還敢代叫打車嗎?7天掙2萬的客服告訴我,4折都是盜來的
其實不只是微信群,留學生論壇、貼吧、QQ、微博,甚至萬能的淘寶,輸入「Uber代叫」,就能看到一堆結果。而且,他們不單可以接中國和英國的Uber,還可以接加拿大、日本、美國......
除了代叫Uber、Lyft,他們也會代買機票、訂酒店、訂airbnb,還招代理,教技術...
往左滑動可以查看更多截圖(截圖來自微博、淘寶、微信以及百度貼吧)
圈哥詢問了身邊有使用過代叫、了解背後流程的朋友,還加了「代叫」的微信,為大家多面了解「代叫流程」和它的「黑色產業」。
代叫的「方便」
居住在倫敦西區的陳同學就使用過代叫。在他看來,代叫還是比較方便的。只要告訴對方起點終點的郵編,自己的手機號碼,就能打上車。
(聊天信息由受訪者同意,個人信息和頭像已馬賽克處理)
不過他認為,相比用微信叫Uber,直接用App更方便一些。代叫需要10來分鐘,使用軟體一般2、3分鐘就到了。
另一位在倫敦讀本科的文同學和圈哥說,像接送機、長途的時候使用代叫其實更划算一些。他12月份回國和返英時,就用的微信代叫。去程150,回程接近200元。比直接打車便宜一半。
他認為相比直接用軟體打車,也沒便宜多少,12月用的時候花了十幾刀。除此之外,他發現代叫還是有不靠譜的,他的朋友還遇到過給了錢沒車的情況。
Daily Mail
代叫的黑幕
被盜走的賬號
其實代叫不僅僅關係中國留學生群體,也關係到其他國家的用戶,他們大多屬於直接受害者——Uber賬號被盜了。
有身在洛杉磯,Uber賬號卻顯示自己在中國,用Uber從蕭山跑到湖州的
還有莫名「跑到」澳大利亞溜了一圈的
一次兩次就很讓人氣憤了,還有人被頻繁扣錢。
(以上截圖均來自推特)
也有用戶因為每次被扣掉的錢數較少,根本沒注意到自己的賬號被盜的情況。
頂端的高級黑客這樣盜取你的賬號
這些代叫,正是利用了Uber軟體在行程結束時自動扣款的特點,通過盜取的賬號叫車。
但其實,被盜的不只是Uber賬號,和Uber有關、和Uber密碼相同的賬號、甚至銀行卡信息都有可能被黑客盜取——這可不是電影小說里的劇情,這些黑客真的存在。
他們利用網友在網上泄露的手機號、身份信息、或者是加密不夠嚴謹、被大型用戶網站泄露出來的數據,進行遍歷爆破和撞庫攻擊、一一破解Uber賬號,推特賬號、甚至是信用卡信息等等。
什麼是撞庫?
撞庫是黑客通過收集互聯網已泄露的用戶和密碼信息,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登錄的用戶。
因為很多用戶在不同網站使用的是相同的帳號密碼,黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址,這就可以理解為撞庫攻擊。
Facebook的聯合創始人兼CEO馬克·扎克伯格就遭受過「撞庫」:被黑客團體OurMine先通過領英賬號泄露信息get到他的密碼是dadada(如此簡單...),緊接著他的Twitter,Pinterest等多個社交賬號也被盜了。
(圖片來自:twitter)
不只是OurMine會這麼做,黑客們還會分享技能,發帖直播教學。hack8.cc的黑客也曾放出黑推特賬號的過程,放出所得知的一系列網站賬號和密碼。
hack8.cc
國內網友@土夫子也發現過Uber漏洞,在他的測試下,他獲得了幾個賬號密碼。
如上圖所示,200為登錄成功,404為存在用戶,403為不存在用戶(圖片來自https://www.secpulse.com/)
獲取賬號信息後,還能查看用戶每天的行程記錄。
(圖片來自https://www.secpulse.com/)
當然,我們聯繫到的「代叫客服」可不是這些黑客(絕大部分不是)。上文提到的黑客一般只負責破解和盜取信息,被司法部門抓到的可能性很小。
而通過他們盜取的大量信息被製成資料庫,或者拆成幾百個幾千個一包的,就放在網上公開售賣,有錢(或者比特幣)就能買到。
領英泄露的1億6千7百多用戶信息被公開售賣。(來自the real deal )
暗網AlphaBay上公開售賣的Uber賬號
暗網AlphaBay上公開售賣的銀行卡賬號
甚至有的黑客會直接將解密後的明文賬號密碼數據分享出來。
(截圖來自新浪微博)
跟這些黑客買數據的,也有大公司。他們想把被黑客們解密和泄露的信息買回來、或者讓黑客們刪掉,以這樣的補救措施保護用戶的賬號安全.......
