神刀安全网

揭开Uber代叫黑色产业链:自动扣款存漏洞

人在成都,Uber账号却在上海打车,信用卡接连被盗刷 奇特遭遇背后,竟是“Uber代叫”从中作祟……“无论远近,全国统一价30元~40元”

揭开Uber代叫黑色产业链:自动扣款存漏洞

代叫者的微信里充斥着“工作日常”,“代叫须知”等信息

揭开Uber代叫黑色产业链:自动扣款存漏洞

代叫者的微信里充斥着“工作日常”,“代叫须知”等信息

揭开Uber代叫黑色产业链:自动扣款存漏洞

揭开“Uber代叫”黑色产业链

Uber“缺口”

“为什么只能代叫Uber?”“蓬勃”的代叫业务仅限Uber,并不包括其他打车软件。其中的原因,并非因为Uber的账号容易被盗。

自动扣款

代叫者选择Uber,主要是因为它的自动扣款功能。在其他的平台消费后付款时,都需要确认订单或行程后,由消费者主动操作付款,但Uber在行程结束后会自动通过已绑定的支付方式扣去车费,无需验证和输密环节。

很难解绑

此外,Uber账号被盗后很难解绑支付方式(支付宝、信用卡等)的问题,不仅是众多用户的“槽点”,也让Uber账号被盗后信用卡被盗刷难以及时挽救。

5月25日对成都市民钟小姐来说,是惊慌与愤怒的一天。当天晚上不到半小时内,坐在办公室工作的她,竟先后收到两笔信用卡扣款通知,经过调查后发现,原来是与信用卡绑定的Uber(优步)账号被人盗用了。

这并非Uber账号被盗用的个案,媒体近期已多次报道类似银行卡被盗刷的新闻。这些新闻的另一端,是微信上“代叫Uber”的业务悄然兴起,两者有何关联?

记者经过多日暗访,成功进入盗号刷卡群体,揭开了Uber账号被盗后银行卡被盗刷背后隐藏的非法链条。所谓“代叫”,正是利用了Uber软件行程结束自动扣款的特点,通过盗取的账号替人叫车。而更令人吃惊的是,盗号、卖号、更改用户数据等一系列的环节,已发展形成一条严密而完整的“产业”链条。

奇怪遭遇

信用卡接连被盗刷 人在成都 Uber账号却在上海打车

5月25日晚7点30分到8点,钟小姐的手机上接连收到了两条信用卡消费短信,金额都不大,88元和109元,但她此时并无消费。经银行客服确认,她的消费来自Uber扣款——可钟小姐的Uber客户端早已卸载3个多月。

重新下载后登录,钟小姐吃惊地发现,自己当天竟有8条叫车记录,地点都不在成都,而是在深圳、上海等地。“肯定是账号被盗了”,她试着解除Uber与信用卡的绑定,但失败了,页面提示“至少绑定一种支付方式”。除非再绑定一张银行卡,否则她无法将原本绑定的信用卡解绑。心急的她想打客服电话进行投诉,无奈Uber没有客服电话,只能邮件投诉。“眼看着自己被不断扣款,我都快急死了。”

不一会,她再次打开Uber,猛然看到自己的账号竟然正在打车中!地点是千里之外的上海。愤怒之下,她立即向手机上显示的接单司机的电话打了过去。司机得知乘客并不是Uber用户本人后,有些警觉,在车内打开了手机的免提。这样,三位当事人就在车里对质了起来——

乘客是一名年轻的男子,他坚持说:“账户就是我的”。

钟小姐很气愤:“这用户名显然是个女性名字,你明明是个男的!”

后来,那位乘客语气开始有点慌乱,又推说车其实是朋友帮忙叫的。Uber司机见事情有异,没继续往前开,将该乘客请下了车。

司机道破

当事乘客否认盗号 称支付35元在微信上用了“专车代叫”

钟小姐再次查看自己的Uber账号信息,发现绑定的邮箱和电话都已经被改了。她试着拨打改后的号码,传来一句“空号”的提示音。Uber账号中当天有8单叫车记录,除了6单在上海,还有2单在深圳。

