其他
谁“动”了我的订单信息
本文由腾讯黑镜团队腾讯朱雀实验室腾讯安全战略研究联合出品
“你好,我是xx客服,您xx时间在xx平台,购买了xxx产品,价格是xx,看到您这边已经收货了,请问是否有在使用呢?”
“有的。”
“我们收到大量用户投诉该产品,经过专业机构检测,确认该批次产品存在严重损害健康的问题,因此请您立刻停用,并就地销毁,我们会对您进行10倍的赔偿”
“麻烦加一下我们的客服号,登记下你接收赔偿的帐号,我们将会在3个工作日给予赔付......”
上面的对话,是典型的“精准诈骗”场景,如果你继续聊下去,很可能成为下一个被害人。
诈骗分子之所以能屡屡得逞,一个重要前提就是精准掌握了受害者的个人信息,从而制造出更具针对性、迷惑性的骗术。目前高发的诈骗类型如购物退款诈骗、注销校园贷诈骗、仿冒领导诈骗等几乎都可以溯源到网购用户、学生、地方领导的信息泄露。
订单信息泄露、信息买卖无时无刻不在发生,这些订单信息极有可能落到骗子手里用于实施精准诈骗。本文将勾勒从「订单信息泄露」到「信息买卖」到「购物退款诈骗」的黑色产业链,从而帮助读者进一步深入了解诈骗团伙运作模式,制定更加有效的防御方案。
1
源起:始作俑者的内鬼和黑客
订单信息泄露主要有两个途径:“内鬼”违法泄露、技术手段非法获取。
(1)“内鬼”违法泄露
“内鬼”可能存在于上述的电商平台、商家、快递物流各个环节,在这里我们主要探讨快递系统“内鬼”。快递系统由于订单信息数量庞大、从业人员流动率高等显著特点,“内鬼”泄露订单信息的概率也相对较高。
「黑镜」联合「朱雀实验室」发现,部分快递“内鬼”会通过拍照快递面单,批量将图片打包发送给“贩料人”,“贩料人”则使用OCR工具识别图片上的订单号,关联到第三方订单管理软件中查询快递状态。
另外一部分快递“内鬼”则会通过有偿租用工号给“贩料人”,来出卖快递用户信息。“贩料人”登录快递员工号的时间一般在晚上,因为白天提取数据容易被发现。
(2)技术手段非法获取
另外一个主要的订单信息泄露源头是黑客。精明的黑客总能发现网购各个环节中的漏洞,并予以攻破。
黑客通过技术手段,渗透信息安全能力较为薄弱的团购app,获取用户的团购订单数据。
由于一个商家往往在多个电商平台开设店铺,为了提高管理效率,商家通常会使用到一些由独立第三方服务商提供的订单管理系统。然而,这些系统可能存在安全漏洞,一旦漏洞被精明的黑客发现,则可能被“拖库”,存储在订单管理系统中的用户信息就被泄露了。
更为严峻的是众多商家的防范意识淡薄,使用来路不明的各种外挂式工具,如中差评助手、评分助手、上货助手、粉丝管理助手、批量打印工具、自动化消息管理助手等。用户信息就这样在不知不觉间被泄露了。
2
流转:纵横捭阖的贩料人
前面有提到,内鬼和黑客获取到用户订单信息后,会把这些信息打包卖给“贩料人”。“贩料人”就是专门售卖用户订单信息的人,他们连接了上游——数据提供方和下游——数据使用者(主要用于诈骗)。
经过对订单信息买卖人群的长期追踪与网络关系链刻画,「黑镜」&「朱雀」发现了一批藏匿于匿名社交平台和熟人社交平台中相对稳定的“贩料人”团伙。
在信息买卖黑色产业链各环节中,参与人选择的沟通联系平台也有差别。信息买卖双方为了隐藏身份,常常选择使用匿名聊天软件沟通;而到了诈骗实施环节,为了增强受害者信任,骗子更倾向于使用熟人社交软件联系受害者。
信息买卖毕竟是法律严令禁止的,因此普通买家想要进入这行必须有熟人介绍。一来是为了保证交易的安全进行,二来是为了确保数据源稳定且数据质量过关。我们发现,买料人在寻找贩料人的过程中非常看重后者的诚信,一般会认准某个业内“品牌”。
贩料人为了展现自己的数据质量高,往往会在与买料人谈妥价格后,提供一批测试数据给到买料人。买料人主要测试数据是否重复、是否完整、能否联系上用户、是否真实等,并做好标记,以备后续决定是否从该贩料人处批量购买更多订单信息数据。
