职牌玩家银行资金被盗原因竟是Global Pay程序漏洞

之前有被报道很多职牌高额玩家银行资金被盗的新闻，现在终于发现问题出在哪里了？这源自于Global Pay的程序漏洞，因为如果用户曾经使用过Global Payments Gaming Solutions的“VIP Preferred”服务，那么Global Pay会允许下次需要用到转款时会自动加载客户信息，可以直接在app中扣除资金而不需要验证。而犯罪分子利用了这一漏洞，在体育博彩网站BetMGM注册账户，直接从Global Pay中转移资金然后提款。

这些骗子似乎通过盗用知名扑克玩家的身份信息，在合法博彩网站开设账户。然后，他们从受害者的银行账户中将钱转入该网站，并在同一天将现金转到另一个银行账户。骗子很可能已经获得了玩家的私人信息，并使用Global Payments Gaming Solutions的“VIP Preferred”服务，该服务允许骗子访问以前使用的银行账户细节。

高额桌的扑克玩家之所以成为目标，是因为他们的职业性质决定了，他们很可能拥有较高的VIP存款限额。

Todd Witteles正是受害者之一，他一直在调查这个事件，并收集整理其他玩家被骗的证据。在PokerFraudAlert论坛的一篇长贴内，Todd Witteles详细说明了这件事情。以下是发帖内容：

10月20号，在合法的体育博彩网站上，一个以我的名字命名的账户被悄悄创建了。我从来没有在任何BetMGM网站上注册过账户，事实上，我这辈子从来没有去过西弗吉尼亚州。

创建我的账户的骗子有很多关于我的信息。他有我的全名，地址，还有我社保号的后4个号码。利用这个信息，他往账号里存了一万美元，这笔钱就从我的银行账户里划了出来。

诈骗犯很可能不在西弗吉尼亚州。他不能对网站上的任何游戏下注，但这无关紧要。这本就不是他的计划。在他为我创建账户并存款的同一天，他按下了提现按钮。他将7500美元兑现到专门为此次犯罪创建的Venmo和万事达借记卡。借记卡和一个伪造的Venmo账户有关联，也是用我的名字开的。我已经有一个Venmo账户了，但没有受到影响。这是一个全新的Venmo，也是用我的名字，专门用来把偷来的钱取出来。处理完毕后，诈骗犯将钱转到另一个Venmo账户，用另一个名字，他就是这样携款潜逃的。

但这里发生了什么？那个骗子是怎么得到我所有的信息的，为什么我成了目标，他怎么知道我的那个银行账户里有一万美元可偷?他是如何在10月20日迅速完成这一切的?(最后的2500美元也是在11月4日以类似的方式取出的。)

事实证明，我不是唯一的受害者，知名的扑克职业选手是目标。

我一直在暗中调查。直到今天，我都没有公开这件事，因为我在Twitter上没有看到其他职业扑克玩家发生过这种事的任何信息，我也不确定它是专门针对我的，还是它是一个伤害多人的模式的一部分。

今天一切都变了，拉斯维加斯著名的扑克职业选手Joseph Cheong发了一条他受骗的推特。从那时起，各种扑克职业玩家纷纷站出来表示他们也遭到了同样的盗窃。除了我和 Joseph 之外，其他受害者还包括 Kyna England、Sam Panzsica、David Bach 和其他几个人。很可能还有更多的受害者还没有挺身而出。我仍在收集受害者的姓名并试图与他们取得联系。

通过Global Pay窃取银行账户——穴居人都能轻易做到

骗子不需要你的银行账户信息就可以从你那里偷窃。他不需要你的社保号码。他不需要验证任何东西，或者证明他真的是你。

如果您过去的存款已经由 Global Payments 处理过，如果您过去在合法的在线博彩网站上使用过电子支票，那么这种情况极有可能发生。因为在这种情况下用最基本的信息来冒充你是非常容易的。

Global Pay提供一项名为“VIP Preferred”的服务。这是一个支付选项，允许你从银行开出电子支票。本质上是从你的银行账户直接扣款。在app界面上，按钮看起来像这样:

一旦你点击上面的按钮，系统会自动加载你以前在其他网站上使用的银行账户信息!这意味着任何用你的全名、地址、社保号后4号和出生日期注册新账户的人，都可以从你的银行账户中获得全额存款，而无需进一步验证！

这太疯狂了！！

我刚刚用BetMGM New York做了一个测试，之前我在那里没有账户。我在他们的应用上注册了一个新账户，只使用了我的姓名、地址、出生日期和我的社交账号的后4个。我没有验证任何东西，我点击了“VIP Preferred”，如上图所示。然后我看到如下画面:

这么简单！！

（请注意，它不让我存款的唯一原因是因为我超过了我的限额——因为诈骗者已经通过窃取我的 1 万美元达到了限额！）

这是 Global Payments 令人难以置信的疏忽，使冒充他人和偷窃变得如此容易，进一步疏忽的是BetMGM和其他合法的博彩应用程序，居然会允许在开户当天进行此类大额交易，包括提款！

帖子的最后，Todd Witteles表示，仅目前而言，光他知晓的受害者大约有10个，但他认为远不止如此。越来越多的人开始联系他，而且都是知名或半知名的职业玩家。