5月26日上午,因钟小姐的奇特遭遇,成都商报记者拨通了接单的上海司机的电话。

“赶快跟Uber申请注销吧,以后就别再用这个号了。”司机向钟小姐建议。在成都商报记者追问下,司机说出了与钟小姐结束通话后的后续:乘客下车前,为澄清自己并非盗号者,告诉了司机实情:他其实是加了一个“专车代叫”的微信用户,付了35元后,由代叫的人替他叫的车。

他告诉司机,这位“专车代叫”的微信用户,可以在全国范围内为有叫车需求的乘客代叫Uber,无论行程有多远,一律只要35元。至于是通过什么方式、用谁的账号叫的车,这名乘客也说不清楚。

“难怪我的信用卡消费记录都是百元左右,在上海这样的城市去远一点的地方随随便便就上百。代叫一单收35元,用我的卡买单,他们净赚35元,还真想得出!”钟小姐恍然大悟。

钟小姐遭遇非个案,微信里充斥着“Uber专车代叫”

成都商报记者在微信中搜索“代叫”二字,出现的用户数量甚至不亚于“代购”,其中很多还特别备注了“Uber专车代叫”、“一口价叫车”等字眼。

记者随后搜索“Uber账号被盗”,发现钟小姐的遭遇不是个案,国内多家媒体近期都报道过Uber账号被盗后支付宝或银行卡被扣款的案例。

为了摸清其中的情况,记者任意添加了其中几位“代叫者”,沟通发现,在全国任意Uber服务覆盖的城市,无论远近,均按每单30元~40元的均一价收取。由于深圳、上海、北京等城市的打车费用较高,在这些地区使用代叫服务的人群也相对更多。

记者在这些“代叫者”的微信中看到,这些代叫者的“业务”范围不仅在国内,还发展到了国外。有的代叫者还时常在微信中“晒单”、发促销红包,甚至招募分区域的“下线”。

记者选了名为“我要叫车”的微信用户,对方表示可以帮忙叫,“全国统一价40元,机场50元”。记者将行程“成都市第二人民医院到青白江客运站”发送给对方,并告知了自己的联系电话。几分钟后,记者就收到了一位自称已接单的司机电话,上车开始行程。此时,代叫者立即发来微信,要求立即转账支付40元。

行程中,记者通过司机了解到,并没有任何“代叫人士”与司机提前沟通过行程。司机在手机上接单后,直接拨打叫车用户在账号中绑定的电话,就接通到了记者的手机上。而司机所拨打的叫车用户绑定电话,则是一串浙江杭州的号码。

意识到并非是记者本人叫车后,司机判断,叫车者是用了“呼叫转移”功能,这样,接单司机就不会发现叫车者与本人号码不一致。

与此同时,记者注意到“我要叫车”发送的“叫车须知”里,有明确提示:“上车后千万不要跟司机说我找的代叫之类的话,不要跟司机交流费用和打车问题。”

延伸

为什么只能代叫Uber? 自动扣款功能有“漏洞”

“为什么只能代叫Uber?”记者发现,这项“蓬勃”的业务仅限Uber,并不包括其他打车软件。其中的原因,并非因为Uber的账号容易被盗。一位代叫者告诉记者,无论Uber,还是银行卡、邮箱或其他网站平台的账号密码,被黑客获取信息盗号的几率是一样的。选择Uber,主要是因为它的自动扣款功能。在其他平台消费后付款时,都需要确认订单或行程后,由消费者主动操作付款,但Uber在行程结束后会自动通过已绑定的支付方式扣去车费,无需验证和输密环节。

网易科技的一篇报道名为《Uber账号比被盗信用卡值钱更值钱》,据新闻报道,美国一家安全公司称,对于不法分子来说,Uber账号比信用卡信息有价值得多。“因为银行和信用卡发行机构均开发出了更加先进的诈骗检测系统,能够让被盗的卡片迅速变得一文不值。”

此外,Uber账号被盗后很难解绑支付方式的问题,也成为了众多用户的“槽点”。一篇“Uber账号被盗无法解绑支付宝”的帖子积累了76个回复

5月26日下午,钟小姐收到了Uber客服的处理回复,并退回了她两次被盗刷的车费197元。她收到退费的同时,赶紧注销并卸载了Uber。

暗访

“代叫”黑色产业链:新支付宝账号 +Uber老账号 +信用卡“黑卡”

