巨人被指诈骗洗钱 安全支付漏洞还是刻意为之?

  巨人网络集团董事长史玉柱要退休了,但是,这位一手操纵脑白金广告后又从事互联网游戏业的51岁“传奇人物”的离去却背负着不少人的骂名。

  两年多来,巨人网络因成为不法分子“洗钱”的管道,并且对系统漏洞几乎熟视无睹,而被受害者认为“不作为”。

  两年多来,全国不知有多少家媒体为受害者声张权利,但巨人网络面对报道往往无动于衷,两次刊发声明“喊冤”。最近一次央视《经济半小时》有关此事的专题报道,被史玉柱在微博上一度公开“骂娘”(之后删除了该条微博)。

  据不完全统计,两年内至少有467万元被窃资金流入巨人网络。

  目前所知的受此事件损失最大是温州人张先生,他在网络购物支付时,一次性33万余元全部被转到巨人网络。(详见本报3月22日报道)。

  截止目前,只有极少受害者拿回钱款,警方立案者寥寥,调查取证难度颇大。一些人开始尝试通过民事诉讼途径追讨钱款,有些案子还未起诉,巨人就私下和解了。

  众多网游公司中,为何钱款偏偏流入巨人网络?为何两年来,巨人网络在支付安全方面毫无改进?

  用“身份证号码生成器”亦可实名注册

  按理,根据受害者所提供支付订单号查到非法资金流向的巨人网络账号后,巨人网络或警方可以查到该账号的注册信息。根据文化部颁布的《网络游戏管理暂行办法》第20条规定:“网络游戏虚拟货币交易服务企业提供服务时,应保证用户使用有效身份证件进行注册,并绑定与该用户注册信息相一致的银行账户”,可以根据该账号所提供的身份证号追查嫌疑人。

  然而实际操作中,巨人网络并未严格遵守该规章,这在一定程度上让不法分子有机可乘。4月10日,《IT时报》记者登陆巨人网络,注册账号时随意使用了一个假名字,填写身份证号时,用了网上的“身份证号码生成器”生成的假身份证号码,最后竟成功完成注册。

  曾供职于盛大网络的网游业内人士黄海明(化名)向《IT时报》记者透露,事实上大多数网游公司都没有做到真正的“实名注册”,他解释道,“如果网游公司需要姓名与身份证号匹配,需要公安部公民身份网上查询服务,每次收费5元,这就会增加成本,一般网游公司不会这么做。”

  同日,记者使用“身份证号码生成器”注册搜狐畅游、盛大游戏账号,均成功通过注册。记者同时注意到,如果在盛大交易,还需要绑定手机号来激活“快钱”账号,这一定程度上增加了不法分子的作案门槛。相比之下,支付宝就无此漏洞,记者用“身份证号码生成器”注册没有成功。

  巨人没有检测下单和支付IP地址是否一致

  根据史玉柱公布的不法分子作案流程,这些受害者都是中了木马病毒,银行账号被控制然后转入了巨人等网游公司。

  瑞星公司安全专家唐威分析认为,此次事件可能是钓鱼行为,也可能是网银超级木马所为。

  钓鱼行为的原理就是,受害者进入钓鱼网站提交信息,钓鱼网站自动抓单获取支付代码。

  “钓鱼IP地址是不法分子的,而受害者支付时IP地址是自己的。”在巨人事件发生后,河南南阳计算机高手王建然主动站出来协助受害者抱团维权,他告诉《IT时报》记者,根据下单人和支付IP地址的不同,“完全可以自动判断骗子游戏账户”。

  据其4月10日为《IT时报》的测试结果,盛大、搜狐会自动判断IP地址是否一致,直接将钓鱼行为拦截在外,“其实以前他们也有这个漏洞,但现在堵上了。”王建然说。

  而另外一种可能,即网银超级木马所为,可以参考2011年徐州警方破获的‘浮云’木马网络盗窃案,该案部分资金就流入巨人网络等网游公司。犯罪分子交代,受害者支付时,利用木马修改其资金支付去向和支付金额,转账到他们设计好的账户中。

  “案件告破后,巨人网络应该发现自己的充值系统存在一定漏洞,但事后,该公司并没有修复这个所谓的漏洞,而是让它继续存在。”受害者沈先生质疑道。

  巨人没有监测大额资金

  这位计算机高手还认为,这些非法交易与正常交易存在明显异常,巨人网络应该容易甄别。“一是瞬间大笔资金进入,金额上远远不同于普通游戏玩家;二是迅速将所有资金兑换成游戏币购买装备,然后并不消费而是立即将游戏装备打折出售。但赔钱的生意谁会做?”

