在几年前,小黑收到快递之后做的第一件事,就是拿起手上的黑色白板笔,把所有的个人信息仔仔细细地涂掉,目的就是为了不让某些别有用心的人通过快递单获取小黑的个人信息。
这些别有用心的人取得我们的个人信息之后,基本都会用来做一些违法的用途,其中有很大一部分用途,就是诈骗。
为了防止个人信息的泄露,还有厂商专门推出了用来涂快递单信息的文具,虽说这一“商机”让人有些无奈,但也正说明了快递单确实是窃取用户信息的一个捷径。
不过,时至今日,通过快递单获取隐私的手段已经落伍了,取而代之的,是各种更新的手段。这些手段不仅“效率”更高、获取的隐私也不限于联系方式,因此对诈骗行为起到了进一步推波助澜的作用,整个“产业链”也就进一步升级了。
先别管快递单了,这些途径泄露隐私的“效率”更高
在泄露隐私方面,快递单上的个人信息是门槛最低的一种,但也是效率比较低的一种,毕竟一个小区里的住户一般最多也就几千户,一次能获取一两百户的个人信息已经很不容易了,更别提还要到脏兮兮的垃圾桶里去翻找。
在这种情况下,一些虽然“古老”,但门槛较高的隐私窃取技术,再一次浮现在人们的视野当中。
2011年11月,圆通快递“内鬼”事件引起了人们的关注。据报道,不法分子通过有偿租用圆通员工的系统账号*取盗**公民的个人信息,再将这些信息层层倒卖至不同下游的犯罪人员。
▲ 圆通速递在11月17日的回应
在这起“内鬼”事件中,超过40万条个人信息,包括收件人和发件人的姓名、地址、手机号码等遭到泄露。
而这,只是互联网时代个人信息“黑色产业链”中技术含量比较低、且最易通过技术手段追踪的,除此之外,“拖库”和“撞库”则是更“高端”的手法。
▲ 各种隐私泄露途径让普通人防不胜防
所谓拖库,简单地说就是指不法分子通过各种社会工程学手段、互联网技术手段非法获取数据库中的敏感信息。
举例来说,典型的拖库方式,是用各种方式查找网站的漏洞,并通过这些漏洞获取能够操作服务器系统的权限,最后再将数据导出到自己的电脑中。
拖库行为的发生,可以存在于网络使用的任何一个阶段。以网购为例,网购平台的订单、物流平台的快递单,都是不法分子的目标之一。
▲ 简单地说,就是把数据库拖到个人电脑
这里的网站漏洞,指的并不只是服务器的漏洞,也可能是服务器管理人员的人性漏洞,因此圆通的“内鬼”事件,也可以算是拖库的一种。
拖库可以独立存在,也可以通过后续的“撞库”来获取用户的更多个人信息。所谓撞库,也就是将已经取得的用户个人信息尝试登录其他网站,从而找出可以用来登录多个网站的账号。
▲ 撞库建立在不同网站都用同一密码的基础上
因为许多用户都没有在不同网站上设置不同密码的习惯,因此一旦服务器数据大量泄漏,用户在其他网站上的信息也极易被“一锅端”。
并且不同网站可能存储的用户信息也不同,例如酒店的会员系统储存了用户的姓名、手机号、身份证号,而网购平台则还会储存用户的住址等信息,在这种“隐私交叉泄漏”的情况下,一个密码的泄漏将很可能导致用户的隐私全方位地暴露。
拖库和撞库的最终目的,其实都是为了完成最后的“洗库”。
▲ 获取隐私的最终目的还是金钱
洗库要理解起来其实很简单,就是通过各种方式将有价值的用户数据变现。根据网上提供的资料,以网购订单数据为例,单条订单数据价格可以卖到2.5元,一般的数据抓取途径每天可以收集500~3000条订单数据。包含信息更多的个人资料,则可以卖得更贵。
购买了用户数据的不法分子,就可以利用诈骗电话、诈骗短信或是电商网站诈骗等形式骗取用户的金钱。
比较常见的诈骗方式有假装公安机关骗取用户汇款:
▲ 这种诈骗一般都会要求受害者支开家人
