新技术加速隐私暴露，我们该怎么办？（三）

系列第一篇：

Kevin Zhang：新技术加速隐私暴露，我们该怎么办？（一）

系列第二篇：

Kevin Zhang：新技术加速隐私暴露，我们该怎么办？（二）

黑产相关技术给隐私保护带来的挑战

黑产相关技术虽然并不属于金融科技的范畴，但是它伴随金融科技而生，并且对个人隐私产生非常严重的危害。下文将对常见的黑产技术及攻击方式进行介绍。

1. 木马及病毒

危害最大的方式仍然是木马和病毒，通过这种方式，攻击者可以控制或损害用户的设备，造成用户的直接资产损失或通过勒索达到目的。PC端通常通过恶意网站、垃圾邮件、U盘中附带的恶意程序来达到控制用户设备的目的，手机端则是通过恶意App、恶意网站（或二维码）或者直接通过充电线连接手机（通常通过免费手机充电等设备实施攻击），引诱用户打开USB调试模式，进行攻击。造成直接资产损失的案例数不胜数，通过勒索达到目的的案例有臭名昭著的比特币勒索病毒WannaCry。

2. 中间人攻击

随着用户安全意识的提高，木马及病毒的成功率逐渐降低，中间人攻击更容易达到效果。中间人攻击（英语：Man-in-the-middle attack，缩写：MITM）在密码学和计算机安全领域中，是指攻击者与通讯的两端分别建立独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。[1]

通过中间人攻击，黑客想在不被用户感知的情况下，获取用户的隐私信息，包括但不限于：姓名、证件号、密码、短信验证码、金融账户信息、照片等等，攻击手段多种多样，常见的有：

通过虚假wifi，受害者设备连接后上网流量对攻击者透明，如果有网站使用明文传输卡号、密码等信息，则会被攻击者截获；

伪基站+短信嗅探，通过伪基站“吸附”2G状态的手机，并嗅探对应手机接收到的所有短信[2]。目前很多金融、支付类App，为了提升用户体验，小额支付通常采用免密或短信验证码单因素验证，加上反欺诈规则薄弱，无法识别陌生设备登录，黑产可以通过小额多次交易来盗刷客户的账户。

钓鱼网站，通过模拟一个和真实的银行网银一模一样的虚假网站，引诱用户输入账号、登录密码、交易密码、短信验证码，同时将相关信息填入真正的银行网站，转账给目标账户，达到盗取客户资产的目的。钓鱼网站从界面上与原版网站完全一致，区分方法主要是通过网址，黑产通常也会把网址设置为与原版网站高度一致，比如http://www.1001O.com。

太阳底下没有新鲜事，今年3月虚拟币交易所币安被攻击，也是通过钓鱼网站开始的。[3]

图1 币安的钓鱼网站（图片来自https://new.qq.com/rain/a/20180503A0BLTQ）

3. 社会工程学

通过以上手段很有可能仍然无法获取足够的信息，此时就要借助社会工程学来进行进一步的攻击。在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。[4]

在社会工程学的开山鼻祖凯文·米特尼克的《欺骗的艺术》一书中，举了一个社会工程学的经典案例，负责开发电汇交易备份系统的斯坦利·马克·瑞夫金偷看到了电汇交易员为了图省事写在纸片上的交易密码，随后通过伪装成银行工作人员像电汇交易员发起汇款指令，获利超过一千万美元。[5]

现在的系统复杂度不可能通过如此简单的办法进行破解，但是社会工程学的思路通过上例已经充分展现了，即利用人的认知偏差，让受害者自行提供相关的敏感信息。比如常见的电信诈骗，利用人们畏惧权威的心理，攻击者通过伪装成法院、公安人员，威胁受害者转账到指定账户，或伪装成高校老师，威胁受害学生转学费到指定账户等，通常目标是青少年和中老年。

为了利用人们一套密码多处使用的习惯，黑客建立了很多“社工库”，通过社工库可以查询被泄露的网站用户名密码，获取这些隐私数据的过程叫做“拖库”，使用这些用户名密码尝试登陆其他网站的过程叫做“撞库”，如果客户使用一套用户名密码登陆多个网站，则容易被撞库攻击，并且获取多个网站的相关信息，可能包含姓名、手机号、邮箱地址、证件号、金融账户信息等等，造成难以估量的损失。

