互聯(lián)網(wǎng)黑產(chǎn)收割普通人

2 評(píng)論 6356 瀏覽 4 收藏 11 分鐘

編輯導(dǎo)讀:我們隔三差五會(huì)收到詐騙電話或者短信,聲稱我們中獎(jiǎng)了或者親朋友好友出現(xiàn)意外要借錢。我們?cè)跓┎粍贌┑耐瑫r(shí),也在疑惑我們的信息是怎么被泄露出去的?如今人們與互聯(lián)網(wǎng)的接觸越來(lái)越緊密,很多個(gè)人信息都被暴露在網(wǎng)上,如何保護(hù)個(gè)人隱私成為一大難題。

幾天前,李昊接到了一通“詐騙”電話,現(xiàn)在想想都還有點(diǎn)后怕。

那天早晨,他接了一通來(lái)自家鄉(xiāng)鹽城的電話,這位自稱劉警官的男性用嚴(yán)肅且略帶恐嚇的語(yǔ)氣告訴他:

“你的一張銀行卡被查出參與了一場(chǎng)重大洗黑錢活動(dòng),請(qǐng)你務(wù)必當(dāng)天趕到重慶配合我們的調(diào)查,趕不到就要被判刑,如有疑問(wèn)可以幫你轉(zhuǎn)接重慶市公安局電話……”

李昊愣住了,以前經(jīng)歷的騙術(shù)都是“中了500萬(wàn)”,“商品好評(píng)免費(fèi)返現(xiàn)”,“路費(fèi)不夠回家”,這次竟然有“警察”親自找上門來(lái),一向遵紀(jì)守法的他直接掛了電話。

雖然拒接了電話,但他始終沒(méi)搞懂,為什么對(duì)方能夠如此清楚地說(shuō)出自己的姓名、籍貫、家庭住址甚至是銀行卡號(hào)和身份證號(hào)碼?

李昊的案例不是孤例。前不久,一名在安全行業(yè)浸淫10多年的“白帽子”,在妻子手機(jī)丟失之后,與黑產(chǎn)斗爭(zhēng)了一天一夜依然損失數(shù)千元。

值得深思的是,在移動(dòng)互聯(lián)網(wǎng)時(shí)代里,越來(lái)越多的個(gè)人隱私和資產(chǎn)與手機(jī)相裹挾,手機(jī)早已經(jīng)是個(gè)人移動(dòng)的“身份證”。當(dāng)手機(jī)逐漸承載整個(gè)移動(dòng)互聯(lián)網(wǎng)痕跡的時(shí)候,沒(méi)有人能獨(dú)善其身。

01 一場(chǎng)互聯(lián)網(wǎng)黑產(chǎn)和信息安全專家的較量

9月4日,一篇名為《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》在網(wǎng)絡(luò)上刷屏。文中老駱駝(作者網(wǎng)名)講述了家人手機(jī)丟失后,經(jīng)歷的一場(chǎng)盜刷事件。

當(dāng)日,“老駱駝”的老婆手機(jī)被偷,自以為手機(jī)帶找回功能的他沒(méi)有立即掛失手機(jī)卡。

誰(shuí)知就是當(dāng)時(shí)這樣一個(gè)看似不經(jīng)意的決定,后來(lái)引發(fā)了一場(chǎng)驚心動(dòng)魄的“戰(zhàn)爭(zhēng)”。

僅過(guò)了一個(gè)小時(shí),當(dāng)老駱駝在另一手機(jī)進(jìn)行“查找我的手機(jī)”功能時(shí)發(fā)現(xiàn),手機(jī)已經(jīng)距離丟失地幾十公里,最重要的是手機(jī)已經(jīng)被解綁。

慌張的他立刻致電服務(wù)商掛失手機(jī)卡,但此時(shí)電信服務(wù)密碼已經(jīng)不正確。通過(guò)驗(yàn)證身份證號(hào)碼加提供上個(gè)月聯(lián)系過(guò)的三個(gè)電話號(hào)碼進(jìn)行了掛失。

與此同時(shí),開(kāi)始采取緊急措施,聯(lián)系多家銀行凍結(jié)銀行卡,轉(zhuǎn)移支付寶和微信上的余額,贖回全部理財(cái)和活期存儲(chǔ)。

本以為這樣就可以萬(wàn)無(wú)一失,但偏偏對(duì)方非等閑之輩。很快,雙方就迎來(lái)了正面交鋒。

幾分鐘后,對(duì)方竟然解除了老駱駝的掛失,并開(kāi)始利用手機(jī)號(hào)和短信驗(yàn)證碼盜刷老駱駝妻子的銀行卡。覺(jué)察到情況不對(duì)的老駱駝陷進(jìn)了整整一晚不斷掛失、解掛的循環(huán)操作中。