■一个代叫者,购买了新支付宝账号、Uber老账号、信用卡“黑卡”后,将Uber老账号信息更改,绑定新支付宝,叫车后用“黑卡”(就是“别人的信用卡,美国信用卡”)支付。

■这就构成了一个代叫链条。其中,除了新支付宝账号是空账号,Uber老号和“黑卡”,都来自盗取。

为了揭开“代叫链条”,成都商报记者在淘宝网搜索“Uber代叫”,果真有不少所谓“资深代叫”在出售“代叫技巧”。根据卖家提示,记者添加了一位微信好友,表示希望学习代叫技术。

这位出售技术的卖家表示,他也在帮人代叫专车,一边代叫一边收徒。

手写秘笈:叫车要用盗来的“Uber老号”

而在获得“代叫暴利”之前,所需的准备仅是一部越狱(即破解过)的苹果手机。

微信支付了1600元学费后,成都商报记者开始了一系列课程。首先,在手机上安装一个可修改手机串码的软件。还需下载一个软件购买手机小号。这个小号可以与记者原本手机号码同步,只要拨打小号,电话可直接转接到记者手机上。

接下来,卖家传授给记者一页手写的“核心秘笈”。“秘笈”注明,叫车需要用“Uber老号”。叫车只需用“老号”输入乘客的行程起终点,然后将代叫者绑定在“老号”上的“手机小号”呼叫转移到乘客的手机上。

这样一来,接单司机一拨打叫车用户电话,就可以直接接通乘客手机。但秘笈注明了:“老账号是盗来的”。

复杂流程:购买“黑卡”供扣款 构成代叫链条

根据“秘笈”,代叫者不能使用盗来账号绑定的支付方式,而是应该绑定“新支付宝”。也就是说,代叫者需要绑定一个新的支付宝账号作为默认支付方式。

支付宝的钱从什么地方来?卖家告诉成都商报记者,目前业内最普遍的做法是购买“黑卡”。

什么是“黑卡”?就是“别人的信用卡,美国信用卡”。绑定后,欠费的支付宝会从黑卡中扣费,每一次欠费就用“黑卡”付费一次,“一直到黑卡不能支付了为止”。

整套代叫流程下来,Uber老号、新支付宝账号、“黑卡”,都需要代叫者自行购买。而除了新支付宝账号是空账号,Uber老号和“黑卡”,都来自盗取。

也就是说,一个代叫者,购买了新支付宝账号、Uber老账号、信用卡“黑卡”后,将Uber老账号信息更改,绑定新支付宝,叫车后用“黑卡”支付。这就构成了一个代叫链条。

为什么不直接干脆用Uber老账号绑定的支付方式支付呢?记者问,卖家回复:用人家的钱支付那是盗窃,性质就不同了!

尽管该卖家有这样的说法,但钟小姐的遭遇,很显然是原本绑定的信用卡被扣了钱。

隐秘群体:微信揽生意 最担心Uber软件升级

依照那位卖家所说,入了“代叫”行业,“人家一天都是2000多的收入”。按一单40元收入计算,日入2000元,一天至少要代叫50单。

成都商报记者查看所添加的多位代叫人士的微信朋友圈状态,几乎每个人的朋友圈都是关于代叫资讯、代叫介绍、代叫晒单以及代叫促销。微信用户“Uber全球代叫”会在每日一大早发一条“接单啦接单啦,一口价25”的状态。

名为“我要叫车”的微信用户甚至开通了微信公众号,添加了红包功能版块,还能为客户发优惠福利。

当然,生意也不是一帆风顺的。“Uber全球代叫”就遭遇了乘客坐了车还没有付款就拉黑了自己的情况。

但相比上述遭遇,更让代叫者们担忧的,则是Uber的升级。“代叫”不仅面临着随时被封号的风险,更大的威胁是Uber为了抵制刷单和“代叫”而进行的堵漏升级。上述卖家告诉记者,Uber经常升级,每次升级都会堵住一些技术秘笈钻的漏洞。但每次升级过后,总是有更新的秘笈被研发出来。

“Uber全球代叫”的朋友圈就时不时发出状态“Uber更新,暂停代叫,恢复等通知”。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 揭开Uber代叫黑色产业链:自动扣款存漏洞

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址