python信用評分卡(附代碼,博主錄製)python
轉自安全
今天這篇文章,與咱們每個人的生活都密切相關。微信
這兩天有3個新聞同時出現,讓我忽然有了寫這篇文章的衝動。網絡
一個是潛逃近三年的北大高材生弒母案嫌疑人吳謝宇在重慶被捕,被抓時身份身上攜帶三十多張身份證,靠着不停變換身份,躲避着追捕。架構
一個是網傳京東被人拖庫,5000萬條含用戶身份資料的帳戶信息被泄露,京東官方第一時間出面闢謠,表示相關信息非京東帳戶信息。工具
第三個比較少人知道,但最重要,NCC Group公佈了高通芯片的旁路漏洞,收到波及的高通芯片有近40款,這個漏洞可用來竊取用戶信息,高通於本月初修復了這個漏洞。測試
除了蘋果和華爲,絕大多數安卓手機的核心芯片,是高通,此次漏洞,與每個安卓用戶有關,這次漏洞最高可能波及全球數十億手機,你的手機可能就是其中之一。網站
做爲專業風控,我看到這三個新聞的第一反應不是情緒,而是關於身份信息泄露與交易市場的一些事情,應該被更多人知道。ui
1
現代社會中,覈實人身份的方法有不少,例如實名銀行卡,實名手機號,駕駛證等等等等,可是這些所謂的實名信息,本質上還須要一個源數據來提供真實性兜底。
這個數據源,就是身份證。
銀行卡,手機號等一切所謂實名信息,都是基於身份證的,只是身份證信息的一種承載方式而已。
若是沒有身份證信息,你無法證實你是你。
但假若有了你的身份證信息,則某種程度上,能夠證實我是你。
一個虛假的身份,對於咱們大多數普通人而言,雖然聽起來很酷,可是其實沒有什麼用處,由於咱們的生活不須要這些。
而對於另外一些作特殊產業的人而言,虛假身份則是最重要的生產資料,沒有之一,絕大多數黑產的根基,就是身份假裝。
有了身份假裝,漏洞攻擊,騙貸,薅羊毛,洗錢,僞造註冊信息甚至騙補貼等一切違法手段,都有了一層安全的保護。
而虛假身份的交易,更是當前黑市最火熱的交易品。
你有沒有想過,世界上可能會有另外一我的,披着你的身份生活?
2
黑產內,對於全套身份假裝信息,有個專有名詞,叫作四件套。
所謂四件套,是指身份證原件+身份證對應手機卡+身份證對應銀行卡+網銀U盾,通常來講銀行卡都是已經開通網銀的的,某些手機卡甚至還會預存話費。
例如這樣(圖片來自網絡)。
比較成熟的四件套販子,甚至能夠爲買家定製具體的籍貫,性別,年齡,手機卡運營商,開戶銀行等。
只要買家願意加錢而且耐心等待,這些都不難作到。
當前市場中最受歡迎的開戶銀行是四大行中的某家,由於這家銀行的U盾廣泛不須要插電腦,只須要輸入盾的驗證碼便可,畢竟少一次物理交互,就少一次麻煩和破綻。
四件套算是身份信息中的貴族,一份完整的標準版四件套,黑市價格在400到700元,按照供需關係決定,定製版會更貴一些。
之因此須要定製,是由於不少大的機構對於某些地域某些羣體,是有特殊限制規則的,例如某些公司堅定不跟某些地域的身份證產生任何業務往來。
因此即便是身份證四件套,也是不平等的。
像極了生活。
3
四件套,屬於身份信息中的中高端產品,交易起來也相對複雜。
刨除四件套以外,最多見且頻繁的身份信息,更多的是大量的身份證正反面照片,手機號,工做收入狀況,以及本人手持身份證照片。
這些資料每每都是成批出售的,在暗網,在一些小衆聊天APP,走虛擬貨幣交易。
例如這樣(圖片來自網絡)。
這種叫賣數據的行爲,在暗網中很是常見。
這些數據的涵蓋面比較廣,有的只是部分精準手機號,例如4S店車主手機號,小區業主手機號,股民手機號等等,這些主要用於打營銷電話。
稍微複雜一點的,大量的身份證正反面照片,手機號,工做收入狀況,以及本人手持身份證照片,用於假裝身份騙貸款。
這些名目繁多的各種資料,是黑市交易的主流,也是重點打擊的對象。
倒賣用戶信息,是很是嚴重的違法行爲,不止是坐牢那麼簡單。
4
這些身份信息的交易信息是如何傳達的?
