黑产-起底身份倒卖产业：那些被公开叫卖的人生

python信用评分卡（附代码，博主录制）

https://study.163.com/course/introduction.htm?courseId=1005214003&utm_campaign=commission&utm_source=cp-400000000398149&utm_medium=share

转自半佛仙人 起点财经

今天这篇文章，与咱们每个人的生活都密切相关。

 

这两天有3个新闻同时出现，让我忽然有了写这篇文章的冲动。

 

一个是潜逃近三年的北大高材生弑母案嫌疑人吴谢宇在重庆被捕，被抓时身份身上携带三十多张身份证，靠着不停变换身份，躲避着追捕。

 

一个是网传京东被人拖库，5000万条含用户身份资料的帐户信息被泄露，京东官方第一时间出面辟谣，表示相关信息非京东帐户信息。

 

第三个比较少人知道，但最重要，NCC Group公布了高通芯片的旁路漏洞，收到波及的高通芯片有近40款，这个漏洞可用来窃取用户信息，高通于本月初修复了这个漏洞。

 

除了苹果和华为，绝大多数安卓手机的核心芯片，是高通，此次漏洞，与每个安卓用户有关，这次漏洞最高可能波及全球数十亿手机，你的手机可能就是其中之一。

 

做为专业风控，我看到这三个新闻的第一反应不是情绪，而是关于身份信息泄露与交易市场的一些事情，应该被更多人知道。

 

1

 

现代社会中，核实人身份的方法有不少，例如实名银行卡，实名手机号，驾驶证等等等等，可是这些所谓的实名信息，本质上还须要一个源数据来提供真实性兜底。

 

这个数据源，就是身份证。

 

银行卡，手机号等一切所谓实名信息，都是基于身份证的，只是身份证信息的一种承载方式而已。

 

若是没有身份证信息，你无法证实你是你。

 

但假若有了你的身份证信息，则某种程度上，能够证实我是你。

 

一个虚假的身份，对于咱们大多数普通人而言，虽然听起来很酷，可是其实没有什么用处，由于咱们的生活不须要这些。

 

而对于另外一些作特殊产业的人而言，虚假身份则是最重要的生产资料，没有之一，绝大多数黑产的根基，就是身份假装。

 

有了身份假装，漏洞攻击，骗贷，薅羊毛，洗钱，伪造注册信息甚至骗补贴等一切违法手段，都有了一层安全的保护。

 

而虚假身份的交易，更是当前黑市最火热的交易品。

 

你有没有想过，世界上可能会有另外一我的，披着你的身份生活？

 

2

 

黑产内，对于全套身份假装信息，有个专有名词，叫作四件套。

 

所谓四件套，是指身份证原件+身份证对应手机卡+身份证对应银行卡+网银U盾，通常来讲银行卡都是已经开通网银的的，某些手机卡甚至还会预存话费。

 

例如这样（图片来自网络）。

 

 

比较成熟的四件套贩子，甚至能够为买家定制具体的籍贯，性别，年龄，手机卡运营商，开户银行等。

 

只要买家愿意加钱而且耐心等待，这些都不难作到。

 

当前市场中最受欢迎的开户银行是四大行中的某家，由于这家银行的U盾广泛不须要插电脑，只须要输入盾的验证码便可，毕竟少一次物理交互，就少一次麻烦和破绽。

 

四件套算是身份信息中的贵族，一份完整的标准版四件套，黑市价格在400到700元，按照供需关系决定，定制版会更贵一些。

 

之因此须要定制，是由于不少大的机构对于某些地域某些群体，是有特殊限制规则的，例如某些公司坚定不跟某些地域的身份证产生任何业务往来。

 

因此即便是身份证四件套，也是不平等的。

 

像极了生活。

 

3

 

四件套，属于身份信息中的中高端产品，交易起来也相对复杂。

 

刨除四件套以外，最多见且频繁的身份信息，更多的是大量的身份证正反面照片，手机号，工做收入状况，以及本人手持身份证照片。

 

这些资料每每都是成批出售的，在暗网，在一些小众聊天APP，走虚拟货币交易。

 

