大参考

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 6402|回复: 0

乌鸦校尉:收个快递被骗十几万,这到底是什么骗局?

[复制链接]
发表于 2022-8-7 19:04:39 | 显示全部楼层 |阅读模式
  六月底,乌鸦和大家聊了聊信息安全的事儿,在这个互联网时代,很多人都无异于是在“裸奔冲浪”,只要犯罪分子愿意,几块钱就能买到我们的各种隐私信息,包括你的通讯录、身份证号、开房记录、通话记录等等。

  信息怎么泄露出去的?

  可能是你手机中下载的某个APP,可能是黑客攻击数据库偷来的,可能是存储有大量用户信息的机构数据库里的内鬼为了获利卖出去的,甚至有可能,是你在网上花几块钱购买的一件普通快递。

  近日,央视就曝光了这样一种通过快递面单非法获取公民隐私信息的犯罪行为。

  7月22日、23日,央视《正点财经》《天下财经》《新闻直播间》栏目先后播出报道,关注宁波余姚警方破获涉快递面单信息诈骗案件,打掉了一条侵害公民个人信息的黑灰产业链。

  今年4月,余姚市辖区内发生多起冒充物流、网购客服退款赔偿类电诈案件。警方在对这些受害人电话回访时发现,多数受害人都提到,他们的快递都在某一快递始发云仓停留过,这引起了民警的怀疑。

  经过调查,民警发现一个重要线索。仓库内的公共视频显示,今年3月,曾有一名神秘男子在深夜翻墙进入过仓库,还对该仓库内一台专门打印快递面单的电脑动了手脚。

  经侦查,民警发现这台用来打印面单的电脑被人安装了用来盗取数据的木马程序。这种木马软件原本应用于企业正常监管,被犯罪嫌疑人篡改软件相关功能后,通过植入到打印快递面单的电脑中,在电脑后台将打印信息实时发送给自己的电脑,以此来窃取快递面单信息。

  综合相关线索后,4月15日,警方对有重大作案嫌疑的马某进行了抓捕,且当场在其身上缴获带有同款木马程序的U盘一个。

  通过对现场证据的分析研判,结合网上侦破工作,警方快速掌握了马某上家鲍某和提供技术支持的高某的身份,并于4月28日赴广州和重庆实施抓捕。随着落网人员的增加,又一上线谢某也浮出了水面。

  证据链的进一步完整后,警方逐渐梳理出了一个隐藏在其背后的快递面单黑灰产业链条。

  在该犯罪组织中,这些快递面单信息被称为“料”。像马某这样负责去各个快递始发云仓非法安装木马软件的被称为“马仔”。

  “马仔”一般会通过临时应聘的方式渗透进各地的快递始发云仓,或者利用一些快递始发云仓的防盗漏洞偷偷潜入,在神不知鬼不觉的情况下,对这些快递始发云仓的电脑下手,安装特定的木马程序。

  在组织中,还有专门的技术人员,他们则为这些木马程序提供技术支持和保障。当那些电脑被植入特定的木马程序后,但凡经过它们处理的快递面单信息就会全部传输到“分包商”手中,然后再由其筛选汇总整理后,传输到上一级的“料商”手中。

  最终,这些经过整理的公民信息就会经过“料商”转卖给诈骗团伙,一场精心设计的骗局就此拉开序幕。

  1

  当你网购了一件商品,两天后突然收到“快递公司”打来的电话,声称快递丢失要给你双倍赔偿,要求你提供相关购买信息,你会欣然接受赔偿还是马上怀疑对方是骗子然后报警?

  在大家熟悉这个套路之前,不少人选择了前者,心里想着双倍赔偿。最后却落入骗子的圈套。

  去年,就有这样一则因为一张小小的快递面单,导致受害人被诈骗十余万元的新闻上了热搜。

  据受害者B站百万粉丝UP主@杨可爱Ukulele自述,她接到一个自称快递员的电话,对方称“其快递丢失可以帮助进行双倍理赔”,并在电话中准确报出了她下单时使用的化名和快递单号。

  小杨说,她对陌生人还是有戒备之心的,也怀疑是不是骗子,可骗子报出了她的姓名和订单号。她还特意去核实了一下,发现自己确实有买过一个这样的快递,然后对这个所谓的“客服”的疑惑就都打消了。

  骗子说,会赔偿小杨180元钱,需要她自己去操作一下。骗子让小杨去支付宝找一个叫“快递理赔”的功能,但小杨没找到。

  然后,骗子顺理成章地说,“你是不是没有开通这个快递理赔?那没关系,我们还有另外一个功能可以去操作。”

  接着,小杨被忽悠得在支付宝上进行了一系列的操作,一通操作之后,骗子突然跟她说:“你操作失误了!”