买料人还可以向贩料人提出定制化购买需求,比如要求是指定店铺、指定品类、指定平台的商品。经分析发现,近段时间,用户订单信息买卖涉及的热门品类依次是:美妆、母婴、女装女鞋、洗护用品、保健品、成人用品等。
目前黑市上的订单信息价格一般在每条3元上下浮动,如果包店(即买料人指定店铺,并且贩料人承诺不会将该数据再卖给其他人)订单信息数据可达3.7元/条以上;母婴类的订单信息价格通常是最高的,可达5.5元/条。
3
作恶:别有用心的诈骗者
贩料人将用户订单信息卖出给买料人后,这些信息一般会被用于购物退款诈骗。由于骗子获取的用户订单信息较为详细精准,此类诈骗的成功率也较高。受害者可能起初还保持怀疑态度,但当骗子准确报出受害者的详细订单信息,包括收件人、电话、收货地址等,甚至有的还包括购买商品、购买店铺、价格、购买时间等,很多受害者就放松了警惕,最后一步步落入骗子早已准备好的圈套。
值得一提的是,骗子在购买订单信息数据的时候,偏爱于购买问题件的订单信息(即退回、破损、丢失、投诉的快递件)。为什么是问题件信息呢?因为当用户得知是问题件的时候,一般都会上网购平台查看快递状态,如果发现平台显示确实是问题件,则会更容易相信骗子说的话。
4
破局:加强个人信息保护恰逢其时
(1)订单诈骗团伙该当何罪
在整条产业链中,诈骗者等下游从业人员,根据其实施的犯罪行为,构成诈骗罪等犯罪并无疑问。伴随着我国对个人信息保护力度的加强,“内鬼”、黑客和贩料人也难以逃脱法律的惩处。
在2015年之前,只有国家机关和事业单位(如金融、电信、交通、教育、医疗等单位)的“内鬼”,才可能构成非法获取公民信息罪。2015年出台的《刑法修正案(九)》则将该罪进一步修改为侵犯公民个人信息罪,取消了定罪主体的限制,同时规定在履行职责或者提供服务过程中获得的公民个人信息,非法出售或者提供给他人的,应当从重处罚。
这就意味着,不论是“内鬼”自产自用,还是当贩料人转卖信息,只要向他人非法出售或者提供公民个人信息,就可能构成侵犯公民个人信息罪。而且,如果张三选择当了“内鬼”,即使他是快递小哥、网店客服等不属于国家机关、事业单位工作人员的身份,也要从重处罚。
而对于贩料人和黑客而言,他们不但可能构成侵犯公民个人信息罪,还可能构成非法获取计算机信息系统数据罪、帮助信息网络犯罪活动罪、非法利用信息网络罪等。
(2)打好个人信息保护的“组合拳”
构成侵犯公民个人信息罪,需要满足“情节严重”的要求,对于前文提及的收件人姓名、电话、收货地址等和公民人身、财产安全没有直接关联的信息,违法所得不足5000元,且没有证据证明行为人知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的,通常须达到5000条以上才构成犯罪。
当然,这并不意味着“内鬼”和贩料人可以逍遥法外。2021年8月20日,全国人大常委会正式通过了《中华人民共和国个人信息保护法》,进一步明确了个人信息处理者的义务,规定了国家机关的个人信息保护职责,加大了对侵犯公民个人信息行为的打击力度。
可以预见,如何依法、妥善处理客户信息,将成为未来企业合规的新一轮重点领域,订单诈骗团伙的末日不远了。
不过,制度层面的打击,主要还是针对产业链本身。普通公民也要注意个人信息的保护。在此提醒各位读者注意:
1.网上购物谨慎填写个人信息。如非必要,可以使用昵称代替真实姓名,如果小区附近有菜鸟驿站、快递柜等,填写地址时避免精确到门牌号。
2.注册账号、使用手机App时要谨慎授权,尤其不要为了贪小便宜而安装来路不明的软件。
3.使用个人信息时,要多留心。复印相关证件时,可以在复印件上写上“本复印件仅用于.....他用无效”,对于闲置的复印件,要及时销毁。
4.发微博、朋友圈等公开信息时,要留意是否有个人信息泄露的风险。
5.一定要常怀警惕之心,不要以为知道你隐私的就是正式工作人员,他们很可能是持有你个人信息的骗子。
6.最后也最重要的是,魔高一尺,道高一丈。我们在这里郑重推荐大家关注致力于厘清黑产迷局的“腾讯黑镜”微信公众号,获取第一手的网络安全、金融风险情报。