比如Uber,去年就付給盜取了5千7百萬用戶信息的黑客10萬美金,讓他把明文資料庫刪除。
來自彭博社
卡販子、號販子和套現的販子
除了黑客騙取到Uber用戶信息,還有的是直接用偷來的信用卡,或者將黑客黑出來的真實數據偽造信用卡等方式來付款——反正這裡面沒有一分錢是「代叫客服」自己的。
當圈哥詢問一位代叫客服時,他告訴圈哥學技術花2萬,自己一天能接好多單,一周就回本......
聰明的小夥伴應該就能猜到,使用他人信用卡信息來「代叫Uber」的這些販子就涉及信用卡犯罪了。這裡面就涉及到賣卡、發展線下賣卡、做偽造信用卡、和用偽造信用卡套現等等流程。
圈哥怕大家暈,直接上最簡單的信用卡犯罪產業鏈:
(圖片來自WooYun知識庫)
而代叫的定位問題就更好解決了:用「站街」等虛擬定位軟體打車,用虛擬定位去完成整個行程。
pokemon go大火時,就有網友用虛擬定位軟體輔助遊戲
國內共享單車領紅包火起來那會兒,也有新聞報道有人利用虛擬定位軟體「假裝騎車」刷紅包的案例。
在英國、美國、日本等這樣信用卡被盜情況極其嚴重的國家,一旦信用卡主人向信用卡公司投訴被盜,已支付的費用會被扣回,損失由Uber公司或者司機承擔。
代叫需要承擔法律後果嗎?
既然涉及信用卡詐騙和犯罪,當然有風險和後果。
有整個犯罪團伙都直接一鍋端的案例:2014年,最大的網路犯罪案涉及全球32個國家的68個機場,通過互聯網盜取信用卡信息而導致的可疑機票交易多達265起。113人被拘留,70人被捕。
(來自歐洲網路犯罪中心)
也有中國留學生和華人代購攜帶寫著自己名字的假銀行卡,打算購買奢侈品郵寄到中國大陸、港澳和美國,但因入境關島時被發現被捕,同時被起訴。
就在上個月底,該事件中33歲的Daoqin Liu被判1年緩刑。
guampdn.com
而中國,也有對Uber信息盜竊而被法院判決的案件。
占某、陳某手握5000個賬號在3個月內利用虛假刷單的方式騙取11.86萬。
法庭判決占某、陳某犯詐騙罪,前者判處有期徒刑1年零8個月,後者判處有期徒刑6個月,並罰款。法院判決此案6天後,Uber中國和滴滴宣布兩者合併。
(來自中國法院裁判文書網)
除了詐騙團伙,使用這項服務的小夥伴們也有要自己承擔的風險和後果。
《法國僑報》也曾報出,今年1月底,一位公司老總就因為代叫被司機檢查ID,因信息不符叫來警察、還被Uber告上法庭。
上文接受採訪的馬同學還跟圈哥說,自己的朋友因為叫過代叫,該朋友的美國F-1簽證被拒。
(聊天信息由受訪者同意,個人信息和頭像已馬賽克處理)
就連沒有用過代叫的同學也開始被司機叫住檢查ID,查好了才開車。
我該如何保護自己的個人信息?
除了停止使用代叫,圈哥還建議你通過以下措施保護個人信息:
所有賬號最好密碼不要完全一樣,以防多個賬號被盜。
拒絕給別人不必要的隱私信息。包含以下信息的文件最好妥善保管或用碎紙機銷毀:
? 出生年月日
? 信用卡號碼
? 金融銀行賬戶的賬號
? 醫療保險的號碼
賬戶、地址等信息在正常情況下,不會因為瀏覽合法網頁而泄露,大家要謹慎登陸非法的釣魚或黑客網站。
bilgi.zone
合理設置社交網路的隱私管理,尤其是 Facebook 和 Linkedin。盡量少讓自己的照片、地址、好友名單暴露在公眾面前。
謹慎填寫需要提供賬號密碼的網站網址,尤其是微信、QQ、微博陌生網友扔過來的未知網站。
謹慎購買轉讓的二手票、轉讓的Airbnb房源等,以防個人信息泄露給居心不良者。
如接到陌生人電話通知「交通事故」、「孩子被綁架」、「親人意外身亡」等信息時務必冷靜,待通過其他渠道核實情況後再處理。在對方談及銀行賬戶、轉賬等事宜一定要冷靜處理。
Marshall E-Learning
代叫有風險,使用需謹慎!
小夥伴如果有類似經驗或者更好的信息保護措施,歡迎告訴圈哥,分享給更多人。
※凱特摯愛50%OFF,Farfetch大牌四折起!
※全世界都搶著玩起了狗年郵票,英國怎麼還沒跟上…
TAG:英倫圈 |