举一个社工库的例子，为避免造成不好的影响，具体地址我就不放了，大家可以在搜索引擎里尝试搜索。里面包括了几次比较重大的数据泄露事件泄露出的数据，其中包括某易邮箱，某商城和某书城看链接名字就能猜到（某东和某当），大家可以尝试用一个非敏感信息查询，比如邮箱或账号，看看自己的数据是否被泄露过，比较麻烦的是密码，如果看到自己的邮箱关联出一个常用明文密码，尽快把所有用过这个密码的地方都改掉。需要注意的是，这个网站本身就可能钓鱼，比如，同一IP、Cookie，查询了一套姓名、手机号、邮箱，这本身就是一套用户主动泄露的隐私，这也是为什么数据玩家建议大家用非敏感信息来查询。风险常在，警钟长鸣。

图2 某社工库

一个完整的社工案例可以参见：

https://www.shangyexinzhi.com/article/details/id-253080/

帮大家简单总结一下路径：网站客服QQ->社工库获取密码->密码为常用密码被彩虹表破解->密码推测常用ID->全网搜索ID->获取常用QQ->腾讯微博获取身份证号（关键）->邮箱作为支付宝账号获取姓名->黑产工具通过二要素获取身份证照片->黑产工具获取手机号->QQ号域名反查获取个人网站->个人网站原图获取EXIF信息->EXIF信息获取GPS定位->完成。

这个案例是白帽子为了追回被骗资金获取个人信息，在交涉时起到威慑作用，如果用来做其他事情呢？

如果不是威慑，而是伪装成亲友借钱呢？

或者伪装成公安、司法、刑侦要求你转账到安全账户呢？

毕竟你的信息对方一清二楚，你可能也会怀疑自己的判断，可能今后还有层出不穷的骗局出现，源头都是隐私信息的泄露。

因此，最关键的还是在源头保护好自己的隐私，防止自己的隐私数据在黑市上流转。

4. 隐私数据的变现

还记得第二篇里的小明吗，假设我们获取了小明的四要素，能做什么呢？

1. 直接出售，通过暗网或者黑市，一套四要素大概在数十元至数百元不等，由更专业的黑客筛选、购买。低水平黑客看量不看质，只注重获取的信息数量，通过倒卖大批量数据获利。而高水平黑客则相反，则筛选高价值的信息，即寻找高价值的个人信息单点突破，目标是单个个体的账号入侵、资金盗取。
   
2. 隐私数据被专业的黑产团伙购买后，可以进行体系化、产业化的获利与变现。
   他们分工明确，有专门的漏洞发现团队，寻找各互联网平台的漏洞；
   专门的数据采购团队，负责采购泄露的隐私数据；
   专门的工具团队，负责研发黑产工具；
   专门的攻击团队，实施攻击和欺诈。
   
   在无法获取短信验证码的情况下，主要是利用新平台的营销获客活动漏洞，注册平台账号获取营销费用，甚至注册某些银行的直销银行开立二类户。
   
   是的，有些平台为了快速冲量，短信验证码都不验，甚至平台的市场部或者运营部关键岗位和黑产勾结，让黑产用买来的四要素帮平台冲量，黑产赚取营销费用，市场运营完成KPI，投资人看到高增长，皆大欢喜。
   此情况下仍然是以大量账户的控制为主，单个账户的获利较少。
   
3. 假设黑产通过钓鱼网站、木马、伪_基_站设备吸附等手段，截获了短信验证码，那损失就不可控了。
   
   除了可以想到的所有银行账户、支付宝、微信余额被转移之外，危害更大的是通过支付通道购买虚拟物品变现，特别是利用信_用_卡、花呗、借呗、微粒贷等产品，形成大量透支余额和借款。
   
   甚至，通过新开立二类户，用二类户注册各类网贷平台下款，一般的小贷平台开户下款完全没问题（目前具备五要素验证，即验证账户是否二类户的平台少之又少），更不用说714高炮了，下款到二类户以后，通过购买虚拟商品套现。
   幸运的是央行为了防止二类户盗用风险，限制了二类户的单笔单日消费金额，所以损失相对可控。
   
4. 更麻烦的情况是，遇到更专业的黑产团伙，会通过各类网赚平台，招募代开账户的人，要求是：
   长得和他们买到的身份证上的人比较像。
   其实也不用长得太像，本来身份证照片和本人就有一定差距，加上很多四五六线小城市电信营业厅、银行网点审核不严，所以完全可以用身份证复印件，甚至临时身份证开出N个手机号吗，甚至一张一类银行卡。
   后面的事情就难以想象了。
   
