起底身份倒賣產業：那些被公開叫賣的人生

關鍵時刻，第一時間送達

來源 / 半佛仙人（ID：banfoSB）

歡迎下載騰訊新聞APP，查看更多科技熱點新聞

今天這篇文章，與我們每一個人的生活都密切相關。

這兩天有3個新聞同時出現，讓我突然有了寫這篇文章的衝動。

一個是潛逃近三年的北大高材生弒母案嫌疑人吳謝宇在重慶被捕，被抓時身份身上攜帶三十多張身份證，靠著不停變換身份，躲避著追捕。

一個是網傳京東被人拖庫，5000萬條含用戶身份資料的賬戶信息被泄露，京東官方第一時間出面闢謠，表示相關信息非京東賬戶信息。

第三個比較少人知道，但最重要，NCC Group公布了高通晶元的旁路漏洞，收到波及的高通晶元有近40款，這個漏洞可用來竊取用戶信息，高通於本月初修復了這個漏洞。

除了蘋果和華為，絕大多數安卓手機的核心晶元，是高通，這次漏洞，與每一個安卓用戶有關，此次漏洞最高可能波及全球數十億手機，你的手機可能就是其中之一。

作為專業風控，我看到這三個新聞的第一反應不是情緒，而是關於身份信息泄露與交易市場的一些事情，應該被更多人知道。

一

現代社會中，核實人身份的方法有很多，例如實名銀行卡，實名手機號，駕駛證等等等等，但是這些所謂的實名信息，本質上還需要一個源數據來提供真實性兜底。

這個數據源，就是身份證。

銀行卡，手機號等一切所謂實名信息，都是基於身份證的，只是身份證信息的一種承載方式而已。

如果沒有身份證信息，你沒法證明你是你。

但假如有了你的身份證信息，則某種程度上，可以證明我是你。

一個虛假的身份，對於我們大多數普通人而言，雖然聽起來很酷，但是其實沒有什麼用處，因為我們的生活不需要這些。

而對於另一些做特殊產業的人而言，虛假身份則是最重要的生產資料，沒有之一，絕大多數黑產的根基，就是身份偽裝。

有了身份偽裝，漏洞攻擊，騙貸，薅羊毛，洗錢，偽造註冊信息甚至騙補貼等一切違法手段，都有了一層安全的保護。

而虛假身份的交易，更是當前黑市最火熱的交易品。

你有沒有想過，世界上可能會有另一個人，披著你的身份生活？

二

黑產內，對於全套身份偽裝信息，有個專有名詞，叫做四件套。

所謂四件套，是指身份證原件 身份證對應手機卡 身份證對應銀行卡 網銀U盾，一般來說銀行卡都是已經開通網銀的的，某些手機卡甚至還會預存話費。

例如這樣（圖片來自網路）。

比較成熟的四件套販子，甚至可以為買家定製具體的籍貫，性別，年齡，手機卡運營商，開戶銀行等。

只要買家願意加錢並且耐心等待，這些都不難做到。

當前市場中最受歡迎的開戶銀行是四大行中的某家，因為這家銀行的U盾普遍不需要插電腦，只需要輸入盾的驗證碼即可，畢竟少一次物理交互，就少一次麻煩和破綻。

四件套算是身份信息中的貴族，一份完整的標準版四件套，黑市價格在400到700元，按照供需關係決定，定製版會更貴一些。

之所以需要定製，是因為很多大的機構對於某些地域某些群體，是有特殊限制規則的，例如某些公司堅決不跟某些地域的身份證產生任何業務往來。

所以即使是身份證四件套，也是不平等的。

像極了生活。

三

四件套，屬於身份信息中的中高端產品，交易起來也相對複雜。

刨除四件套之外，最常見且頻繁的身份信息，更多的是大量的身份證正反面照片，手機號，工作收入情況，以及本人手持身份證照片。

這些資料往往都是成批出售的，在暗網，在一些小眾聊天APP，走虛擬貨幣交易。

例如這樣（圖片來自網路）。

這種叫賣數據的行為，在暗網中非常常見。

這些數據的涵蓋面比較廣，有的只是部分精準手機號，例如4S店車主手機號，小區業主手機號，股民手機號等等，這些主要用於打營銷電話。

