现代快报讯（通讯员 鼓公宣 赵柏恋茹 记者 顾元森）许多第三方支付平台都有一个 " 小额支付免密码（验证码）" 功能，为了方便用户不需要每次支付都输入密码。自今年 3 月起，某电商平台陆续收到客户投诉称，与平台绑定的第三方支付平台账户被盗刷，单笔金额数目都不大，从 99 元—— 299 元不等，而 300 元恰恰是该平台设置的小额支付免验证码的最高值。直到 9 月底，全国累计竟有 60 多名受害人，涉及金额共有 5 万多元。

10 月初，该平台负责人在自查无果后向南京鼓楼警方报案。警方随即展开侦查。

利用二手闲置平台自编自演 " 虚假交易 "

现代快报记者了解到，所有的受害人账户都曾经在某二手闲置平台有过交易。但据受害人称，这些交易都非本人操作，而在交易成功后不久账户即被盗刷。而其中有 30 多个受害人都在同一个二手卖家处购买过闲置物品。

" 一般我们接到投诉就会暂时冻结这个账号，但是如果账号的所有人进行申诉是可以解冻的。" 平台负责人告诉警方，但是这个被投诉的账户所有人却没有申诉，而是换了别的账户继续发布二手买卖信息，而他总共换过 6 个不同的账户。" 这就非常不正常，说明这个账户所有人心里有鬼。"

随着调查的深入，警方发现受害人登陆时 IP 地址和发布二手淘信息的 IP 地址是一致的。" 也就是说是同一个人自己卖自己买，这不仅是一场虚假交易，还是一幕‘独角戏’。"

在调查资金流的去向时，警方发现最终钱款流入了同一个账号，账户所有人就是本案的重要嫌疑人张某。

嫌疑人竟在家门口安装了 7 个摄像头

通过前期侦查，警方最终确认了张某的住处，位于山东莱州。因为不确定张某是住户还是租户，为避免打草惊蛇，警方没有贸然实施抓捕。

" 走访调查中，我们了解到，张某是吸毒人员，和妻子租住在一起，因为吸毒欠下高额债务，害怕追债的上门，所以在家门口附近安装了 7 个高清摄像头。在进入他家的必经通道前后，都有摄像头。"

为了取得张某的信任，民警化装成保安人员敲开了张某家的大门。" 我们敲门后他足足等了十多分钟才来开门，应该就是在通过摄像头观察。"

在确定了张某的身份之后，11 月 2 日，警方将他抓捕归案。并在现场收缴了涉案银行卡 53 张，POS 机 22 台，手机 11 部，动态密码器（优盾）32 个。

" 扫库 " 与 " 撞库 " 相结合的犯罪手段

为了方便记忆，大部分人在不同的 app 上使用的都是同一套用户名和密码，甚至有的人与个人金融相关的 app 上登录密码和支付密码也是同一套。

正是因为这两个相同，才有了张某这类利用 " 扫库 " 与 " 撞库 " 相结合的方式实施网络诈骗的嫌疑人。

所谓 " 扫库 " 就是选择一些安全级别比较低的网站，比如视频网站，通过黑客的方式批量得账号和密码。而 " 撞库 " 就是用获得的用户名和密码去批量碰撞可能绑定银行卡或者第三方支付平台的 APP，撞上的概率能达到 10% —— 20%。

撞上之后，嫌疑人就等于打开了你的 " 电子钱包 "。本案中，张某属于初级的网络诈骗，所以他没有办法获知支付前手机收到的那个验证码，所以他利用的是 " 小额支付免验证码 " 的功能，单笔盗刷不超过 300 元，但是批量盗刷，还是很可观的。而想获知验证码，其实并不难，只要给你的手机发送一个含有木马病毒的链接，一旦点开，你的验证码将在后台被嫌疑人拦截，盗刷金额只取决于你卡上有多少钱。

南京鼓楼警方提醒，尽量避免使用同一套用户名和密码，尤其是涉及个人金融的 app，此外不要点开任何陌生号码发送来的不明链接，无论链接前的名目多么吸引眼球，激起好奇心，都不要点击，因为那很可能就隐含木马病毒。

（编辑 李蔚蔚）