什锦文坊 > 数码科技 > \

隐私泄露:“爱又米客服”诈骗猖獗三年数百大学生哭天无门

原标题:隐私泄露:“爱又米客服”诈骗猖獗三年 数百大学生哭天无门

2017年12月13日,邯郸某大学学生小林接到一个电话:“你好,我是爱又米的客服,您是小林同学吗?”

“我是。”

“您上个月注册了我们的贷款账户是吗?最近国家的政策有变动,不允许向在校大学生发放贷款,因此需要您把账户额度清算一下。”

隐私泄露:“爱又米客服”诈骗猖獗三年数百大学生哭天无门

(图片来自网络)

在这个所谓“爱又米客服”一步一步的指导下,小林从爱又米平台借出6000元,并转给了所谓的“收款账户”,以求“清算账户额度”。

一周之后,小林收到了爱又米的催款短信,这才惊诧的发现,这个“客服”是假冒的,那6000元贷款及利息还需要他自己还。

这下子小林懵了,于是赶紧向警方报案。

小林只是邯郸数百名被骗大学生中的一个,而且不是被骗金额最多的。

根据邯郸市公安局的事后统计,单单在邯郸几个高校,就有300多名大学生被骗了200多万,都是类似的套路。

这个案子,被邯郸警方称为“12·01”系列网络电信诈骗案,并投入巨大人力物力进行侦破。

2018年5月到9月,此案7名嫌疑人相继落网。

12月,邯郸市公安局召开新闻发布会,向社会公布此案的详细情况。

隐私泄露:“爱又米客服”诈骗猖獗三年数百大学生哭天无门

黑奇士(id hqssima)综合多个消息来源,为您揭开“爱又米客服”系列诈骗案的来龙去脉。

犯罪关键环节:说出用户隐私博取信任 理由听起来“合情合理”

邯郸市公安局邯山区公安分局党委书记、局长刘军海介绍,2017年12月以来,河北警方先后接到当地多所高校学生报案称被网络诈骗。部分学生通过微博在网上发表文章,在部分高校内引起恐慌。

办案民警表示,犯罪嫌疑人具有相当高的反侦察意识,比如从学生那里骗到2000元之后,并不进入私人账户(现在的银行卡都是实名),而是通过电商网站购买充值卡、游戏卡、话费等,出售之后再转到其他账户,逃避警方侦查。

骗子的通常套路是:上来就问你是不是某某同学,手机号是某某某,是不是住在什么宿舍,某月某日是不是注册了爱又米的账户?

按照一般人的理解,能掌握这么详细的信息,那只有“爱又米的官方客服”,因此在潜意识里对诈骗分子形成了信任感。

在诈骗理由上,犯罪分子的说法是“国家政策收紧”、“公司破产,必须清偿贷款额度,否则会上征信黑名单”等。

与之对应的是,2017年5月,教育部、银监会、人力资源社会保障部联合发布《关于进一步加强校园贷规范管理工作的通知》,要求一律暂停网贷机构开展在校大学生网贷业务。不少学生对这个消息有一定认知。

隐私泄露:“爱又米客服”诈骗猖獗三年数百大学生哭天无门

而这个认知,跟骗子所说的“政策收紧”能对应上,从而进一步加深了对其的信任感。

而且,绝大多数人经常听到“上了征信黑名单会限制坐飞机、坐高铁”,而对“征信黑名单”的详细情况并不了解,到底什么情况会上黑名单、延迟还款会不会上黑名单?这些东西都不太清楚,从而被骗子误导。

(别觉得学生笨,我问你,信用卡延迟几天还款会上征信?花呗没还会不会上征信?我估计读者里能有5%的人回答对就不错,何况是没走上社会的大学生。)

而且最主要的是,犯罪分子能说出只在“爱又米”平台上注册过的隐私资料,这成为犯罪分子获得学生信任的最关键一环。

破案不易:民警万里追凶 7名骗子落网

经过侦查,警方查明,犯罪嫌疑人简某某等人共同预谋,利用非法取得精准个人信息,寻找话务员(打电话诈骗的人,叫做话务员),针对特定群体进行诈骗。该团伙组织严密,反侦查意识极强,有总指挥、下设组长和小组长等职务,相互之间单线联系。

实施诈骗时由组长统一安排话务人员上缴个人手机,集中乘车拉至作案地点,分设岗哨和监督员后发放诈骗用手机实施诈骗,完成后再集中乘车送回,返还个人手机。(也就是说,在不诈骗的时候,一线实施诈骗的话务员也没有手机,无法对外联络,以此来逃避警方侦查)

2018年12月,在邯郸市公安局的新闻发布会上,警方公布了此案的办案细节:

在成立专案组之后,邯郸市公安局邯山区分局全力侦破,办案小组奔波往返8个省、市,行程2万余里。在当地警方的大力协助下,办案民警于2018年5月展开收网行动,5月10日至25日,在福建省龙岩市相继将5名犯罪嫌疑人抓获。2018年9月20日在山西省运城市将2名犯罪嫌疑人抓获。

隐私泄露:“爱又米客服”诈骗猖獗三年数百大学生哭天无门

(邯郸警方供图)