  瑞星安全专家也认为,实时监测账号异常行为并不存在技术难度。徐州警方也表示,如果有风险控制,那么可以发现这些异常的大额进账。

  不过巨人网络称,对网游运营商而言,如何甄别正常玩家充值与涉嫌网银欺诈的资金充值,一直是个行业难题。

  此外,巨人网络在得知受害者被骗并根据受害者提供的信息知悉异常账号后,虽然对媒体宣称“接到受害人举报后第一时间进行核查并冻结账号”,但实际情况是,他们往往无动于衷,称需警方函才配合调查。“如果受害者一发现问题,巨人网络立即冻结其账号,那么警方调查时将有现实基础,也不会错失办案最佳时机。”上海大成律师事务所高级合伙人商建刚指出。

  一个可以借鉴的例子是,去年春节,汇元网收到了一笔20万元的大额储值订单。陌生账号的这笔巨额交易引起了网站方面的重视,汇元网风控人员进行了交易拦截,客服人员给该账户注册手机去电核实,却发现手机关机。网站方面启动“安全支付联盟”应急措施与第三方支付公司取得联系,找到资金来源,正是穆先生银行账号转出的20万资金,最后向穆先生退回资金。

  记者手记:

  别被黑色利益蒙住双眼

  为什么不法分子偏偏选择巨人?金山网络安全工程师李铁军告诉《IT时报》记者,网游公司提供道具、虚拟货币等交易,很容易被利用为洗钱渠道,真实货币和虚拟货币在中间流通自由。

  “可能是中间缺少认证环节,比如在确认支付时,再次输入密码。”黄海明认为,很可能是巨人网络的某个漏洞被不法分子抓住,巨人等网游公司通常提供很多支付接口以便用户支付,这为他们提供了作案便利。

  黄海明说,很可能巨人网络发现了漏洞,但它也不愿去堵,而这是整个网游业的通病。“如果要去弥补漏洞,请技术专家找出遗漏代码,聘请他们的月薪2万,会增加额外成本,而对于网游公司来说,自己也不亏,还会增加他们的营收。”

  本报曾报道,巨人网络其实是“黑色利益链”的一部分,王建然打个一个比喻:“当受害人1000元被吞后,巨人网络得到1000元,不法分子得到游戏币;当不法分子低价出售游戏币变现,巨人网络在其中抽成20%左右。巨人网络总共可得1200元左右。”

  所谓抽成,指的是通过巨人网游平台账户充值转化成游戏币、购买游戏内商品、再以人民币卖出的过程中,巨人会从中收取中间交易费。这也是巨人的王牌游戏《征途2》所宣称的商业模式。“非法资金客观上推高巨人网游平台上的交易量,从而壮大其交易收入。”王建然认为,这一商业模式也助长了巨人网络对非法资金的麻木。

  这些漏洞真的难以弥补吗? 黄海明告诉记者,如果真的要查不法分子,技术手段完全可以实现。这些不法分子获得资金购买道具装备后,往往会在淘宝上出售,而每一个道具都有其唯一识别ID码,只要巨人愿意向警方提供这一ID码,警方就可以从淘宝上找到那个“卖家”。

  “反观支付宝、腾讯支付等,就很少听到有类似事件发生,这体现的是一家公司对用户的关心程度,而巨人网络的声明给人一种自己也是被冤枉的感觉,现在分析下来看,他们是冷漠。”

  “支付漏洞其实就是故意让骗子利用的诈骗后门,好比一个房子,本来很安全,故意开个门,让骗子自由出入。” 王建然说。

时间: 2024-10-23 11:46:16

巨人被指诈骗洗钱 安全支付漏洞还是刻意为之?的相关文章

巨人被指对网络诈骗洗钱“不作为”

中介交易 SEO诊断 淘宝客 云主机 技术大厅 巨人网络集团董事长史玉柱要退休了,但是,这位一手操纵脑白金广告后又从事互联网游戏业的51岁"传奇人物"的离去却背负着不少人的骂名. 两年多来,巨人网络因成为不法分子"洗钱"的管道,并且对系统漏洞几乎熟视无睹,而被受害者认为"不作为". 两年多来,全国不知有多少家媒体为受害者声张权利,但巨人网络面对报道往往无动于衷,两次刊发声明"喊冤".最近一次央视<经济半小时>有关此

史玉柱的马云式困局:网游被指成诈骗洗钱工具

中介交易 SEO诊断 淘宝客 云主机 技术大厅 每日经济新闻记者 齐文婷 发自深圳 4月9日,上海巨人网络科技有限公司(以下简称巨人)CEO史玉柱决定退隐江湖,然而他的卸任并没有抚平至少上千名公司用户的伤口.在那些受害者眼中,巨人所打造的网游平台已逐渐成为网络诈骗链条中的一个重要作恶据点,一些受害者已不愿再做沉默的羔羊,其中已有人打算起诉巨人. 虽然巨人对外澄清,并自称也是受害者,然而作为巨人网游生态系统中的平台管理者,巨人正在经历曾遭遇"恶势力"侵蚀的淘宝类似的局面:自身打造的平台生

