婚戀網站背後,可能藏著精心設計的釣魚攻擊
上周末,iOS 應用 WePhone 的創始人、開發者蘇享茂自殺的消息引爆了輿論,大眾媒體與各大自媒體都紛紛從各個方面對此進行了報道和分析。作為跟程序員
行業密切相關的 FreeBuf,在表達對逝者的惋惜與尊重的同時,也想從信息安全的角度聊一聊這件事。
事件回顧
9 月 8 日, WePhone 開發者蘇享茂在網上發布文章表示自己被前妻逼迫:「今天我就要走了,App以後無法運營了。」文章中,蘇享茂稱自己和前妻翟某欣通過世紀佳緣認識,結婚前已在前妻身上花了幾百萬費用。同時表示,前妻以「他有漏稅行為和 WePhone 有網路電話功能是灰色運營」兩點來要挾自己,索要 1000 萬元和三亞的房子。
後來,蘇享茂不堪壓力,選擇了簽署離婚協議,並在發布文章的第二天跳樓自殺。現在打開 Wephone 顯示的是即將停止運營。
不論是媒體還是觀眾,對此事都非常關注,並紛紛猜測最終導致蘇享茂走上自殺道路的原因。經過記者的調查,蘇享茂與前妻翟某相識的平台——世紀佳緣也許有著不可推卸的責任。
婚戀交友平台的漏洞
記者通過世紀佳緣的「一對一」紅娘功能了解到:世紀佳緣線上「魚龍混雜」,存在許多傳銷和賣保險等行為。該紅娘還建議「線下找對象比較靠譜,最好不要通過線上進行。」此外,通過進一步檢索,記者也發現很多人曾因為世紀佳緣網站而誤入傳銷組織;有些「世紀佳緣」用戶還隱瞞婚史甚至偽造資料,騙婚騙財。
世紀佳緣註冊頁面 — 只有手機號是必填項
記者去世紀佳緣親自註冊了賬號,體驗平台的具體功能,結果發現,註冊和提交資料過程未經過任何實名制審核。此外,雖然世紀佳緣官網有「用戶靠譜度」的評價指標,但即使是未經過審核、沒有實名認證的賬號也能獲得將近 70 分的評分(及格)。而百合網、珍愛網等知名婚戀交友網站都沒有實名認證環節。最值得注意的是,即使用戶主動實名認證,但在填寫資料時,學歷、收入、住房、婚姻資料等信息也都可以隨意填寫。而這些,正中詐騙者的下懷。
基於婚戀交友網站的釣魚攻擊和網路詐騙
早在 2010 年,就有人將網路交友詐騙劃分了類別,還將這種行為命名為 catfishing。Catfishing 是一種特殊的網路釣魚攻擊方式,主要針對的是利用社交網站交友、婚戀的人群。攻擊者在社交網站上創建虛假個人資料,欺騙交友者,進而騙財騙色騙感情,甚至竊取個人信息進行更多惡意活動。
2010 年,有一個名為 Nev Schulman 的男子發現他在網上深愛的那名妙齡女子竟然是個中年已婚且有孩子的婦女。在發現事情真相後,他講了一個比喻:為了讓活鱈魚在運輸過程中保持新鮮和活力,人們一般會在鱈魚群中放入一條鯰魚(catfish)。因為鯰魚是鱈魚的天敵,為了躲避鯰魚,鱈魚會一直保持警惕,不會在死水中紋絲不動。借這個比喻,Nev 提醒人們在社交網站交友時也要保持警惕,不能掉以輕心。自此,人們便用 「catfishing」 來形容那些利用社交網站和網路交友進行欺詐的行為。
伊朗黑客組織偽造的美女社交資料
由此可見,利用婚戀網站進行詐騙並非新鮮事。發展至今,詐騙團伙也有了新的花樣。他們從單純的欺騙轉向為與受害人建立感情基礎(如此一來,最後就算涉及詐騙,也難易立案),隨後再實施詐騙計劃。此外,與以往的集中式詐騙團伙不同,現在這類詐騙呈現出分散化、自願化的特點。
一個簡單完整的產業鏈如下
:
上游黑客利用技術爬取世紀佳緣、百合網等網站中的嘉賓信息,具體到姓名、聯繫方式、學歷、資產信息、婚姻狀況、消費情況等;
中游有人專門盜取社交網站中的美女圖片,註冊新微信賬號發朋友圈(養號、偽造成真實賬號);
下游根據爬取到的信息特徵,與養的微信號進行匹配,隨後偽裝身份並套用現有的話術模板,正式實施詐騙。
據知情者表示,利用這種模式,一個話務可以同時與 30 個左右的男士交流,交流到一定程度,甚至可以對其進行思想控制,讓對方心甘情願為自己花錢。
整個過程中涉及的信息泄露可謂驚人。不論是婚戀網站的嘉賓信息,還是社交網站中發布的個人照片,都有可能被不法分子利用,實施犯罪。
回到 WePhone 創始人自殺事件本身:女方隱瞞婚戀信息;女方稱自己舅舅有背景可以封殺男方產品進行威脅;在婚姻存續期間男方從未見過女方任何閨蜜、同事、朋友等,且在離婚過程中還有其他男性幫助女方實施威脅恐嚇、以及雙方微信聊天截圖中透露出的男方態度等,都很符合 catfishing 的特徵。
逝者已矣 生者如斯
事情的真相還在進一步調查。逝者已逝,我們在哀悼、惋惜的同時,也許要正視並反思現如今網路時代中的個人信息安全問題。
近日,網信部加強了微信群群主責任制,而新浪微博也出台規定要求用戶 9 月 15 日之前完成實名認證。這些規定引起了不少議論和吐槽,但我們也期待新規定能和《網路安全法》一起,更好地保護公民信息安全,打造一個更好、更放心的網路環境。同時,
也提醒大家提升安全意識,不要隨意在網上留存個人信息,在朋友圈發照片時也要留意分組,避免被陌生人利用
。
希望大家都能好好愛惜自己。無論遇到什麼,都努力堅持下去。活著,才能談明天。
GitHub 「對自殺說不」開源協議
給大家比心
*參考來源:新浪新聞等,本文作者 AngelaY,未經許可禁止轉載
※為什麼朝鮮格外關注加密貨幣
※淺談Windows系統下的網站備份與恢復
※如何使用PowerShell實現命令控制以及安全檢查繞過
※西方紅玫瑰和辣條先生黑產組織深度分析報告
※DEFCON GROUP 010登陸ISC,帶來「七宗最」的活色生香
TAG:FreeBuf |