导语:凌晨三点不睡的人不只有区块链里的“韭菜”,还有利用漏洞疯狂提额的“黑户”。

凌晨三点不睡的人不只有区块链里的“韭菜”,还有利用漏洞疯狂提额的“黑户”。

放水

5月25日1:10,光大银行“放水”了。

所谓放水,是一句黑话,意思是银行在面临业绩压力的时候,会放松审核规则,以完成业绩。具体到行为上,可表现为信用卡审核放宽,额度提升等。但这一次的放水,即使是“黑户”也在范围之内,成为了“黑户”和帮助套现的“中介”的狂欢。

这次放水一直持续到了5月25日4:05。目前此漏洞已无法被利用。据媒体报道,此次事件从一个名为“我爱卡”的论坛开始扩散。小编走访了这个论坛,发现论坛上的网友纷纷晒出了自己提额成功的图片。

图片1.png

我爱卡论坛的一名版主发帖对这次事件进行了总结,小编整理如下:

1、用户致电银行客服电话申请调整临时额度,通过确认短信偶然发现,刚刚申请的临时额度变成了该卡的固定额度,并且可以通过反复打电话进行重复上调。

2、根据具体的银行卡种类不同,提升的额度也不一样:有些卡只能到6万,也有一些卡是可以提升到15万的。在这次事件中,有很多多年“黑名单”用户将额度从1000直接提到了60000。

3、这次事件的Bug是普通用户偶然发现,并在“我爱卡”论坛发布并进行传播。

4、根据光大银行的既有业务流程,提额相关操作需要致电银行客服热线,但在25日当天再次拨打时,语音菜单里已经没有提额相关的选项。小编今天再次拨通银行客服热线并尝试相关步骤,菜单已经恢复,证明银行方面已经修复了该漏洞。

风控失效了?

专注于黑灰产情报分析的紫豹科技的专家向小编爆料称,这个事件在5月25日凌晨就已经被他们发现,并试图与光大银行进行联系。

微信图片_20180528125947_副本.jpg

我们从专家那里了解到:本次事件是因授信额度管理相关业务的逻辑漏洞造成的,因为在本次事件中,已逾期与黑名单用户均可以“绕过”风控系统进行提额,并造成了全量用户可以进行在正常风控系统内无法进行的连续提额操作。在此事件之前,风控系统会控制用户提额的权限、次数与每次提额的额度,从而将授信额度与银行需要承担的风险均控制在可控范围之内。而在此次事件中,提额用户范围之广、额度之高都是多年内罕见的。

那么这次损失究竟有多大,真的有20亿吗?有消息人士透露,这次损失并没有达到20多亿,大约被“撸”了2000万。

银行都有自己的风控系统,但这次风控系统“失灵了”,这是为什么?专家告诉小编,风控系统必须要产生事件才能触发规则,滞后性比较强。因此,我们需要收集威胁情报,它并不是一个事件,而是要从蛛丝马迹中获取攻击者的行为,提早发现未知的恶意活动,达到及时预警或止损目的。

出来借,早晚要还的

有网友表示,自己的额度又变了回去。还有网友怀疑,这是光大银行的“阴谋”,上文已否认了这一观点。

微信图片_20180528175522.png

在论坛内,很多人都发表言论称自己“上岸了,再也不借了”,也有人在劝“钱尽量先在手里稳两天”,这是因为光大银行超额状态下(也就是额度为负)通常是不能账单分期的,这对一些羊毛党成员来说影响巨大。很多直接借现金、进行套现的羊毛党一夜发现自己被打回原形,只有账单和多出来的手续费。

信用卡的背后每个人的信用,当你用自己的信用借款不还时,征信和催收早已在背后等着你,你会不还吗?

出来借,早晚要还的。

源链接

Hacking more

...