电信精准诈骗的背后:借贷APP对隐私的疯狂窥探!
信息泄露,是进入21世纪以来,一个经久不衰的话题。人人都备受信息泄露之扰,但又却对此无能为力。在金融借贷领域,因为触及敏感信息,信息泄露的后果则尤为严重。我们了解到,在一个电信诈骗的维权群中,聚集着来自全国各地70余名受害者,他们因为注册过借贷平台,被诈骗几万甚至十几万元。与其他贷款APP相比,借贷APP收集用户信息的理由更为“充分”。
他们利用风控的名义,收集用户的个人身份信息,读取用户通讯录,甚至有的还肆意地抓取用户的短信内容等。而在用户信息交易的暗网中,最值钱的也是贷款数据。曾有新闻报道,通过贷超获取的信息,单价至少在五毛以上。不论是基于风控的需要,还是其他利益的驱使,过度收集用户信息,已经成为金融借贷领域的通病。
多款APP仍过度收集用户信息
“是否允许XX获取您的设备信息”、“是否允许XX获取您的地理位置”、“是否允许XX读取您的通讯录”...... 当用户下载安装APP时,经常会有这样的提示弹出,但很少有人会计较这些索权提示,经常不假思索一律同意授权。殊不知,已经为信息泄露埋下隐患。
信息时代下,几乎没有APP开发者自觉遵守“最少够用”的原则索取权限。在足够多数据的支撑下,企业才能做出更为精细的用户画像,为精准营销奠定基础。而在金融借贷领域,基于风控的需要,掌握用户信息的多寡更是与企业的利润直接挂钩。
全国信息安全标准化技术委员会《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》(下称“指南”)中规定,有放贷资质的银行、消费金融公司、小贷公司等网络上提供借贷服务的金融机构,金融借贷基本业务功能收集的必要信息包括:
手机号码、账户信息、身份信息、银行账户信息、个人征信信息、紧急联系人信息以及借贷交易记录。《指南》中,还规定了这些必要信息的使用要求,比如手机号码仅用于用户注册,满足用户实名认证要求,身份信息仅用于对借贷用户进行身份识别和认证,满足相关法律法规的要求等。
但体验多款市面上比较活跃的金融借贷APP发现,其中还有相当一部分APP存在过度收集用户信息的情况。比如:
小象优品授权访问的权限包括:存储(读取储存卡中的内容、修改或删除储存卡中的内容)、电话(拨打电话、获取设备识别码和状态)、位置信息(访问大致位置信息、访问确切位置信息)、相机(拍摄照片和录制视频)、麦克风(录制音频)、通讯录(读取联系人、查找设备上的账号)、其他权限(修改系统设置、显示在其他应用上面)。
在安卓应用市场,用户只有授权访问以上权限,才能下载使用小象优品APP。
贷上钱授权访问的权限包括:存储、电话(读取设备通话状态和识别码)、位置信息、信息(读取短信/彩信和接受短信)、通话记录(读取通话记录)。下载安装贷上钱APP后,用户只有授权访问以上权限,才能进入使用界面。
榕树贷款授权访问的权限包括:存储、电话(读取设备通话状态和识别码)、位置信息。下载榕树贷款APP后,用户只有授权访问以上权限,才能进入使用界面。
经不完全统计,在过度收集的用户信息中,金融借贷类APP“强制”访问的权限主要是位置信息和通话记录/通讯录信息两类。而值得一提的是,消金社观察发现,同一款APP,iOS系统和安卓系统权限管理程度明显不同。行业内人士告诉消金社,这是因为iOS和安卓的授权机制不相同,安卓的系统纷繁复杂,各大厂商可修改的底层东西较多。
而因为收集用户信息不规范的问题,还有部分金融借贷应用被工信部公开点名。7月1日,工信部在关于2019年第一季度电信服务有关情况的通报中,附上了问题应用软件名单中,暴风金融、51人品贷、融360、水象分期、布丁小贷、九秒贷以及麦芽贷都赫然在列。
内容摘自《工业和信息化部关于电信服务质量的通告(2019年第2号)》
有行业内人士分析,调取用户数据,用户是需要有知情权的,必须让用户知晓,会调取哪些信息,至于不授权就不能使用,对于产品业务本身也是合理的。
被“抵押”的通讯录
