利用系統(tǒng)漏洞 “薅羊毛”�����,27人盜刷“快手”672萬元獲刑
每日經(jīng)濟(jì)新聞
2020-04-15 12:00:54
每經(jīng)編輯 馬原
4629筆訂單、涉及827名用戶�����,24天間��,27人利用快手平臺(tái)的升級(jí)漏洞惡意盜刷金額達(dá)672萬元�����。北京市海淀法院日前通報(bào)稱���,法院以盜竊罪判處27人一年一個(gè)月至十一年半不等有期徒刑。案件主審法官表示��,利用網(wǎng)絡(luò)平臺(tái)漏洞從事黑色產(chǎn)業(yè)鏈獲利�,是當(dāng)前司法打擊的重點(diǎn)�����。
27人不到一月惡意盜刷平臺(tái)672萬余元
快手APP是國內(nèi)受眾較廣的短視頻平臺(tái)��,用戶可以在該平臺(tái)以“打賞”禮物的方式對(duì)他人進(jìn)行贈(zèng)與或被贈(zèng)與�����,所有禮物可轉(zhuǎn)換為名為“黃鉆”的平臺(tái)內(nèi)代幣使用����,并最終通過微信支付平臺(tái)提現(xiàn)。
2018年7月��,快手系統(tǒng)升級(jí)中�,提現(xiàn)系統(tǒng)出現(xiàn)了一個(gè)小小的bug。訂單失敗后提現(xiàn)黃鉆返回快手用戶賬戶���,但支付網(wǎng)關(guān)沒有停止轉(zhuǎn)賬請(qǐng)求,還在不斷嘗試�����。在此期間���,如果對(duì)應(yīng)微信賬號(hào)開通實(shí)名認(rèn)證,則資金將從快手企業(yè)賬戶劃撥至個(gè)人微信賬戶����,用戶將在未扣除黃鉆情況下獲得提現(xiàn)��。利用這個(gè)漏洞���,27人在24天內(nèi)�����,從“快手”827名用戶的4629筆訂單中盜刷672萬元�。
被告人謝某等人利用所掌控賬戶的直播功能,首先通過賬戶互相打賞將對(duì)應(yīng)黃鉆攢至2000元�,而后關(guān)聯(lián)未開通或已經(jīng)注銷微信實(shí)名認(rèn)證的賬戶反復(fù)提交提現(xiàn)申請(qǐng),并在短時(shí)間內(nèi)開通微信實(shí)名認(rèn)證�����,資金到達(dá)微信賬戶后����,迅速通過所綁定的銀行卡第二次轉(zhuǎn)出���、分配。
以此方式�����,一條租號(hào)����、打賞�����、提現(xiàn)、轉(zhuǎn)賬����、取錢的黑色鏈條快速形成、蔓延�,直到快手公司進(jìn)行財(cái)務(wù)數(shù)據(jù)匯總����,發(fā)現(xiàn)用戶提現(xiàn)金額和個(gè)稅數(shù)據(jù)不匹配�、提現(xiàn)金額明顯異常后,這一漏洞方被修正���。
法院查明,2018年7月21日1時(shí)開始��,到2018年8月2日22時(shí)�,12天里���,僅謝某一人就通過上述方式收購10組他人賬號(hào)�,累計(jì)套取資金125萬余元�����。謝某最終被處罰金十一萬元人民幣����,責(zé)令退賠經(jīng)濟(jì)損失一百二十五萬余元人民幣�����。同時(shí)�����,謝某與其他26人�,因盜竊罪分獲11年半到1年1個(gè)月不等的有期徒刑��。
網(wǎng)絡(luò)漏洞形成的黑產(chǎn)業(yè)鏈?zhǔn)撬痉ù驌糁攸c(diǎn)
法官表示����,快手盜刷案并不復(fù)雜,但是給民眾尤其是黑灰產(chǎn)的從業(yè)人員兩個(gè)重要的法律提示:其一是利用系統(tǒng)漏洞非法取財(cái)構(gòu)成犯罪��,其二是明知他人從事違法行為而有償出租賬戶亦構(gòu)成犯罪���。
