫(kù)”相結(jié)合的方式實(shí)施網(wǎng)絡(luò)詐騙的嫌疑人。

所謂“掃庫(kù)”就是選擇一些安全級(jí)別比較低的網(wǎng)站，比如視頻網(wǎng)站，通過(guò)黑客的方式批量得賬號(hào)和密碼。

而“撞庫(kù)”就是用獲得的用戶名和密碼去批量碰撞可能綁定銀行卡或者第三方支付平臺(tái)的APP，撞上的概率能達(dá)到10%—20%。

撞上之后，嫌疑人就等于打開(kāi)了你的“電子錢(qián)包”。本案中，張某屬于初級(jí)的網(wǎng)絡(luò)詐騙，所以他沒(méi)有辦法獲知支付前手機(jī)收到的那個(gè)驗(yàn)證碼，所以他利用的是“小額支付免驗(yàn)證碼”的功能，單筆盜刷不超過(guò)300元，但是批量盜刷，還是很可觀的。而想獲知驗(yàn)證碼，其實(shí)并不難，只要給你的手機(jī)發(fā)送一個(gè)含有木馬病毒的鏈接，一旦點(diǎn)開(kāi)，你的驗(yàn)證碼將在后臺(tái)被嫌疑人攔截，盜刷金額只取決于你卡上有多少錢(qián)。

在此，警方提醒，盡量避免使用同一套用戶名和密碼，尤其是涉及個(gè)人金融的APP，此外不要點(diǎn)開(kāi)任何陌生號(hào)碼發(fā)送來(lái)的不明鏈接，無(wú)論鏈接前的名目多么吸引眼球，都不要點(diǎn)擊，因?yàn)槟呛芸赡芫碗[含木馬病毒。