金融借贷应用收集用户的信息,一方面是基于贷前风控的需要,以此来判断用户的资质,而另一方面,则是为贷后催收工作打好基础。由于借款人分布范围广,且涉及的金额比较小,上门催收成本高,电催自然成了网络借贷平台最常用的催收方式。
而爆通讯录,就是最常见的电催手段之一。
“不授权通讯录,谁给你下款啊,”一位借款人告诉消金社,“别说下款了,连软件你都用不了。”有行业内人士告诉消金社,催收时爆通讯录的电话信息,是在用户安装软件,首次进入的时候,就会授权获取。
但是他表示,现在很少采用这种催收方式,“爆通讯录容易被投诉,催收公司被有关部门约谈的概率又很大,所有很少有公司会选择这样做了。”他透露,目前电话接通率普遍不高,接通率达到60-70%就已经很不错了,“一般T3-T7之前都不会爆通讯录,是否爆通讯录需要综合评判,借款人的还款意愿以及还款态度等。”
但是,《网络安全实践指南》中却明确指出,金融借贷应用不应该强制读取用户的通讯录,应允许用户在应用中手动输入紧急联系人信息。上述行业内人士评价,这条规定对规模较大的合规借贷平台来说,可能会影响用户流程,影响体验,但是对小的现金贷公司来说,应该影响不大。
但目前,几乎还没有金融借贷软件,支持手动输入紧急联系人。“我抵押的就是通讯录。”有借款人认为,通讯录是一个人的名誉钱包,虽然无法用金钱来衡量它的价值,但是不能否定它对一个人的重要程度。
甚至还有一些没有还款意愿的借款人狡辩,“爆通讯录就是处置抵押品了,为什么还要还钱?”而除了风控需要之外,过度收集的数据的背后,则可能是一条隐身在灰色地带的利益链条。
数据倒卖的市场
“您资质已符合,额度达200000元,于7月10日已到账,请24小时登录取款”陆林的手机上,每天都会收到2-3条类似的额度到账通知。陆林展示给消金社的短信记录显示,这些“营销”短信的署名有360借条、及贷、蚂蚁速用、随心微粒、多多花、瓜子发财、闪电超人、卡卡来财、大金鱼、急钱宝等平台。
在这些“营销”短信中,常常还会采用免息、逾期可借、无审核秒下款等字眼,诱使被营销对象点击借款。
陆林告诉消金社,他曾经注册过多个借款APP,“不知道信息是从哪泄露的,但是每天都会收到这种垃圾短信,就让人很烦。”几年前,陆林还从事过电销工作,每天上班前,他的主管就会给他们分配当天的外呼电话号码,“我们的任务就是挨个打电话,也不知道电话号码是那里弄来的,现在信息泄露的渠道太多了。”
想要找到信息泄露的源头并不容易,陆林的信息甚至可能已经早就在数据市场中被交易多次。调查发现,贷款超市、现金贷平台以及贷款中介之间互相倒卖数据已经极为常见,根据数据“新旧”程度不同,每条的价格从0.3元到3元不等。在互联网金融领域,大面积信息泄露的事件也常有发生。
2018年11月,有黑客在暗网发布帖子称,已经拿下了汽车金融平台玖融网的所有权限,并以“1个比特币”的标价售卖30万用户数据,以及后台服务器的全部权限。该黑客表示,他掌握的数据不仅是玖融网车贷用户,还有P2P投资用户,以及内部渠道数据。据了解,该黑客掌握的数据多达65个维度。
他提供的电子表格显示,其中不仅涵盖了用户姓名、手机号、身份证号、银行卡号、户籍地址、居住地址、工作单位、职务、月薪等个人数据,还包括车贷用户的车辆信息,包括车型、车牌号、颜色、排量等。
无独有偶,在玖融网信息泄露事件次月,零壹财经曝光你我贷的65000条贷款数据在暗网被明码标价售卖。卖家告诉零壹财经,数据是从线下渠道流出,5000条数据售价60美元,全套需拍十份。卖家提供的截图显示,泄露的贷款数据包括借款人姓名、电话号码以及所在地区。
你我贷在回应声明中提到,经调查,你我贷信息安全系统运行良好。根据媒体发布的截图中的20人,其中14人在你我贷没有注册信息,有注册信息的6人中,4人为已拒贷状态,通过你我贷获取借款的有2人。你我贷认为,基于目前借款人实际借款情况,部分借款人会选择同时在多个网贷平台申请借款,因而无法认定借款用户的信息泄露是你我贷导致的。
据了解,目前信息泄露的源头一般有三个:一是网站漏洞,这是黑市上流通的个人信息的主要来源;二是针对个人用户的木马病毒、钓鱼网站和伪基站;三是无良商家的“内鬼”和技术黑客。而除了非正常泄露外,有些数据则很有可能在正常的业务往来中泄露出去的。
