南報網訊（通訊員 鼓公宣 趙柏戀茹 記者 朱靜）許多第三方支付平臺都有一個“小額支付免密碼（驗證碼）”功能，為了方便用戶不需要每次支付都輸入密碼，可究竟方便的是用戶還是竊賊呢？

自今年3月起，某電商平臺陸續(xù)收到客戶投訴稱與平臺綁定的第三方支付平臺賬戶被盜刷，但是單筆金額數(shù)目都不大，從99元—299元不等，而300元恰恰是該平臺設置的小額支付免驗證碼的最高值。直到9月底，全國累計竟有60多名受害人，涉及金額共有5萬多元。

10月初，該平臺負責人在自查無果后向鼓樓警方報案。警方隨即展開偵查。

利用二手閑置平臺自編自演“虛假交易”

警方在調查中發(fā)現(xiàn)，所有的受害人賬戶都曾經在某二手閑置平臺有過交易。但據(jù)受害人稱，這些交易都非本人操作，而在交易成功后不久，賬戶即被盜刷，其中大約有三十幾個受害人都在同一個二手賣家處購買過閑置物品。

在這個過程中，也有受害人向平臺投訴。“一般我們接到投訴就會暫時凍結這個賬號，但是如果賬號的所有人進行申訴是可以解凍的。”平臺負責人告訴警方，但是這個被投訴的賬戶所有人卻沒有申訴，而是換了別的賬戶繼續(xù)發(fā)布二手買賣信息，而他總共換過6個不同的賬戶。“這就非常不正常，說明這個賬戶所有人心里有鬼。”

隨著調查的深入，警方發(fā)現(xiàn)受害人登陸時IP地址和發(fā)布二手淘信息的IP地址居然是一致的。“也就是說是同一個人自己賣、自己買，這不僅是一場虛假交易，還是一幕‘獨角戲’。”

在調查資金流的去向時，警方發(fā)現(xiàn)最終錢款流入了同一個賬號，而賬戶所有人就是本案的重要嫌疑人張某。

嫌疑人竟在家門口安裝了7個攝像頭

通過前期偵查，警方最終確認了張某的住處，位于山東萊州某家屬院內。

因為不確定張某是住戶還是租戶，所以警方怕打草驚蛇，不敢貿然實施抓捕。“走訪調查中，我們了解到，張某系吸毒人員，和其妻子租住在此，因為吸毒欠下高額債務，害怕追債的上門，所以在家門口附近安裝了7個高清攝像頭。在進入他家的必經通道前后都有攝像頭。”

為了騙得張某的信任，民警化裝成保安人員敲開了張某家的大門。“我們敲門后他足足等了十幾分鐘才來開門，應該就是在通過攝像頭觀察。”

在確定了張某的身份之后，11月2日，警方在其家中將他抓捕歸案。并在現(xiàn)場收繳了涉案銀行卡53張、POS機22臺、手機11部、動態(tài)密碼器（優(yōu)盾）32個。

“掃庫”與“撞庫”相結合的犯罪手段

為了方便記憶，大部分人在不同的APP上使用的都是同一套用戶名和密碼，甚至有的人與個人金融相關的APP上登錄密碼和支付密碼也是同一套。正是因為這兩個相同，才有了張某這類利用“掃庫”與“撞庫”相結合的方式實施網絡詐騙的嫌疑人。

所謂“掃庫”就是選擇一些安全級別比較低的網站，比如視頻網站，通過黑客的方式批量得賬號和密碼。

而“撞庫”就是用獲得的用戶名和密碼去批量碰撞可能綁定銀行卡或者第三方支付平臺的APP，撞上的概率能達到10%—20%。

撞上之后，嫌疑人就等于打開了你的“電子錢包”。本案中，張某屬于初級的網絡詐騙，所以他沒有辦法獲知支付前手機收到的那個驗證碼，所以他利用的是“小額支付免驗證碼”的功能，單筆盜刷不超過300元，但是批量盜刷，還是很可觀的。而想獲知驗證碼，其實并不難，只要給你的手機發(fā)送一個含有木馬病毒的鏈接，一旦點開，你的驗證碼將在后臺被嫌疑人攔截，盜刷金額只取決于你卡上有多少錢。

在此，警方提醒，盡量避免使用同一套用戶名和密碼，尤其是涉及個人金融的APP，此外不要點開任何陌生號碼發(fā)送來的不明鏈接，無論鏈接前的名目多么吸引眼球，都不要點擊，因為那很可能就隱含木馬病毒。