*本文作者:mcvoodoo,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
互联网金融这些年热火朝天,稍大一点的集团旗下都有互金业务,甚至一些根本和金融不搭边的公司,也搞起了互联网金融,也号称大数据,AI 智能普惠金融。一时间市场上鱼龙混杂,大干快上,而实际业务风控则呵呵了。
互金的一个挡箭牌是:利润超过逾期,我就是赚的。然而是不是赚的,还要看一个周期性的结果,这个月赚不代表什么,下个月几笔逾期就足以让你打回原形。于是,就有人开始利用互金公司的各种漏洞赚钱,本文介绍一些手法,供各位注意防(xue)御(xi)。
什么是黑中介呢?中介是利用信息不对称来提供服务的一种职业,在中国这差不多是个贬义词。而黑中介则是非正规种渠道。
在很多群里你会看到类似下图的这些广告:
里面也充斥了各种黑话,比如口子(一个贷款平台在他们眼里就是一个口子)、黑白户(黑户是征信有逾期,白户是没有贷款记录)、还有代操作、前期、手持、 秒放、强制提额等一堆,这里不具体解释。
所以中介的经营方式就是下图这种。假设有一个借款人,急需100万资金周转,但不知道从什么渠道可以得到。于是在网上找到了中介,希望帮他操作。中介则利用自己掌握的各家贷款平台的周期、风控、额度及借款人本身的需求,帮助借款人从各平台借款,并收取服务费用。这并没有什么问题,但是黑中介黑在哪里呢?为了帮客户借到钱,黑中介则会利用各种手段,绕过风控,包装资料,甚至欺诈客户。而客户在被欺骗之后,投诉无门,就产生了纠纷、逾期。
一、小贷公司放款流程及中介“技术
以互联网小额贷款为例,大体上,一个互联网小额贷款公司的借款流程如下表。放款总体上两个环节:身份验证、授信。这些部分则是作为一个黑中介必备技术。
1.1 过人脸技术
黑中介为了获取更大的客户群,通常都是号称全国下款的,也就是说是非线下模式的。而互金公司为了验证用户身份,通常都会采用人脸识别。对于中介来说,这个办法很容易绕过,看图说话。其实很简单,两台设备对起来就行。我们做过测试,市面上随机选取10家比较有规模的小贷公司,其中7家可以用这种方法绕过。这是最基础的绕过方法,简单实用,在黑市学习这个技术价格在80元左右,本文无偿赠送。
当然还有一些类似 photospeak 之类的绕过方法,不过有点麻烦,有这功夫不如换个平台搞。
1.2 通话记录和通信录对抗
小贷公司通常会要求读取借款人的通话记录和通讯录,有几个作用:
一是通过这些记录保证真实性,假如你提供的手机没有通话记录,通讯录也是空的,那就是一个风险,可能会被拒贷;
二是用于催收,当你不还款的时候,就轰炸你的通信录;
三是用于数据分析,黑名单比对,关键词比对等。
为了既让小贷公司能读取到这些信息,又不对自己产生不利影响。就有人贩卖下图这种东西。伪造短信、通话记录、通信录。而且还会帮你包装,比如你是上海地区,通话记录就以上海号码为主,夹杂一些其他地方号码,甚至还有一些推销电话之类。另外,通话记录有两种格式,一是直接输入号码拨打,二是通过号码本拨打,在这个包装里也是帮你做好的。细致到这个程度,我看很多做安全产品的也做不到。
1.3 邮箱验证
小贷公司会要求借款人提供单位邮箱,一个126邮箱和一个公司后缀的邮箱,显而易见会对授信额度产生影响。因此市面上就有人提供这种服务,各类企业邮箱,认证专用,价格公道,老少咸宜。
我前面说了,中介们做事情很细致的,如果仅仅提供你一个邮箱后缀,这还缺少了工匠精神,看下图,每个邮箱可以针对的贷款口子都有不同。
1.4 信用卡账单技术
我走访过很多小贷公司,他们也没有大数据,也没什么风控,靠什么来实现对个人信用额度的判断呢?有个方法很简单,就看你在银行的信用卡额度,信用卡额度一万,他们就给你放5000。具体怎么看呢,要求你提供银行的信用卡账单。怎么提供呢,你提交邮箱账号和密码,他们进去爬取。哦,顺便说一句,我们这些搞安全的,绝不会提交自己的账号和密码,我们深知重要性。而对那些急需资金的人来说,这都不是事。所以从数据上来看,现金小额贷,大约有70%的人会为了提升额度,提交各种账号密码,是不是很意外?