例如这样（图片来自网络）。

 

 

 

 

这种叫卖数据的行为，在暗网中很是常见。

 

这些数据的涵盖面比较广，有的只是部分精准手机号，例如4S店车主手机号，小区业主手机号，股民手机号等等，这些主要用于打营销电话。

 

稍微复杂一点的，大量的身份证正反面照片，手机号，工做收入状况，以及本人手持身份证照片，用于假装身份骗贷款。

 

这些名目繁多的各种资料，是黑市交易的主流，也是重点打击的对象。

 

倒卖用户信息，是很是严重的违法行为，不止是坐牢那么简单。

 

4

 

这些身份信息的交易信息是如何传达的？

 

若是你用身份证，网银之类的关键词去搜索，那么必然是查不到任何有效信息的，搜索引擎也知道要屏蔽敏感词。

 

可是这些群体很是聪明，他们知道各大网站都在打击，因此他们采起了不少隐蔽的方式。

 

例如不会用敏感词做为索引，而是使用某些代码，银行卡=YHK这样。

 

例如潜伏在各大论坛，贴吧，群，二手交易网站里，只要圈内人使用圈内代码，就能够找到他们。

 

甚至他们的广告都打到了视频网站的评论栏和弹幕里，各类+我看片之类的广告背后，都有这种见不得光的生意。

 

除了利用国内的一些设施，他们的主要交流根据地在国外。

 

在不少小众化的，国外的聊天APP中，他们有特定的群组，专门交流此类信息，而且IP多在国外。

 

很是难以打击。

 

实名制对他们意义不大，由于他们自己都是实名的，只不过实的不是本身的名。

 

最高明的隐藏，是不隐藏。

 

5

 

当找到接口人，谈好价格后，这些信息是如何交易的？

 

若是是各类虚拟资料的话，付款走虚拟货币，资料传输走境外网盘，相对比较方便。

 

若是是四件套的话，相对会麻烦一些，由于涉及实物快递。

 

通常这样的货物交易，都是走快递到付，若是和快递员关系好，或者和买家交易比较久，甚至支持先验货再付款。

 

付款基本都是到付或者特定二维码收款，通常都不会经过微信，支付宝或者其余第三方支付通道（例如银联），由于会被检测到异常。

 

交易只走到付，快递员有本身的方式收款，整条产业链中，物流网点是很重要的一环。

 

甚至不少专业黑产会本身盘下某些网点，方便本身来交易。

 

各类加盟不规范的小物流小快递，是他们最爱的工具。

 

说不定你下楼拿快递的时候，隔壁的箱子里，就藏着你的一辈子。

 

6

 

这些身份资料被购买后，用途是什么？

 

用途A——隐匿

 

常见于新闻报道中的犯罪分子，这类群体对于身份信息是刚需，由于他们须要摆脱警方的追捕，同时须要让本身能够过上一些正常人的生活，例如弑母案中的吴谢宇，他被捕时的三十多个身份证，就是用来假装本身身份的。

 

不少人会问，如今不是有各类人脸识别和酒店登记了吗？为何仍是能用假身份？

 

朋友，在不少小地方，这些技术根本不普及。并且就算是在大城市，用假身份租个房子，和房东我的签协议，要多简单有多简单。

 

实际上吴谢宇要不是出如今机场，有人脸识别与公安打通，他还不知道能潜逃多久。

 

你身边的人，究竟是不是这我的呢？

 

用途B——测试

 

某些支付公司和互联网公司的测试使用。

 

可能不少人没有意识到这个用途，不少与交易有关的互联网公司，在测试本身产品的付款与提现功能时（尤为是电商与互金），不一样银行的银行卡兼容性很是重要。

 

全国这么多银行，须要这么多银行卡，身份信息（绑定时用），尤为是测试的时候须要反复测试不一样组合的兼容性，还须要对这些资料的绝对掌控。

 

你说，某些公司的测试资料，是从哪里来的呢？

 

用途C——骗贷+羊毛

 

拥有四件套，某种程度上就表明了你能够在互联网环境中伪形成这我的，并用他们的信息来作一些事情。

 

