互联网金融黑中介指南

2018-01-30 406084人围观 ,发现 22 个不明物体 观点

*本文作者:mcvoodoo,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

互联网金融这些年热火朝天,稍大一点的集团旗下都有互金业务,甚至一些根本和金融不搭边的公司,也搞起了互联网金融,也号称大数据,AI 智能普惠金融。一时间市场上鱼龙混杂,大干快上,而实际业务风控则呵呵了。

互金的一个挡箭牌是:利润超过逾期,我就是赚的。然而是不是赚的,还要看一个周期性的结果,这个月赚不代表什么,下个月几笔逾期就足以让你打回原形。于是,就有人开始利用互金公司的各种漏洞赚钱,本文介绍一些手法,供各位注意防(xue)御(xi)。

什么是黑中介呢?中介是利用信息不对称来提供服务的一种职业,在中国这差不多是个贬义词。而黑中介则是非正规种渠道。

在很多群里你会看到类似下图的这些广告:

互联网黑中介指南互联网黑中介指南互联网黑中介指南互联网黑中介指南

里面也充斥了各种黑话,比如口子(一个贷款平台在他们眼里就是一个口子)、黑白户(黑户是征信有逾期,白户是没有贷款记录)、还有代操作、前期、手持、   秒放、强制提额等一堆,这里不具体解释。

所以中介的经营方式就是下图这种。假设有一个借款人,急需100万资金周转,但不知道从什么渠道可以得到。于是在网上找到了中介,希望帮他操作。中介则利用自己掌握的各家贷款平台的周期、风控、额度及借款人本身的需求,帮助借款人从各平台借款,并收取服务费用。这并没有什么问题,但是黑中介黑在哪里呢?为了帮客户借到钱,黑中介则会利用各种手段,绕过风控,包装资料,甚至欺诈客户。而客户在被欺骗之后,投诉无门,就产生了纠纷、逾期。

互联网黑中介指南

一、小贷公司放款流程及中介“技术

  以互联网小额贷款为例,大体上,一个互联网小额贷款公司的借款流程如下表。放款总体上两个环节:身份验证、授信。这些部分则是作为一个黑中介必备技术。

互联网黑中介指南

1.1 过人脸技术

黑中介为了获取更大的客户群,通常都是号称全国下款的,也就是说是非线下模式的。而互金公司为了验证用户身份,通常都会采用人脸识别。对于中介来说,这个办法很容易绕过,看图说话。其实很简单,两台设备对起来就行。我们做过测试,市面上随机选取10家比较有规模的小贷公司,其中7家可以用这种方法绕过。这是最基础的绕过方法,简单实用,在黑市学习这个技术价格在80元左右,本文无偿赠送。

当然还有一些类似 photospeak 之类的绕过方法,不过有点麻烦,有这功夫不如换个平台搞。

图片 7.png

1.2 通话记录和通信录对抗

小贷公司通常会要求读取借款人的通话记录和通讯录,有几个作用:

一是通过这些记录保证真实性,假如你提供的手机没有通话记录,通讯录也是空的,那就是一个风险,可能会被拒贷;

二是用于催收,当你不还款的时候,就轰炸你的通信录;

三是用于数据分析,黑名单比对,关键词比对等。

为了既让小贷公司能读取到这些信息,又不对自己产生不利影响。就有人贩卖下图这种东西。伪造短信、通话记录、通信录。而且还会帮你包装,比如你是上海地区,通话记录就以上海号码为主,夹杂一些其他地方号码,甚至还有一些推销电话之类。另外,通话记录有两种格式,一是直接输入号码拨打,二是通过号码本拨打,在这个包装里也是帮你做好的。细致到这个程度,我看很多做安全产品的也做不到。

 互联网黑中介指南

1.3 邮箱验证

小贷公司会要求借款人提供单位邮箱,一个126邮箱和一个公司后缀的邮箱,显而易见会对授信额度产生影响。因此市面上就有人提供这种服务,各类企业邮箱,认证专用,价格公道,老少咸宜。

互联网黑中介指南

我前面说了,中介们做事情很细致的,如果仅仅提供你一个邮箱后缀,这还缺少了工匠精神,看下图,每个邮箱可以针对的贷款口子都有不同。

互联网黑中介指南

1.4 信用卡账单技术

我走访过很多小贷公司,他们也没有大数据,也没什么风控,靠什么来实现对个人信用额度的判断呢?有个方法很简单,就看你在银行的信用卡额度,信用卡额度一万,他们就给你放5000。具体怎么看呢,要求你提供银行的信用卡账单。怎么提供呢,你提交邮箱账号和密码,他们进去爬取。哦,顺便说一句,我们这些搞安全的,绝不会提交自己的账号和密码,我们深知重要性。而对那些急需资金的人来说,这都不是事。所以从数据上来看,现金小额贷,大约有70%的人会为了提升额度,提交各种账号密码,是不是很意外?