近年来还有一种诈骗手段也越来越流行,那就是冒充网购平台的客服。
当然,还有更多。
这些诈骗手段都利用了用户被泄露的个人信息数据,来让受害者对他们的话信以为真,最后自动将钱交给了诈骗者。
好在在铺天盖地的反诈骗新闻的报道之下,这些基于隐私泄露而实施的诈骗已经引起了越来越多的人们的关注,因此而中招的用户也越来越少。但事实上,那些不通过隐私实施的诈骗,藏得更深、人们的防备心理也越少。
我不需要知道你是谁,就已经骗走了你的钱
这些不依靠用户隐私的诈骗,这两年也因为一些案件而受到了广泛关注,比较知名的就有“卖茶女”类*局骗**。
这类*局骗**在前几年非常普遍,由此还衍生出了一系列类似的诈骗手段,例如通过假冒网游中的好友,叫你去玩某款其他网游,小黑自己也曾遇上过这类案例。只不过因为小黑玩的网游屈指可数,能在网游中称兄道弟的人更是一个都没有,才因此没有上当。
除此之外,网络交友、网上兼职等等,都是互联网诈骗的常见方式。
不过,接下来小黑要说的网络诈骗方式,是很多人都未曾遇到过的。但是,正因为未曾遇到过,也就更容易因此而上当受骗了。这种诈骗手段,简称“黑卡”。
这里所说的黑卡,并不是传说中没有额度限制的信用卡,而是通过黑色产业链获得的信用卡或是充值卡,这些黑卡绝大部分都来源于国外。
相比国内,西方许多国家的移动支付并不发达,人们日常购物都习惯使用信用卡支付,更重要的是,申请信用卡在那些国家也非常方便,只需要提供身份证明就可以。再加上诸如美国等一些国家,信用卡支付并不需要输入密码,网上支付需要输入的信息,除了手机号外也都可以在卡面上找到。因此就诞生了许多靠信用卡实施诈骗的人。
美剧《邪恶力量》中的温彻斯特兄弟就依靠伪造身份证维持生活。
因此,国外黑卡的来源可以说是相当广泛:伪造身份、冒名使用他人信用卡、偷窃得来的信用卡等等。
当然,盗刷信用卡本身并不是小黑要说的重点,因为这还只是属于金融犯罪的领域,小黑今天要说的重点,是利用这些黑卡在互联网实施的诈骗行为。
这一类诈骗行为主要发生在一些出售应用商店类平台的储值卡或虚拟物品的第三方店铺,受到影响最大的,就是知名的游戏平台Steam。
大致的黑卡交易流程是这样的:首先,不法分子使用各种途径得来的黑卡,购买平台上的充值卡或游戏,并用便宜的价格出售给用户,或是廉价帮助用户充值余额。
▲ Steam官方的提示内容
由于这些商品都是通过黑卡购买的,因此当信用卡被冻结或未按期还款之后,相应的资金无法结算给平台,平台也自然就会移除通过这些途径购买的商品,情节严重的还会直接封停用户的账号。
而对用户来说,*子骗**确实将商品出售给了你,在当时你也可以使用购买到的游戏或者应用,同时举证也非常困难,因此对大多数人来说都只能打落牙齿和血吞。
▲ 为此,淘宝在2017年初下架所有苹果充值卡
不只是Steam,相似的*局骗**还经常出现在App Store、Google Play等应用商店的代购储值卡上,由于诈骗方式的特殊性,哪怕商家号称可以提供实体充值卡,都无法完全规避其中的风险。
中了黑卡的招是一种什么样的体验?
作为一名资深Steam用户,P君就曾经多次与黑卡打过交道,也曾经中招过一次。
小黑与他在Steam上相识,并邀请到他来谈谈他与黑卡的那些往事。
Q:P君您好,给我们说说你与黑卡有些什么样的交集吧?
A:好。我第一次认识到黑卡,是在开始使用Steam后不久。当时的Steam还不支持国内的支付方式,我又没有国外的信用卡,因此就只能求助于代购。
Q:那些代购都是在哪里找到的?
A:基本上都是通过淘宝或者贴吧,特别是贴吧上,会有不少打折出售兑换码或是余额代购的人。
Q:那你对他们的代购流程有了解么?
