婚恋网站背后,可能藏着精心设计的钓鱼攻击

2017-09-12 181809人围观 ,发现 15 个不明物体 观点资讯

上周末,iOS 应用 WePhone 的创始人、开发者苏享茂自杀的消息引爆了舆论,大众媒体与各大自媒体都纷纷从各个方面对此进行了报道和分析。作为跟程序员行业密切相关的 FreeBuf,在表达对逝者的惋惜与尊重的同时,也想从信息安全的角度聊一聊这件事。

事件回顾

9 月 8 日, WePhone 开发者苏享茂在网上发布文章表示自己被前妻逼迫:“今天我就要走了,App以后无法运营了。”文章中,苏享茂称自己和前妻翟某欣通过世纪佳缘认识,结婚前已在前妻身上花了几百万费用。同时表示,前妻以“他有漏税行为和 WePhone 有网络电话功能是灰色运营”两点来要挟自己,索要 1000 万元和三亚的房子。

“遗书”截图1.png

后来,苏享茂不堪压力,选择了签署离婚协议,并在发布文章的第二天跳楼自杀。现在打开 Wephone 显示的是即将停止运营。

Wephone 界面.png

不论是媒体还是观众,对此事都非常关注,并纷纷猜测最终导致苏享茂走上自杀道路的原因。经过记者的调查,苏享茂与前妻翟某相识的平台——世纪佳缘也许有着不可推卸的责任。

婚恋交友平台的漏洞

记者通过世纪佳缘的“一对一”红娘功能了解到:世纪佳缘线上“鱼龙混杂”,存在许多传销和卖保险等行为。该红娘还建议“线下找对象比较靠谱,最好不要通过线上进行。”此外,通过进一步检索,记者也发现很多人曾因为世纪佳缘网站而误入传销组织;有些“世纪佳缘”用户还隐瞒婚史甚至伪造资料,骗婚骗财。

世纪佳缘注册 2.png

世纪佳缘注册页面 — 只有手机号是必填项

记者去世纪佳缘亲自注册了账号,体验平台的具体功能,结果发现,注册和提交资料过程未经过任何实名制审核。此外,虽然世纪佳缘官网有“用户靠谱度”的评价指标,但即使是未经过审核、没有实名认证的账号也能获得将近 70 分的评分(及格)。而百合网、珍爱网等知名婚恋交友网站都没有实名认证环节。最值得注意的是,即使用户主动实名认证,但在填写资料时,学历、收入、住房、婚姻资料等信息也都可以随意填写。而这些,正中诈骗者的下怀。

基于婚恋交友网站的钓鱼攻击和网络诈骗

早在 2010 年,就有人将网络交友诈骗划分了类别,还将这种行为命名为 catfishing。Catfishing 是一种特殊的网络钓鱼攻击方式,主要针对的是利用社交网站交友、婚恋的人群。攻击者在社交网站上创建虚假个人资料,欺骗交友者,进而骗财骗色骗感情,甚至窃取个人信息进行更多恶意活动。

2010 年,有一个名为 Nev Schulman 的男子发现他在网上深爱的那名妙龄女子竟然是个中年已婚且有孩子的妇女。在发现事情真相后,他讲了一个比喻:为了让活鳕鱼在运输过程中保持新鲜和活力,人们一般会在鳕鱼群中放入一条鲶鱼(catfish)。因为鲶鱼是鳕鱼的天敌,为了躲避鲶鱼,鳕鱼会一直保持警惕,不会在死水中纹丝不动。借这个比喻,Nev 提醒人们在社交网站交友时也要保持警惕,不能掉以轻心。自此,人们便用 “catfishing” 来形容那些利用社交网站和网络交友进行欺诈的行为。

伊朗黑客组织伪造的美女社交资料

伊朗黑客组织伪造的美女社交资料

由此可见,利用婚恋网站进行诈骗并非新鲜事。发展至今,诈骗团伙也有了新的花样。他们从单纯的欺骗转向为与受害人建立感情基础(如此一来,最后就算涉及诈骗,也难易立案),随后再实施诈骗计划。此外,与以往的集中式诈骗团伙不同,现在这类诈骗呈现出分散化、自愿化的特点。

一个简单完整的产业链如下

上游黑客利用技术爬取世纪佳缘、百合网等网站中的嘉宾信息,具体到姓名、联系方式、学历、资产信息、婚姻状况、消费情况等;

中游有人专门盗取社交网站中的美女图片,注册新微信账号发朋友圈(养号、伪造成真实账号);

下游根据爬取到的信息特征,与养的微信号进行匹配,随后伪装身份并套用现有的话术模板,正式实施诈骗。

据知情者表示,利用这种模式,一个话务可以同时与 30 个左右的男士交流,交流到一定程度,甚至可以对其进行思想控制,让对方心甘情愿为自己花钱。

整个过程中涉及的信息泄露可谓惊人。不论是婚恋网站的嘉宾信息,还是社交网站中发布的个人照片,都有可能被不法分子利用,实施犯罪。

回到 WePhone 创始人自杀事件本身:女方隐瞒婚恋信息;女方称自己舅舅有背景可以封杀男方产品进行威胁;在婚姻存续期间男方从未见过女方任何闺蜜、同事、朋友等,且在离婚过程中还有其他男性帮助女方实施威胁恐吓、以及双方微信聊天截图中透露出的男方态度等,都很符合 catfishing 的特征。

逝者已矣 生者如斯

事情的真相还在进一步调查。逝者已逝,我们在哀悼、惋惜的同时,也许要正视并反思现如今网络时代中的个人信息安全问题。

近日,网信部加强了微信群群主责任制,而新浪微博也出台规定要求用户 9 月 15 日之前完成实名认证。这些规定引起了不少议论和吐槽,但我们也期待新规定能和《网络安全法》一起,更好地保护公民信息安全,打造一个更好、更放心的网络环境。同时,也提醒大家提升安全意识,不要随意在网上留存个人信息,在朋友圈发照片时也要留意分组,避免被陌生人利用

希望大家都能好好爱惜自己。无论遇到什么,都努力坚持下去。活着,才能谈明天。

GitHub “对自杀说不”开源协议

GitHub “对自杀说不”开源协议

比心.jpg

给大家比心

*参考来源:新浪新闻等,本文作者 AngelaY,未经许可禁止转载。

这些评论亮了

  • 静默 (3级) 这家伙太懒了,还未填写个人描述! 回复
    为什么没人说世纪佳缘的问题,乌云关掉,也是因为他们,一点好印象都没有
    )42( 亮了
  • Feomix (2级) 有人天生为王,有人落草为寇 回复
    世纪佳缘,呵呵了,去年乌云关闭。今年,开发者自杀。原逝者安息
    )19( 亮了
  • 李彦宏 回复
    我现在终于知道世纪佳缘怎么赚钱了
    )11( 亮了
  • 星辰殿 回复
    兄弟你没必要搭上自己的命啊!
    )6( 亮了
  • 狼君 (1级) 生于寒冬,思维深沉,孤独一世,忧郁半生。看尽世间丑恶事,常怀... 回复
    至始至终对这种网上姻缘没什么好感
    )6( 亮了
发表评论

已有 15 条评论

取消
Loading...
css.php