還敢代叫打車嗎？7天掙2萬的客服告訴我，4折都是盜來的

其實不只是微信群，留學生論壇、貼吧、QQ、微博，甚至萬能的淘寶，輸入「Uber代叫」，就能看到一堆結果。而且，他們不單可以接中國和英國的Uber，還可以接加拿大、日本、美國......

除了代叫Uber、Lyft，他們也會代買機票、訂酒店、訂airbnb，還招代理，教技術...

往左滑動可以查看更多截圖（截圖來自微博、淘寶、微信以及百度貼吧）

圈哥詢問了身邊有使用過代叫、了解背後流程的朋友，還加了「代叫」的微信，為大家多面了解「代叫流程」和它的「黑色產業」。

代叫的「方便」

居住在倫敦西區的陳同學就使用過代叫。在他看來，代叫還是比較方便的。只要告訴對方起點終點的郵編，自己的手機號碼，就能打上車。

（聊天信息由受訪者同意，個人信息和頭像已馬賽克處理）

不過他認為，相比用微信叫Uber，直接用App更方便一些。代叫需要10來分鐘，使用軟體一般2、3分鐘就到了。

另一位在倫敦讀本科的文同學和圈哥說，像接送機、長途的時候使用代叫其實更划算一些。他12月份回國和返英時，就用的微信代叫。去程150，回程接近200元。比直接打車便宜一半。

他認為相比直接用軟體打車，也沒便宜多少，12月用的時候花了十幾刀。除此之外，他發現代叫還是有不靠譜的，他的朋友還遇到過給了錢沒車的情況。

Daily Mail

代叫的黑幕

被盜走的賬號

其實代叫不僅僅關係中國留學生群體，也關係到其他國家的用戶，他們大多屬於直接受害者——Uber賬號被盜了。

有身在洛杉磯，Uber賬號卻顯示自己在中國，用Uber從蕭山跑到湖州的

還有莫名「跑到」澳大利亞溜了一圈的

一次兩次就很讓人氣憤了，還有人被頻繁扣錢。

（以上截圖均來自推特）

也有用戶因為每次被扣掉的錢數較少，根本沒注意到自己的賬號被盜的情況。

頂端的高級黑客這樣盜取你的賬號

這些代叫，正是利用了Uber軟體在行程結束時自動扣款的特點，通過盜取的賬號叫車。

但其實，被盜的不只是Uber賬號，和Uber有關、和Uber密碼相同的賬號、甚至銀行卡信息都有可能被黑客盜取——這可不是電影小說里的劇情，這些黑客真的存在。

他們利用網友在網上泄露的手機號、身份信息、或者是加密不夠嚴謹、被大型用戶網站泄露出來的數據，進行遍歷爆破和撞庫攻擊、一一破解Uber賬號，推特賬號、甚至是信用卡信息等等。

什麼是撞庫？

撞庫是黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網站後，得到一系列可以登錄的用戶。

因為很多用戶在不同網站使用的是相同的帳號密碼，黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址，這就可以理解為撞庫攻擊。

Facebook的聯合創始人兼CEO馬克·扎克伯格就遭受過「撞庫」：被黑客團體OurMine先通過領英賬號泄露信息get到他的密碼是dadada（如此簡單...），緊接著他的Twitter，Pinterest等多個社交賬號也被盜了。

(圖片來自：twitter)

不只是OurMine會這麼做，黑客們還會分享技能，發帖直播教學。hack8.cc的黑客也曾放出黑推特賬號的過程，放出所得知的一系列網站賬號和密碼。

hack8.cc

國內網友@土夫子也發現過Uber漏洞，在他的測試下，他獲得了幾個賬號密碼。

如上圖所示，200為登錄成功，404為存在用戶，403為不存在用戶（圖片來自https://www.secpulse.com/）

獲取賬號信息後，還能查看用戶每天的行程記錄。

（圖片來自https://www.secpulse.com/）

當然，我們聯繫到的「代叫客服」可不是這些黑客（絕大部分不是）。上文提到的黑客一般只負責破解和盜取信息，被司法部門抓到的可能性很小。

而通過他們盜取的大量信息被製成資料庫，或者拆成幾百個幾千個一包的，就放在網上公開售賣，有錢（或者比特幣）就能買到。

領英泄露的1億6千7百多用戶信息被公開售賣。（來自the real deal ）

暗網AlphaBay上公開售賣的Uber賬號

暗網AlphaBay上公開售賣的銀行卡賬號

甚至有的黑客會直接將解密後的明文賬號密碼數據分享出來。

（截圖來自新浪微博）

跟這些黑客買數據的，也有大公司。他們想把被黑客們解密和泄露的信息買回來、或者讓黑客們刪掉，以這樣的補救措施保護用戶的賬號安全.......