稍微複雜一點的，大量的身份證正反面照片，手機號，工作收入情況，以及本人手持身份證照片，用於偽裝身份騙貸款。

這些名目繁多的各類資料，是黑市交易的主流，也是重點打擊的對象。

倒賣用戶信息，是非常嚴重的違法行為，不止是坐牢那麼簡單。

四

這些身份信息的交易信息是如何傳達的？

如果你用身份證，網銀之類的關鍵詞去搜索，那麼必然是查不到任何有效信息的，搜索引擎也知道要屏蔽敏感詞。

但是這些群體非常聰明，他們知道各大網站都在打擊，所以他們採取了很多隱蔽的方式。

例如不會用敏感詞作為索引，而是使用某些代碼，銀行卡=YHK這樣。

例如潛伏在各大論壇，貼吧，群，二手交易網站里，只要圈內人使用圈內代碼，就可以找到他們。

甚至他們的廣告都打到了視頻網站的評論欄和彈幕里，各種 我看片之類的廣告背後，都有這種見不得光的生意。

除了利用國內的一些設施，他們的主要交流根據地在國外。

在很多小眾化的，國外的聊天APP中，他們有特定的群組，專門交流此類信息，並且IP多在國外。

非常難以打擊。

實名制對他們意義不大，因為他們本身都是實名的，只不過實的不是自己的名。

最高明的隱藏，是不隱藏。

五

當找到介面人，談好價格後，這些信息是如何交易的？

如果是各種虛擬資料的話，付款走虛擬貨幣，資料傳輸走境外網盤，相對比較方便。

如果是四件套的話，相對會麻煩一些，因為涉及實物快遞。

一般這樣的貨物交易，都是走快遞到付，如果和快遞員關係好，或者和買家交易比較久，甚至支持先驗貨再付款。

付款基本都是到付或者特定二維碼收款，一般都不會通過微信，支付寶或者其他第三方支付通道（例如銀聯），因為會被檢測到異常。

交易只走到付，快遞員有自己的方式收款，整條產業鏈中，物流網點是很重要的一環。

甚至很多專業黑產會自己盤下某些網點，方便自己來交易。

各種加盟不規範的小物流小快遞，是他們最愛的工具。

說不定你下樓拿快遞的時候，隔壁的箱子里，就藏著你的一生。

六

這些身份資料被購買後，用途是什麼？

用途A——隱匿

常見於新聞報道中的犯罪分子，這類群體對於身份信息是剛需，因為他們需要擺脫警方的追捕，同時需要讓自己可以過上一些正常人的生活，例如弒母案中的吳謝宇，他被捕時的三十多個身份證，就是用來偽裝自己身份的。

很多人會問，現在不是有各種人臉識別和酒店登記了嗎？為什麼還是能用假身份？

朋友，在很多小地方，這些技術根本不普及。而且就算是在大城市，用假身份租個房子，和房東個人簽協議，要多簡單有多簡單。

實際上吳謝宇要不是出現在機場，有人臉識別與公安打通，他還不知道能潛逃多久。

你身邊的人，到底是不是這個人呢？

用途B——測試

某些支付公司和互聯網公司的測試使用。

可能很多人沒有意識到這個用途，很多與交易有關的互聯網公司，在測試自己產品的付款與提現功能時（尤其是電商與互金），不同銀行的銀行卡兼容性非常重要。

全國這麼多銀行，需要這麼多銀行卡，身份信息（綁定時用），尤其是測試的時候需要反覆測試不同組合的兼容性，還需要對這些資料的絕對掌控。

你說，某些公司的測試資料，是從哪裡來的呢？

用途C——騙貸 羊毛

擁有四件套，某種程度上就代表了你可以在互聯網環境中偽造成這個人，並用他們的信息來做一些事情。

例如很多P2P公司都有註冊送錢的活動，這些信息可以拿去用。

例如很多互聯網公司都有實名註冊送獎勵的活動，這些信息可以拿去用。

例如很多高利貸公司閉著眼給白戶放714高炮，這些信息就可以拿去騙貸，在7天內（7天後各大黑名單就開始記錄了）儘可能多的申請貸款，然後下款後把錢轉走，最後手機卡一掰，隨便瀟洒，反正一切記錄都是身份信息的那個人，和自己無關。

