今天這篇文章,與我們每一個人的生活都密切相關。
這兩天有3個新聞同時出現,讓我突然有了寫這篇文章的衝動。
一個是潛逃近三年的北大高材生弒母案嫌疑人吳謝宇在重慶被捕,被抓時身份身上攜帶三十多張身份證,靠著不停變換身份,躲避著追捕。
一個是網傳京東被人拖庫,5000萬條含使用者身份資料的賬戶資訊被洩露,京東官方第一時間出面闢謠,表示相關資訊非京東賬戶資訊。
第三個比較少人知道,但最重要,NCC Group公佈了高通晶片的旁路漏洞,收到波及的高通晶片有近40款,這個漏洞可用來竊取使用者資訊,高通於本月初修復了這個漏洞。
除了蘋果和華為,絕大多數安卓手機的核心晶片,是高通,這次漏洞,與每一個安卓使用者有關,此次漏洞最高可能波及全球數十億手機,你的手機可能就是其中之一。
作為專業風控,我看到這三個新聞的第一反應不是情緒,而是關於身份資訊洩露與交易市場的一些事情,應該被更多人知道。
1
現代社會中,核實人身份的方法有很多,例如實名銀行卡,實名手機號,駕駛證等等等等,但是這些所謂的實名資訊,本質上還需要一個源資料來提供真實性兜底。
這個資料來源,就是身份證。
銀行卡,手機號等一切所謂實名資訊,都是基於身份證的,只是身份證資訊的一種承載方式而已。
如果沒有身份證資訊,你沒法證明你是你。
但假如有了你的身份證資訊,則某種程度上,可以證明我是你。
一個虛假的身份,對於我們大多數普通人而言,雖然聽起來很酷,但是其實沒有什麼用處,因為我們的生活不需要這些。
而對於另一些做特殊產業的人而言,虛假身份則是最重要的生產資料,沒有之一,絕大多數黑產的根基,就是身份偽裝。
有了身份偽裝,漏洞攻擊,騙貸,薅羊毛,洗錢,偽造註冊資訊甚至騙補貼等一切違法手段,都有了一層安全的保護。
而虛假身份的交易,更是當前黑市最火熱的交易品。
你有沒有想過,世界上可能會有另一個人,披著你的身份生活?
2
黑產內,對於全套身份偽裝資訊,有個專有名詞,叫做四件套。
所謂四件套,是指身份證原件+身份證對應手機卡+身份證對應銀行卡+網銀U盾,一般來說銀行卡都是已經開通網銀的的,某些手機卡甚至還會預存話費。
比較成熟的四件套販子,甚至可以為買家定製具體的籍貫,性別,年齡,手機卡運營商,開戶銀行等。
只要買家願意加錢並且耐心等待,這些都不難做到。
四件套算是身份資訊中的貴族,一份完整的標準版四件套,黑市價格在400到700元,按照供需關係決定,定製版會更貴一些。
之所以需要定製,是因為很多大的機構對於某些地域某些群體,是有特殊限制規則的,例如某些公司堅決不跟某些地域的身份證產生任何業務往來。
所以即使是身份證四件套,也是不平等的。
像極了生活。
3
四件套,屬於身份資訊中的中高階產品,交易起來也相對複雜。
刨除四件套之外,最常見且頻繁的身份資訊,更多的是大量的身份證正反面照片,手機號,工作收入情況,以及本人手持身份證照片。
這些資料往往都是成批出售的,在暗網,在一些小眾聊天APP,走虛擬貨幣交易。
這種叫賣資料的行為,在暗網中非常常見。
這些資料的涵蓋面比較廣,有的只是部分精準手機號,例如4S店車主手機號,小區業主手機號,股民手機號等等,這些主要用於打營銷電話。
稍微複雜一點的,大量的身份證正反面照片,手機號,工作收入情況,以及本人手持身份證照片,用於偽裝身份騙貸款。
這些名目繁多的各類資料,是黑市交易的主流,也是重點打擊的物件。
倒賣使用者資訊,是非常嚴重的違法行為,不止是坐牢那麼簡單。
4
這些身份資訊的交易資訊是如何傳達的?