若是你用身份證,網銀之類的關鍵詞去搜索,那麼必然是查不到任何有效信息的,搜索引擎也知道要屏蔽敏感詞。
可是這些羣體很是聰明,他們知道各大網站都在打擊,因此他們採起了不少隱蔽的方式。
例如不會用敏感詞做爲索引,而是使用某些代碼,銀行卡=YHK這樣。
例如潛伏在各大論壇,貼吧,羣,二手交易網站裏,只要圈內人使用圈內代碼,就能夠找到他們。
甚至他們的廣告都打到了視頻網站的評論欄和彈幕裏,各類+我看片之類的廣告背後,都有這種見不得光的生意。
除了利用國內的一些設施,他們的主要交流根據地在國外。
在不少小衆化的,國外的聊天APP中,他們有特定的羣組,專門交流此類信息,而且IP多在國外。
很是難以打擊。
實名制對他們意義不大,由於他們自己都是實名的,只不過實的不是本身的名。
最高明的隱藏,是不隱藏。
5
當找到接口人,談好價格後,這些信息是如何交易的?
若是是各類虛擬資料的話,付款走虛擬貨幣,資料傳輸走境外網盤,相對比較方便。
若是是四件套的話,相對會麻煩一些,由於涉及實物快遞。
通常這樣的貨物交易,都是走快遞到付,若是和快遞員關係好,或者和買家交易比較久,甚至支持先驗貨再付款。
付款基本都是到付或者特定二維碼收款,通常都不會經過微信,支付寶或者其餘第三方支付通道(例如銀聯),由於會被檢測到異常。
交易只走到付,快遞員有本身的方式收款,整條產業鏈中,物流網點是很重要的一環。
甚至不少專業黑產會本身盤下某些網點,方便本身來交易。
各類加盟不規範的小物流小快遞,是他們最愛的工具。
說不定你下樓拿快遞的時候,隔壁的箱子裏,就藏着你的一輩子。
6
這些身份資料被購買後,用途是什麼?
用途A——隱匿
常見於新聞報道中的犯罪分子,這類羣體對於身份信息是剛需,由於他們須要擺脫警方的追捕,同時須要讓本身能夠過上一些正常人的生活,例如弒母案中的吳謝宇,他被捕時的三十多個身份證,就是用來假裝本身身份的。
不少人會問,如今不是有各類人臉識別和酒店登記了嗎?爲何仍是能用假身份?
朋友,在不少小地方,這些技術根本不普及。並且就算是在大城市,用假身份租個房子,和房東我的籤協議,要多簡單有多簡單。
實際上吳謝宇要不是出如今機場,有人臉識別與公安打通,他還不知道能潛逃多久。
你身邊的人,究竟是不是這我的呢?
用途B——測試
某些支付公司和互聯網公司的測試使用。
可能不少人沒有意識到這個用途,不少與交易有關的互聯網公司,在測試本身產品的付款與提現功能時(尤爲是電商與互金),不一樣銀行的銀行卡兼容性很是重要。
全國這麼多銀行,須要這麼多銀行卡,身份信息(綁定時用),尤爲是測試的時候須要反覆測試不一樣組合的兼容性,還須要對這些資料的絕對掌控。
你說,某些公司的測試資料,是從哪裏來的呢?