一套完整資料500塊，運氣好可以在7天內薅出數萬元的貸款，甚至很多貸款流量超市自己就買這種證件來騙自己客戶的錢。

這種黑吃黑的套路，多不勝數。

有人說貸款都有人臉識別，用假身份過不了人臉，我只能說天真。

給你大家現場展示。

這是靜態圖

這是製作過的動態圖。

如果這個技術不是用在肖像上，而是用在身份證和手持身份證的照片上呢？

你還覺得人臉無懈可擊么？你還能證明你不是你么？

你所見到的，未必就是真相。

用途D——洗錢

這是虛假身份市場最初誕生的原因，就是洗錢。

洗錢這件事，說穿就是把一筆筆來路不明的錢，通過各種轉賬以及搭配業務場景的模式，變為乾淨的錢或者說是變為可以控制的錢。

近些年我國對於洗錢的打擊越來越重，銀行對於洗錢規則的審核越來越嚴苛，所以很多黑產不得不升級手段。

而虛假身份的用途就在這裡，通過一個個虛假的身份，把大額的資金分散為小額的個人轉賬，然後利用地下錢莊把錢搞到境外。

這些錢往往是非法所得。

近些年最大的金主，是東南亞網路博彩，由於網路博彩的充值金額很高，且充值方式複雜（各種二維碼），所以他們是近些年身份信息倒賣最大的需求方。

最賺錢的生意，都在刑法里。

用途E——借殼

這是一個比較罕見，但真實存在的用途。

往往是很多不法行為，需要有公司的殼來完成，而這些身份信息，就會被拿來註冊成一個個殼公司的法人，最後出了問題，反正也只是身份證上的人倒霉。

更高級一點的借殼，是利用偽裝身份，來持有股份。

很多公司的股權架構非常複雜和混亂，裡面往往有很多分子公司交叉持股，這堆分子公司裡面的很多法人與股東，是搞來的身份證註冊的。

之前甚至出現過部分上市公司的前十位個人股東中出現了假身份的，對方實際上只是個普通農民的案例。

農民在一無所知的前提下掌控了上市公司，荒謬又真實。

七

由於販賣身份信息，在我國是非常非常嚴重的違法行為，發現就抓，絕不姑息。

就代表，這一行見不得光。

而做這一行的，多數都是只認錢。

當一個行業見不得光且只認錢。

那麼必然混亂與黑吃黑叢生，大家各憑本事，在黑暗叢林里廝殺。

所有禮儀道德廉恥都是虛的，只有到手的錢，才值得信任。

最低級的黑吃黑是騙錢與假數據。

在暗網中，這一整套交易環節，都是有邀請制的，你隨隨便便就去跟賣家聊，多數時候是不理你的，因為擔心泄露被抓。

而那些公開叫賣的數據，裡面十個人里起碼九個是有有問題的，要麼數據有問題，要麼賣的人有問題。

或許買回來的幾千萬條數據里，有一般是系統隨機生成的數據；

或許買回來的數據，最後其實是一部《葫蘆娃》。

又或許對方要你付定金，但最後連《葫蘆娃》都不給你。

高級的黑吃黑是釣魚。

很多人買回來一堆身份信息四件套，想搞騙貸或者洗錢。

但很有可能，買回來的是賣家的魚餌。

當買家自己拚命用這些信息騙到了貸款，又或者把搞黃賭毒弄來的錢分散進去企圖開始洗刷刷的時候，會發現這些錢都不翼而飛了。