最終,黑產(chǎn)利用手機(jī)號(hào)、身份證號(hào)和一張被他們遺漏忘記解綁的銀行儲(chǔ)蓄卡在美團(tuán)平臺(tái)借貸產(chǎn)生了 5000 元貸款,還在一張ETC 信用卡上產(chǎn)生了各種買卡、充值等消費(fèi)記錄上千元。

要知道,文章的作者是一名從事信息安全的的專家。毫不夸張地講,如果把故事的主角換成普通人,早就可能傾家蕩產(chǎn)了。

當(dāng)智能手機(jī)成為我們的錢包,幾乎綁定了我們的全部家當(dāng),手機(jī)失竊信息被盜已然成了比丟錢包更讓人擔(dān)心的事情。

02 靠人人跑,靠樹(shù)樹(shù)倒,只能靠自己

或許你會(huì)說(shuō),老駱駝的事件是孤例,這種小概率的事情絕對(duì)不會(huì)發(fā)生在我身上。可事實(shí)真是如此嗎?

某電商平臺(tái)上,解鎖手機(jī)屏幕的服務(wù)并不少見(jiàn),有賣家承諾:“解鎖大約需要1小時(shí),賬戶、ID全包,做好了可升級(jí)、刷機(jī)、可登錄賬戶、數(shù)據(jù)清空?!倍@一過(guò)程只要30分鐘,花費(fèi)160元。

當(dāng)丟失的手機(jī)被解鎖后,接下來(lái)才是噩夢(mèng)的開(kāi)始。

作為充分必要的條件,對(duì)方會(huì)在第一時(shí)間會(huì)致電運(yùn)營(yíng)商要求更改手機(jī)服務(wù)密碼,取得手機(jī)控制權(quán)。

這里就遇到了生活知識(shí)的盲區(qū),一般人常識(shí)性認(rèn)為掛失指的是帶上身份證去營(yíng)業(yè)廳解除掛失,但實(shí)際上這一操作直接可以電話進(jìn)行。

在老駱駝的案件里,雙方在掛失和解綁上面進(jìn)行了幾十次的交鋒,當(dāng)?shù)氐碾娦欧?wù)商竟因“情侶吵架為由”給對(duì)方多次遠(yuǎn)程解綁,更令人震驚的是,后者在無(wú)計(jì)可施之下進(jìn)行了呼叫轉(zhuǎn)移,幸好當(dāng)事人及時(shí)發(fā)現(xiàn)。

更改手機(jī)密碼的前提條件是,需要使用本機(jī)號(hào)碼撥打客服電話,提供姓名、身份證號(hào)碼進(jìn)行重置。

問(wèn)題是,這些信息你的手機(jī)里都有,更確切地說(shuō)是你的手機(jī)軟件里都有。

由于身份證信息在大多數(shù)網(wǎng)站都是明文存儲(chǔ),去哪兒、攜程、社保等一眾App,都可以查看到名字和身份證號(hào)碼、甚至社保金融卡,這并非難事。

另一個(gè)關(guān)鍵點(diǎn)在于,很多銀行App、金融App考慮的主要風(fēng)控因子之一是“常用設(shè)備登錄”,如果是本機(jī)登錄操作,一般會(huì)默認(rèn)是機(jī)主本人,簡(jiǎn)單手機(jī)號(hào)碼+驗(yàn)證碼便可一路暢通無(wú)阻。

即便是支付寶這樣風(fēng)控意識(shí)較強(qiáng)的互聯(lián)網(wǎng)金融軟件,對(duì)方依舊可以通過(guò)“無(wú)需手動(dòng)輸入卡號(hào),快速綁卡”,一個(gè)簡(jiǎn)單的短信驗(yàn)證碼驗(yàn)證就能形成巨大的破壞。

而在一些金融基因較弱、放貸并非核心業(yè)務(wù)的外賣服務(wù)、出行軟件里,激烈的市場(chǎng)競(jìng)爭(zhēng)讓它們放寬了貸款限制,實(shí)名認(rèn)證的人臉識(shí)別也很容易找到漏洞被繞過(guò)。

作為普通人,相比黑客利用漏洞攻擊金融信息系統(tǒng),更加害怕這些把每一項(xiàng)看似沒(méi)問(wèn)題的問(wèn)題組合而成、讓人防不勝防的犯罪。

互聯(lián)網(wǎng)的世界里,手機(jī)與每個(gè)人的移動(dòng)財(cái)產(chǎn)安全息息相關(guān),透露你隱私的手機(jī)要上鎖,會(huì)給人“開(kāi)保險(xiǎn)箱”的SIM卡更要上鎖。

