這些“陷阱” 你能否一一識(shí)破

蔡文清

互聯(lián)網(wǎng)時(shí)代的到來(lái)使我們每個(gè)人都處于信息的洪流之中，這其中就藏著一雙雙狡詐的眼睛，他們隨時(shí)盯著你的一舉一動(dòng)，看準(zhǔn)時(shí)機(jī)便伸出罪惡之爪。你不經(jīng)意泄露的每條信息，都可能成為他們的目標(biāo)。他們把這些信息收集起來(lái)，就能對(duì)你進(jìn)行完整的畫(huà)像，為你定制專(zhuān)屬騙局，試圖榨干你身上的每一絲價(jià)值。在此大背景下，我們必須加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，一點(diǎn)一點(diǎn)加以防范，努力填補(bǔ)自己在信息使用方面知識(shí)的不足，才有可能安全自保。

詐騙電話(huà)是怎么進(jìn)行偽裝的

山東女孩徐玉玉遭遇詐騙電話(huà)后不幸身亡，曾引發(fā)社會(huì)的廣泛關(guān)注。有一部叫做《巨額來(lái)電》的電影曾披露過(guò)電信詐騙的內(nèi)幕，詐騙電話(huà)的背后有著一整套分工流程，每個(gè)流程的實(shí)施者也都有著相應(yīng)的稱(chēng)呼──菜商、卡頭、話(huà)務(wù)員、車(chē)手、水房等?！安松獭背鍪酃裥畔?，“卡頭”辦理用于轉(zhuǎn)賬的銀行卡，“話(huà)務(wù)員”一般分為一線(xiàn)話(huà)務(wù)員和二線(xiàn)話(huà)務(wù)員，在這條撥打詐騙電話(huà)的流水線(xiàn)上，前者負(fù)責(zé)開(kāi)場(chǎng)，后者緊跟收網(wǎng)，“車(chē)手”負(fù)責(zé)集中提取賬款，“水房”負(fù)責(zé)洗錢(qián)。

當(dāng)你的個(gè)人信息被騙子拿到后，類(lèi)似這樣的電話(huà)就來(lái)了：“喂，您好，這里是社保局，您辦理的社?？ㄉ婕岸嗉裔t(yī)院騙保，社保局現(xiàn)將凍結(jié)您的醫(yī)?？ㄙ~號(hào)……”“喂，您好，我是公安局刑偵支隊(duì)民警，由于您的身份信息泄露，其名下銀行卡涉及洗錢(qián)等犯罪活動(dòng)……”

有受騙事主稱(chēng)，在接到一自稱(chēng)法院公證室的男子電話(huà)后，對(duì)方以需要繳納無(wú)犯罪保證金、辦理加急結(jié)案手續(xù)費(fèi)等理由為名先后騙取了自己200余萬(wàn)元。事主回憶稱(chēng)，自己一開(kāi)始還很警覺(jué)，但仔細(xì)看過(guò)手機(jī)上顯示的電話(huà)號(hào)碼后，就逐漸放松警惕了：“騙子打來(lái)的電話(huà)顯示的就是社保局、公安、法院的電話(huà)號(hào)碼啊?！?/p>

在這樣的電信詐騙鏈條中，騙子使用到的工具是改號(hào)軟件。網(wǎng)絡(luò)安全極客、《一本黑》的作者東東做了一個(gè)實(shí)驗(yàn)，他在網(wǎng)絡(luò)上通過(guò)關(guān)鍵詞搜索很容易就找到了販賣(mài)改號(hào)軟件的，用120元買(mǎi)了軟件，開(kāi)戶(hù)后里面竟然還有30元話(huà)費(fèi)可以用。東東嘗試了一下，通過(guò)這種軟件可以將手機(jī)號(hào)修改成任意的11位號(hào)碼，撥打這種電話(huà)的費(fèi)用也只要每分鐘0.95元。

為什么撥打出去的電話(huà)號(hào)碼可以修改為任意的號(hào)碼？東東說(shuō)，改號(hào)軟件其實(shí)就是一種網(wǎng)絡(luò)電話(huà)，而來(lái)電顯示就相當(dāng)于一個(gè)數(shù)據(jù)包，在通訊過(guò)程中這些數(shù)據(jù)是可以被修改的。

實(shí)際上，這種改號(hào)軟件修改號(hào)碼主要是通過(guò)一個(gè)中間IP平臺(tái)或者轉(zhuǎn)換器來(lái)實(shí)現(xiàn)的，也就是說(shuō)這類(lèi)通話(huà)并不是通過(guò)點(diǎn)對(duì)點(diǎn)式直撥電話(huà)來(lái)實(shí)現(xiàn)的，中間存在一個(gè)“傳話(huà)人”，這個(gè)“傳話(huà)人”才有修改號(hào)碼的權(quán)限。而通訊運(yùn)營(yíng)商根本無(wú)法識(shí)別這種非法的改號(hào)技術(shù)，所以也就不能對(duì)這種被改過(guò)的號(hào)碼進(jìn)行攔截或屏蔽。

