电商安全 mall-https

您现在所在的位置 首页 > 电商安全 > Uber刷单骗补升级,利用泄露信息不间断刷单

Uber刷单骗补升级,利用泄露信息不间断刷单

在中国,个人信息被泄露和疯狂盗用司空见惯,现在这种情况已经蔓延到了新兴的互联网公司领域,比如优步和滴滴。

“我每天使用一个新的优步账号,这样完成20单就会返还500元,而买这个账号只需要150元。”一位优步司机在行驶的车辆中对腾讯科技记者说。他表示,有专门的渠道购买账号,虽然乘客叫车成功之后软件上所显示的联系电话、姓名和车号,但是“没关系,我可以主动联系乘客,他们也不会十分介意。”这位司机除了每天购买和冒用全新的司机账号之外,也会使用新的银行卡进行绑定。而且,据这位司机介绍“这种情况非常普遍”。

对于在O2O领域跑马圈地的创业公司来说,刷单始终是一个绕不过去的“坎儿”。 一天动辄几千万美元的补贴,让O2O市场成为刷单手们继淘宝之后又一个无比钟爱的沃土。在这些公司中,滴滴、优步等出行平台凭借一天烧几千万美元的高姿态,成为近两年最被刷单者所热爱的行业。

泛滥的代注册交易

打车软件提供的高额补贴吸引了刷单者的格外关注,除了有大量优步乘客账户交易外,优步车主账户交易和代注册交易也成为刷单者看中的“香饽饽”。

所谓代注册,即由买家提供姓名、驾照、未注册过优步账户的邮箱和手机号,由卖家负责PS驾驶证等证件,并提供对应的车主账户,以便给买家跑车和刷单,该过程由电脑虚拟操作,虚拟定位、自动行驶接单、乘客端自动下单全自动解决。

腾讯科技以“出售司机账号”在淘宝网上进行搜索,出现的几乎都是账号买卖的信息,其中提供“全国滴滴优步司机端出售”、“优步司机端账号代注册”的商家有近百家,销售量排在第一的商家仅在去年12月的一个月时间内就完成了近400笔成交记录。

虽然很多卖家的淘宝销量显示为零,但实际上更多幕后交易是绕过了淘宝体系,通过其它方式完成。

车主信息从何而来

根据优步官网上的注册步骤提示,车主需要提供的资料包括邮箱、地址、司机本人驾照、银行卡信息(包括收款人姓名、银行名称、开户城市、开户支行、银行账号)、车辆信息(包括品牌、型号、年份、车牌号码)。那么卖家所提供的这些信息,尤其是车主、车辆都是从何而来?

有从事网络安全的业内人士告诉腾讯科技,车辆信息泄露有很多途径,比如车管所的信息泄露、交通违规信息泄露,以及停车数据泄露等等,“这些数据会经过好几手倒卖,用作很多用途,用作刷单的账号交易就是用途之一。”

随后,腾讯科技通过乌云网站了解到,2015年2月,曾发生用户资料大规模泄露,全国大量车主信息在互联网上疯传,包括几百万车主姓名、身份证号、家庭住址、车牌号等等,并公然售卖。

2015年7月某省车管所多站通用管理系统存在oracle注入(打包)可泄露大约1000万左右数据,其中包括驾驶员姓名、身份证号、驾驶车辆类型、牌照信息等,该漏洞已经交由第三方合作机构(公安部一所)处理;

2015年7月,上门洗车平台呱呱洗车订单系统沦陷,泄漏所有车主车牌、手机、住址,该漏洞已经由厂商确认。

2015年8月,创佳车友网车辆营运系统未授权访问漏洞导致大量车牌信息泄漏,包括车牌号,姓名,道路运输证号等,该漏洞已交由第三方合作机构(cncert国家互联网应急中心)处理;

2015年11月,某省驾驶人考试管理安全漏洞导致大量用户敏感信息泄露,包括身份证、姓名、电话、牌照等信息,该漏洞已交由第三方合作机构(cncert国家互联网应急中心)处理。
(以上内容来源:腾讯科技)

黑色产业的背后,是缺乏保护的行业大环境

在刷单骗补大行其道的背后,是源源不断的失窃数据提供着原料支持,民众失窃的数据在黑色产业链中经过一次次的反复流通创造着大量的灰色利益。如此社会痼疾,经过多年发展,不但没有缓解,反而愈演愈烈。

值得警惕的是,如今的地下黑产,对于失窃数据的利用已经达到了新层次——除去老旧的垃圾广告与勒索诈骗外,不法分子通过刷单等类似手段进一步榨取失窃数据的原有价值,这对于广大失窃用户来说可能伤害更为严重。一个典型的场景就是:多年之后,老王欲申请住房贷款,来到银行,却被告之违信过多,老王挠头大急,却不知是何缘故。

在大部分网页还是HTTP明文传输的现状下,安全意识不足,安全防范手段匮乏,是数据失窃频发的根本原因。事到如今,牵扯广泛的地下黑产,已经变成趴在互联网大腿上一只甩不掉的蚂蟥。为今之计,便是希望各方提高自身安全防范,加强基础安全建设,让用户数据处于更加严密的保护环境之下,不给不法分子可乘之机。