第三方支付平台往往有一个“小额支付免密码（验证码）”功能，一定数额以下的支付，用户不需要输入密码。自今年3月起，某电商平台陆续收到客户投诉称，与平台绑定的第三方支付平台账户被盗刷，单笔金额数目都不大。直到9月底，全国累计有60多名受害人，涉及金额共有5万多元。10月初，该平台负责人在自查无果后，向南京鼓楼警方报案。

  通讯员 鼓公宣 赵柏恋茹 现代快报/ZAKER南京记者 顾元森

  利用二手闲置平台自编自演“虚假交易”

  警方了解到，所有的受害人账户都曾经在某二手闲置平台有过交易。但据受害人称，这些交易都非本人操作，而在交易成功后不久账户即被盗刷。而其中有30多个受害人都在同一个二手卖家处购买过闲置物品。

  “一般我们接到投诉就会暂时冻结这个账号，但是如果账号的所有人进行申诉是可以解冻的。”平台负责人告诉警方，但是这个被投诉的账户所有人却没有申诉，而是换了别的账户继续发布二手买卖信息，而他总共换过6个不同的账户。这就非常不正常。

  随着调查的深入，警方发现受害人登录时IP地址和发布二手淘信息的IP地址是一致的。也就是说，是同一个人自己卖自己买。在调查资金流的去向时，警方发现最终钱款流入了同一个账号，账户所有人就是本案的重要嫌疑人张某。

  通过前期侦查，警方最终确认了张某的住处，位于山东莱州。11月2日，警方将他抓捕归案。并在现场收缴了涉案银行卡53张，POS机22台，手机11部，动态密码器（优盾）32个。

  “扫库”与“撞库”结合，批量盗刷骗钱

  为了方便记忆，大部分人在不同的APP上使用的都是同一套用户名和密码。正是因为这两个相同，才有了张某这类利用“扫库”与“撞库”相结合的方式实施网络诈骗的嫌疑人。

  所谓“扫库”就是选择一些安全级别比较低的网站，比如视频网站，通过黑客的方式批量获得账号和密码。而“撞库”就是用获得的用户名和密码去批量碰撞可能绑定银行卡或者第三方支付平台的APP，撞上的概率能达到10%—20%。

  撞上之后，嫌疑人就等于打开了你的“电子钱包”。本案中，张某属于初级的网络诈骗，所以他没有办法获知支付前手机收到的那个验证码，所以他利用的是“小额支付免验证码”的功能，单笔盗刷不超过300元，但是批量盗刷，还是很可观的。

  鼓楼警方提醒网友，登录网站尽量避免使用同一套用户名和密码，尤其是涉及个人金融的APP。