針對(duì)這種經(jīng)過(guò)改號(hào)軟件修改過(guò)號(hào)碼的來(lái)電該如何辨別呢？東東說(shuō)，最簡(jiǎn)單的方式就是回?fù)?。假如?duì)方的來(lái)電是通過(guò)改號(hào)軟件修改過(guò)的，只要按照顯示的號(hào)碼回?fù)苓^(guò)去，對(duì)方是無(wú)法接聽(tīng)的。

一張照片也會(huì)暴露所有信息

前段時(shí)間引爆網(wǎng)絡(luò)的“霸座男”事件讓人們領(lǐng)略了人肉搜索的威力，而如今人肉搜索已經(jīng)不新鮮了，取而代之的是人臉?biāo)阉鳌?/p>

極客“我堂堂一個(gè)熊貓”說(shuō)，現(xiàn)在有一種搜索引擎，放上一張你的照片，就可以找到所有你發(fā)布過(guò)照片的社交媒體賬號(hào)。如一家新加坡企業(yè)就推出了一款基于人臉識(shí)別的情報(bào)搜索工具，只要輸入一張人臉照片和姓名，就能找到領(lǐng)英、推特、臉書(shū)、Google+、Instagram、微博、豆瓣等數(shù)個(gè)社交媒體上的該照片用戶(hù)的主頁(yè)。這個(gè)軟件還會(huì)綜合這些社交媒體的內(nèi)容出具報(bào)告，報(bào)告中會(huì)包含性別、年齡、所在地、電子郵箱等很多個(gè)人信息。還有一種App更為可怕，只需一張照片，就可以獲知面孔主人在公開(kāi)互聯(lián)網(wǎng)上的所有信息。除了這兩款A(yù)pp，F(xiàn)acebook的DeepFace目前也已經(jīng)能實(shí)現(xiàn)將人臉圖片和社交網(wǎng)站用戶(hù)精準(zhǔn)匹配?？傊四?biāo)阉鞑⒉皇腔孟?，而是真真切切地發(fā)生在我們身邊。

“我堂堂一個(gè)熊貓”說(shuō)，人臉?biāo)阉魉鶐?lái)的危害不僅僅是隱私暴露，隱私的暴露往往只是開(kāi)端，真正的影響來(lái)自人臉?biāo)阉鬟@種人力無(wú)法完成的事情在變得輕而易舉之后，所產(chǎn)生的蝴蝶效應(yīng)。比如犯罪分子進(jìn)行詐騙時(shí)，偷偷拍下一張目標(biāo)受害者的照片，然后進(jìn)行人臉?biāo)阉?，從而通過(guò)微博、豆瓣等獲知對(duì)方的隱私信息，再偽裝成很久沒(méi)有聯(lián)系過(guò)的老熟人，以此博得受害者的信任。

如何應(yīng)對(duì)這種人臉?biāo)阉髂?？“我堂堂一個(gè)熊貓”說(shuō)，首先要提升網(wǎng)絡(luò)安全意識(shí)，別隨便就發(fā)自拍。同時(shí)社交媒體網(wǎng)站也有責(zé)任提醒用戶(hù)，個(gè)人照片的發(fā)布有可能存在被人臉?biāo)阉鞯娘L(fēng)險(xiǎn)。此外，也可以從技術(shù)手段進(jìn)行防范，例如社交媒體可以設(shè)置權(quán)限，防止人臉圖像被第三方“爬蟲(chóng)”抓取。

另外，有些軟件對(duì)惡意的人臉?biāo)阉魈崆斑M(jìn)行了預(yù)防，比如前面提到過(guò)的Facebook的DeepFace，一旦有用戶(hù)照片被他人上傳，軟件就會(huì)對(duì)用戶(hù)進(jìn)行提醒，用戶(hù)可以選擇申訴侵犯隱私，要求刪除照片，或是為自己的面孔打碼。在某種程度上講，這也算是保護(hù)自己隱私，逆向防范人臉?biāo)阉髁恕?h3>網(wǎng)絡(luò)密碼怎么輕易被破解了

互聯(lián)網(wǎng)時(shí)代，賬號(hào)相當(dāng)于一道門(mén)，而密碼就是鑰匙?，F(xiàn)實(shí)生活中，大多數(shù)人QQ、微信、電商平臺(tái)等賬號(hào)都使用同一個(gè)密碼，這也就導(dǎo)致了只要知道你其中的一個(gè)密碼，那么你其他平臺(tái)的密碼也就形同虛設(shè)。