话说回来,市面上就有提供账单技术的人了,可以通过修改技术,把信用卡账单的额度扩大到任意额度。对于各位读者来说,这很简单,编辑源代码即可,但对于小白来说,这就是个神秘技术,于是出现了市场上价格差距比较大的情况。就看蒙到谁了。
中介们做事很细致的,重要的事情说三遍。在邮箱信用卡账单爬取中,有个很小的环节要注意,就是发件人是谁,总不能随便找个邮箱发过来就说这是银行信用卡邮箱。所以中介们还会提供下图工具,这个工具是赠送的。
1.5 消费行为技术
小贷公司也会要求你提供常去购物的网站账号密码,用于核实真实性、电话、联系人、地址,也通过购买记录分析借款人资质。因此,你可以看到市场上贩卖各类购物网站账号的卖家,市面上最大的购物网站无非就是那两家。有趣的是,你可以在A家买B家的账号,或者在B家买A家的账号。账号当然分等级的,也分消费金额的,对应自然就是价格不等。由于比较敏感,具体细节不展开了。
1.6 工作单位电话及工牌技术
要求借款人提供工作单位电话,用于电话身份核实和授信评分,有的还要求提供工牌的照片来证明。看下图,全国各地区都有,按需购买。
至于工牌就更简单了,街边随便找个打印社20块钱搞定。需要更细致一点的证明也有:
1.7 中介培训班
中介的这些东西,在 freebuf 的朋友们看来,应该都是没什么技术含量的东西,大部分都是各种资料包装而已。但借贷是一个古老的行业,整个行业的量级非常大,有大量的小白客户可以骗。除了直接骗客户、骗公司之外,也衍生了培训行业,速成培训班。交点费用,就可以学到时下最新最热门的“技术”。
但仅仅是培训还是不够的,还需要有对应的工具,这是另外的生财之道。其实对于码农们来说,随便包装个东西就可以赚钱,比如xx口子下款器之类的,再搞的高深莫测点,可以硬件+软件打包卖。这并不新鲜,山东某些地方一直就是这么干的。随便在群里截了个图,也算是一些常用软件:
二、案例
2.1 案例 1 某银行授信额度接口漏洞
某年某月某日,某银行的网站有一个服务,如果你是该行客户,输入姓名和身份证即可查询到自己的授信额度。当然在查询之前要经过各种验证,账号密码什么之类的。但是通过抓包可以发现他的接口是暴露、未鉴权的。于是中介们立刻、马上、迅速的把它包装成了一个商机,见下图:
其实就是包装了个查询工具而已,不出意料的话应该是易语言。顺便说一句,易语言是世界上最好的语言!没有之一。
然后这个工具就故作神秘,拿来到处卖钱。没什么技术含量,重点学习中介的经营思路。
2.2 案例分享 2 公积金漏洞
这事可是在黑中介届掀起了一股清流,当时通过这个漏洞赚到钱的人很多,接单接到眼发黑,赚钱赚到手抽筋。
能不能干好中介这个工作,得看你的敏感度了。下图是一个常规流程,借款人提供公积金账号密码,小贷公司爬取后根据个人去看进行授信。那么,在这里哪个环节可以搞事情?