“薅羊毛”是與電子商務(wù)伴生的互聯(lián)網(wǎng)現(xiàn)象。通常意義上�����,“薅羊毛”行為按照輕重程度可以分為三類:一是按照平臺(tái)優(yōu)惠規(guī)則����、偶爾利用平臺(tái)漏洞獲取優(yōu)惠自用的普通用戶�;二是利用平臺(tái)優(yōu)惠規(guī)則疏漏�、借助信息及技術(shù)優(yōu)勢(shì)攫取優(yōu)惠后進(jìn)行二次轉(zhuǎn)賣、變現(xiàn)的“羊毛黨”����;三是利用系統(tǒng)漏洞惡意牟利的黑灰產(chǎn)鏈條�。上文的快手盜刷案,即屬于第三種����。
對(duì)于第一類行為,使用者屬于正常消費(fèi)行為��,在法律����、商業(yè)規(guī)則及市場(chǎng)規(guī)律范圍內(nèi)無須擔(dān)心�。事實(shí)上,這個(gè)層面的消費(fèi)者的注意力應(yīng)該集中在自身權(quán)利維護(hù)��,尤其是在損失是由平臺(tái)自身過錯(cuò)造成�����,消費(fèi)者并無任何欺詐等心態(tài)的情況下���。對(duì)此��,不同平臺(tái)反映不一��,如去哪兒網(wǎng)、東航因系統(tǒng)失誤而出現(xiàn)的超低價(jià)機(jī)票訂單�,最終宣布正常出票��;但萬豪酒店出現(xiàn)酒店訂單錯(cuò)誤,酒店最終取消已訂房用戶訂單��,平臺(tái)賠償 5000積分����。
對(duì)于第二類專業(yè)“羊毛黨”,明顯惡意違法平臺(tái)規(guī)則及利用系統(tǒng)漏洞的����,在民事法律關(guān)系上屬不當(dāng)?shù)美軗p害平臺(tái)可以請(qǐng)求返還���,在刑事法律評(píng)價(jià)上則相對(duì)曖昧��,無法一概而論��,但其中具有主觀惡性,違法所得數(shù)額較大或影響較大的���,同樣構(gòu)成刑事犯罪。
對(duì)于第三類利用系統(tǒng)漏洞惡意牟利的黑灰產(chǎn)鏈條,是目前的打擊重點(diǎn)���,本案中呈現(xiàn)出一個(gè)黑產(chǎn)新趨勢(shì):非法支付渠道向普通個(gè)人賬號(hào)轉(zhuǎn)移�����。
一般來說網(wǎng)絡(luò)黑產(chǎn)的供給鏈可以劃分為物料�����、流量和支付三大要件���,以惡意注冊(cè)賬戶為主供養(yǎng)物料����,通過虛擬商品交易作為變現(xiàn)的主要渠道���;而在羊毛灰產(chǎn)中則細(xì)化為卡商負(fù)責(zé)注冊(cè)平臺(tái)賬號(hào)-網(wǎng)絡(luò)黑客人員負(fù)責(zé)買賣“秒殺軟件”-“羊毛黨”負(fù)責(zé)在平臺(tái)使用-收貨端負(fù)責(zé)在二級(jí)市場(chǎng)變現(xiàn)。
但隨著各個(gè)互聯(lián)網(wǎng)平臺(tái)尤其是幾家互聯(lián)網(wǎng)巨頭對(duì)于惡意注冊(cè)的聯(lián)合打擊����,技術(shù)壁壘日益壘高,“養(yǎng)號(hào)”成本日益增高����。于是黑產(chǎn)將目標(biāo)錨定普通個(gè)人賬號(hào)����,如小許及胡某等人提供的賬號(hào)�,該種賬號(hào)屬正常賬號(hào)��,在技術(shù)上無法識(shí)別�����;這雖然在打擊犯罪上提供了便利��,但也對(duì)溯源上游犯罪帶來挑戰(zhàn)�����。
封面圖片來源:攝圖網(wǎng)