例如不少P2P公司都有注册送钱的活动，这些信息能够拿去用。

 

例如不少互联网公司都有实名注册送奖励的活动，这些信息能够拿去用。

 

例如不少高利贷公司闭着眼给白户放714高炮，这些信息就能够拿去骗贷，在7天内（7天后各大黑名单就开始记录了）尽量多的申请贷款，而后下款后把钱转走，最后手机卡一掰，随便潇洒，反正一切记录都是身份信息的那我的，和本身无关。

 

一套完整资料500块，运气好能够在7天内薅出数万元的贷款，甚至不少贷款流量超市本身就买这种证件来骗本身客户的钱。

 

这种黑吃黑的套路，多不胜数。

 

有人说贷款都有人脸识别，用假身份过不了人脸，我只能说天真。

 

给你你们现场展现。

 

这是静态图

 

 

这是制做过的动态图。

 

 

若是这个技术不是用在肖像上，而是用在身份证和手持身份证的照片上呢？

 

你还以为人脸无懈可击么？你还能证实你不是你么？

 

你所见到的，未必就是真相。

 

用途D——洗钱

 

这是虚假身份市场最初诞生的缘由，就是洗钱。

 

洗钱这件事，说穿就是把一笔笔来路不明的钱，经过各类转帐以及搭配业务场景的模式，变为干净的钱或者说是变为能够控制的钱。

 

近些年我国对于洗钱的打击愈来愈重，银行对于洗钱规则的审核愈来愈严苛，因此不少黑产不得不升级手段。

 

而虚假身份的用途就在这里，经过一个个虚假的身份，把大额的资金分散为小额的我的转帐，而后利用地下钱庄把钱搞到境外。

 

这些钱每每是非法所得。

 

近些年最大的金主，是东南亚网络博彩，因为网络博彩的充值金额很高，且充值方式复杂（各类二维码），因此他们是近些年身份信息倒卖最大的需求方。

 

最赚钱的生意，都在刑法里。

 

用途E——借壳

 

这是一个比较罕见，但真实存在的用途。

 

每每是不少不法行为，须要有公司的壳来完成，而这些身份信息，就会被拿来注册成一个个壳公司的法人，最后出了问题，反正也只是身份证上的人倒霉。

 

更高级一点的借壳，是利用假装身份，来持有股份。

 

不少公司的股权架构很是复杂和混乱，里面每每有不少分子公司交叉持股，这堆分子公司里面的不少法人与股东，是搞来的身份证注册的。

 

以前甚至出现过部分上市公司的前十位我的股东中出现了假身份的，对方实际上只是个普通农民的案例。

 

农民在一无所知的前提下掌控了上市公司，荒谬又真实。

 

7

 

因为贩卖身份信息，在我国是很是很是严重的违法行为，发现就抓，毫不姑息。

 

就表明，这一行见不得光。

 

而作这一行的，多数都是只认钱。

 

当一个行业见不得光且只认钱。

 

那么必然混乱与黑吃黑丛生，你们各凭本事，在黑暗丛林里厮杀。

 

全部礼仪道德廉耻都是虚的，只有到手的钱，才值得信任。

 

最低级的黑吃黑是骗钱与假数据。

 

在暗网中，这一整套交易环节，都是有邀请制的，你随随便便就去跟卖家聊，多数时候是不理你的，由于担忧泄露被抓。

 

而那些公开叫卖的数据，里面十我的里起码九个是有有问题的，要么数据有问题，要么卖的人有问题。

 

或许买回来的几千万条数据里，有通常是系统随机生成的数据；

 

或许买回来的数据，最后实际上是一部《葫芦娃》。

 

又或许对方要你付定金，但最后连《葫芦娃》都不给你。

 

高级的黑吃黑是钓鱼。

 

不少人买回来一堆身份信息四件套，想搞骗贷或者洗钱。

 

但颇有可能，买回来的是卖家的鱼饵。

 

当买家本身拼命用这些信息骗到了贷款，又或者把搞黄赌毒弄来的钱分散进去企图开始洗刷刷的时候，会发现这些钱都不知去向了。

 