用途C——騙貸+羊毛
擁有四件套,某種程度上就表明了你能夠在互聯網環境中僞形成這我的,並用他們的信息來作一些事情。
例如不少P2P公司都有註冊送錢的活動,這些信息能夠拿去用。
例如不少互聯網公司都有實名註冊送獎勵的活動,這些信息能夠拿去用。
例如不少高利貸公司閉着眼給白戶放714高炮,這些信息就能夠拿去騙貸,在7天內(7天后各大黑名單就開始記錄了)儘量多的申請貸款,而後下款後把錢轉走,最後手機卡一掰,隨便瀟灑,反正一切記錄都是身份信息的那我的,和本身無關。
一套完整資料500塊,運氣好能夠在7天內薅出數萬元的貸款,甚至不少貸款流量超市本身就買這種證件來騙本身客戶的錢。
這種黑吃黑的套路,多不勝數。
有人說貸款都有人臉識別,用假身份過不了人臉,我只能說天真。
給你你們現場展現。
這是靜態圖
這是製做過的動態圖。
若是這個技術不是用在肖像上,而是用在身份證和手持身份證的照片上呢?
你還以爲人臉無懈可擊麼?你還能證實你不是你麼?
你所見到的,未必就是真相。
用途D——洗錢
這是虛假身份市場最初誕生的緣由,就是洗錢。
洗錢這件事,說穿就是把一筆筆來路不明的錢,經過各類轉帳以及搭配業務場景的模式,變爲乾淨的錢或者說是變爲能夠控制的錢。
近些年我國對於洗錢的打擊愈來愈重,銀行對於洗錢規則的審覈愈來愈嚴苛,因此不少黑產不得不升級手段。
而虛假身份的用途就在這裏,經過一個個虛假的身份,把大額的資金分散爲小額的我的轉帳,而後利用地下錢莊把錢搞到境外。
這些錢每每是非法所得。
近些年最大的金主,是東南亞網絡博彩,因爲網絡博彩的充值金額很高,且充值方式複雜(各類二維碼),因此他們是近些年身份信息倒賣最大的需求方。
最賺錢的生意,都在刑法裏。
用途E——借殼
這是一個比較罕見,但真實存在的用途。
每每是不少不法行爲,須要有公司的殼來完成,而這些身份信息,就會被拿來註冊成一個個殼公司的法人,最後出了問題,反正也只是身份證上的人倒黴。
更高級一點的借殼,是利用假裝身份,來持有股份。
不少公司的股權架構很是複雜和混亂,裏面每每有不少分子公司交叉持股,這堆分子公司裏面的不少法人與股東,是搞來的身份證註冊的。
以前甚至出現過部分上市公司的前十位我的股東中出現了假身份的,對方實際上只是個普通農民的案例。
農民在一無所知的前提下掌控了上市公司,荒謬又真實。
7
因爲販賣身份信息,在我國是很是很是嚴重的違法行爲,發現就抓,毫不姑息。
就表明,這一行見不得光。
而作這一行的,多數都是隻認錢。
當一個行業見不得光且只認錢。
那麼必然混亂與黑吃黑叢生,你們各憑本事,在黑暗叢林裏廝殺。
全部禮儀道德廉恥都是虛的,只有到手的錢,才值得信任。
最低級的黑吃黑是騙錢與假數據。
在暗網中,這一整套交易環節,都是有邀請制的,你隨隨便便就去跟賣家聊,多數時候是不理你的,由於擔憂泄露被抓。
而那些公開叫賣的數據,裏面十我的裏起碼九個是有有問題的,要麼數據有問題,要麼賣的人有問題。
或許買回來的幾千萬條數據裏,有通常是系統隨機生成的數據;
或許買回來的數據,最後實際上是一部《葫蘆娃》。
又或許對方要你付定金,但最後連《葫蘆娃》都不給你。
高級的黑吃黑是釣魚。
不少人買回來一堆身份信息四件套,想搞騙貸或者洗錢。
但頗有可能,買回來的是賣家的魚餌。
當買家本身拼命用這些信息騙到了貸款,又或者把搞黃賭毒弄來的錢分散進去企圖開始洗刷刷的時候,會發現這些錢都不知去向了。
賣家收網了。
原本這些信息就是賣家賣出的,想對這些帳戶作出操做連掛失都不用。
花了錢還給人打白工,還無法說理去。
不少忽然倒下的公司與P2P,其實背後遇到了這樣的釣魚,老闆原本想經過洗錢來潛逃,最後被人釣了魚,全部錢都沒有了,並且還無法解釋。
只能老實自首。
近期P2P又開始暴雷了,其中有多少是蠢魚呢?