我们阅读多款借贷应用的《隐私政策》发现,几乎所有的借贷应用都向用户索权,将必要数据共享给合作的第三方。有借贷应用的《隐私政策》中提到,其用于贷后催收工作的信息包括:联系人信息、通讯录、通话记录(包括但不限于通话发生时间、通话发生地、主叫/被叫、通话对方号码、通话时长、漫游长途属性等)等。
该借贷应用还向用户提出授权请求,请求用户将这些信息授权给被授权人或授权人指定/委托的第三方,甚至是第三方的合作机构。
而在向第三方机构提供这些信息时,如果未经过脱敏处理,便容易造成信息泄露。行业内人士认为,借贷催收本身就是属于行业灰色地带,将用户敏感信息提供给第三方,还要看借贷平台和借贷用户之间签订的借贷合同中,是否约定了相关的条款。不仅如此,为了保障用户信息不被泄露,他指出,还要约定不能将相关数据泄露给第四方,“不然就太流氓了。”
可怕的信息泄露
信息泄露的后果有多严重?可能还不仅仅是备受骚扰这么简单。360互联网安全中心反诈骗专家曾表示,至少有50%以上的诈骗案件跟个人信息泄露有关。他指出,犯罪分子利用个人信息进行精准诈骗,普通人在多数情况下无法自我保护。
而在金融借贷领域,诈骗人员利用泄露信息实施精准诈骗的成功性可能会更高一些。我们跟踪发现,2017年底开始,一起针对包括在校大学生在内的年轻人的诈骗,一直在持续,而近期更是呈现出愈演愈烈之势。
2017年底,有诈骗人员以“注销网贷平台账号”为由,对学生实施精准诈骗。据当时受骗学生整理的名单显示,受骗学生大多是大一新生,被骗金额从3000到40000元不等。
据了解,截止目前,该案件仍未侦破。知情人士表示,这种案子很难抓到主犯,甚至可以说没有主犯。而时隔两年,同样的诈骗手段还在上演。有多名受骗者告诉消金社,他们在接听到一个自称是“分期乐客服”的电话被诈骗。
据了解,诈骗人员以“注销账户”、“国家禁止校园贷”等为由,诱导受骗者将分期乐贷款额度提出,并从其他平台借款转至指定的账户中。
统计37位受骗者的信息发现,其中年龄最大的是26岁,而最小的只有19岁。他们大多是在校大学生,或者刚刚毕业一两年的年轻人,大都是在近三个月内被骗。而诈骗人员除了诱导他们从分期乐把额度提出之外,还让他们从其他平台申请借款。消金社统计发现,被骗金额最高已经达到26万。
除了分期乐之外,这场诈骗还涉及其他借贷平台,包括:小米金融、百度有钱花、360借条、花呗、借呗、美团生活费、京东金融、滴滴金融、微粒贷、马上消费金融、中邮钱包等。
在面对信息泄露的精准诈骗面前,受骗者们能做的事情并不多。没有社会经验的他们,在面对如此大额的诈骗时,他们也如同徐玉玉一样,恐惧、彷徨,甚至看不到未来的希望。
“没用了”、“等等吧”这可能是他们在求助的时候听到的最多的几句话。“最主要的是,找到信息泄露的源头。”有行业内人士认为,只有控制信息泄露的源头,才能解决信息泄露事件。
但面对分散在全国各地的受骗者,以及躲在网络背后的诈骗人员,想要追根溯源并不是一件容易的事情。另一方面,我国针对个人信息保护方面的法律也并不完善,保护个人信息的《个人信息保护法》目前尚在制定中,这也让部分诈骗人员找到了可乘之机。
不仅如此,在目前金融数据共享的大趋势下,如何处理好用户信息保护与金融数据共享之间的关系,也成为一个值得探讨的话题。有行业内人士认为,金融数据共享得建立在完善的监管制度之上,任何的无背景无公信力的机构滥用金融数据共享,都将造成灾难性的信息泄露事件。
我们早已学会了保护隐私信息,对别人的窥探抱以警惕,对来历不明的链接敬而远之。各类已经曝光的电信骗局虽然让我们愤怒不已,却又让我们感受到了一丝智商的优越感,只要警惕,就一定能防范这些拙劣的骗局。
但各类金融APP们让我们重新认识了隐私数据的意义,面对骗子,大学生的智商也不再有优势。更让人难以接受的现实是,提供隐私信息的人,竟然是自己。
欲知更多赚钱套路:(朋友圈里有干货)
➕ 灰哥私人微信:welking