這些“陷阱” 你能否一一識破

蔡文清

互聯網時代的到來使我們每個人都處于信息的洪流之中，這其中就藏著一雙雙狡詐的眼睛，他們隨時盯著你的一舉一動，看準時機便伸出罪惡之爪。你不經意泄露的每條信息，都可能成為他們的目標。他們把這些信息收集起來，就能對你進行完整的畫像，為你定制專屬騙局，試圖榨干你身上的每一絲價值。在此大背景下，我們必須加強網絡安全意識，一點一點加以防范，努力填補自己在信息使用方面知識的不足，才有可能安全自保。

詐騙電話是怎么進行偽裝的

山東女孩徐玉玉遭遇詐騙電話后不幸身亡，曾引發社會的廣泛關注。有一部叫做《巨額來電》的電影曾披露過電信詐騙的內幕，詐騙電話的背后有著一整套分工流程，每個流程的實施者也都有著相應的稱呼──菜商、卡頭、話務員、車手、水房等。“菜商”出售公民信息，“卡頭”辦理用于轉賬的銀行卡，“話務員”一般分為一線話務員和二線話務員，在這條撥打詐騙電話的流水線上，前者負責開場，后者緊跟收網，“車手”負責集中提取賬款，“水房”負責洗錢。

當你的個人信息被騙子拿到后，類似這樣的電話就來了：“喂，您好，這里是社保局，您辦理的社保卡涉及多家醫院騙保，社保局現將凍結您的醫保卡賬號……”“喂，您好，我是公安局刑偵支隊民警，由于您的身份信息泄露，其名下銀行卡涉及洗錢等犯罪活動……”

有受騙事主稱，在接到一自稱法院公證室的男子電話后，對方以需要繳納無犯罪保證金、辦理加急結案手續費等理由為名先后騙取了自己200余萬元。事主回憶稱，自己一開始還很警覺，但仔細看過手機上顯示的電話號碼后，就逐漸放松警惕了：“騙子打來的電話顯示的就是社保局、公安、法院的電話號碼啊。”

在這樣的電信詐騙鏈條中，騙子使用到的工具是改號軟件。網絡安全極客、《一本黑》的作者東東做了一個實驗，他在網絡上通過關鍵詞搜索很容易就找到了販賣改號軟件的，用120元買了軟件，開戶后里面竟然還有30元話費可以用。東東嘗試了一下，通過這種軟件可以將手機號修改成任意的11位號碼，撥打這種電話的費用也只要每分鐘0.95元。

為什么撥打出去的電話號碼可以修改為任意的號碼？東東說，改號軟件其實就是一種網絡電話，而來電顯示就相當于一個數據包，在通訊過程中這些數據是可以被修改的。

實際上，這種改號軟件修改號碼主要是通過一個中間IP平臺或者轉換器來實現的，也就是說這類通話并不是通過點對點式直撥電話來實現的，中間存在一個“傳話人”，這個“傳話人”才有修改號碼的權限。而通訊運營商根本無法識別這種非法的改號技術，所以也就不能對這種被改過的號碼進行攔截或屏蔽。

針對這種經過改號軟件修改過號碼的來電該如何辨別呢？東東說，最簡單的方式就是回撥。假如對方的來電是通過改號軟件修改過的，只要按照顯示的號碼回撥過去，對方是無法接聽的。

一張照片也會暴露所有信息

前段時間引爆網絡的“霸座男”事件讓人們領略了人肉搜索的威力，而如今人肉搜索已經不新鮮了，取而代之的是人臉搜索。

極客“我堂堂一個熊貓”說，現在有一種搜索引擎，放上一張你的照片，就可以找到所有你發布過照片的社交媒體賬號。如一家新加坡企業就推出了一款基于人臉識別的情報搜索工具，只要輸入一張人臉照片和姓名，就能找到領英、推特、臉書、Google+、Instagram、微博、豆瓣等數個社交媒體上的該照片用戶的主頁。這個軟件還會綜合這些社交媒體的內容出具報告，報告中會包含性別、年齡、所在地、電子郵箱等很多個人信息。還有一種App更為可怕，只需一張照片，就可以獲知面孔主人在公開互聯網上的所有信息。除了這兩款App，Facebook的DeepFace目前也已經能實現將人臉圖片和社交網站用戶精準匹配。總之人臉搜索并不是幻想，而是真真切切地發生在我們身邊。