话说回来,市面上就有提供账单技术的人了,可以通过修改技术,把信用卡账单的额度扩大到任意额度。对于各位读者来说,这很简单,编辑源代码即可,但对于小白来说,这就是个神秘技术,于是出现了市场上价格差距比较大的情况。就看蒙到谁了。

互联网黑中介指南

中介们做事很细致的,重要的事情说三遍。在邮箱信用卡账单爬取中,有个很小的环节要注意,就是发件人是谁,总不能随便找个邮箱发过来就说这是银行信用卡邮箱。所以中介们还会提供下图工具,这个工具是赠送的。

互联网黑中介指南

1.5 消费行为技术

小贷公司也会要求你提供常去购物的网站账号密码,用于核实真实性、电话、联系人、地址,也通过购买记录分析借款人资质。因此,你可以看到市场上贩卖各类购物网站账号的卖家,市面上最大的购物网站无非就是那两家。有趣的是,你可以在A家买B家的账号,或者在B家买A家的账号。账号当然分等级的,也分消费金额的,对应自然就是价格不等。由于比较敏感,具体细节不展开了。

1.6 工作单位电话及工牌技术

要求借款人提供工作单位电话,用于电话身份核实和授信评分,有的还要求提供工牌的照片来证明。看下图,全国各地区都有,按需购买。

互联网黑中介指南

互联网黑中介指南

至于工牌就更简单了,街边随便找个打印社20块钱搞定。需要更细致一点的证明也有:

互联网黑中介指南

1.7 中介培训班

中介的这些东西,在 freebuf 的朋友们看来,应该都是没什么技术含量的东西,大部分都是各种资料包装而已。但借贷是一个古老的行业,整个行业的量级非常大,有大量的小白客户可以骗。除了直接骗客户、骗公司之外,也衍生了培训行业,速成培训班。交点费用,就可以学到时下最新最热门的“技术”。

互联网黑中介指南

但仅仅是培训还是不够的,还需要有对应的工具,这是另外的生财之道。其实对于码农们来说,随便包装个东西就可以赚钱,比如xx口子下款器之类的,再搞的高深莫测点,可以硬件+软件打包卖。这并不新鲜,山东某些地方一直就是这么干的。随便在群里截了个图,也算是一些常用软件:

互联网黑中介指南   

二、案例

2.1 案例 1 某银行授信额度接口漏洞

 某年某月某日,某银行的网站有一个服务,如果你是该行客户,输入姓名和身份证即可查询到自己的授信额度。当然在查询之前要经过各种验证,账号密码什么之类的。但是通过抓包可以发现他的接口是暴露、未鉴权的。于是中介们立刻、马上、迅速的把它包装成了一个商机,见下图:

互联网黑中介指南

其实就是包装了个查询工具而已,不出意料的话应该是易语言。顺便说一句,易语言是世界上最好的语言!没有之一。

然后这个工具就故作神秘,拿来到处卖钱。没什么技术含量,重点学习中介的经营思路。

2.2 案例分享 2 公积金漏洞

这事可是在黑中介届掀起了一股清流,当时通过这个漏洞赚到钱的人很多,接单接到眼发黑,赚钱赚到手抽筋。

能不能干好中介这个工作,得看你的敏感度了。下图是一个常规流程,借款人提供公积金账号密码,小贷公司爬取后根据个人去看进行授信。那么,在这里哪个环节可以搞事情?