  “就因为你这个操作失误导致你跟支付宝现在产生了一个借贷关系,你必须在三年之间每个月向支付宝自动转入一笔钱,那这笔钱的总额一共是72000元。”

  小杨一下就慌了,为了解除这72000元的“贷款”,小杨在骗子的“指导下”先后进行了下载APP、用账户余额进行信用担保、向陌生账户进行大额转账等一系列行为,最终,小杨陆续把自己账户的16万转给了骗子。

  而骗子还不满足,还让她去找朋友借钱,幸运的是,小杨找到的朋友立马意识到了不对劲,带她去公安局报了案。

  就在报案两天后,小杨收到了那个“丢失”的快递,一个价值90元的快递,却付出了160000元的代价,不可谓不惨痛。

  另外,该up主至今都没有发布事件后续进展,看来钱恐怕是没追回来。

  上面这个案例还是有点技术含量的,至少骗子还精心设计了一个圈套,并凭借高超的话术一步步请君入瓮,而有的骗子就简单粗暴了:一个个打电话多累啊,我都知道几十万人的电话住址了,直接给他们发到付件不香吗?

  南京警方还真就抓到了这样几个“大聪明”,诈骗人利用公民个人信息的泄露实施精准“施法”,涉案金额高达1200万元。

  南京市民刘大妈向市公安局鼓楼分局汉中门派出所报警,在自己出门的时候,她的女儿替其签收了一份99元的货到付款快递。

  “我闺女看姓名、住址、电话全是对的,想都没想就把钱付了。可我最近根本没有网购,打开一看是个太阳能壁灯,最多就值十几块钱,这不明摆着被骗了吗?”

  随后,刘大妈按照快递单上的寄件方电话拨打过去,始终没有人接听,更别提退货退款了:“我想了一夜也想不通,这些人是怎么知道我的个人信息的?是不是有很多像我一样的人也上当受骗了?99块是不多,没了就没了,可如果大家都不报警,这些骗子就任由他们逍遥法外?”

  接到报案后,南京警方组成专案组,根据快递单上的寄件地址奔赴河南郑州展开调查。

  据警方调查,该案的犯罪嫌疑人之一、郑州某科技公司法人郑某一直从事电商推广业务。

  郑某与长期合作而熟识的快递业务员刘某、卫某闲谈时,忽然产生了“灵感”:“你们快递公司内部系统不是能查到所有客户的快递单信息吗?你提供给我,我按照货到付款的方式广撒网,这样我能省掉广告运营的成本,你的发件量上去了,绩效工资不就来了?赚到的钱我年底再分你5个点。”

  由于纸质“商标公告”的到付骗局太多,国家知识产权局不得不出面澄清

  双方一拍即合,在双赢利益的驱使下,形成了一条由郑某供货物、刘某偷数据、卫某做售后、骆某干苦力的犯罪链条。

  仅一个月时间,刘某、卫某、骆某从公司获得与发件量挂钩的绩效工资就达到惊人的人均5万元,日均发出的诈骗到付快递在5000单以上。

  而“随机抢钱”的郑老板一个月“盈利”更是高达千万元,虽然简单粗暴,但赚钱能力比一对一精准诈骗的骗子还强。

  在以上两起案件中,无论是精准诈骗还是广撒网,实施骗术的关键都是快递面单上的个人信息,正是因为这一张张看似毫不起眼、被我们拆完快递随手丢进垃圾桶的快递面单,成为犯罪分子精准锁定作案目标、顺藤摸瓜的那根藤。

