你的微信群里有“Uber代叫”这么个神奇的存在吗?
其实不只是微信群,留学生论坛、贴吧、QQ、微博,甚至万能的淘宝,输入“Uber代叫”,就能看到一堆结果。而且,他们不单可以接中国和意大利的Uber,还可以接英国、加拿大、日本、美国......
除了代叫Uber、Lyft,他们也会代买机票、订酒店、订airbnb,还招代理,教技术...
往左滑动可以查看更多截图(截图来自微博、淘宝、微信以及百度贴吧)
小编询问了身边有使用过代叫、了解背后流程的朋友,还加了“代叫”的微信,为大家多面了解“代叫流程”和它的“黑色产业”。
代叫的“方便”
居住在伦敦西区的陈同学就使用过代叫。在他看来,代叫还是比较方便的。只要告诉对方起点终点的邮编,自己的手机号码,就能打上车。
(聊天信息由受访者同意,个人信息和头像已马赛克处理)
不过他认为,相比用微信叫Uber,直接用App更方便一些。代叫需要10来分钟,使用软件一般2、3分钟就到了。
另一位在伦敦读本科的文同学和小编说,像接送机、长途的时候使用代叫其实更划算一些。他12月份回国和返英时,就用的微信代叫。去程150,回程接近200元。比直接打车便宜一半。
Finance.co.uk
在英国读博的马同学因为出差,在英国和美国都使用过代叫。去年11月份在Newport用过,也在12月份曾在微信上和朋友一起叫了从法拉盛到新泽西的订单。
他认为相比直接用软件打车,也没便宜多少,12月用的时候花了十几刀。除此之外,他发现代叫还是有不靠谱的,他的朋友还遇到过给了钱没车的情况。
Daily Mail
代叫的黑幕
被盗走的账号
其实代叫不仅仅关系中国留学生群体,也关系到其他国家的用户,他们大多属于直接受害者——Uber账号被盗了。
有身在洛杉矶,Uber账号却显示自己在中国,用Uber从萧山跑到湖州的
还有莫名“跑到”澳大利亚溜了一圈的
一次两次就很让人气愤了,还有人被频繁扣钱。
(以上截图均来自推特)
也有用户因为每次被扣掉的钱数较少,根本没注意到自己的账号被盗的情况。
顶端的高级黑客这样盗取你的账号
这些代叫,正是利用了Uber软件在行程结束时自动扣款的特点,通过盗取的账号叫车。
但其实,被盗的不只是Uber账号,和Uber有关、和Uber密码相同的账号、甚至银行卡信息都有可能被黑客盗取——这可不是电影小说里的剧情,这些黑客真的存在。
他们利用网友在网上泄露的手机号、身份信息、或者是加密不够严谨、被大型用户网站泄露出来的数据,进行遍历爆破和撞库攻击、一一破解Uber账号,推特账号、甚至是信用卡信息等等。
什么是撞库?
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。
因为很多用户在不同网站使用的是相同的帐号密码,黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
Facebook的联合创始人兼CEO马克·扎克伯格就遭受过“撞库”:被黑客团体OurMine先通过领英账号泄露信息get到他的密码是dadada(如此简单...),紧接着他的Twitter,Pinterest等多个社交账号也被盗了。
(图片来自:twitter)
不只是OurMine会这么做,黑客们还会分享技能,发帖直播教学。hack8.cc的黑客也曾放出黑推特账号的过程,放出所得知的一系列网站账号和密码。
hack8.cc
国内网友@土夫子 也发现过Uber漏洞,在他的测试下,他获得了几个账号密码。
如上图所示,200为登录成功,404为存在用户,403为不存在用户(图片来自https://www.secpulse.com/)
获取账号信息后,还能查看用户每天的行程记录。
(图片来自https://www.secpulse.com/)
当然,我们联系到的“代叫客服”可不是这些黑客(绝大部分不是)。上文提到的黑客一般只负责破解和盗取信息,被司法部门抓到的可能性很小。
而通过他们盗取的大量信息被制成数据库,或者拆成几百个几千个一包的,就放在网上公开售卖,有钱(或者比特币)就能买到。
领英泄露的1亿6千7百多用户信息被公开售卖。(来自the real deal )
暗网AlphaBay上公开售卖的Uber账号
暗网AlphaBay上公开售卖的银行卡账号
甚至有的黑客会直接将解密后的明文账号密码数据分享出来。
(截图来自新浪微博)
跟这些黑客买数据的,也有大公司。他们想把被黑客们解密和泄露的信息买回来、或者让黑客们删掉,以这样的补救措施保护用户的账号安全.......
