犯罪嫌疑人通过破解某支付平台“人脸识别”系统，盗取多名受害人账户资金20万余元。 1月16日，在《向人民报》宜宾市公安网安全新闻发布会上，宜宾警方通报了此案情况。

2016年11月4日，四川宜宾警方接到国内某支付平台公司员工举报：该公司近期发现多起用户账户资金被盗案件，会员用户举报昆仑银行被添加到他们的账户不是由他们自己处理的。卡、账户信息、绑定手机号码被更改后，资金被盗。通过公司网络技术后台排查，发现犯罪者使用的IP属于宜宾电信，涉及账户20多个，涉案资金超过20万元。

接报后，宜宾市公安局网安支队高度重视，会同长宁县公安局成立专案组开展调查，实地调查。经查，长宁县网民周某涉嫌重大犯罪。通过对周某使用的网络虚拟账户的查处，发现杨某为其同案被告。两人通过网络聊天工具交流作案手段，并通过网络联系“物资贩子”购买大量公民个人信息，联系“卡贩子”购买短信。服务被用来犯罪。

宜宾市县专案组民警在掌握两人大量犯罪证据后，于2016年12月20日将犯罪嫌疑人周某、杨某抓获。

经侦查，犯罪嫌疑人周某、杨某结合所掌握的某支付平台的账户登录、密码找回方法等知识，破解了该支付平台账户的人脸识别验证系统漏洞。

当支付平台账户密码变更或绑定的手机号码变更时，系统会提示进行人脸识别。第一步是将手机摄像头对准操作员，拍摄操作员正面的静态照片。通过系统审核后，第二步，系统再次要求操作者将手机摄像头对准操作者，并按照系统要求的指令执行“眨眼”、“摇头”等动作，并在录音时“张开嘴”。完成后，系统会自动进行评价。如果照片和视频符合系统要求，您将拥有修改支付平台账户密码和更改手机号码的权限。一旦修改用户的登录密码，并将用户的登录密码更改为可以接收短信的手机号码，就可以将用户转移到支付平台。账户余额已转出。

破解这一漏洞后，犯罪嫌疑人开始在网上大量购买公民个人信息。通过加入QQ群联系“物资贩子”，购买大量公民个人信息；同时通过QQ联系“卡商”，要求卡商向您提供一个可以绑定他人支付平台手机号码的号码，并接收短信验证码，为您提供验证码。犯罪的准备。

犯罪嫌疑人购买的公民个人信息包括公民身份证正反面照片、公民证件、公民手机号码、银行卡号、发卡地等。破解步骤为：

1.用手机拍一张半身照片，并使用应用程序将购买的公民脸部照片合成到半身照片上。

2.用手机录制一些自己“张嘴”、“摇头”、“眨眼等动作”的短视频，并将照片和视频保存在电脑中。

3、手机登录支付平台，输入他人在支付平台的账号（即公民信息中的“手机号码”），系统提示时点击“忘记登录密码” ，然后选择输入注册身份证号码，然后选择人脸验证。

4. 从电脑上打开准备好的合成照片，然后将手机摄像头对准合成照片，完成静态人脸识别的第一步，然后按照系统提示在电脑上播放预先录制的视频片段。播放过程中，仍将手机摄像头对准电脑屏幕即可完成第二次动态验证。系统只会识别第一张静态人脸照片，因此可以通过受害者的合成照片认证来通过验证。系统不会验证第二动态视频。它只需要识别视频中的人。它是一个可以移动的生命体。

完成上述验证后，即可修改公民账户密码。犯罪嫌疑人随后通过QQ联系发卡商，发卡商发来一组手机号码（一组16个或32个号码）。犯罪嫌疑人随机选择一个手机号码，并将该手机号码与受害人的支付平台账户绑定。在此过程中，支付平台系统会向新绑定的手机号码发送验证码短信。犯罪嫌疑人通过QQ聊天向卡商索要短信验证码，完成账户密码修改、手机绑定等操作，然后再次传递验证码。短信验证码会转移受害者的账户余额。

犯罪嫌疑人周某、杨某作案后，将他人支付平台账户内的资金转移至某赌博网站，通过在网站上玩“PT老虎机”等赌博游戏进行洗钱，然后将资金转移至某赌博网站。自己使用的银行卡账户内。

2016年10月27日至2017年1月11日，犯罪嫌疑人周某、杨某非法购买公民个人信息5000余条，从被害人刘某、徐某等人账户中盗取资金共计1万元。

警方表示，通过案件侦破，目前平台已修复该漏洞。