日薪10萬?偷窺欺詐黑吃黑暗網裡

2023-06-05 | 來源: 風暴眼 | 轉到微信 | 有0人參與評論 | 字體: 放大縮小 | 收藏 | 打印

我有些擔心再次被騙，這可不是一筆小數字。不過客服再三保證，四大行四小行流水均可查詢，都是內部人員從系統導出的表格，絕對真實可靠。他給出的證據是“我們有幾個出流水的固定客戶從沒反饋過有任何問題。”

社工庫客服承諾銀行渠道查詢信息保真

我最終選擇了一個最低的收費項目——查詢一個月流水。在對方給出支付方式u幣支付和支付寶時，我選擇了後者，不過需要額外支付10%的手續費，一共支付了2750元。不到四個小時，我收到了一份詳細的Excel表格，裡面列出了我的銀行卡裡某月每筆交易記錄，包括交易時間、交易款、余額、交易對方等信息。

為了驗證信息真偽，我在手機銀行裡調取自己的消費記錄，一一核對後，信息完全吻合。

盡管提前做了各種預設，但結果還是讓人大吃一驚！貌似穩固如磐的金融系統，顯得如此脆弱不堪。實際上，為了加強流程上信息泄漏的管控，銀行已經設置嚴格的查詢流程。

年入100億,揭秘比泡泡瑪特更暴利的生意

18億元!阿裡投資美圖背後是一場什麼樣的生意?

特朗普的赦免是一門怎樣的生意?

“銀行內部工作人員，查詢個人流水明細，除了司法查詢和繼承需要外，是不允許未經個人授權私自查的。而且即使查詢，也需要個人上傳資料，後台通過集中授權系統授權櫃員查詢，才能查。查詢的結果，也通常是以加密文件的形式發到客戶指定郵箱或者當面交給查詢人。”在建行工作多年的櫃員王付敏也感到詫異。為了搞明白，她還特意跑到主管那裡咨詢，最後她認真地告訴我，他們也一頭霧水。

不只農行，實際上各大行因為未經授權泄漏出來的個人信息，在網上比比皆是。

“內鬼”身份隱秘，很難發現。即使是身邊同事，也不易發覺。李菁為企業做過許多漏洞排查。在他的實際工作中，最難發現的不是黑客攻擊的技術漏洞，而是自己人在技術上做的“手腳”。有些技術開發人員會在系統裡故意留個“後門”——相當於一個管理員超級賬號——這個後門設置有多種方式，比如在內存裡留一個托管賬戶，在成千上萬條的程序代碼裡故意設置一個接口，不深入排查的話，根本不易發現。

李菁也服務過銀行客戶，但不是銀行內部人信息泄漏的案例。在他看來，根據最小接觸原則，櫃員肯定是擁有最小權限的人。什麼樣的人才能做“內鬼”？擁有權限級別越高的人越可能。級別高的領導，還有技術開發人員。他舉例說，技術開發人員在金融系統上做手腳，還是有很多種方式。譬如，任何一個系統，包括銀行，通常上線前都有一個預生產環境，用來測試系統是否正常運行。上線前，系統內部的部分真實數據也會同步到預生產環境裡，相關的開發人員和測試人員都擁有接觸這些數據的權限。而大部分系統經常要迭代升級，所以預生產環境的使用也很頻繁。

信息保護最為嚴苛的銀行都難以避免內鬼泄漏，更何況其他行業。每個社工庫裡都能看到客服丟出的查詢圖片樣例，有戶籍查詢帶著明顯的標識“PLC·公安部全國人口信息庫”，還有“美團配送烽火台”“蜂鳥即配”平台內部查詢圖片等。餓了麼、美團外賣、淘寶、京東、圓通都是內部人泄露的重災區。