  实际上,在“木马偷数据”这种看上去有点科技感的手段出来之前,快递面单作为最容易获取的公民信息载体,早已经被不法分子盯上了。

  2

  在与快递相关的贴吧里,有大量交易快递面单信息的买家与卖家。

  在这个产业里,已经有一套成熟的网络黑话。收购面单信息,称之为“收料”“收菜”,印着用户个人信息的面单随意买卖。

  不同的面单也存在“鄙视链”,实时、当天的面单优于历史面单,母婴、护肤、女装、酒类等消费品类更受欢迎,不做分类的面单被称之为“混合料”,交货的面单分为面单照片、文档两种形式。

  为了避免平台发现,买卖双方还喜欢使用首字母缩写、同音字来替代“面单”两字,比如:KD(快递面单)、MD(面单)、“面当”、“面担”等。

  从这些买家这里,收料价格不等,有的1.5元,有的4元,有的5元,不管价格如何,几乎所有买家都要求先看样品,因为要“测试”,不少买家会直接提出品类的要求,还有的卖家只要当天的面单照片,不要文本。

  下面是一名专门出售白酒快递面单的卖家提供的面单文本。文本上,用户的姓名、具体住址、电话号码、快递单号、购买的产品名称一应俱全,骗子照着这个面单打电话,很容易让消费者误以为是商家客服。

  以平均料价3.5元计算,一天卖出300张面单,收入就能上千元,利润相当可观。

  重赏之下必有勇夫,在如此高额回报的诱惑下,一些快递员把持不住,开始利用职务之便,大量出售客户隐私信息。

  比如无锡警方最近抓获的快递员吴某。

  吴某每天忙于收发快递,觉得自己干的都是辛苦活,挣得却不多。偶然一次机会,他在网上看到有人收购快递信息,正不知如何“创收”的他便添加对方为好友。

  根据对方提出的要求,吴某每次收取快递或投递快递时,都会偷偷用手机拍下快递面单,攒了几天后凑足一定数量卖出。

  不久,他发现自己的上线是个多道贩子,给出的价格太低。为了获取更高利润,他联系到比自己擅长网络的老乡吴某某,请他帮忙寻找一手买家,不让中间商赚差价,赚钱心切的两人一拍即合。

  社交软件上快递面单买卖双方聊天内容

  从去年11月起,吴某某利用通讯软件加入某聊天群,向买家出售吴某收集的面单信息,所得钱款两人按比例分成。

  为了逃避打击,两人交易时费尽心机掩盖。销售面单信息时,吴某某又与买家协商使用虚拟货币进行结算。每次结算均由买家将交易额折算成虚拟币转到吴某某虚拟钱包地址,之后吴某某再将虚拟币卖给他人后进行提现。

  短短1个月时间,吴某就向吴某某发送了上万张快递面单,获利数万元。

  丰厚的利润不仅让一些业内人士把持不住,也吸引了一些面单贩子主动投身快递行业,在面单贩子们看来,面单就是一张张人民币,而快递公司无异于是一个ATM机。

  去年9月初,浙江省宁波市北仑区一家进口外贸公司报警称,公司陆续收到消费者的投诉电话,称大量个人信息泄露,已经有客户被诈骗。

  接到报警后,宁波警方立即展开侦查,通过实地走访发现,有犯罪团伙为了获取快递包含的个人信息进行非法牟利,竟然通过临时应聘的方式进入快递公司,再利用整理快递包裹之机,偷拍快递面单照片,汇总整理后在网上倒卖,一张信息照片卖一块钱左右,拍一个多小时就能赚三四百。