图片 19.png

出在了爬虫这里。

有一家特别特别大的互联网金融公司,某天升级后,被鸡贼,不是,被睿智的中介们发现了一个逻辑上的问题。爬取的数据没有和借款人做姓名比对!这是什么意思呢,就是我随便拿个公积金账号,就可以为所有人提供这个环节的授信验证。

有比较好的公积金,证明了你有稳定收入,良好的公司背景,自然是小贷公司放款的优先对象。于是大量低资质客户,通过这个逻辑问题,成功拿到了借款。至于能不能还,什么时候还得上,这不是中介们考虑的事情。

这个漏洞持续存在了两周,刚开始中介还在到处拉客户,声称自己有黑技术。没过几天,中介们突然想明白了,是不是傻?直接拿个别人的全套资料去申请不就行了吗?还拉什么客户啊,自己就是最大的客户好吗。

两周的激情,很多中介披星戴月日以继夜的连续操作,我见到赚的最多的一个中介贴出截图,大概搞了120多万。而这些钱,我猜大概是追不到了。

两周以后漏洞封堵,一地鸡毛。这就结束了吗?如果是这样,你还不能做一个高段位中介。

看广告:

互联网黑中介指南图片 21.png

如果你还看不懂的话,我来解释下。既然公积金放款在金融体系内的权重这么高,那我们就帮你养账号好了。养账号就是我注册个公司,帮你交公积金。不不,并不是真的帮你交公积金,而是利用了公积金的一项政策漏洞,能够做到看起来你的账户有公积金,而其实并没有交钱。

三、中介行业分析

我从某产品实际运营中拉出了一些分析,分析指向具有明显黑中介特征的业务申请。该产品是面向全国的在线小额贷款,每笔金额不高于5000元,周期12个月以内,部分内容有混淆,仅供参考。

排名第一的是济南地区,事实上是泛山东地区都比较严重。这一点央视也有过多次专题报道,其手法在国内与众不同,因此比较容易识别。

其次是东北某些地区,具有典型团伙作案,产业链聚集特征。

第三是福建某地区,作为传统强项产业,为什么只能排名第三,是有其大背景的。这个背景就是,金融行业根据以往经验,对某些地区极为不放心,根本就不放款好吗。即使在这么困难的局面下,也能进入前三,实属不易。

互联网黑中介指南

换个角度来看中介们的工作时长。每天大约从7点开始上班,陆续在下午6点达到操作顶峰,在晚上10点以后基本上算是下班,日均工作时长15个小时,极为敬业。按周来看,则在周末有明显下降,这并非是中介们休息,而是各大金融公司休息,周末不放款。

互联网黑中介指南图片 24.png

因此,中介工作是比较辛苦的。辛苦不算什么,还要承受极大的道德压力,因为干这行,很容易从中介走向欺诈,自制力稍弱就会下水。不容易。

四、总结

这些黑中介起到了什么作用?

1、 收取客户高额的前期、中期、后期费用。前期就是指还没下款就要收费,其他以此类推,加重了借款人还款压力。

2、 探测口子规则,熟练掌握各类作弊技术。中介们的敏锐性很高,对风控规则变化极为敏感,能够迅速捕捉漏洞。甚至!很多中介就是原来的风控人员!

3、 包装用户材料,炒作信用骗取额度。前面介绍到了,其实技术还有很多,而且在不断对抗升级。

4、 坑蒙拐骗影响平台信誉。中介们巧舌如簧,下了贷款就说自己有内部关系,下不了贷款就造谣污蔑。拿到了审批后的贷款,直接吞没跑路也屡见不鲜。

5、客户群体黄、赌、毒低质量。其实很容易想明白,什么人会需要去互联网上借几千块钱?为什么戒赌吧论坛现在几乎变成了贷款论坛?还有整形分期业务,是什么人在借款做整容?从这批客户中赚钱,火中取栗。

6、专业化、团伙化倾向。互联网金融是把线下贷款变成了线上,原来就具有的团伙化与生俱来,在新的技术驱动下,也朝着更为专业化的方向前进。他们目前还比不上专业黑客技术,但这是和钱打交道的行业,利润高多了。所以可以想象得到,有钱的地方就有人才、技术进入。

7、向欺诈演变。最危险的其实就是这个,假设你是中介,左手掌握着大量借款人的资料,右手掌握着各金融平台漏洞,你会怎么做?显而易见会铤而走险,走向欺诈骗款的道路。

业界也并非无所作为,这几年在大数据风控、人工智能风控上有了很大的进步。以几个大型互联网公司为代表的风控能力,其实已在全球领先,并且进军东南亚。但是真实的国情是,大部分互金公司都还是中小平台,远不具备这种能力,你让他们怎么办?换做是你又会怎么办?这就是个意味深长的课题了。

*本文作者:mcvoodoo,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

这些评论亮了

发表评论

已有 22 条评论

取消
Loading...
css.php