比如Uber，去年就付給盜取了5千7百萬用戶信息的黑客10萬美金，讓他把明文資料庫刪除。

來自彭博社

卡販子、號販子和套現的販子

除了黑客騙取到Uber用戶信息，還有的是直接用偷來的信用卡，或者將黑客黑出來的真實數據偽造信用卡等方式來付款——反正這裡面沒有一分錢是「代叫客服」自己的。

當圈哥詢問一位代叫客服時，他告訴圈哥學技術花2萬，自己一天能接好多單，一周就回本......

聰明的小夥伴應該就能猜到，使用他人信用卡信息來「代叫Uber」的這些販子就涉及信用卡犯罪了。這裡面就涉及到賣卡、發展線下賣卡、做偽造信用卡、和用偽造信用卡套現等等流程。

圈哥怕大家暈，直接上最簡單的信用卡犯罪產業鏈：

（圖片來自WooYun知識庫）

而代叫的定位問題就更好解決了：用「站街」等虛擬定位軟體打車，用虛擬定位去完成整個行程。

pokemon go大火時，就有網友用虛擬定位軟體輔助遊戲

國內共享單車領紅包火起來那會兒，也有新聞報道有人利用虛擬定位軟體「假裝騎車」刷紅包的案例。

在英國、美國、日本等這樣信用卡被盜情況極其嚴重的國家，一旦信用卡主人向信用卡公司投訴被盜，已支付的費用會被扣回，損失由Uber公司或者司機承擔。

代叫需要承擔法律後果嗎？

既然涉及信用卡詐騙和犯罪，當然有風險和後果。

有整個犯罪團伙都直接一鍋端的案例：2014年，最大的網路犯罪案涉及全球32個國家的68個機場，通過互聯網盜取信用卡信息而導致的可疑機票交易多達265起。113人被拘留，70人被捕。

（來自歐洲網路犯罪中心）

也有中國留學生和華人代購攜帶寫著自己名字的假銀行卡，打算購買奢侈品郵寄到中國大陸、港澳和美國，但因入境關島時被發現被捕，同時被起訴。

就在上個月底，該事件中33歲的Daoqin Liu被判1年緩刑。

guampdn.com

而中國，也有對Uber信息盜竊而被法院判決的案件。

占某、陳某手握5000個賬號在3個月內利用虛假刷單的方式騙取11.86萬。

法庭判決占某、陳某犯詐騙罪，前者判處有期徒刑1年零8個月，後者判處有期徒刑6個月，並罰款。法院判決此案6天後，Uber中國和滴滴宣布兩者合併。

（來自中國法院裁判文書網）

除了詐騙團伙，使用這項服務的小夥伴們也有要自己承擔的風險和後果。

《法國僑報》也曾報出，今年1月底，一位公司老總就因為代叫被司機檢查ID，因信息不符叫來警察、還被Uber告上法庭。

上文接受採訪的馬同學還跟圈哥說，自己的朋友因為叫過代叫，該朋友的美國F-1簽證被拒。

（聊天信息由受訪者同意，個人信息和頭像已馬賽克處理）

就連沒有用過代叫的同學也開始被司機叫住檢查ID，查好了才開車。

我該如何保護自己的個人信息？

除了停止使用代叫，圈哥還建議你通過以下措施保護個人信息：

所有賬號最好密碼不要完全一樣，以防多個賬號被盜。

拒絕給別人不必要的隱私信息。包含以下信息的文件最好妥善保管或用碎紙機銷毀：

? 出生年月日

? 信用卡號碼

? 金融銀行賬戶的賬號

? 醫療保險的號碼

賬戶、地址等信息在正常情況下，不會因為瀏覽合法網頁而泄露，大家要謹慎登陸非法的釣魚或黑客網站。

bilgi.zone

合理設置社交網路的隱私管理，尤其是 Facebook 和 Linkedin。盡量少讓自己的照片、地址、好友名單暴露在公眾面前。

謹慎填寫需要提供賬號密碼的網站網址，尤其是微信、QQ、微博陌生網友扔過來的未知網站。

謹慎購買轉讓的二手票、轉讓的Airbnb房源等，以防個人信息泄露給居心不良者。

如接到陌生人電話通知「交通事故」、「孩子被綁架」、「親人意外身亡」等信息時務必冷靜，待通過其他渠道核實情況後再處理。在對方談及銀行賬戶、轉賬等事宜一定要冷靜處理。

Marshall E-Learning

代叫有風險，使用需謹慎！

小夥伴如果有類似經驗或者更好的信息保護措施，歡迎告訴圈哥，分享給更多人。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！