卖家收网了。

 

原本这些信息就是卖家卖出的，想对这些帐户作出操做连挂失都不用。

 

花了钱还给人打白工，还无法说理去。

 

不少忽然倒下的公司与P2P，其实背后遇到了这样的钓鱼，老板原本想经过洗钱来潜逃，最后被人钓了鱼，全部钱都没有了，并且还无法解释。

 

只能老实自首。

 

近期P2P又开始暴雷了，其中有多少是蠢鱼呢？

 

讽刺的是，若是这些P2P公司不被钓鱼，他们还会骗更多人。

 

因此钓鱼是杀，仍是救？

 

这堪称当代善恶体系的一个重大难题。

 

最高级的黑吃黑，是虚拟货币割韭菜。

 

无论直接骗钱也好，钓鱼也好，总归是要与买家有直接接触的，仍是存在风险。

 

最高级的黑吃黑，某种程度上已经脱离了单纯黑吃黑的范畴。

 

他们发币。

 

只要成为黑产交易的等价物，那么某种程度上，就等因而掌握了本身印钱的能力。

 

而且因为虚拟货币的匿名属性与不可追踪属性，又是极度安全的，甚至都不须要参与交易。

 

等他们玩腻了，要收手了，只须要在某些交易所大量抛售，而且用另外的身份作空，就能再赚尽最后一笔钱，而后深藏功与名。

 

不少忽然崩溃的虚拟货币，每每与某位大佬的洗白行动有关。

 

不少韭菜，到死都不知道本身是怎么死的。

 

8

 

咱们上面说了这么多的身份信息的意义，到买房是，价值，那么关键的问题来了，这些数据，总该有些源头吧？这些数据是从哪里来的？

 

A，是来源于各大安全防范不严密的公司。

 

之前作渗透安全测试的时候，我每每发出感叹，国内不少所谓牛逼的公司，业务规模无比牛叉，但信息安全作的惨不忍睹。

 

他们不少的数据库没有作到内外网分离，甚至不少密码都是默认的admin和guest，还有123456，如果碰上别有用心且不惧法律的黑客，能够轻松把数据搞出来而后丢到黑市上打包卖掉。

 

各类某某公司被脱裤，用户信息泄露贩卖的新闻，在网上已经算不得新闻了。

 

B，是那些已经完蛋的P2P公司。

 

暴雷了这么多公司，这些公司里有这么用户的敏感数据，公司完蛋后，数据呢？

 

不少被P2P坑了的人，尚未意识到，本身的信息，一样也被暴露了。

 

一地鸡毛。

 

C，公司内鬼。

 

如今融资环境很差，不少早期烧钱过头的公司，已经快要挺不下去了。

 

当一个公司面临快要终结的命运时，为了筹钱，没有什么事情是老板作不出来的，包括贩卖用户数据，反正都是一死，早死不如晚死。

 

另外不少公司里能接触到用户数据的技术人员太多了，而不少公司的数据仓库对于跳板机和帐户监控又太松散了，不少关键数据都是能够被一键无痕复制出来的。

 

这个诱惑很是大，我每一年都会送进去一些手脚不干净的人。

 

D，钱包丢失

 

大量丢失钱包中的身份证，被拿去作成了四件套。

 

E，社会工程学

 

人才市场里面的招聘摊位，大学校园里的兼职招募，这些平常的场景中，潜藏着不少黑产，他们用各类手段创造一个合理的用途，来让你心甘情愿配合，把身份证复印件以及手持身份证照片交出去，而且毫无感知。

 

另外据据说，不少大学里的学生干部，在帮老师忙的同时，是有权限接触到学生详细信息的，不少时候只须要一个U盘，就够了。

 

快递公司，房产中介，4S点，营业厅，某个库管，无数岗位在面对用户资料时，一个U盘，就够了。

 

某些免费的WIFI，某些公共场所被劫持的网络，只要你连上，你就透明了。

 

我本身是历来不连任何公共场所的未加密WIFI的，某些以避免费WIFI为主打的产品，自己的盈利模式就有用户信息。

 