如果你用身份證,網銀之類的關鍵詞去搜索,那麼必然是查不到任何有效資訊的,搜尋引擎也知道要遮蔽敏感詞。
但是這些群體非常聰明,他們知道各大網站都在打擊,所以他們採取了很多隱蔽的方式。
例如不會用敏感詞作為索引,而是使用某些程式碼,銀行卡=YHK這樣。
例如潛伏在各大論壇,貼吧,群,二手交易網站裡,只要圈內人使用圈內程式碼,就可以找到他們。
除了利用國內的一些設施,他們的主要交流根據地在國外。
在很多小眾化的,國外的聊天APP中,他們有特定的群組,專門交流此類資訊,並且IP多在國外。
非常難以打擊。
實名制對他們意義不大,因為他們本身都是實名的,只不過實的不是自己的名。
最高明的隱藏,是不隱藏。
5
當找到介面人,談好價格後,這些資訊是如何交易的?
如果是各種虛擬資料的話,付款走虛擬貨幣,資料傳輸走境網路盤,相對比較方便。
如果是四件套的話,相對會麻煩一些,因為涉及實物快遞。
一般這樣的貨物交易,都是走快遞到付,如果和快遞員關係好,或者和買家交易比較久,甚至支援先驗貨再付款。
交易只走到付,快遞員有自己的方式收款,整條產業鏈中,物流網點是很重要的一環。
甚至很多專業黑產會自己盤下某些網點,方便自己來交易。
各種加盟不規範的小物流小快遞,是他們最愛的工具。
說不定你下樓拿快遞的時候,隔壁的箱子裡,就藏著你的一生。
6
這些身份資料被購買後,用途是什麼?
用途A——隱匿
很多人會問,現在不是有各種人臉識別和酒店登記了嗎?為什麼還是能用假身份?
朋友,在很多小地方,這些技術根本不普及。而且就算是在大城市,用假身份租個房子,和房東個人籤協議,要多簡單有多簡單。
實際上吳謝宇要不是出現在機場,有人臉識別與公安打通,他還不知道能潛逃多久。
你身邊的人,到底是不是這個人呢?
用途B——測試
某些支付公司和網際網路公司的測試使用。
可能很多人沒有意識到這個用途,很多與交易有關的網際網路公司,在測試自己產品的付款與提現功能時(尤其是電商與互金),不同銀行的銀行卡相容性非常重要。
全國這麼多銀行,需要這麼多銀行卡,身份資訊(繫結時用),尤其是測試的時候需要反覆測試不同組合的相容性,還需要對這些資料的絕對掌控。
你說,某些公司的測試資料,是從哪裡來的呢?
用途C——騙貸+羊毛
擁有四件套,某種程度上就代表了你可以在網際網路環境中偽造成這個人,並用他們的資訊來做一些事情。
例如很多P2P公司都有註冊送錢的活動,這些資訊可以拿去用。
例如很多網際網路公司都有實名註冊送獎勵的活動,這些資訊可以拿去用。
例如很多高利貸公司閉著眼給白戶放714高炮,這些資訊就可以拿去騙貸,在7天內(7天后各大黑名單就開始記錄了)儘可能多的申請貸款,然後下款後把錢轉走,最後手機卡一掰,隨便瀟灑,反正一切記錄都是身份資訊的那個人,和自己無關。
一套完整資料500塊,運氣好可以在7天內薅出數萬元的貸款,甚至很多貸款流量超市自己就買這種證件來騙自己客戶的錢。
這種黑吃黑的套路,多不勝數。
有人說貸款都有人臉識別,用假身份過不了人臉,我只能說天真。
就連imuji都能模擬出靜態人臉的動態卡通形態,透過照片模擬搖頭張嘴又有何難?