網(wǎng)絡(luò)安全極客東東說(shuō)了這樣一件事。小李接到聲稱(chēng)是一家電商平臺(tái)客服的電話(huà)，說(shuō)其購(gòu)買(mǎi)的產(chǎn)品有質(zhì)量問(wèn)題，為不影響其購(gòu)物體驗(yàn)，平臺(tái)已為其辦理了退款手續(xù)，并愿以3倍的價(jià)格做出賠付，還發(fā)給小李一個(gè)賠付鏈接。小李開(kāi)始挺警惕，覺(jué)得可能是詐騙電話(huà)，但電話(huà)那頭的“客服”卻不急不躁：“先生，我們已經(jīng)為您辦理了退款手續(xù)，您可以登錄自己平臺(tái)的賬號(hào)進(jìn)行查看，平臺(tái)已經(jīng)為您上傳了賠付入口，只要點(diǎn)擊申請(qǐng)即可獲得我們平臺(tái)的3倍賠付。”小李帶著疑惑登錄了自己的平臺(tái)賬號(hào)，果真在訂單頁(yè)面看到了“退款中”3個(gè)字。并在自己的收貨地址處看到了“客服”所說(shuō)的賠付入口。于是徹底打消了疑慮的小李按照“客服”的指示進(jìn)入所謂的“賠付入口”，輸入了自己的各種賬號(hào)密碼。最終小李的賬號(hào)被盜刷。

所謂的“客服”到底是如何成功釣到小李的敏感信息的呢？東東說(shuō)，在黑客技術(shù)里有兩個(gè)專(zhuān)有詞匯──“拖庫(kù)”和“撞庫(kù)”。黑客用技術(shù)手段入侵一個(gè)防護(hù)性能比較低的網(wǎng)站或平臺(tái)，取得大量用戶(hù)賬號(hào)和密碼的行為，就叫做“拖庫(kù)”。然后拿這些賬號(hào)和密碼到其他網(wǎng)站，例如支付寶、QQ、微信、淘寶等進(jìn)行批量嘗試登錄的行為，就叫做“撞庫(kù)”。撞庫(kù)時(shí)，只要匹配成功，黑客就可以把這些賬號(hào)數(shù)據(jù)販賣(mài)給詐騙團(tuán)伙，然后對(duì)賬號(hào)的主人進(jìn)行精準(zhǔn)詐騙。這是黑客竊取個(gè)人信息最常用的手法之一，而且只要拿到一批可以登錄的用戶(hù)賬號(hào)和密碼，就可以盜取更多的個(gè)人信息。

東東說(shuō)，對(duì)那些總愛(ài)在不同網(wǎng)站或平臺(tái)使用同一個(gè)密碼的人來(lái)說(shuō)，黑客只要知道其中的一個(gè)密碼，那么你的其他平臺(tái)也就大門(mén)頓開(kāi)了。

有時(shí)登錄一個(gè)賬號(hào)，光有手機(jī)號(hào)碼還不夠，還需要填寫(xiě)短信驗(yàn)證碼。對(duì)這種情況，東東說(shuō)，有的平臺(tái)針對(duì)驗(yàn)證碼沒(méi)有做防護(hù)策略，即驗(yàn)證碼沒(méi)有時(shí)效性，可以一直重復(fù)輸入。黑客就可以通過(guò)類(lèi)似“枚舉”的方式把驗(yàn)證碼“猜”出來(lái)，加上若該平臺(tái)的驗(yàn)證碼只有4位數(shù)，就更是大大降低了“猜測(cè)”的難度。在拿到驗(yàn)證碼以后，黑客就可以登錄受害者的賬號(hào)，從而實(shí)施詐騙。

有沒(méi)有辦法來(lái)破解這些黑操作呢？東東說(shuō)，可以在各大平臺(tái)發(fā)布“蜜罐”。這是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析。然后整合大數(shù)據(jù)，對(duì)詐騙團(tuán)隊(duì)的手法、技術(shù)、團(tuán)隊(duì)進(jìn)行分析，并查找到信息泄露的源頭。在平臺(tái)發(fā)生內(nèi)鬼竊取數(shù)據(jù)的時(shí)候也會(huì)做出應(yīng)急響應(yīng)，將威脅情報(bào)反饋給平臺(tái)的安全防護(hù)端，從信息泄露的源頭上進(jìn)行防范。同時(shí)對(duì)已知的詐騙團(tuán)伙和可疑的網(wǎng)絡(luò)電話(huà)進(jìn)行監(jiān)控，如果發(fā)現(xiàn)某平臺(tái)的用戶(hù)正在遭遇電話(huà)詐騙，還可以第一時(shí)間向該平臺(tái)發(fā)出通知，并且提供被詐騙用戶(hù)的聯(lián)系方式，平臺(tái)就能第一時(shí)間告知用戶(hù)。在此基礎(chǔ)上，能夠幫助平臺(tái)尋找數(shù)據(jù)泄露點(diǎn)，及時(shí)修復(fù)漏洞，并向公安機(jī)關(guān)提供破案線(xiàn)索。

（摘自《北京晚報(bào)》2018年9月2日）