信用卡爆支付漏洞 仅需后三码即可消费

中介交易 SEO诊断 淘宝客 云主机 技术大厅 信用卡"危机四伏",有知情人士告诉记者,卡主在不经意的消费."回答问题"中,"cvv"(后三码)."有效期"等重要信息可能会不知不觉泄露出去,订机票只需后三码无需密码,即可消费. 人民网3月30日报道 本报近期连日报道的信用卡离奇被克隆案,揭示了眼下市民信用卡"危机四伏"的现状.有知情人士告诉记者,一方面,诈骗犯罪集团买通消费单位人员,大肆利用银行漏洞与低成本

支付漏洞完美解决方案

[阅读对象]:普通的购物网民.游戏电商类网站技术人员.第三方支付平台. [历史]:一直以来,网上钓鱼诈骗活动日益猖獗,很多游戏电商类网站都中招了,很多网民都被骗过. [焦点]:被利用最多的就是游戏娱乐类网站,这些网站经营虚拟商品服务,骗子骗到钱后能够瞬间脱手.实物类网站较少被利用.这些经营游戏娱乐.点卡充值类网站,我们统称为网站a. [网民感受]:往往不明真相,报案无门.损失惨重,自认倒霉. [骗子行骗原理]: 第一步:骗子在网站a上注册会员.人工或者使用自动程序,在网站a上获取下单,得到订单号

315曝网银支付漏洞 保护网银十招必学(图)

央视315晚会提示用户注意网银支付风险.央视提示,一旦用户扫到恶意二维码感染病毒,身份证号码.验证码等所有信息被"网银神偷" 轻松获取.据360互联网安全中心发布的<中国移动支付安全报告>显示,2013年,中国手机支付用户规模达到1.25亿, 同比增长了126.0%. 令人担忧的是,移动支付却面临着巨大的安全隐患.购物及支付类木马 往往会使用一些最 新的攻击技术和攻击方法,防范难度较大.这些木马还会伪装成各种不同的应用,诱骗用户下载安装.与此同时,诈骗短信.手机丢失成为移动

携程为支付漏洞致歉:若被盗刷全额赔付

记者 刘畅 周思立晨报讯 针对22日爆出" 支付漏洞"一事,国内在线旅游市场份额最大服务商--携程23日发表致歉声明并承诺,未来倘若发生安全漏洞并引起用户损失,携程将给予 全额赔付.业界颇具影响力的乌云漏洞平台22日晚间发布消息称,携程系统存技术漏洞,可导致用户个人信息.银行卡信息等泄露:报告并称,漏洞泄露信息包括用户姓名.身份证号.银行卡类别.银行卡卡号.银行卡CVV码等,上述信息可能被黑客读取.乌云是位于厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞

云网在线支付漏洞初探(图)_漏洞研究

理解这个漏洞呢,首先要了解一下在线支付的流程,这里引用一下云网官方的流程图: 正常的在线支付过程呢,是从第一步到第六步! 而这个漏洞所出现的地方就是在第二步,然后绕过了第三步和第四步.第五步,而直接把返回信息提交给了支付成功返回页面! 我们在动画里也只是看到了!它只有一个提交页面和网站上的一个支付成功页面,根本没有通过网关进行支付操作,所以钱也就没进入到银行里,这里也就不存在什么影响银行安全什么了,纯粹是骗人的了! 为什么会这样呢!问题出在云网提供给商户的支付接口文件上,让我们来看看这两个云网提

新浪支付系统被曝存高危漏洞 回应称非支付漏洞

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 网易财经9月15日讯 今日凌晨,11547.html">乌云平台漏洞作者"猪猪侠"报告了新浪支付系统出现了SQL注入漏洞.SQL注入漏洞是指通过控制传递给程序数据库操作语句的关键变量来获得恶意控制程序数据库,从而获取有用信息或者制造恶意破坏的,甚至是控制用户计算机系统的漏洞. 新浪支付人士对此回应称,根据乌

【评论】加“V”用户诈骗暴露微博认证漏洞

近日,栖霞http://www.aliyun.com/zixun/aggregation/6264.html">公安分局破获一起冒充警察实施诈骗案件,嫌疑人张某通过利用网上办的假警官证,以及微博认证的警察身份,骗取别人信任,进而实施诈骗.有关律师 认为,此案也提醒微博运营方加强加"V"用户审核,填补认证漏洞.   微博互粉对象认证身份是"刑侦局民警"   市民王小姐家住尧化门,她有一名同学是南京南站的民警.今年3月,王小姐刷微博时看到,自己的这名同学