   万幸，现在银行网点开户过程中，人脸识别逐渐普及，甚至开手机卡也要人脸识别了[6]，这类线下的欺诈手段逐渐会消亡。
   不过信息仍然会流转到电信诈骗团伙的手中，大家应该也听过不少电信诈骗的案例，此处不再赘述。

各方应对措施

随着消费者隐私保护意识的逐渐增强，相关法规的密集出台，隐私保护的整体趋势越来越严。换个角度看，在如此严格的保护下获取的个人隐私数据，具有更大的商业价值，黑产只会更加蠢蠢欲动，因为造成的损害越大，黑产获利越高。在这种趋势下，个人、企业、监管机构应该如何应对？

个人应对措施

对于个人用户而言，妥善保管自己的账号、密码、证件及设备，不同账户采用不同的账号/密码，重要账户的密码最好能够定期更改。安装软件或手机应用时，应选择可信的渠道，不随意打开垃圾邮件、垃圾短信或扫描不可信的二维码。

除了比较关键的App或平台，尽量不使用手机号登录，关闭微信、支付宝等【通过手机号找到你】【通过QQ号找到你】【通过邮箱找到你】等功能，如果有人想转账给你，发给他你的收款码即可，实在不方便也可以临时打开相关功能。

不同网站尽量使用不同的邮箱注册和关联，可以分享的小技巧是：

Gmail邮箱在中间任意加英文句号”.”算作别名，和不加之前是等价的，比如abc@gmail.com和a.b..c.@gmail.com是一个邮箱，发往这两个地址的邮件都会被收到，但是可以用这两个甚至更多类似的邮箱注册不同的平台。

另外，有的邮箱提供别名功能，比如Outlook，也可以达到类似效果，甚至更好。

社交平台生日避免提供自己真实生日，因为它是你身份证号的一部分。同时，也避免在社交平台发布自己生日的信息，或者避免陌生人看到这些信息。

谨慎提供个人信息，不管是遇到以中奖、威胁等各类理由有意套取的陌生人，还是对无法验证身份的熟人；自己主动在社交媒体分享也要格外小心，特别是照片、位置、截屏等信息，拍照的时候关掉定位，开启定位会让你的照片EXIF信息中包含GPS地址；机票、火车票、购物小票等也需要做模糊处理，最好还是避免晒出这些信息。

谨慎提供手机应用授权，仅提供必需的授权。尽可能选择持牌金融机构接受金融服务，其他行业则尽可能选择行业头部的知名机构。

现在流量便宜了，别蹭免费WIFI，甚至不要经常打开手机的WIFI开关，因为路由器可以协助定位，你的手机能接收到哪些WIFI信号，以及这些信号的强度，也可以定位出你的精确位置。

当然，隐私泄露的关键，不在于个人是否愿意授权机构采集自身数据，而在于机构是否能够妥善保管隐私数据。过于在意个人隐私，拒绝一切需要提供个人信息的服务，在当下也会造成诸多不便。只有让渡部分个人信息，才可能让企业为个人提供更精准和优质的服务。每个人都需要在提供个人信息以享受更好的个性化服务，与保护个人隐私之间寻求一个平衡。

未完待续……

欢迎关注我的公众号获取第一时间更新：

一个数据玩家的自我修养

——————————————————————————

[1]维基百科“中间人攻击”词条，https://zh.wikipedia.org/zh-hans/%E4%B8%AD%E9%97%B4%E4%BA%BA%E6%94%BB%E5%87%BB

[2]终结诈骗，“利用伪基站捕获手机号，借短信嗅探，原来网银盗刷都是这么玩的”，https://new.qq.com/omn/20180809/20180809A1U6JP.html

[3]张林成，“币安回应黑客攻击事件：无法实现交易回滚”，https://cn.technode.com/post/2018-03-08/binance-heike/

[4]维基百科“社会工程学”词条，https://zh.wikipedia.org/zh-hans/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6

[5][美]米特尼克,[美]西蒙：《反欺骗的艺术》，潘爱民译，清华大学出版社2014年版，第12页

[6]工信部持续加强电话用户实名登记管理工作维护公民网络空间合法权益,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057728/c7448683/content.html