00后”黑客攻破厦门银行App人脸识别系统 怎么做到的?
2000年出生的河南男孩通过抓包技术攻破了厦门银行App人脸识别系统,使用虚假身份信息注册了多个账户并倒卖牟利,获刑三年。中小银行的App大多由外包供应商开发,可能方案不完善,存在漏洞。
据财新网报道,2000年出生、职业学院休学的河南男孩攻破了厦门银行App的人脸识别系统,进而使用虚假身份信息多个账户并倒卖牟利。他是怎么做到的?日前,裁判文书网公布了相关判决和裁定书,揭开谜底。
据判决书,被告人田世纪2000年1月出生,初中文化,无业,户籍地河南夏邑县。2019年1月5日至15日,田世纪在用银行App注册账户的过程中,先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。随后在输入开卡密码步骤时,田世纪将App返回到第一步,即上传身份证照片,输入伪造的身份信息,并再次进入到人脸识别步骤。此时,其上传此前拦截下来的包含其本人的身份信息数据包,使系统误以为要比对其本人的身份信息,遂使用其本人人脸通过银行系统人脸识别比对,成功利用虚假身份信息注册银行账户。通过上述方法,田世纪成功注册厦门银行Ⅱ类账户76个,并通过网络售卖赚取22010元。田世纪的行为导致厦门银行从2019年1月18日至今一直关闭手机银行App中Ⅱ类、Ⅲ类账户开户链接功能。(财新网)
【黑客案例解析】厦门银行手机APP遭入侵开户功能长期关闭 “黑客”系00后初中毕业生
2000年出生的田某,尽管只有初中文化,却有着极强的计算机天赋,并将手伸向了系统防卫森严的银行机构。
具体来看作案过程
2019年1月5日初,田某通过软件抓包、PS身份证等非法手段,在厦门银行手机银行APP内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户。其在注册账户过程中,田某先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。尔后,在输入开卡密码步骤,被告人田某将APP返回到第一步(上传身份证照片之步骤),输入伪造的身份信息,并再次进入到人脸识别之身份验证步骤。此时,其上传此前拦截下来的包含其本人的身份信息数据包,使系统误以为要比对其本人的身份信息,其遂用本人人脸通过银行系统人脸识别比对,使得成功利用虚假身份信息注册到银行账户。
利用上述方法,田某成功注册厦门银行Ⅱ类账户76个。其将上述账户信息(包括身份证号、银行卡号、绑定的手机号)卖给被告人多人,可证实获利金额为人民币22010元。因手机银行存在漏洞被田某利用,致使厦门银行从2019年1月18日开始,一直关闭手机银行APP软件中Ⅱ、Ⅲ类账户开户链接功能。
在贩卖账号过程中,田某结实了张某
张某,1995年出生,小学文化。起初,张某只是从田某手中购买账户。为赚取更多利润,张某向他人学习上述软件抓包技术,并使用该技术在多家银行尝试注册Ⅱ、Ⅲ类账户。其中,被告人张某利用该技术在厦门银行APP上拦截身份认证信息数次,在建设银行APP上使用拦截身份认证信息十余次,在浦发银行极速开户网页页面拦截身份认证信息四、五次。此外,被告人张某花费人民币1888元雇请他人利用上述软件抓包技术,在建设银行系统内成功注册12个Ⅱ、Ⅲ类账户。
2019年3月18日,田某在河南商丘被公安人员抓获;次月,张某在黑龙江哈尔滨被公安人员抓获。该案最终在厦门市思明区人民法院开庭审理,法院认为,被告人田某、张某犯非法获取计算机信息系统数据罪的事实清楚,证据确实、充分。法院一审判决:被告人田某犯非法获取计算机信息系统数据罪,判处有期徒刑三年,并处罚金人民币一万元;被告人张某犯非法获取计算机信息系统数据罪,判处有期徒七个月,并处罚金人民币五千元。
厦门银行App人脸识别被00后破解 线上开户功能至今关闭
近日,裁判文书网披露一起“黑客”入侵厦门银行手机银行App,利用虚假身份开户的案件。值得注意的是,两名犯罪分子分别为00后和95后,对应学历分别为初中文化和小学文化。
判决书提到,被入侵后,从2019年1月18日,厦门银行App关闭相应账户开户功能。2020年3月8日,隐私护卫队致电厦门银行客服,客服表示,目前仍不支持线上开户功能。
- 标签:大连蒙妮坦化妆学校
- 编辑:杨保录
- 相关文章