攻破网络防护，或许很难；但诱惑人心，没那么难。

 

F.身份证全部者本身出售的

 

随着科技的进步，想单纯靠一张偷来骗来的身份证作出4件套愈来愈难。

 

但这个行业又十分暴利。

 

暴利，能够催生一切。

 

不少某些偏远地方的人，对于本身的身份资料并不看重，他们以为本身一生不太会和外面的世界有什么交集，卖也就卖了，他们每每把本身的身份信息当作商品，卖给黑产贩子。

 

这就是为何身份证籍贯和年龄在黑市上是支持定制的缘由。

 

固然也有一些走投无路的人，大多数赌鬼或者高利贷债务崩盘的人，对他们而言，本身的身份资料能换回来几百块，很是划算。

 

钱都没了，要身份还有什么用呢？

 

9

 

说了这么多与身份信息倒卖有关的信息，最后再谈一下若是你知道了本身的信息可能会丢失，应该怎么作。

 

首先你要知道你的信息有没有被拿来使用。

 

A.按期去运营商营业厅查查本身名下究竟有几个手机号，有哪些号是本身不用但尚未注销的。

 

B.按期去银行查查本身名下有几张卡，本身已有的卡中有没有出现一些本身不知道来源的业务和受权。

 

C.常常去企业查询类网站（天眼查启信宝之类），查查本身有没有被某些公司做为法人。

 

这些操做都不复杂，也不困难，只要你有心。

 

若是查出来发现确实有点问题，怎么办？

 

不要慌，你要记住，你才是资料的主人。

 

应该怎么作？

 

很简单，挂失和注销。

 

身份证疑似泄露，就挂失身份证；

 

银行卡多了或者被人拿走了，就注销银行卡；

 

电话卡多了，就注销电话卡；

 

记住，你才是资料的主人。

 

作完这一切以后，你就暂时安全了，由于当你的身份被任何异常利用以后，你都有足够的证据来证实与本身无关。

 

这种有效证据，基本目前是安全的，全部私信我说资料被人拿走的人，我也都是这么建议的。

 

这套自我排查与自我保护的方法，建议你们扩散给更多身边的人。 

 

10

 

 

在我国，贩卖身份信息，是严重的违法行为。

 

即便交易是在国外发生，贩卖中国人的身份信息，依然是触犯中国法律，且中国享有管辖权，各国政府对于这类行为也是广泛严打的。

 

每隔一段时间，就会有一批身份贩子被打掉，警方对于身份资料贩卖的打击是极端的严厉。

 

但这丝毫阻止不了黑产的猖獗，甚至每一次大规模整治以后，都会致使黑市价格的暴涨。

 

如今黑市上甚至出现了一部分囤积资料，靠价格波动来获利的中间商，他们就是在价格便宜时吃下大量资料，严打后高价抛售，盆满钵满。

 

堪称黑产证券化，有中间商赚差价。

 

于此同时，随着00后的登场，黑市上出现的身份信息，也开始愈来愈年轻。

 

如今黑市上已经出现了08年出生的身份信息，连成年都没有，这些身份信息都被拿出来叫卖，让人想不到应用场景是什么，就连注册刷羊毛，不少公司也都要求成年。

 

后来我想明白了，这不重要，由于只要有身份信息，就能够卖钱。

 

想一想一个还在读小学或者还没上学的孩子，他的身份资料就有可能已经在黑市上被倒卖了无数手，多是用于注册各种教育APP薅羊毛。

 

等到他年龄满18岁的时候，这些泄露的信息会被拿来作更多坏事。

 

极端状况下，他可能还未踏上社会，就已背负巨额债务，人生陷入深渊。

 

而在黑产眼中，这些都不重要，身份资料只是一堆数据，只是生产资料，能换钱就好。

 

而咱们这些身份信息都不知道被倒卖过多少手的普通人，惟一能安慰本身的，只能是本身的隐私不值钱，本身只是普通人，强行让本身看不见这一切。

 

https://study.163.com/course/courseMain.htm?courseId=1005988013&share=2&shareId=400000000398149