出在了爬虫这里。
有一家特别特别大的互联网金融公司,某天升级后,被鸡贼,不是,被睿智的中介们发现了一个逻辑上的问题。爬取的数据没有和借款人做姓名比对!这是什么意思呢,就是我随便拿个公积金账号,就可以为所有人提供这个环节的授信验证。
有比较好的公积金,证明了你有稳定收入,良好的公司背景,自然是小贷公司放款的优先对象。于是大量低资质客户,通过这个逻辑问题,成功拿到了借款。至于能不能还,什么时候还得上,这不是中介们考虑的事情。
这个漏洞持续存在了两周,刚开始中介还在到处拉客户,声称自己有黑技术。没过几天,中介们突然想明白了,是不是傻?直接拿个别人的全套资料去申请不就行了吗?还拉什么客户啊,自己就是最大的客户好吗。
两周的激情,很多中介披星戴月日以继夜的连续操作,我见到赚的最多的一个中介贴出截图,大概搞了120多万。而这些钱,我猜大概是追不到了。
两周以后漏洞封堵,一地鸡毛。这就结束了吗?如果是这样,你还不能做一个高段位中介。
看广告:
如果你还看不懂的话,我来解释下。既然公积金放款在金融体系内的权重这么高,那我们就帮你养账号好了。养账号就是我注册个公司,帮你交公积金。不不,并不是真的帮你交公积金,而是利用了公积金的一项政策漏洞,能够做到看起来你的账户有公积金,而其实并没有交钱。
三、中介行业分析
我从某产品实际运营中拉出了一些分析,分析指向具有明显黑中介特征的业务申请。该产品是面向全国的在线小额贷款,每笔金额不高于5000元,周期12个月以内,部分内容有混淆,仅供参考。
排名第一的是济南地区,事实上是泛山东地区都比较严重。这一点央视也有过多次专题报道,其手法在国内与众不同,因此比较容易识别。
其次是东北某些地区,具有典型团伙作案,产业链聚集特征。
第三是福建某地区,作为传统强项产业,为什么只能排名第三,是有其大背景的。这个背景就是,金融行业根据以往经验,对某些地区极为不放心,根本就不放款好吗。即使在这么困难的局面下,也能进入前三,实属不易。
换个角度来看中介们的工作时长。每天大约从7点开始上班,陆续在下午6点达到操作顶峰,在晚上10点以后基本上算是下班,日均工作时长15个小时,极为敬业。按周来看,则在周末有明显下降,这并非是中介们休息,而是各大金融公司休息,周末不放款。
因此,中介工作是比较辛苦的。辛苦不算什么,还要承受极大的道德压力,因为干这行,很容易从中介走向欺诈,自制力稍弱就会下水。不容易。
四、总结
这些黑中介起到了什么作用?
1、 收取客户高额的前期、中期、后期费用。前期就是指还没下款就要收费,其他以此类推,加重了借款人还款压力。
2、 探测口子规则,熟练掌握各类作弊技术。中介们的敏锐性很高,对风控规则变化极为敏感,能够迅速捕捉漏洞。甚至!很多中介就是原来的风控人员!
3、 包装用户材料,炒作信用骗取额度。前面介绍到了,其实技术还有很多,而且在不断对抗升级。
4、 坑蒙拐骗影响平台信誉。中介们巧舌如簧,下了贷款就说自己有内部关系,下不了贷款就造谣污蔑。拿到了审批后的贷款,直接吞没跑路也屡见不鲜。
5、客户群体黄、赌、毒低质量。其实很容易想明白,什么人会需要去互联网上借几千块钱?为什么戒赌吧论坛现在几乎变成了贷款论坛?还有整形分期业务,是什么人在借款做整容?从这批客户中赚钱,火中取栗。
6、专业化、团伙化倾向。互联网金融是把线下贷款变成了线上,原来就具有的团伙化与生俱来,在新的技术驱动下,也朝着更为专业化的方向前进。他们目前还比不上专业黑客技术,但这是和钱打交道的行业,利润高多了。所以可以想象得到,有钱的地方就有人才、技术进入。
7、向欺诈演变。最危险的其实就是这个,假设你是中介,左手掌握着大量借款人的资料,右手掌握着各金融平台漏洞,你会怎么做?显而易见会铤而走险,走向欺诈骗款的道路。
业界也并非无所作为,这几年在大数据风控、人工智能风控上有了很大的进步。以几个大型互联网公司为代表的风控能力,其实已在全球领先,并且进军东南亚。但是真实的国情是,大部分互金公司都还是中小平台,远不具备这种能力,你让他们怎么办?换做是你又会怎么办?这就是个意味深长的课题了。
*本文作者:mcvoodoo,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
来源:freebuf.com 2018-01-30 08:00:57 by: mcvoodoo
请登录后发表评论
注册