杨哥有个朋友今年双十一的时候给孩子买了一整年的奶粉,快递刚刚到,骗子就马上冒充是淘宝客服发短信给他说奶粉查出有质量问题,建议她退货。
说到这里,你应该知道这是最最普通的网络骗局,如果不是骗子跟他精准的核对了快递递单号,她也不会上钩,把支付宝账号给了骗子,现如今被骗的一万块是要不回不来了。所以我这个朋友就想知道骗子到底是怎么知道她的姓名、订单号和快递单号的。如今都已经是2021年,为什么这些电商平台都这么大了,还会被带着口音的骗子有机可乘,今天,杨哥在此给大家做一个简单的解读。
首先,这不是她一个人的会对此产生疑问,在2018年一整年,我国网民因为个人信息泄露造成的经济损失达到805亿元,只要骗子拿到足够精准的个人信息,不分年龄大小,不分学历高低,总会有人一不留神就上当,如果你也接到这样的电话,请在评论区留言,让大家也知道你遇到过的那些骗术,让大家感受一下骗子的业务范围有多广。
你的网购信息到底是怎么样泄露的?
为了解答这个问题,杨哥翻阅了许多资料以及咨询业内的一些专家,拆解复原出骗子获取你信息的全过程,所以杨哥建议把这篇文章收藏起来。首先来梳理一下从你在电商平台下单直到拿到快递,中间有哪些人能接触到你的信息。
首先是网购的第一个环节:电商平台,但在2021年电商平台泄露数据的可能性比较低,以目前几个大型电商平台的体量,从技术上攻克他们的安全体系很困难,如果有人办到了,那肯定是大新闻,但出问题的会不会是卖家?其实也不太可能,如果你接到骗子的电话,跟卖家核实的话,真正的客服会立刻告诉你,不要上当,因为出卖你的信息,相当于断掉他自己做生意。那么问题就出在电商和卖家交接这一环上,想要解放双手,提供打单效率,就必须依赖自动填写和打印快递单功能,以及虚拟产品自动发货功能,卖家总会用一些第三方的订单管理软件来帮助提工作效率,电商平台会向第三方软件提供api接口,让让让软件获得管理权限和一些主要信息,然后第三方软件开发商就根据接口开发对应的软件。
本就是实力那么强大电商平台,所以就成为了黑客主攻的薄弱环节,黑客可以轻而易举的找到某些软件的后门,在软件工作的过程中扫描所有订单信息,并打包下载,不过,光只有订单信息还不算是黑产,所谓黑色产业要满足三个要素:“一群人”、”用非法手段”、”获利”。
“盗取个人数据”属于黑产上游,直到实施欺诈才是完成黑产的整个流程。订单数据会被卖给诈骗团伙和营销团伙,现在市面上面上的网购订单数据价格在每条两块五左右上下浮动,一般的软件每天能够收集500到3000条订单数据,那么黑产团伙一天的收益大约就在1000到7000元左右,黑产收益竟然这么高,这比打工强多了,所以黑客们当然不可能只针对一个环节下手,所以在中国电商黑产业无孔不入。
网购的动作进入第三个环节,也就是用户信息进入物流系统以后也会暴露在信息泄漏的风险中。2018年一个神秘用户(ID:bijiaodiao1688)在暗网上发帖“出售顺丰三亿条快递物流独家数据”,打包售价为两个比特币,按当时市场价格计算,将近十万块,然而顺丰后面称这些数据并不是自己的数据,那到底是国内哪个大型快递公司?我们已经不得而知,但公司内部数据被拖库已经不是新件事。
什么是拖库,简单来说就是黑客找到系统漏洞,获得操作系统的权限,直接把整个数据库导出。如果拖库的是连锁酒店的信息,就能获得几亿条入住信息,包括手机、身份证号、入住时间、房间等;如果拖库的是微博(实际上微博在此之前已经被拖库过),后台数据库就能获得百万手机号绑定的账户名,密码,身份证号。然而,这并不是最后一步,在拖库完成通过后,下一步就是撞库攻击,也就是用收集到的用户名和密码,尝试登陆其他网站,比如电商平台、充值平台、金融系统等,这一步非常重要。
