在我国,电商的黑产已经无孔不入,网购的动作进入第三个环节,也就是用户信息进入物流系统后,也会暴露在信息泄露风险中。年一个神秘用户在暗网上发帖出售“顺丰3亿条物流独家数据”打包售价为两个比特币,按照当时价格计算将近10万,后续顺丰称这些数据并不是自己的数据,到底是国内哪个大型快递公司,我们已经不得而知了,但公司内部数据被托库已经不是新鲜事了。
什么是托库?简单来说就是黑客找到系统漏洞获得操作系统权限,直接把整个数据库导出,如果托库了连锁酒店信息,就能获得几亿条住入信息,包括手机,身份证号,入住时间,房间号。如果托库了微博后台数据库,就能获得百万手机号绑定的账户名密码,身份证号,然而这不是最后一步,黑客完成托库后,下一步就是撞库攻击,也就是用收集到的用户名和密码尝试登录其他网站,这一步非常重要,很多人为了方便,习惯用同一套密码驰骋所有网站,给黑客撞库提供了方便,一旦得到用户在一个平台的信息,就等于破解了他所有的平台的注册信息,这些信息黑客们可以放在社工库中,直接变卖。姓名加手机号属于初级信息,千条大概在五十块左右,每个人的信息不过五分钱,但这些数据可以变得更值钱,通过撞库如果能拿到电商支付,金融账户,游戏账户等信息,价格也会逐级飙升,如果集齐以上四要素,一条可以卖到几百块以上,比如身份证照片正反面,手持身份证照片,实名制手机卡,相对应的银行卡信息。如果在基础上加上通讯录,价格会更高,大家看到这些信息应该知道会面临着什么。
可笑的是,我们万分珍惜的个人信息,在黑市上这么不值钱,就这样这些信息变成了一条条可变卖的数据,一层层分级往黑产下游流动。信息泄露之后会被用来做什么,已经是不可控的事情,骗子使用这些信息能把那些初入职场的年轻人搜刮的负债累累,把靠着退休金过日子的老人乍得一干二净,面对这些人我们唯一能做的反抗可能就是扔快递盒钱涂掉个人信息。但真的有人会为了收集一两个人的信息每天蹲在垃圾箱前捡快递盒吗?黑产之所以暴利,靠的就是电子商务便利性赚钱,每一单赚的不多,但靠量取胜,所以快递面单虽然可以成为黑产信息的一部分,但效率太低,至此从平台商家再到物流一个完整的作案流程就摆在我们面前。
商家的第三方订单管理软件,扫描所有的订单记录,你在这家店的购物信息泄露,物流公司的信息被托库,你的快递信息泄露,你在其他网站的账户被托库,骗子撞库得到你的常用密码,还可能推导出你的手机银行密码。在中国互联网黑产的从业人员超过万人,市场规模已达千亿,为什么黑产如此猖狂?我们又如何保护自己远离黑产诈骗呢?