经过对犯罪嫌疑人的审讯,该团伙成员供述了爱又米客服实施诈骗的犯罪经过,被骗对象涉及杭州、太原、石家庄、武汉、福建、四川、山东、江西等全国几十个城市和地区。

至此,该案取得阶段性成果。(因为不少疑点未搞清楚,只能说是阶段性成果)

支付环节:用二维码取代陌生账号,降低用户警惕性

骗子骗人转钱的关键说法,是说要消除爱又米的额度,避免上征信,需要先贷款,再还款。(这种做法还不够诡异吗,谁听说过这么消除额度的)而且,别的途径还款都是在APP内部还款,骗子们要求转到自己的私人账户。

在这个关键环节,骗子们巧妙地用了一个方法:如果给用户陌生账号转账,大多数人都会提起警惕。他们就从电商网站购买电话充值卡,在付款的时候有个生成二维码的功能,别人扫这个二维码,就可以结清货款。

这个二维码的有效期,是30分钟。

于是,骗子就对学生说,你要还款,得通过这个二维码还;然后购买充值卡,生成付款码,再截图给学生进行扫描。

用户扫描这个二维码,很顺利就把刚到手的贷款给了骗子。

无法追回。

本案最大疑问:“假客服”用的个人隐私哪来的?

案件虽然有了阶段性成果,但仍有疑点待解:比如,诈骗分子用的用户隐私从何处得来?

早在2017年12月,就有用户发帖称遭到了精准诈骗,犯罪分子知道向爱又米平台提交的详细资料,包括家庭关系、学籍等隐私,并用这些东西掩护,获得了大学生的信任。在信任之下,被骗的学生对一些别的疑点视而不见。

隐私泄露:“爱又米客服”诈骗猖獗三年数百大学生哭天无门

比如,诈骗分子用的手机号是从网上购买的未实名号码,归属地天南地北的都有。而实际上,爱又米的官方400电话仅限于用户的单方拨入,不能提供拨出功能。

这些隐私是哪里来的呢?

办案民警向媒体表示,从爱又米方面了解到的情况是,他们自称内部进行了自查,无人泄漏,爱又米怀疑是黑客所为。

犯罪嫌疑人交代,诈骗所用的资料是上级交给他的,上级从何处取得他不知道。嫌疑人供称的上级,已被重庆警方从越南跨国追捕(因为其他案由),至于此批资料从何而来,需要重庆警方的进一步侦查。

而受骗学生则指称,这些资料只在爱又米平台填写过,不管是黑客盗取还是员工内鬼泄露,平台都无法逃脱“监管不严”的责任。

隐私泄露:“爱又米客服”诈骗猖獗三年数百大学生哭天无门

(真的安全?)

黑奇士从业内匿名人士处获得的消息,爱又米平台“胆子特别大,对用户资料榨干一切价值”,言外之意可能通过同业交换、资料出售等途径泄露。

而根据安全专家的分析,爱又米的官方说法:黑客攻击、撞库取得用户隐私不是没可能,而是可能性非常小。

因为诈骗案从2017年12月开始在全国泛滥,时至今日仍有利用这些资料的骗案零散发生,时间跨度如此之大、涉及受骗者如此之广,仅仅一个黑客攻击,很难在这么长的时间内持续攻击爱又米内网,持续获取资料。(如果一个公司内网被攻陷这么长时间还束手无策,那他的安全部门早该全部裁掉了)

撞库的可能性就更小了。所谓撞库,是指用一个用户在多个网站注册账号,在这些网站使用了同一密码,当黑客获得了A网站的密码之后,用这个密码去B网站尝试登陆,这叫做撞库。

目前爆出来的“爱又米客服”诈骗系列案件,被骗者可能高达数千人,这么多人的密码同时被“撞库”获得,可能性很低很低。

实际真相如何,需要等待警方的进一步侦查。

案后反思:网站是否该过度索取用户隐私?

作为专门关注黑产的自媒体,黑奇士(id hqssima)一直对商业公司索取用户隐私这件事情保持警惕。

随着网络技术的发展,以前不认为是隐私的东西,现在通过大数据分析,也能起到非常惊人的效果。

隐私泄露:“爱又米客服”诈骗猖獗三年数百大学生哭天无门

例如人们手机上的图片,在拍摄的时候会自动标注经纬度、拍摄时间、手机型号等信息。如果商业公司获取了手机的“相册”权限,就可以读取到图片包含的信息。

通过经纬度,可以获知你每天的行动轨迹,猜测你的职业和生活习惯,如果使用的是高档手机,可以推测你的消费能力比较强……等等。

而且像“爱又米”这样的金融类APP,为了降低自己的放款风险,往往会倾向于获取一切能获得的信息,而且不少信息是用户不可能向其他公司透露的。

比如在放款审核的时候,金融类APP会要求借款者的手机号服务密码,微信密码,家庭关系(担保人)等。通过手机号服务密码,可以获取你过去的通讯记录,从风控角度讲,这可以验证你的联系人是否真实;但从隐私角度,如果被泄露出去,其带来的风险也是不可估量的。

也正是因为骗子先声夺人的说出隐私信息来获取学生信任,才造成了本案300人被骗200多万的恶劣后果。(仅仅邯郸一地)

而作为处理结果,爱又米仅仅是“免了学生被骗金额所产生的利息,本金仍需归还”。

显示全文

相关文章