支付宝回应手机黑产：人脸识别未被突破，受害人没被套到钱和信息

近日，一篇标题为《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》的文章引发关注和热议。

据了解，该文作者老骆驼，拥有10多年网络攻防工作经验，多年金融信息安全服务从业经历。其讲述了自己家人手机被盗之后，经历的一场与一伙专业老练、利用窃取个人信息盗取他人银行账户资金的犯罪团伙斗智斗勇的事件。其中提到了众多企业，包括电信、华为、支付宝、美团、苏宁金融等。

文章结尾，老骆驼总结这条黑产链的全貌如下：

1、一线扒手特定时间选定目标：年轻人、移动支付频率高，在对方注意力分散的情况下出手，运营商营业厅下班后，失主没法当晚立即补卡，给团队预留了一晚上的作案时间；

2、拿到手机后迅速送到团队窝点，迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改，一下子让受害者陷入被动；

3、获取所有银行卡信息，使用技术手段绕过活体人脸识别验证，在各个平台上创建新账号，绑定受害者银行卡；

4、选好几家风控不严的支付公司，开始申请在线贷款，贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账，将钱转走；

5、保留新建的支付账号权限， 如果未被发现，后期还可以继续窃取资金。

对此，支付宝相关部门人员在朋友圈回应称，文章所披露的黑产在支付宝里没套到钱和信息；且支付宝承诺资金被盗全额赔付，包括手机丢失导致的。

回应中提到，热文中的对手确实是高阶黑产，但黑产在修改支付密码时被支付宝风控拦住了，查不了银行卡号，也没法收付款，才注册了一个新号，但新号也不能使用原号里的钱。

不过，支付宝回应也指出，黑产并没有突破人脸识别：能注册新号是通过其他渠道已掌握的身份信息和短信验证码，在常用设备上实现的。黑产不是通过快速绑卡获得银行卡号的，而是通过输入用户的银行卡卡号+预留手机的短信验证码绑卡的，卡号是黑产通过其他渠道获得的。

回应同时表示，这篇文章既给用户提了醒，也让支付宝的风控能做进一步的优化。并建议大家单独为SIM卡设置密码， 能在一定程度上防止黑产接收验证码。

此外，据老骆驼表示，事发后，事件中涉及的几家支付公司都积极联系到其本人，美团的贷款记录消除了，苏宁金融把损失的几千都赔付了。

后续，老骆驼在提到支付宝人脸识别的绕过时表示，“支付宝在进行业务设计时，对在原手机上创建并登陆的子账号，在实名认证时匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下，是不需要人脸验证的，这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此，人脸识别的绕过确实错怪他们了。这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录，推测是为了不触发支付宝的风控规则。”

以下为支付宝相关团队回应原文：

支付宝「非攻」安全实验室的同学第一时间和老骆驼联系上了，根据账号我们复原了支付宝相关的情况，和大家做个说明。

先说结论：

1、黑产在支付宝这里没套到钱和信息；

2、大家放心，支付宝承诺资金被盗全额赔付，包括手机丢失导致的。

看了长文，对手确实是高阶黑产，老骆驼也很厉害，抽丝剥茧分析得很详尽。黑产修改支付密码时被支付宝风控拦住了，查不了银行卡号，也没法收付款，才注册了一个新号，但新号也不能使用原号里的钱。

不过他有2点推断与实际情况不符，在这个case中：

1、黑产并没有突破人脸识别：能注册新号是通过其他渠道已掌握的身份信息和短信验证码，在常用设备上实现的。

2、黑产不是通过快速绑卡获得银行卡号的，而是通过输入用户的银行卡卡号+预留手机的短信验证码绑卡的，卡号是黑产通过其他渠道获得的。

很感谢老骆驼的记载，既给用户提了醒，也让我们的风控能做进一步的优化。希望老骆驼在其他平台上的损失能尽快找回。

建议大家单独为sim卡设置密码， 能在一定程度上防止黑产接收验证码。另外，如果使用支付宝时有什么问题，可以随时电话我们的客服95188。

（钛媒体编辑刘萌萌整理）

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App