你所見到的,未必就是真相。
用途D——洗錢
這是虛假身份市場最初誕生的原因,就是洗錢。
洗錢這件事,說穿就是把一筆筆來路不明的錢,透過各種轉賬以及搭配業務場景的模式,變為乾淨的錢或者說是變為可以控制的錢。
近些年中國對於洗錢的打擊越來越重,銀行對於洗錢規則的稽核越來越嚴苛,所以很多黑產不得不升級手段。
而虛假身份的用途就在這裡,透過一個個虛假的身份,把大額的資金分散為小額的個人轉賬,然後利用地下錢莊把錢搞到境外。
這些錢往往是非法所得。
最賺錢的生意,都在刑法裡。
今天這篇文章,與我們每一個人的生活都密切相關。
這兩天有3個新聞同時出現,讓我突然有了寫這篇文章的衝動。
一個是潛逃近三年的北大高材生弒母案嫌疑人吳謝宇在重慶被捕,被抓時身份身上攜帶三十多張身份證,靠著不停變換身份,躲避著追捕。
一個是網傳京東被人拖庫,5000萬條含使用者身份資料的賬戶資訊被洩露,京東官方第一時間出面闢謠,表示相關資訊非京東賬戶資訊。
第三個比較少人知道,但最重要,NCC Group公佈了高通晶片的旁路漏洞,收到波及的高通晶片有近40款,這個漏洞可用來竊取使用者資訊,高通於本月初修復了這個漏洞。
除了蘋果和華為,絕大多數安卓手機的核心晶片,是高通,這次漏洞,與每一個安卓使用者有關,此次漏洞最高可能波及全球數十億手機,你的手機可能就是其中之一。
作為專業風控,我看到這三個新聞的第一反應不是情緒,而是關於身份資訊洩露與交易市場的一些事情,應該被更多人知道。
1
現代社會中,核實人身份的方法有很多,例如實名銀行卡,實名手機號,駕駛證等等等等,但是這些所謂的實名資訊,本質上還需要一個源資料來提供真實性兜底。
這個資料來源,就是身份證。
銀行卡,手機號等一切所謂實名資訊,都是基於身份證的,只是身份證資訊的一種承載方式而已。
如果沒有身份證資訊,你沒法證明你是你。
但假如有了你的身份證資訊,則某種程度上,可以證明我是你。
一個虛假的身份,對於我們大多數普通人而言,雖然聽起來很酷,但是其實沒有什麼用處,因為我們的生活不需要這些。
而對於另一些做特殊產業的人而言,虛假身份則是最重要的生產資料,沒有之一,絕大多數黑產的根基,就是身份偽裝。
有了身份偽裝,漏洞攻擊,騙貸,薅羊毛,洗錢,偽造註冊資訊甚至騙補貼等一切違法手段,都有了一層安全的保護。
而虛假身份的交易,更是當前黑市最火熱的交易品。
你有沒有想過,世界上可能會有另一個人,披著你的身份生活?
2
黑產內,對於全套身份偽裝資訊,有個專有名詞,叫做四件套。
所謂四件套,是指身份證原件+身份證對應手機卡+身份證對應銀行卡+網銀U盾,一般來說銀行卡都是已經開通網銀的的,某些手機卡甚至還會預存話費。
比較成熟的四件套販子,甚至可以為買家定製具體的籍貫,性別,年齡,手機卡運營商,開戶銀行等。
只要買家願意加錢並且耐心等待,這些都不難做到。
四件套算是身份資訊中的貴族,一份完整的標準版四件套,黑市價格在400到700元,按照供需關係決定,定製版會更貴一些。
之所以需要定製,是因為很多大的機構對於某些地域某些群體,是有特殊限制規則的,例如某些公司堅決不跟某些地域的身份證產生任何業務往來。
所以即使是身份證四件套,也是不平等的。
像極了生活。
3
四件套,屬於身份資訊中的中高階產品,交易起來也相對複雜。
刨除四件套之外,最常見且頻繁的身份資訊,更多的是大量的身份證正反面照片,手機號,工作收入情況,以及本人手持身份證照片。
這些資料往往都是成批出售的,在暗網,在一些小眾聊天APP,走虛擬貨幣交易。
這種叫賣資料的行為,在暗網中非常常見。
這些資料的涵蓋面比較廣,有的只是部分精準手機號,例如4S店車主手機號,小區業主手機號,股民手機號等等,這些主要用於打營銷電話。
稍微複雜一點的,大量的身份證正反面照片,手機號,工作收入情況,以及本人手持身份證照片,用於偽裝身份騙貸款。
這些名目繁多的各類資料,是黑市交易的主流,也是重點打擊的物件。
倒賣使用者資訊,是非常嚴重的違法行為,不止是坐牢那麼簡單。
4
這些身份資訊的交易資訊是如何傳達的?