很多人为了习惯和方便记忆,通常会用同一套密码登陆所有网站,这就给黑客提供了方便,一旦得到了用户在一个平台的信息,就等于破解了他大部分平台的注册信息,这些信息黑客们可以放在社工库中直接变卖。姓名加手机号属于初级信息,千条大概50元左右,每个人的信息不过五分钱,但这些数据可以变得更值钱,不通过撞库,如果能拿到电商支付,金融账户,游戏账户等信息,价格也会逐级飙升,如果集齐身份证(正反面照)、手持身份证照、实名制SIM卡、相对应的银行卡信息这四要素信息,一条可以卖到200元以上,如果在此基础上还能拿到你的通讯录,价格就能变成500甚至更多,可笑的是,我们万分珍惜的个人信息在黑市上居然这么不值钱。就这样,这信息变成一条条可变卖的数据,一层层的分级往黑产下游流动,信息泄露后会被用来做什么,已经是不可控的事情,骗子靠这些信息能把那些初入职场的年轻人搜刮得负债累累,把靠着退休金过日子的老人诈得一干二净。
面对这些人,我们唯一能做的反抗可能就是扔快递盒子前涂掉个人信息,但是真的有人会为了搜集一两个人的信息,每天蹲在垃圾箱前减快递盒子嘛?黑产之所以暴力靠的电子商务的便利性赚钱,每一单赚得不多,但靠量取胜,所以快递面单虽然可以成为黑产信息的一部分,但效率太低,至此从平台商家再到物流以及完整的作案流程就摆在我们面前了:商家的第三方订单管理软件扫描所有的订单记录→你在这家店的购物信息泄露→物流公司的信息被拖库→你的快递信息泄露→你在其他网站的账户被拖库→骗子通过撞库得了你的常用密码→还可能推算得出你的手机银行密码,在中国互联网黑产的从业人员超过200万人,市场规模已达千亿。
可以确定的是,大多数互联网用户在某些人面前没有任何隐私可言,中国互联网协会发布的《中国网民权益保护调查报告》显示,在所有的互联网诈骗手段中,冒充客服,冒充银行等身份冒充类诈骗占比高达76.3%,每十个网民就8.2个受到个人信息泄露带来的伤害,你能想象在中国这样的互联网黑产的体量有多大吗?可以这么说,我们国家的IT技术不一定是最领先的,但我们的市场规模和技术手段毫无疑问的世界第一,为什么这么说?一个从事互联网安全的朋友告诉杨哥,中国的互联网平台每年达广告花费在八千亿以上下,他们被用来拉新用户、送优惠券、提高用户积极性,但其中的50%以上其实都打水票的,也就是说,每年的企业损失在4000亿左右,而这些就是拜网络黑产所赐,他们用偷来的个人信息批量注册账号、养手机卡、发垃圾广告、刷取厂商优惠资源,表现在生活中就是薅羊毛、刷单,这就是为什么很多大型互联公司年报上的数字很亮眼,但实际收益并不乐观。、
中国互联网经济发展太快了,导致风控先一步出现的漏洞,看当下黑产的大型攻击还是针对互联网新经济,不过可以稍微放心的是,中国大电商平台的安全防护还是能达到全球先进水平,但在安全保障下,还有一个不可忽视的漏洞,这个漏洞就是“人”,道理很简单,无论多么安全的信息系统也无法阻止有权限访问信息的人泄露信息。2017年初,央视曝光了一起数据泄露事件,其中包含了50亿条个人信息,而根据警方通报,嫌犯人就是某大型电商平台网络安全部的项目经理,在利益面前,总有人禁不起诱惑,从商家的客服小妹,再到快递公司物流专员,每一个大平台的运转,都是由一个个人组成,他们在接到黑产团队的电话时,总有一两个人放下的底线,说到这里,你可能明白了,最防不住的是人性。
那我们到底怎么样才能避免被黑产呢?
首先要明白你最该保护好的是两个东西,一个是手机卡,另一个是支付平台的密码。现在中国几乎所有的互联网平台兼容性的账户都会通过同一个“信物”来确认你的身份,那就是手机验证码。而手机验证码的三种途径会被诈骗团伙获得:一是复杂的非法手段拦截;二是从你的口中套取;第三种是盗取你的手机卡。
如果手机丢失,一定要在第一时间挂失手机卡,并多次查看是否被解除挂失的信息,同时,解绑所有银行卡。另外,你觉得你的密码强度高吗?有几个总结的世界上最常用的100个密码,各位用过123456的请留言。这就是问题所在,杨哥劝大家一句话,以后你的密码最少要准备两套常用登录密码和支付密码,尤其是支付密码一定不要用你的生日、父母男女朋友的生日等,密码与你个人的关联性越小越好,从这一点考虑出发,初恋的生日也许是不错的最稳妥的,因为你会默默放在心里,又不和任何人提起。
最后杨哥要说的是,如果你或者你的朋友受到过来自任何渠道、任何形式的互联网诈骗,请拨打12377,或登录www.12377.cn,这是国家网信办所属的中国互联网违法和不良信息举报中心,其接受并处理一切举报,我们可能无法阻止所有黑产诈骗,但只要张三敢把他黑产之手伸向我们爱的人,就必定为他打开牢狱之门。