諷刺的是,若是這些P2P公司不被釣魚,他們還會騙更多人。
因此釣魚是殺,仍是救?
這堪稱當代善惡體系的一個重大難題。
最高級的黑吃黑,是虛擬貨幣割韭菜。
無論直接騙錢也好,釣魚也好,總歸是要與買家有直接接觸的,仍是存在風險。
最高級的黑吃黑,某種程度上已經脫離了單純黑吃黑的範疇。
他們發幣。
只要成爲黑產交易的等價物,那麼某種程度上,就等因而掌握了本身印錢的能力。
而且因爲虛擬貨幣的匿名屬性與不可追蹤屬性,又是極度安全的,甚至都不須要參與交易。
等他們玩膩了,要收手了,只須要在某些交易所大量拋售,而且用另外的身份作空,就能再賺盡最後一筆錢,而後深藏功與名。
不少忽然崩潰的虛擬貨幣,每每與某位大佬的洗白行動有關。
不少韭菜,到死都不知道本身是怎麼死的。
8
咱們上面說了這麼多的身份信息的意義,到買房是,價值,那麼關鍵的問題來了,這些數據,總該有些源頭吧?這些數據是從哪裏來的?
A,是來源於各大安全防範不嚴密的公司。
之前作滲透安全測試的時候,我每每發出感嘆,國內不少所謂牛逼的公司,業務規模無比牛叉,但信息安全作的慘不忍睹。
他們不少的數據庫沒有作到內外網分離,甚至不少密碼都是默認的admin和guest,還有123456,如果碰上別有用心且不懼法律的黑客,能夠輕鬆把數據搞出來而後丟到黑市上打包賣掉。
各類某某公司被脫褲,用戶信息泄露販賣的新聞,在網上已經算不得新聞了。
B,是那些已經完蛋的P2P公司。
暴雷了這麼多公司,這些公司裏有這麼用戶的敏感數據,公司完蛋後,數據呢?
不少被P2P坑了的人,尚未意識到,本身的信息,一樣也被暴露了。
一地雞毛。
C,公司內鬼。
如今融資環境很差,不少早期燒錢過頭的公司,已經快要挺不下去了。
當一個公司面臨快要終結的命運時,爲了籌錢,沒有什麼事情是老闆作不出來的,包括販賣用戶數據,反正都是一死,早死不如晚死。
另外不少公司裏能接觸到用戶數據的技術人員太多了,而不少公司的數據倉庫對於跳板機和帳戶監控又太鬆散了,不少關鍵數據都是能夠被一鍵無痕複製出來的。
這個誘惑很是大,我每一年都會送進去一些手腳不乾淨的人。
D,錢包丟失
大量丟失錢包中的身份證,被拿去作成了四件套。
E,社會工程學
人才市場裏面的招聘攤位,大學校園裏的兼職招募,這些平常的場景中,潛藏着不少黑產,他們用各類手段創造一個合理的用途,來讓你心甘情願配合,把身份證複印件以及手持身份證照片交出去,而且毫無感知。
另外據據說,不少大學裏的學生幹部,在幫老師忙的同時,是有權限接觸到學生詳細信息的,不少時候只須要一個U盤,就夠了。
快遞公司,房產中介,4S點,營業廳,某個庫管,無數崗位在面對用戶資料時,一個U盤,就夠了。
某些免費的WIFI,某些公共場所被劫持的網絡,只要你連上,你就透明瞭。
我本身是歷來不連任何公共場所的未加密WIFI的,某些以避免費WIFI爲主打的產品,自己的盈利模式就有用戶信息。
攻破網絡防護,或許很難;但誘惑人心,沒那麼難。
F.身份證全部者本身出售的
隨着科技的進步,想單純靠一張偷來騙來的身份證作出4件套愈來愈難。
但這個行業又十分暴利。
暴利,能夠催生一切。
不少某些偏遠地方的人,對於本身的身份資料並不看重,他們以爲本身一生不太會和外面的世界有什麼交集,賣也就賣了,他們每每把本身的身份信息當作商品,賣給黑產販子。
這就是爲何身份證籍貫和年齡在黑市上是支持定製的緣由。
固然也有一些走投無路的人,大多數賭鬼或者高利貸債務崩盤的人,對他們而言,本身的身份資料能換回來幾百塊,很是划算。
錢都沒了,要身份還有什麼用呢?