  在掌握大量线索后,宁波警方开展了抓捕行动,先后共抓获犯罪嫌疑人9名,查获快递面单照片2万余张。

  可怕的是,这种“打零工”的方式似乎已经在整个快递行业流行起来,就在前不久,广东佛山警方也排查出多个流窜作案、偷拍快递“面单”的犯罪团伙。

  该团伙成员潜入佛山市南海区多家快递公司成为临聘人员,利用整理快递包裹之机,偷拍快递物流单信息,在网上发布小广告,以每条1-3元不等的价格倒卖给黑灰产犯罪团伙。

  查明情况后,佛山公安网安部门主动出击,在广州、佛山抓获犯罪嫌疑人17人,查获快递面单照片12.7万多张。

  在这张小小的快递面单背后,一个上下线分工明确、“市场价格”透明、参与者众的庞大黑色产业链条已经初具规模。

  更可怕的是,这条庞大黑色产业链的最终受害者,可能是我们每一个普通人。

  3

  除了公安机关重拳出击,立法部门也早就注意到了这个黑产链条。

  消费者权益保护法和《快递暂行条例》等法律规定,快递经营者要确保快递消费者个人信息安全,但并未明确规定快递平台要强制使用隐私面单等技术保护消费者个人隐私。

  去年11月1日,赶在各大电商促销活动第一天,《中华人民共和国个人信息保护法》正式施行,这是我国首部专门针对个人信息保护的系统性、综合性法律,其中明确:不得过度收集个人信息、滥用人脸识别技术、大数据杀熟等。

  个人信息保护法第五章专门规定了个人信息处理者的义务,第五十一条规定,个人信息处理者要采取相应措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。其中就包括采取相应的加密、去标识化等安全技术措施。

  个人信息保护法施行前,加密、去标识化还可以视为行业内的倡导,属于“自选动作”,做了说明你有良心,不做也不犯法。但随着个人信息保护法的正式施行,加密、去标识化等安全技术措施已经成为快递平台必须履行的法定义务。

  顺丰快递的隐私面单,手机号码已不可见

  那么,快递公司不履行这个义务又能怎么样呢?毕竟,快递员卖客户信息是个人行为,严格来说,我快递公司还是受害者呢。

  那就只能用技术手段强迫快递公司确保不泄露客户信息。

  今年6月23日,国家邮政局市场监管司、公安部十一局、国家网信办网络数据管理局联合召开主要电商平台企业涉邮政快递个人信息安全治理专项行动视频推进会。

  会议强调,要强化信息安全源头治理,推行隐私面单、虚拟号码等个人信息去标识化技术,从信息源头阻断不法分子实施犯罪的可能性。

  所谓隐私面单,是电商及快递企业保护消费者家庭住址、姓名、手机号等个人敏感信息采取脱敏或隐匿处理的纸质面单。

  我们取快递时,偶尔会看到快递单上的姓名、手机号码被部分隐藏,代之以星号、笑脸等符号,这种快递面单就是隐私面单。

  其实早在六年前,京东就曾经试行推广“微笑面单”,利用技术手段以笑脸代替部分用户姓名和手机号信息,之后,各大快递平台也陆续推出了“隐私面单”服务,在快递面单上用“*”来代替中间几位手机号码和用户的名字、地址,以此保护用户个人隐私信息。

  京东快递的微笑面单

  但是,六年过去了,我们取快递时仍然会发现:绝大部分快递面单都是普通面单,只有极少数是隐私面单,以乌鸦个人经历来说,十件里边大概只有一件是隐私面单。

  六年过去了,就这?

  隐私面单推广不下去,因为不论是对快递平台,还是快递驿站和快递员而言,隐私面单都有点“不受待见”。

  一方面,隐藏信息需要专门系统的支撑,还要为快递员配备手持终端,对快递平台和快递驿站来说增加了成本。而对快递员而言,因为不能直接从面单上获取详细地址,也比直接配送要麻烦。

  为了不“自找麻烦”,快递公司和快递员基本不会向消费者主动推荐隐私面单服务,很多消费者之所以不选择“隐私面单”服务,不是因为不在意信息泄露问题,而是根本就没听说过还有这项服务。

  技术是好技术,但如果推广不下去,那也只能是个无用的技术。

  所以,国家邮政局在推进会上表示,要按照“安全可靠、便利服务、上下游贯通”原则,采取切实可行的措施,努力推动年内基本实现邮政快递面单个人信息隐藏全覆盖目标。

  国家邮政局作为行业标准的制定者,说话还是很有分量的,毕竟他们想做到的事,从过往经验上看是算数的,基本上都做成了。

  希望隐私面单早日成为快递行业标配,今年的双十一、双十二,乌鸦再也不想接到莫名其妙的理赔电话了。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则




QQ|手机版|小黑屋|大参考 |

GMT+8, 2024-3-28 20:21 , Processed in 0.109375 second(s), 16 queries .

 

Powered by 大参考 X3.4 © 2001-2023 dacankao.com

豫公网安备41010502003328号

  豫ICP备17029791号-1

 
快速回复 返回顶部 返回列表