“我堂堂一個熊貓”說，人臉搜索所帶來的危害不僅僅是隱私暴露，隱私的暴露往往只是開端，真正的影響來自人臉搜索這種人力無法完成的事情在變得輕而易舉之后，所產生的蝴蝶效應。比如犯罪分子進行詐騙時，偷偷拍下一張目標受害者的照片，然后進行人臉搜索，從而通過微博、豆瓣等獲知對方的隱私信息，再偽裝成很久沒有聯系過的老熟人，以此博得受害者的信任。

如何應對這種人臉搜索呢？“我堂堂一個熊貓”說，首先要提升網絡安全意識，別隨便就發自拍。同時社交媒體網站也有責任提醒用戶，個人照片的發布有可能存在被人臉搜索的風險。此外，也可以從技術手段進行防范，例如社交媒體可以設置權限，防止人臉圖像被第三方“爬蟲”抓取。

另外，有些軟件對惡意的人臉搜索提前進行了預防，比如前面提到過的Facebook的DeepFace，一旦有用戶照片被他人上傳，軟件就會對用戶進行提醒，用戶可以選擇申訴侵犯隱私，要求刪除照片，或是為自己的面孔打碼。在某種程度上講，這也算是保護自己隱私，逆向防范人臉搜索了。

網絡密碼怎么輕易被破解了

互聯網時代，賬號相當于一道門，而密碼就是鑰匙。現實生活中，大多數人QQ、微信、電商平臺等賬號都使用同一個密碼，這也就導致了只要知道你其中的一個密碼，那么你其他平臺的密碼也就形同虛設。

網絡安全極客東東說了這樣一件事。小李接到聲稱是一家電商平臺客服的電話，說其購買的產品有質量問題，為不影響其購物體驗，平臺已為其辦理了退款手續，并愿以3倍的價格做出賠付，還發給小李一個賠付鏈接。小李開始挺警惕，覺得可能是詐騙電話，但電話那頭的“客服”卻不急不躁：“先生，我們已經為您辦理了退款手續，您可以登錄自己平臺的賬號進行查看，平臺已經為您上傳了賠付入口，只要點擊申請即可獲得我們平臺的3倍賠付。”小李帶著疑惑登錄了自己的平臺賬號，果真在訂單頁面看到了“退款中”3個字。并在自己的收貨地址處看到了“客服”所說的賠付入口。于是徹底打消了疑慮的小李按照“客服”的指示進入所謂的“賠付入口”，輸入了自己的各種賬號密碼。最終小李的賬號被盜刷。

所謂的“客服”到底是如何成功釣到小李的敏感信息的呢？東東說，在黑客技術里有兩個專有詞匯──“拖庫”和“撞庫”。黑客用技術手段入侵一個防護性能比較低的網站或平臺，取得大量用戶賬號和密碼的行為，就叫做“拖庫”。然后拿這些賬號和密碼到其他網站，例如支付寶、QQ、微信、淘寶等進行批量嘗試登錄的行為，就叫做“撞庫”。撞庫時，只要匹配成功，黑客就可以把這些賬號數據販賣給詐騙團伙，然后對賬號的主人進行精準詐騙。這是黑客竊取個人信息最常用的手法之一，而且只要拿到一批可以登錄的用戶賬號和密碼，就可以盜取更多的個人信息。

東東說，對那些總愛在不同網站或平臺使用同一個密碼的人來說，黑客只要知道其中的一個密碼，那么你的其他平臺也就大門頓開了。

有時登錄一個賬號，光有手機號碼還不夠，還需要填寫短信驗證碼。對這種情況，東東說，有的平臺針對驗證碼沒有做防護策略，即驗證碼沒有時效性，可以一直重復輸入。黑客就可以通過類似“枚舉”的方式把驗證碼“猜”出來，加上若該平臺的驗證碼只有4位數，就更是大大降低了“猜測”的難度。在拿到驗證碼以后，黑客就可以登錄受害者的賬號，從而實施詐騙。

有沒有辦法來破解這些黑操作呢？東東說，可以在各大平臺發布“蜜罐”。這是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析。然后整合大數據，對詐騙團隊的手法、技術、團隊進行分析，并查找到信息泄露的源頭。在平臺發生內鬼竊取數據的時候也會做出應急響應，將威脅情報反饋給平臺的安全防護端，從信息泄露的源頭上進行防范。同時對已知的詐騙團伙和可疑的網絡電話進行監控，如果發現某平臺的用戶正在遭遇電話詐騙，還可以第一時間向該平臺發出通知，并且提供被詐騙用戶的聯系方式，平臺就能第一時間告知用戶。在此基礎上，能夠幫助平臺尋找數據泄露點，及時修復漏洞，并向公安機關提供破案線索。

（摘自《北京晚報》2018年9月2日）