许多第三方支付平台都有一个“小额支付免密码（验证码）”功能，方便用户不需要每次支付都输入密码。可究竟方便的是用户还是窃贼呢？

自今年3月起，某电商平台陆续收到客户投诉，称与平台绑定的第三方支付平台账户被盗刷，但是单笔金额数目都不大，从99元到299元不等，而300元恰恰是该平台设置的小额支付免验证码的最高值。直到9月底，全国累计竟有60多名受害人，涉及金额共有5万多元。

10月初，该平台负责人在自查无果后向南京鼓楼警方报案，警方随即展开侦查。

利用二手闲置平台进行虚假交易

警方在调查中发现，所有的受害人账户都曾经在某二手闲置平台有过交易。但据受害人称，这些交易都非本人操作，而在交易成功后不久账户即被盗刷。而其中有30多个受害人都在同一个二手卖家处购买过闲置物品。

在这个过程中，也有受害人向平台投诉。“一般我们接到投诉就会暂时冻结这个账号，但是如果账号的所有人进行申诉是可以解冻的。”平台负责人告诉警方，但是这个被投诉的账户所有人却没有申诉，而是换了别的账户继续发布二手买卖信息，他总共换过6个不同的账户，“这就非常不正常，说明这个账户所有人心里有鬼”。

随着调查的深入，警方发现受害人登录时IP地址和发布二手淘信息的IP地址居然是一致的，“也就是说是同一个人自己卖自己买，这不仅是一场虚假交易，还是一幕‘独角戏’”。

在调查资金流的去向时，警方发现最终钱款流入了同一个账号，而账户所有人就是本案的重要嫌疑人：张某。

通过前期侦查，警方最终确认了张某的住处，位于山东莱州某家属院内。因为不确定张某是住户还是租户，所以警方怕打草惊蛇，不敢贸然实施抓捕。

“走访调查中我们了解到，张某系吸毒人员，和其妻子租住在此，因为吸毒欠下高额债务，害怕追债的上门，所以在家门口附近安装了7个高清摄像头。在进入他家的必经通道前后都有摄像头。”民警介绍说。

为了取得张某的信任，民警化装成保安人员敲响了张某家的大门，“我们敲门后他足足等了十多分钟才来开门，应该是在通过摄像头观察”。

在确定了张某的身份之后，11月2日，警方在其家中将他抓捕归案，并在现场收缴了涉案银行卡53张、POS机22台、手机11部、动态密码器（优盾）32个。

结合“扫库”“撞库”实施犯罪

为了方便记忆，大部分人在不同的APP上使用的都是同一套用户名和密码，甚至有的人与个人金融相关的APP 上登录密码和支付密码也是同一套。

正是因为这两个相同，才有了张某这类利用“扫库”与“撞库”相结合的方式实施网络诈骗的嫌疑人。

所谓“扫库”就是选择一些安全级别比较低的网站，比如视频网站，通过黑客的方式批量获得账号和密码。而“撞库”就是用获得的用户名和密码去批量碰撞可能绑定银行卡或者第三方支付平台的APP，撞上的概率能达到10%—20%。

撞上之后，嫌疑人就等于打开了你的“电子钱包”。本案中，张某属于初级的网络诈骗，他没有办法获知支付前手机收到的那个验证码，所以他利用的是“小额支付免验证码”的功能，单笔盗刷不超过300元，但是批量盗刷，还是很可观的。

而想获知验证码，其实并不难，只要给你的手机发送一个含有木马病毒的链接，一旦点开，你的验证码将在后台被嫌疑人拦截，盗刷金额只取决于你卡上有多少钱。

警方提醒

尽量避免使用同一套用户名和密码，尤其是涉及个人金融的APP，此外不要点开任何陌生号码发送来的不明链接，无论链接前的名目多么吸引眼球，激起好奇心，都不要点击，因为那很可能就隐含木马病毒。 （金玲）