信用卡暴力提额:API端口漏洞篇
黑镜君2022/5/6 11:48:43

《尸子·君治》:扬清激浊,荡去滓秽,义也。黑镜君秉持“激浊扬清”的初心,持续披露“黑灰产”作业动态,携手大众联防联控。

近期,黑镜君朋友圈被一个提额技术疯狂刷屏,很多中介都在发广告收单,中介广告内容如下:

全世界收人!YC信用卡提额BUG!5万通道包提!不管你多大的卡哪怕是100额度,不管你多久的卡哪怕昨天刚下,固定额度全部提额到5万,可远程押金操作,速度上人!!!

黑产作业流程

经黑镜君调查,获取中介其具体操作技术详情如下:

1)中介操作入口:YC信用卡App,下载App后注册登录绑定中YC信用卡;

2)客户筛选:需系统显示客户有临时额度,如果无临时额度客户可通过App多次重复提交提额,卡系统bug有较大几率卡出临时额度;

3)技术操作:登录App看见有临时额度不要直接点击,而是下载PC端安卓模拟器重新安装“YC信用卡”App,模拟器登录账号,点击额度提额,直接拉临时额度,提交验证码后返回后可看到固定额度可申请提交,然后点击固定额度提额即可;

YC信用卡提额业务4月15日遭遇中介热炒,且收录多张实际提额成功案例截图。黑镜君在调查过程中,发现不少网友对此持怀疑的态度,但是不少网友也按照本论坛和其他论坛的教程操作,实施出来也确有此事。

机构补救措施

但是在一天后,YC就迅速地进行了后期额度回收工作。那么此时运用中介提额的隐患就出来了。首先,你给了中介不菲的费用进行了提额,但是在不久之后YC就把你额度收回去了,此时持卡人往往也没法找中介拿回提额费用,可以说是有苦说不出了。同时黑镜君在不少中介个案中发现,提额客户中介操作过程中更是是按照要求提供信用卡的卡号以及密码、身份证号码及其正反面等信息,诸如此类这种的危害性就更加不言而喻了。

如果此时往更严肃的方向去想,YC陆陆续续收回额度,但毕竟是通过不正规的手法进行了提额,那么有没有可能会有一些卡友会有一些信用卡突然降额或者封卡的情况呢,虽然可能性不大,但不妨碍做好一定的心理准备,毕竟在这种背景下用户进行维权是并不会被银行所通过的。

风险管控思考

最后,在此次信用卡提额事件中,或许可以给机构风险管理敲响警钟:

1)模拟器环境识别是否完备;

2)新发布App各项业务实测训练强度是否到位;

3)同业黑产风险监控是否全面,黑产从业人员反馈此类API端口漏洞并非“原创”,历史类比风险事件有HF银行临时提额bug。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消