互联网黑产收割普通人
几天前,李昊接到了一通 " 诈骗 " 电话,现在想想都还有点后怕。
那天早晨,他接了一通来自家乡盐城的电话,这位自称刘警官的男性用严肃且略带恐吓的语气告诉他:
" 你的一张银行卡被查出参与了一场重大洗黑钱活动,请你务必当天赶到重庆配合我们的调查,赶不到就要被判刑,如有疑问可以帮你转接重庆市公安局电话 ......"
李昊愣住了,以前经历的骗术都是 " 中了 500 万 "," 商品好评免费返现 "," 路费不够回家 ",这次竟然有 " 警察 " 亲自找上门来,一向遵纪守法的他直接挂了电话。
虽然拒接了电话,但他始终没搞懂,为什么对方能够如此清楚地说出自己的姓名、籍贯、家庭住址甚至是银行卡号和身份证号码?
李昊的案例不是孤例。前不久,一名在安全行业浸淫 10 多年的 " 白帽子 ",在妻子 手机 丢失之后,与黑产斗争了一天一夜依然损失数千元。
值得深思的是,在移动 互联网 时代里,越来越多的个人隐私和资产与手机相裹挟,手机早已经是个人移动的 " 身份证 "。当手机逐渐承载整个移动互联网痕迹的时候,没有人能独善其身。
一场互联网黑产和信息安全专家的较量
9 月 4 日,一篇名为《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》在网络上刷屏。文中老骆驼(作者网名)讲述了家人手机丢失后,经历的一场盗刷事件。
当日," 老骆驼 " 的老婆手机被偷,自以为手机带找回功能的他没有立即挂失手机卡。
谁知就是当时这样一个看似不经意的决定,后来引发了一场惊心动魄的 " 战争 "。
仅过了一个小时,当老骆驼在另一手机进行 " 查找我的手机 " 功能时发现,手机已经距离丢失地几十公里,最重要的是手机已经被解绑。
慌张的他立刻致电服务商挂失手机卡,但此时电信服务密码已经不正确。通过验证身份证号码加提供上个月联系过的三个电话号码进行了挂失。
与此同时,开始采取紧急措施,联系多家银行冻结银行卡,转移支付宝和 微信 上的余额,赎回全部理财和活期存储。
本以为这样就可以万无一失,但偏偏对方非等闲之辈。很快,双方就迎来了正面交锋。
几分钟后,对方竟然解除了老骆驼的挂失,并开始利用手机号和短信验证码盗刷老骆驼妻子的银行卡。觉察到情况不对的老骆驼陷进了整整一晚不断挂失、解挂的循环操作中。
最终,黑产利用手机号、身份证号和一张被他们遗漏忘记解绑的银行储蓄卡在美团平台借贷产生了 5000 元贷款,还在一张 ETC 信用卡上产生了各种买卡、充值等消费记录上千元。
要知道,文章的作者是一名从事信息安全的的专家。毫不夸张地讲,如果把故事的主角换成普通人,早就可能倾家荡产了。
当智能手机成为我们的钱包,几乎绑定了我们的全部家当,手机失窃信息被盗已然成了比丢钱包更让人担心的事情。
靠人人跑,靠树树倒,只能靠自己
或许你会说,老骆驼的事件是孤例,这种小概率的事情绝对不会发生在我身上。可事实真是如此吗?