如果你用身份證,網銀之類的關鍵詞去搜索,那麼必然是查不到任何有效資訊的,搜尋引擎也知道要遮蔽敏感詞。
但是這些群體非常聰明,他們知道各大網站都在打擊,所以他們採取了很多隱蔽的方式。
例如不會用敏感詞作為索引,而是使用某些程式碼,銀行卡=YHK這樣。
例如潛伏在各大論壇,貼吧,群,二手交易網站裡,只要圈內人使用圈內程式碼,就可以找到他們。
除了利用國內的一些設施,他們的主要交流根據地在國外。
在很多小眾化的,國外的聊天APP中,他們有特定的群組,專門交流此類資訊,並且IP多在國外。
非常難以打擊。
實名制對他們意義不大,因為他們本身都是實名的,只不過實的不是自己的名。
最高明的隱藏,是不隱藏。
5
當找到介面人,談好價格後,這些資訊是如何交易的?
如果是各種虛擬資料的話,付款走虛擬貨幣,資料傳輸走境網路盤,相對比較方便。
如果是四件套的話,相對會麻煩一些,因為涉及實物快遞。
一般這樣的貨物交易,都是走快遞到付,如果和快遞員關係好,或者和買家交易比較久,甚至支援先驗貨再付款。
交易只走到付,快遞員有自己的方式收款,整條產業鏈中,物流網點是很重要的一環。
甚至很多專業黑產會自己盤下某些網點,方便自己來交易。
各種加盟不規範的小物流小快遞,是他們最愛的工具。
說不定你下樓拿快遞的時候,隔壁的箱子裡,就藏著你的一生。
6
這些身份資料被購買後,用途是什麼?
用途A——隱匿
很多人會問,現在不是有各種人臉識別和酒店登記了嗎?為什麼還是能用假身份?
朋友,在很多小地方,這些技術根本不普及。而且就算是在大城市,用假身份租個房子,和房東個人籤協議,要多簡單有多簡單。
實際上吳謝宇要不是出現在機場,有人臉識別與公安打通,他還不知道能潛逃多久。
你身邊的人,到底是不是這個人呢?
用途B——測試
某些支付公司和網際網路公司的測試使用。
可能很多人沒有意識到這個用途,很多與交易有關的網際網路公司,在測試自己產品的付款與提現功能時(尤其是電商與互金),不同銀行的銀行卡相容性非常重要。
全國這麼多銀行,需要這麼多銀行卡,身份資訊(繫結時用),尤其是測試的時候需要反覆測試不同組合的相容性,還需要對這些資料的絕對掌控。
你說,某些公司的測試資料,是從哪裡來的呢?
用途C——騙貸+羊毛
擁有四件套,某種程度上就代表了你可以在網際網路環境中偽造成這個人,並用他們的資訊來做一些事情。
例如很多P2P公司都有註冊送錢的活動,這些資訊可以拿去用。
例如很多網際網路公司都有實名註冊送獎勵的活動,這些資訊可以拿去用。
例如很多高利貸公司閉著眼給白戶放714高炮,這些資訊就可以拿去騙貸,在7天內(7天后各大黑名單就開始記錄了)儘可能多的申請貸款,然後下款後把錢轉走,最後手機卡一掰,隨便瀟灑,反正一切記錄都是身份資訊的那個人,和自己無關。
一套完整資料500塊,運氣好可以在7天內薅出數萬元的貸款,甚至很多貸款流量超市自己就買這種證件來騙自己客戶的錢。
這種黑吃黑的套路,多不勝數。
有人說貸款都有人臉識別,用假身份過不了人臉,我只能說天真。
就連imuji都能模擬出靜態人臉的動態卡通形態,透過照片模擬搖頭張嘴又有何難?
你所見到的,未必就是真相。
用途D——洗錢
這是虛假身份市場最初誕生的原因,就是洗錢。
洗錢這件事,說穿就是把一筆筆來路不明的錢,透過各種轉賬以及搭配業務場景的模式,變為乾淨的錢或者說是變為可以控制的錢。
近些年中國對於洗錢的打擊越來越重,銀行對於洗錢規則的稽核越來越嚴苛,所以很多黑產不得不升級手段。
而虛假身份的用途就在這裡,透過一個個虛假的身份,把大額的資金分散為小額的個人轉賬,然後利用地下錢莊把錢搞到境外。
這些錢往往是非法所得。
最賺錢的生意,都在刑法裡。