A:我后来详细的了解过代购流程。淘宝上的代购分为几种,一种是通过与Steam有合作的网站获取CD-Key进行转卖,这种是比较安全的,因为就算用的是黑卡,那些网站也没办法到Steam去移除内容;另外一种是登录你的账号代激活,这种方式就非常危险了,相当于你把账号密码都公布给他们。
▲ 代激活需要提供你的账号密码给“客服”
还有一种就是通过站内礼品赠送的方式,这一种就要看了,因为有些是通过出售Steam的集换式卡牌获取的余额,这种是安全的,而另外一些是通过银行卡购买的,这就不是那么安全了。
Q:贴吧上的代购,你了解得多吗?
A:也算不少吧,他们基本都是通过一些慈善包网站(小黑注:即打包CD-KEY低价出售,收益大部分捐赠给慈善机构的网站)购买的慈善包,拆开来单独买赚取差价的。当然,里面也有一些*子骗**,不过后来国内一个著名的Steam论坛制作了一个反诈骗数据库,诈骗行为就少多了。
▲ 国内某论坛制作的反诈骗数据库
Q:您第一次找到代购的经历是怎么样的?
A:第一次从代购手上买游戏还算比较顺利吧,在购买之前先用百度搜索了一下,看好评还可以,就买了。当然,付完款、兑换到游戏之后我还是担惊受怕了好久,因为在买完之后我又深入地了解了一下,才知道有“黑卡”这一类的东西。不过过了很久都没有收到小红信(小黑注:提示商品移除或账号封停的私信),也就稍微放心了。
Q:所以第一次代购还是比较顺利的。
A:是的,后来就经常通过代购购买游戏了,主要还是因为代购价格便宜,所以哪怕以后支持支付宝付款了,有些游戏还是会通过代购买。
Q:那能不能说说看你碰到黑卡的经历是怎么样的?
A:当时正好有一款游戏刚刚推出,原价购买个人感觉不是很舍得,所以找了一家淘宝店铺购买。大概过了大半年吧,突然有一天在上线的时候收到了小红信,我当时整个人冷汗都下来了,因为这个账号前前后后花了我几万块钱吧,要是被封禁了我就真的不知道怎么办了。还好打开一看,只是那一款游戏被移除。
Q:在收到小红信之后,你总结出了什么经验吗?
A:最重要的经验就是尽可能去一些知名游戏网站的淘宝店铺进行购买,具体店铺我就不说了,总之虽然这些店铺的售价虽然没有那么低,但相比Steam上还是有些优惠的。另外,其实在这些店铺里挖掘的话,有时候还是会有惊喜的。
Q:关于反诈骗,你还有什么要对我们的读者说的吗?
A:其实只要坚信一句话就可以了:“天上不会掉馅饼”。大多数的*子骗**都会利用人们贪小便宜的心理,让你觉得可以用很便宜的价格买到东西。所以我们在货比三家的同时,一定还要看看价格有没有偏差太多,如果某个商家的售价比其他商家低很多,而且又不是官方店铺的话,那就一定有问题。
采访完P君,小黑对如今“与时俱进”的骗招又有了新的了解。不过如果总结一下,我们还是会发现骗术中的一些共同点,并得出反诈骗的一系列心得。
首先,就是不论冒充警察还是冒充客服联系我们,我们都只需要挂断后主动联系真正的警察和平台官方,就可以轻易拆穿*局骗**;
▲ 真的警察不会通过微信或电话告知公文内容
另外,在日常消费过程中,对价格过于奇怪的商品,也一定要敬而远之,毕竟任何商品都有一个合理的价格范围,价格过低或过高,都有可能掏空自己的钱包。
▲ 臭名昭著的华强北AirPods就是一例
即使是诸如“卖茶女”之类的*局骗**,我们也只需要抱定一个决心:坚决不把钱转给对方就足够了。
至于隐私泄露的问题,除了将每一张快递单涂黑之外,尽可能在不同网站设置不同密码、不同昵称,这是我们能做的最大努力。
随着科技的发展,*子骗**的手段也会日新月异,“遇事不决,量子力学”就是去年最新推出的骗术。
但防范*局骗**的手段始终都是一样的,总的来说,通过正规渠道获取资讯、购买商品,就可以避开绝大部分的诈骗。原理很简单:一个事物都无法经过官方渠道的验证,又怎么能验证它的真实性呢?