賣家收網了。

本來這些信息就是賣家賣出的，想對這些賬戶做出操作連掛失都不用。

花了錢還給人打白工，還沒法說理去。

很多突然倒下的公司與P2P，其實背後遇到了這樣的釣魚，老闆本來想通過洗錢來潛逃，最後被人釣了魚，所有錢都沒有了，而且還沒法解釋。

只能老實自首。

近期P2P又開始暴雷了，其中有多少是蠢魚呢？

諷刺的是，如果這些P2P公司不被釣魚，他們還會騙更多人。

所以釣魚是殺，還是救？

這堪稱當代善惡體系的一個重大難題。

最高級的黑吃黑，是虛擬貨幣割韭菜。

不管直接騙錢也好，釣魚也好，總歸是要與買家有直接接觸的，還是存在風險。

最高級的黑吃黑，某種程度上已經脫離了單純黑吃黑的範疇。

他們發幣。

只要成為黑產交易的等價物，那麼某種程度上，就等於是掌握了自己印錢的能力。

並且由於虛擬貨幣的匿名屬性與不可追蹤屬性，又是極度安全的，甚至都不需要參與交易。

等他們玩膩了，要收手了，只需要在某些交易所大量拋售，並且用另外的身份做空，就能再賺盡最後一筆錢，然後深藏功與名。

很多突然崩潰的虛擬貨幣，往往與某位大佬的洗白行動有關。

很多韭菜，到死都不知道自己是怎麼死的。

八

我們上面說了這麼多的身份信息的意義，到買房是，價值，那麼關鍵的問題來了，這些數據，總該有些源頭吧？這些數據是從哪裡來的？

A，是來源於各大安全防範不嚴密的公司。

以前做滲透安全測試的時候，我往往發出感嘆，國內很多所謂牛逼的公司，業務規模無比牛叉，但信息安全做的慘不忍睹。

他們很多的資料庫沒有做到內外網分離，甚至很多密碼都是默認的admin和guest，還有123456，若是碰上別有用心且不懼法律的黑客，可以輕鬆把數據搞出來然後丟到黑市上打包賣掉。

各種某某公司被脫褲，用戶信息泄露販賣的新聞，在網上已經算不得新聞了。

B，是那些已經完蛋的P2P公司。

暴雷了這麼多公司，這些公司里有這麼用戶的敏感數據，公司完蛋後，數據呢？

很多被P2P坑了的人，還沒有意識到，自己的信息，同樣也被暴露了。

一地雞毛。

C，公司內鬼。

現在融資環境不好，很多早期燒錢過頭的公司，已經快要挺不下去了。

當一個公司面臨快要終結的命運時，為了籌錢，沒有什麼事情是老闆做不出來的，包括販賣用戶數據，反正都是一死，早死不如晚死。

另外很多公司里能接觸到用戶數據的技術人員太多了，而很多公司的數據倉庫對於跳板機和賬戶監控又太鬆散了，很多關鍵數據都是可以被一鍵無痕複製出來的。

這個誘惑非常大，我每年都會送進去一些手腳不幹凈的人。

D，錢包丟失

大量丟失錢包中的身份證，被拿去做成了四件套。

E，社會工程學

人才市場裡面的招聘攤位，大學校園裡的兼職招募，這些日常的場景中，潛藏著很多黑產，他們用各種手段創造一個合理的用途，來讓你心甘情願配合，把身份證複印件以及手持身份證照片交出去，並且毫無感知。