03 個(gè)人信息安全,沒(méi)有完美的護(hù)城河

2020年,字節(jié)跳動(dòng)旗下的抖音國(guó)際版TikTok在過(guò)去幾個(gè)月里與美國(guó)政府的拉鋸成為一大看點(diǎn)。

在美國(guó)對(duì)TikTok赤裸裸打壓之際,以臉書(Facebook)為代表的美國(guó)科技巨頭也加入其中,扎克伯格不僅在整個(gè)事件中推波助瀾,甚至不乏對(duì)TikTok的抹黑——TikTok侵犯?jìng)€(gè)人隱私,危害個(gè)人信息安全。

早在四年前,扎克伯格在社交軟件上傳了一張慶祝Instagram月度用戶數(shù)量達(dá)到5億的照片,眼尖的網(wǎng)友在這張照片中發(fā)現(xiàn)了扎克伯格的一個(gè)“秘密”——扎克伯格將自己使用的電腦攝像頭和麥克風(fēng)位置貼上了膠帶。

考慮到Facebook一直以來(lái)都會(huì)通過(guò)收集用戶數(shù)據(jù)方式進(jìn)行盈利的事實(shí),這一做法多多少少令人感到有些諷刺。

不過(guò),保證個(gè)人信息隱私和信息安全并不是這些互聯(lián)網(wǎng)大佬們的專利,對(duì)于被“收割”的普通人而言更是刻不容緩。

曾幾何時(shí),當(dāng)我們下載手機(jī)app的時(shí)候,它不僅要你的電話、錄音、短信、照片、GPS定位等權(quán)限,甚至在使用前還要你點(diǎn)擊一份免責(zé)聲明,否者就拒絕提供產(chǎn)品和服務(wù)。

可當(dāng)我們?cè)谕獾目蚩蚶锎蛏弦粋€(gè)個(gè)勾時(shí)卻已經(jīng)默許了把自己的個(gè)人隱私拱手讓出去換取這些生活的便利。

此時(shí),你不知道這些互聯(lián)網(wǎng)企業(yè)到底是會(huì)“監(jiān)守自盜”,還是在危機(jī)來(lái)臨前不堪一擊。無(wú)論兩種情況哪一個(gè)先到,對(duì)于個(gè)人而言都有可能被擊倒。

誠(chéng)然,這些年,很多銀行和互聯(lián)網(wǎng)平臺(tái)都在尋求便捷性和安全性之間的平衡。但便捷是加分項(xiàng)、安全才是必答題。唯有守護(hù)好用戶的“錢袋子”才能最終“得民心,得天下”。

9月29日,根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的第46次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》數(shù)據(jù)顯示,中國(guó)網(wǎng)民規(guī)模達(dá)9.40億,超20%網(wǎng)民遭遇過(guò)個(gè)人信息泄露。這1.88億不是個(gè)小數(shù)目。

10月13 日至 17 日,十三屆全國(guó)人大常委會(huì)第二十二次會(huì)議在北京舉行。個(gè)人信息保護(hù)法草案將提請(qǐng)本次會(huì)議審議。

萬(wàn)眾矚目的個(gè)人信息保護(hù)法終于姍姍來(lái)遲,但距離個(gè)人信息完全保護(hù)還有一段很長(zhǎng)的路要走,法律的制定才是懲罰罪犯的開(kāi)始。

 

作者:蕭田,微信公眾號(hào):財(cái)經(jīng)無(wú)忌

來(lái)源:https://mp.weixin.qq.com/s/GC_q8ItsFzPByJcW6Ny78g

本文由 @財(cái)經(jīng)無(wú)忌 授權(quán)發(fā)布于人人都是產(chǎn)品經(jīng)理,未經(jīng)許可,禁止轉(zhuǎn)載。

題圖來(lái)自 Unsplash,基于CC0協(xié)議。

更多精彩內(nèi)容,請(qǐng)關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號(hào)或下載App
財(cái)經(jīng)無(wú)忌
我們更懂中國(guó)商業(yè)
28篇作品 101307總閱讀量
01-104071 瀏覽
為什么MCN都在做自有品牌?輸?shù)枚?,贏得少?
12-053356 瀏覽
漲價(jià)真的能救SaaS于水火嗎?
02-084316 瀏覽
ChatGPT火爆:AI消滅平庸?
07-192429 瀏覽
一文讀懂基金估值全貌之 “財(cái)務(wù)篇”
04-142546 瀏覽
產(chǎn)品重構(gòu)之旅回顧——“一場(chǎng)取精華、棄糟粕的產(chǎn)品革命”
評(píng)論
評(píng)論請(qǐng)登錄

  1. 挺不錯(cuò)

    回復(fù)

  2. 有點(diǎn)東西

    來(lái)自浙江 回復(fù)