某电商平台上,解锁手机屏幕的服务并不少见,有卖家承诺:" 解锁大约需要 1 小时,账户、ID 全包,做好了可升级、刷机、可登录账户、数据清空。" 而这一过程只要 30 分钟,花费 160 元。
当丢失的手机被解锁后,接下来才是噩梦的开始。
作为充分必要的条件,对方会在第一时间会致电运营商要求更改手机服务密码,取得手机控制权。
这里就遇到了生活知识的盲区,一般人常识性认为挂失指的是带上身份证去营业厅解除挂失,但实际上这一操作直接可以电话进行。
在老骆驼的案件里,双方在挂失和解绑上面进行了几十次的交锋,当地的电信服务商竟因 " 情侣吵架为由 " 给对方多次远程解绑,更令人震惊的是,后者在无计可施之下进行了呼叫转移,幸好当事人及时发现。
更改手机密码的前提条件是,需要使用本机号码拨打客服电话,提供姓名、身份证号码进行重置。
问题是,这些信息你的手机里都有,更确切地说是你的手机软件里都有。
由于身份证信息在大多数网站都是明文存储,去哪儿、携程、社保等一众 App,都可以查看到名字和身份证号码、甚至社保 金融 卡,这并非难事。
另一个关键点在于,很多银行 App、金融 App 考虑的主要风控因子之一是 " 常用设备登录 ",如果是本机登录操作,一般会默认是机主本人,简单手机号码 验证码便可一路畅通无阻。
即便是支付宝这样风控意识较强的 互联网金融 软件,对方依旧可以通过 " 无需手动输入卡号,快速绑卡 ",一个简单的短信验证码验证就能形成巨大的破坏。
而在一些金融基因较弱、放贷并非核心业务的外卖服务、出行软件里,激烈的市场竞争让它们放宽了贷款限制,实名认证的人脸识别也很容易找到漏洞被绕过。
作为普通人,相比黑客利用漏洞攻击金融信息系统,更加害怕这些把每一项看似没问题的问题组合而成、让人防不胜防的犯罪。
互联网的世界里,手机与每个人的移动财产安全息息相关,透露你隐私的手机要上锁,会给人 " 开保险箱 " 的 SIM 卡更要上锁。
个人信息安全没有完美的护城河
2020 年,字节跳动旗下的抖音国际版 TikTok 在过去几个月里与美国政府的拉锯成为一大看点。
在美国对 TikTok 赤裸裸打压之际,以脸书(Facebook)为代表的美国 科技 巨头也加入其中,扎克伯格不仅在整个事件中推波助澜,甚至不乏对 TikTok 的抹黑—— TikTok 侵犯个人隐私,危害个人信息安全。
早在四年前,扎克伯格在 社交 软件上传了一张庆祝 Instagram 月度用户数量达到 5 亿的照片,眼尖的网友在这张照片中发现了扎克伯格的一个 " 秘密 " ——扎克伯格将自己使用的电脑摄像头和麦克风位置贴上了胶带。
考虑到 Facebook 一直以来都会通过收集用户数据方式进行盈利的事实,这一做法多多少少令人感到有些讽刺。
不过,保证个人信息隐私和信息安全并不是这些互联网大佬们的专利,对于被 " 收割 " 的普通人而言更是刻不容缓。
曾几何时,当我们下载手机 app 的时候,它不仅要你的电话、录音、短信、照片、GPS 定位等权限,甚至在使用前还要你点击一份免责声明,否者就拒绝提供产品和服务。
可当我们在同意的框框里打上一个个勾时却已经默许了把自己的个人隐私拱手让出去换取这些生活的便利。
此时,你不知道这些互联网企业到底是会 " 监守自盗 ",还是在危机来临前不堪一击。无论两种情况哪一个先到,对于个人而言都有可能被击倒。
诚然,这些年,很多银行和互联网平台都在寻求便捷性和安全性之间的平衡。但便捷是加分项、安全才是必答题。唯有守护好用户的 " 钱袋子 " 才能最终 " 得民心,得天下 "。
9 月 29 日,根据中国互联网络信息中心(CNNIC)发布的第 46 次《中国互联网络发展状况统计报告》数据显示,中国网民规模达 9.40 亿,超 20% 网民遭遇过个人信息泄露。这 1.88 亿不是个小数目。
10 月 13 日至 17 日,十三届全国人大常委会第二十二次会议在北京举行。个人信息保护法草案将提请本次会议审议。
万众瞩目的个人信息保护法终于姗姗来迟,但距离个人信息完全保护还有一段很长的路要走,法律的制定才是惩罚罪犯的开始。
来源:财经无忌 萧田