9
說了這麼多與身份信息倒賣有關的信息,最後再談一下若是你知道了本身的信息可能會丟失,應該怎麼作。
首先你要知道你的信息有沒有被拿來使用。
A.按期去運營商營業廳查查本身名下究竟有幾個手機號,有哪些號是本身不用但尚未註銷的。
B.按期去銀行查查本身名下有幾張卡,本身已有的卡中有沒有出現一些本身不知道來源的業務和受權。
C.常常去企業查詢類網站(天眼查啓信寶之類),查查本身有沒有被某些公司做爲法人。
這些操做都不復雜,也不困難,只要你有心。
若是查出來發現確實有點問題,怎麼辦?
不要慌,你要記住,你纔是資料的主人。
應該怎麼作?
很簡單,掛失和註銷。
身份證疑似泄露,就掛失身份證;
銀行卡多了或者被人拿走了,就註銷銀行卡;
電話卡多了,就註銷電話卡;
記住,你纔是資料的主人。
作完這一切以後,你就暫時安全了,由於當你的身份被任何異常利用以後,你都有足夠的證據來證實與本身無關。
這種有效證據,基本目前是安全的,全部私信我說資料被人拿走的人,我也都是這麼建議的。
這套自我排查與自我保護的方法,建議你們擴散給更多身邊的人。
10
在我國,販賣身份信息,是嚴重的違法行爲。
即便交易是在國外發生,販賣中國人的身份信息,依然是觸犯中國法律,且中國享有管轄權,各國政府對於這類行爲也是廣泛嚴打的。
每隔一段時間,就會有一批身份販子被打掉,警方對於身份資料販賣的打擊是極端的嚴厲。
但這絲毫阻止不了黑產的猖獗,甚至每一次大規模整治以後,都會致使黑市價格的暴漲。
如今黑市上甚至出現了一部分囤積資料,靠價格波動來獲利的中間商,他們就是在價格便宜時吃下大量資料,嚴打後高價拋售,盆滿鉢滿。
堪稱黑產證券化,有中間商賺差價。
於此同時,隨着00後的登場,黑市上出現的身份信息,也開始愈來愈年輕。
如今黑市上已經出現了08年出生的身份信息,連成年都沒有,這些身份信息都被拿出來叫賣,讓人想不到應用場景是什麼,就連註冊刷羊毛,不少公司也都要求成年。
後來我想明白了,這不重要,由於只要有身份信息,就能夠賣錢。
想一想一個還在讀小學或者還沒上學的孩子,他的身份資料就有可能已經在黑市上被倒賣了無數手,多是用於註冊各種教育APP薅羊毛。
等到他年齡滿18歲的時候,這些泄露的信息會被拿來作更多壞事。
極端狀況下,他可能還未踏上社會,就已揹負鉅額債務,人生陷入深淵。
而在黑產眼中,這些都不重要,身份資料只是一堆數據,只是生產資料,能換錢就好。
而咱們這些身份信息都不知道被倒賣過多少手的普通人,惟一能安慰本身的,只能是本身的隱私不值錢,本身只是普通人,強行讓本身看不見這一切。
https://study.163.com/course/courseMain.htm?courseId=1005988013&share=2&shareId=400000000398149