比如Uber,去年就付给盗取了5千7百万用户信息的黑客10万美金,让他把明文数据库删除。
来自彭博社
卡贩子、号贩子和套现的贩子
除了黑客骗取到Uber用户信息,还有的是直接用偷来的信用卡,或者将黑客黑出来的真实数据伪造信用卡等方式来付款——反正这里面没有一分钱是“代叫客服”自己的。
当小编询问一位代叫客服时,他告诉小编学技术花2万,自己一天能接好多单,一周就回本......
聪明的小伙伴应该就能猜到,使用他人信用卡信息来“代叫Uber”的这些贩子就涉及信用卡犯罪了。这里面就涉及到卖卡、发展线下卖卡、做伪造信用卡、和用伪造信用卡套现等等流程。
小编怕大家晕,直接上最简单的信用卡犯罪产业链:
(图片来自WooYun知识库)
一位不愿透露姓名的“曾经的代叫客服”告诉小编,他就属于其中的“套现人”。套现方式就是通过购买实物/虚拟产品,比如像Uber代叫,借你微信打给他的钱来换钱......
而代叫的定位问题就更好解决了:用“站街”等虚拟定位软件打车,用虚拟定位去完成整个行程。
pokemon go大火时,就有网友用虚拟定位软件辅助游戏
国内共享单车领红包火起来那会儿,也有新闻报道有人利用虚拟定位软件“假装骑车”刷红包的案例。
在英国、美国、日本等这样信用卡被盗情况极其严重的国家,一旦信用卡主人向信用卡公司投诉被盗,已支付的费用会被扣回,损失由Uber公司或者司机承担。
代叫需要承担法律后果吗?
既然涉及信用卡诈骗和犯罪,当然有风险和后果。
有整个犯罪团伙都直接一锅端的案例:2014年,最大的网络犯罪案涉及全球32个国家的68个机场,通过互联网盗取信用卡信息而导致的可疑机票交易多达265起。113人被拘留,70人被捕。
(来自欧洲网络犯罪中心)
也有中国留学生和华人代购携带写着自己名字的假银行卡,打算购买奢侈品邮寄到中国大陆、港澳和美国,但因入境关岛时被发现被捕,同时被起诉。
www.postguam.com
就在上个月底,该事件中33岁的Daoqin Liu被判1年缓刑。
guampdn.com
而中国,也有对Uber信息盗窃而被法院判决的案件。
占某、陈某手握5000个账号在3个月内利用虚假刷单的方式骗取11.86万。
法庭判决占某、陈某犯诈骗罪,前者判处有期徒刑1年零8个月,后者判处有期徒刑6个月,并罚款。 法院判决此案6天后,Uber中国和滴滴宣布两者合并。
(来自中国法院裁判文书网)
除了诈骗团伙,使用这项服务的小伙伴们也有要自己承担的风险和后果。
《法国侨报》也曾报出,今年1月底,一位公司老总就因为代叫被司机检查ID,因信息不符叫来警察、还被Uber告上法庭。
上文接受采访的马同学还跟小编说,自己的朋友因为叫过代叫,该朋友的美国F-1签证被拒。
(聊天信息由受访者同意,个人信息和头像已马赛克处理)
就连没有用过代叫的同学也开始被司机叫住检查ID,查好了才开车。
我该如何保护自己的个人信息?
除了停止使用代叫,小编还建议你通过以下措施保护个人信息:
所有账号最好密码不要完全一样,以防多个账号被盗。
拒绝给别人不必要的隐私信息。包含以下信息的文件最好妥善保管或用碎纸机销毁:
• 出生年月日
• 信用卡号码
• 金融银行账户的账号
• 医疗保险的号码
账户、地址等信息在正常情况下,不会因为浏览合法网页而泄露,大家要谨慎登陆非法的钓鱼或黑客网站。
bilgi.zone
合理设置社交网络的隐私管理,尤其是 Facebook 和 Linkedin。尽量少让自己的照片、地址、好友名单暴露在公众面前。
谨慎填写需要提供账号密码的网站网址,尤其是微信、QQ、微博陌生网友扔过来的未知网站。
谨慎购买转让的二手票、转让的Airbnb房源等,以防个人信息泄露给居心不良者。
如接到陌生人电话通知“交通事故”、“孩子被绑架”、“亲人意外身亡”等信息时务必冷静,待通过其他渠道核实情况后再处理。在对方谈及银行账户、转账等事宜一定要冷静处理。
Marshall E-Learning
代叫有风险,使用需谨慎!
小伙伴如果有类似经验或者更好的信息保护措施,欢迎告诉小编,分享给更多人。
