通过海量的企业证件伪造虚假身份,利用、支付宝对代理商的审核不力,域名、APP的监管不严,色情APP迅速成为网络诈骗中成本最低、收益最高的黑色产业。
几个月之间,色情APP成为成本最低、成功率最高的诈骗通道。一支几个人就可以运营的“小黄片”诈骗的团队,可以轻松年入7亿元以上。
“真是一条‘致富之路’,这么明显的骗局,每天有20多万下载量,8万多笔充值,每笔充值30多元”,在追踪到“小黄片”骗局之后,“小黑”(化名)破解了一个诈骗公司后台程序,“他们从去年6月份开始运营,至今9个月。后台数据可以看到,每天的收入都是200万左右。”一年就是7个多亿收入。
小黑是位安全从业人员,于2017年开始致力于曝光黑色产业链,并开通“一本黑”计划逐步揭露各种黑色产业。3月30日,小黑在“一本黑”揭露了破解该诈骗公司的详细流程。
小黑告诉记者,这几乎是一个没有任何门槛的骗术。“一个色情诱导付费的APP,网上有源码,2000块一套,再做一套宣传图片,顶多500块”,然后通过网络广告联盟在大量盗版小说网站、浏览器推送新闻页面、QQ群、百度贴吧等等流量较大的地区投放色情图片,“用户点击图片就会下载APP,APP上要求用户付费观看”。每月600多万下载量,40%的付费用户转化率,羡煞绝大多数互联网公司,“门槛低、利润高,所以肯定会吸引很多团队做这种骗术。”
记者通过手机搜索某热门小说发现,多个盗版网站中会弹出色情图片,点击这些快播软件均可下载安装APP。值得一提的是,部分APP图标类似此前闻名的“快播”。
打开一个名为“午夜快播”的APP,无需任何注册,任意点击均会弹出“付费38元成为会员可任意观看”,并且在付费界面中加载了支付宝、支付两个按键。当然,付费38元之后并不能浏览视频,APP会继续弹出“由于线路遭监管封杀,28元开通VPN国外高清线路”,完成此次付费之后,APP仍会继续弹出购买VPN的要求。
记者尝试付费,该APP支付宝通道提示“交易失败”,支付成功。在第一次支付38元之后,反馈的交易记录显示,一个名为“六十五天际”的商户收款,商品名称为“客服QQ:2575987275”,整个交易记录没有显示任何收款方的有效信息。
根据2015年12月央行发布的《非银行机构网络支付管理办法》第十四条,“支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隐匿交易信息”。显然,支付在该交易中并未严格遵守这一条。
3月29日,记者向投诉“六十五天际”。3月30日,该APP仍可通过付款,不过,商户名称已经变更为“心愿花缘”。不确定“六十五天际”是否被封杀。
“六十五天际”是一个最近出现的诈骗商户。在知名第三方投诉平台21CN聚投诉上,3月28日以来,“六十五天际”被投诉3次,涉及的色情APP均不相同。
值得一提的是,其中一位投诉者先后通过支付宝、向其APP多次付款。支付宝的交易记录显示了商户名称为“深圳库米科技有限公司”,这是一家真实存在的公司。从2016年10月至今,该公司被投诉了873多次,平均每天5次投诉以上。
当然,深圳库米并非所有投诉中最多的,中艺蓝金科技(北京)有限公司因为与色情APP关联被投诉1009次,北京星罗天下、北京瀚世宇通科技均被投诉接近500次。这些企业均通过支付宝收款,涉及支付宝的商家共25家。由于支付不提供商户真实信息,仅显示昵称,涉及支付的商家218家,“飞马热点”、“天酷诚信”、“蝴虹饰”被投诉超过100次。
2016年9月至今,知名第三方投诉平台21CN聚投诉上收到5821件关于涉黄APP诈骗的有效投诉,其中1983件投诉通过付款,3838件通过支付宝付款。涉及到的收款商户超过300家。目前,被投诉之后,已经对44%用户退款,支付宝为54%投诉人退款。
不过,深圳库米科技有限公司在对所有投诉人的解释中,声称:“库米公司作为第三方公司,仅为APP和其他应用提供部分运营服务,与APP页面内容、运营活动等无关”。不过这种解释并没有说服力,在接近半年时间里被持续不断投诉,库米公司都没有与涉案APP切断联系。
“真正的运营团队,是不会直接收款的,收款方只是他们的渠道或者马甲。这些钱往往还会转移到香港的海外公司,然后才进入运营团队的腰包。”小黑如是告诉记者。
记者两次拨打支付客服咨询“六十五天际”的真实名称,首位客服告诉记者建议记者报警,并未提供商户信息。第二位客服告诉记者,名为“六十五天际”的商户,实为深圳量萌科技有限公司。工商注册信息显示,深圳量盟科技有限公司是一家在2016年5月注册成立的公司,注册资金100万。
一资深行业人士告诉记者,“一般有三证就可以通过支付公司的代理渠道认证,通过认证之后,商户可以通过私人账户收款。”记者在淘宝搜索发现,此类可以通过、支付宝认证的“五证三章”的整套材料,只需要300元/套。
上述人士介绍:“第三方公司没有强大的线下渠道去做业务推广,都会通过二级、三级代理商去发展商户。很多代理商在进行商户审核的时候都会违规操作,甚至私放支付接口。监管难度很大,只能通过市场投诉、抽查等情况进行事后监管,难免会出问题。”
当然,诈骗团队不仅可以在收款、运营、商户等领域制造虚假身份。为了避开网络监管,“他们还会不停换域名,APP也经常改APK”,小黑告诉记者:“过去9个月,这个团队更换了400多个域名,推出了50个APP。”在一个推广阶段,该团队也会同时使用数十个域名,多个APP。小黑告诉记者,该运营团队购买了某云计算公司的云服务,“事实上,云计算公司可以监测到这种频繁更换域名的异常行为,但能不能、愿不愿管就是另一回事了。”
在实名制、社会信用体系逐步完善的今天,诈骗团队依然可以利用多个领域的漏洞制造虚假身份,高效诈骗。