另外據聽說，很多大學裡的學生幹部，在幫老師忙的同時，是有許可權接觸到學生詳細信息的，很多時候只需要一個U盤，就夠了。

快遞公司，房產中介，4S點，營業廳，某個庫管，無數崗位在面對用戶資料時，一個U盤，就夠了。

某些免費的WIFI，某些公共場所被劫持的網路，只要你連上，你就透明了。

我自己是從來不連任何公共場所的未加密WIFI的，某些以免費WIFI為主打的產品，本身的盈利模式就有用戶信息。

攻破網路防禦，或許很難；但誘惑人心，沒那麼難。

F，身份證所有者自己出售的

隨著科技的進步，想單純靠一張偷來騙來的身份證做出4件套越來越難。

但這個行業又十分暴利。

暴利，可以催生一切。

很多某些偏遠地方的人，對於自己的身份資料並不看重，他們覺得自己一輩子不太會和外面的世界有什麼交集，賣也就賣了，他們往往把自己的身份信息當做商品，賣給黑產販子。

這就是為什麼身份證籍貫和年齡在黑市上是支持定製的原因。

當然也有一些走投無路的人，大多數賭鬼或者高利貸債務崩盤的人，對他們而言，自己的身份資料能換回來幾百塊，非常划算。

錢都沒了，要身份還有什麼用呢？

九

說了這麼多與身份信息倒賣有關的信息，最後再談一下如果你知道了自己的信息可能會丟失，應該怎麼做。

首先你要知道你的信息有沒有被拿來使用。

A. 定期去運營商營業廳查查自己名下究竟有幾個手機號，有哪些號是自己不用但還沒有註銷的。

B. 定期去銀行查查自己名下有幾張卡，自己已有的卡中有沒有出現一些自己不知道來源的業務和授權。

C. 經常去企業查詢類網站（天眼查啟信寶之類），查查自己有沒有被某些公司作為法人。

這些操作都不複雜，也不困難，只要你有心。

如果查出來發現確實有點問題，怎麼辦？

不要慌，你要記住，你才是資料的主人。

應該怎麼做？

很簡單，掛失和註銷。

身份證疑似泄露，就掛失身份證；

銀行卡多了或者被人拿走了，就註銷銀行卡；

電話卡多了，就註銷電話卡；

記住，你才是資料的主人。

做完這一切之後，你就暫時安全了，因為當你的身份被任何異常利用之後，你都有足夠的證據來證明與自己無關。

這種有效證據，基本目前是安全的，所有私信我說資料被人拿走的人，我也都是這麼建議的。

這套自我排查與自我保護的方法，建議大家擴散給更多身邊的人。

十

在我國，販賣身份信息，是嚴重的違法行為。

即使交易是在國外發生，販賣中國人的身份信息，依然是觸犯中國法律，且中國享有管轄權，各國政府對於這類行為也是普遍嚴打的。

每隔一段時間，就會有一批身份販子被打掉，警方對於身份資料販賣的打擊是極端的嚴厲。

但這絲毫阻止不了黑產的猖獗，甚至每一次大規模整治之後，都會導致黑市價格的暴漲。

現在黑市上甚至出現了一部分囤積資料，靠價格波動來獲利的中間商，他們就是在價格便宜時吃下大量資料，嚴打後高價拋售，盆滿缽滿。

堪稱黑產證券化，有中間商賺差價。

於此同時，隨著00後的登場，黑市上出現的身份信息，也開始越來越年輕。

現在黑市上已經出現了08年出生的身份信息，連成年都沒有，這些身份信息都被拿出來叫賣，讓人想不到應用場景是什麼，就連註冊刷羊毛，很多公司也都要求成年。

後來我想明白了，這不重要，因為只要有身份信息，就可以賣錢。

想想一個還在讀小學或者還沒上學的孩子，他的身份資料就有可能已經在黑市上被倒賣了無數手，可能是用於註冊各類教育APP薅羊毛。

等到他年齡滿18歲的時候，這些泄露的信息會被拿來做更多壞事。

極端情況下，他可能還未踏上社會，就已背負巨額債務，人生陷入深淵。

而在黑產眼中，這些都不重要，身份資料只是一堆數據，只是生產資料，能換錢就好。

而我們這些身份信息都不知道被倒賣過多少手的普通人，唯一能安慰自己的，只能是自己的隱私不值錢，自己只是普通人，強行讓自己看不見這一切。

但就算是這不值大錢信息，也是我們的一生。

是我們努力，勤勞，辛苦又無可替代的一生。

眾生皆苦。

近期精選

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！