桂林警方:有黃牛黨利用AI技術
繞過圖形類驗證機制非法搶票

2 星期前
桂林警方:有黃牛黨利用AI技術
 繞過圖形類驗證機制非法搶票
字體大小
AAA
分享

近期,廣西桂林公安網安部門工作發現,桂林市陽朔縣某景點票務預約平台存在被濫用痕跡。經查,發現有黃牛黨利用平台的驗證碼組件缺陷,實施非法搶票行為。廣西桂林公安網安部門通過調查,成功拘捕該黃牛黨團伙,繳獲電腦等作案工具一批。同時發現,部分圖形類驗證碼組件風險隱患突出,極易被不法分子利用,提醒廣大單位、個人加強防範。

內媒報道,在上年國慶節假期期間,廣西桂林公安網安部門工作發現,大量網民反映某景點「一票難求」,旅遊社和黃牛黨勾結在社交平台大肆發佈代搶票廣告。廣西桂林公安網安部門高度重視,立即成立專案組開展調查。經對該票務預約平台運行日誌進行分析,發現存在預約行為頻次高、時間連續不間斷等明顯被「外掛」軟件濫用痕跡。

通過進一步偵查,成功鎖定實施犯罪的黃牛黨團伙,專案組分赴北京、重慶、四川、廣西拘捕犯罪嫌疑人12名,繳獲電腦等作案工具一批。經核查,該黃牛團伙利用外掛軟件在2024年國慶節假期期間非法搶票約1萬張。經查,犯罪嫌疑人預先在外掛軟件中錄入遊客姓名、手機號等必要信息,平台放票時外掛軟件自動發起請求搶票。

經分析,發現該外掛軟件的技術核心在於自動快速回答票務預約平台的圖形類驗證機制。正常情況下,遊客預約門票需手動選中隨機排列的圖案以通過驗證。犯罪嫌疑人提前通過發起頻繁的註冊請求,下載了數萬張同類型的驗證碼圖片,人工對驗證圖片中的正確答案進行標注,再利用標注的數據訓練出高準確度的圖像識別模型,在搶票時利用該模型自動快速推測正確驗證碼。

此次涉案的圖形類驗證碼組件使用範圍較廣,加之當前圖像識別工具普及易得,相關網絡應用驗證機制被破解風險突出。春節假期臨近,為防止同類案件再次發生,當局提示相關單位、個人加強防範:一是廣大網絡運營單位、個人用戶應對網絡應用的註冊、登錄、關鍵業務操作等環節的驗證碼組件進行排查,特別是採用圖案點選、文字點選類型的驗證方式,評估驗證碼方案的安全風險,並同步加強對短時間、高頻次的網絡請求等異常行為的監測和阻斷,及時封禁異常IP。

當局指,二是驗證碼服務提供者應採取增加噪音、變形扭曲、更換字體等措施提升驗證碼複雜性,使自動化工具難以識別,並持續排查驗證碼組件存在的安全缺陷、風險漏洞,提供升級完善方案,履行法定的告知義務。

記者:Ceci

閱讀更多:

受王星「賣豬仔」事件影響 內地湧赴泰旅遊退款潮

內地演員王星疑被賣豬仔 泰警:已在緬甸找到他