电信精准诈骗的背后:金融APP们对用户手机的疯狂窥探!

时间:2019-08-19 来源: 星座

  零壹财经2天前我要分享

  i1.go2yd.comimage.php?url=0MeuSwVfvz

  7月16日,App专项治理工作组发布了《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》(简称《通知》),《通知》根据中央网信办等四部门《关于开展App违法违规收集使用个人信息专项治理的公告》,App专项治理工作组对网民举报存在个人信息收集使用问题的App进行评估。被点名的40款APP中,包括安逸花,人人贷借款、闪电借款、ppmoney出借、TigerTrade老虎证券、拉卡拉、及贷、借花花贷款、小花钱包、小赢卡贷、来分期、有钱花、宜人贷借款、悟空理财等14家金融类App。

  监管要求以上被点名App运营者于通知发布之日起10日内联系工作组,领取整改通知,并于通知发布之日起30日内完成整改工作,逾期者将?予以处置。今年以来,App专项治理工作组已多次发布问题平台以整改通知,当下违规搜集个人信息想象仍很普遍。下文从借贷APP收集用户信息出发,给你介绍一个真是的信息泄露案例。

  信息泄露,是进入21世纪以来,一个经久不衰的话题。人人都备受信息泄露之扰,但又却对此无能为力。

  在金融借贷领域,因为触及敏感信息,信息泄露的后果则尤为严重。

  消金社了解到,在一个电信诈骗的维权群中,聚集着来自全国各地70余名受害者,他们因为注册过借贷平台,被诈骗几万甚至十几万元。

  与其他贷款APP相比,借贷APP收集用户信息的理由更为“充分”。

  他们利用风控的名义,收集用户的个人身份信息,读取用户通讯录,甚至有的还肆意地抓取用户的短信内容等。

  而在用户信息交易的暗网中,最值钱的也是贷款数据。曾有新闻报道,通过贷超获取的信息,单价至少在五毛以上。

  不论是基于风控的需要,还是其他利益的驱使,过度收集用户信息,已经成为金融借贷领域的通病。

  多款APP仍过度收集用户信息

  “是否允许XX获取您的设备信息”、“是否允许XX获取您的地理位置”、“是否允许XX读取您的通讯录”......

  当用户下载安装APP时,经常会有这样的提示弹出,但很少有人会计较这些索权提示,经常不假思索一律同意授权。殊不知,已经为信息泄露埋下隐患。

  信息时代下,几乎没有APP开发者自觉遵守“最少够用”的原则索取权限。

  在足够多数据的支撑下,企业才能做出更为精细的用户画像,为精准营销奠定基础。而在金融借贷领域,基于风控的需要,掌握用户信息的多寡更是与企业的利润直接挂钩。

  全国信息安全标准化技术委员会《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》(下称“指南”)中规定,有放贷资质的银行、消费金融公司、小贷公司等网络上提供借贷服务的金融机构,金融借贷基本业务功能收集的必要信息包括:

  手机号码、账户信息、身份信息、银行账户信息、个人征信信息、紧急联系人信息以及借贷交易记录。

  《指南》中,还规定了这些必要信息的使用要求,比如手机号码仅用于用户注册,满足用户实名认证要求,身份信息仅用于对借贷用户进行身份识别和认证,满足相关法律法规的要求等。

  i1.go2yd.comimage.php?url=0MeuSwwv83

  内容摘自《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》

  但消金社体验多款市面上比较活跃的金融借贷APP发现,其中还有相当一部分APP存在过度收集用户信息的情况。比如:

  小象优品授权访问的权限包括:

  存储(读取储存卡中的内容、修改或删除储存卡中的内容)、电话(拨打电话、获取设备识别码和状态)、位置信息(访问大致位置信息、访问确切位置信息)、相机(拍摄照片和录制视频)、麦克风(录制音频)、通讯录(读取联系人、查找设备上的账号)、其他权限(修改系统设置、显示在其他应用上面)。

  在安卓应用市场,用户只有授权访问以上权限,才能下载使用小象优品APP。

  贷上钱授权访问的权限包括:

  存储、电话(读取设备通话状态和识别码)、位置信息、信息(读取短信彩信和接受短信)、通话记录(读取通话记录)。

  下载安装贷上钱APP后,用户只有授权访问以上权限,才能进入使用界面。

  榕树贷款授权访问的权限包括:

  存储、电话(读取设备通话状态和识别码)、位置信息。

  下载榕树贷款APP后,用户只有授权访问以上权限,才能进入使用界面。

  经消金社不完全统计,在过度收集的用户信息中,金融借贷类APP“强制”访问的权限主要是位置信息和通话记录通讯录信息两类。

  而值得一提的是,消金社观察发现,同一款APP,iOS系统和安卓系统权限管理程度明显不同。行业内人士告诉消金社,这是因为iOS和安卓的授权机制不相同,安卓的系统纷繁复杂,各大厂商可修改的底层东西较多。

  而因为收集用户信息不规范的问题,还有部分金融借贷应用被工信部公开点名。

  7月1日,工信部在关于2019年第一季度电信服务有关情况的通报中,附上了问题应用软件名单中,暴风金融、51人品贷、融360、水象分期、布丁小贷、九秒贷以及麦芽贷都赫然在列。

  i1.go2yd.comimage.php?url=0MeuSw6IIQ

  内容摘自《工业和信息化部关于电信服务质量的通告(2019年第2号)》

  有行业内人士分析,调取用户数据,用户是需要有知情权的,必须让用户知晓,会调取哪些信息,至于不授权就不能使用,对于产品业务本身也是合理的。

  被“抵押”的通讯录

  金融借贷应用收集用户的信息,一方面是基于贷前风控的需要,以此来判断用户的资质,而另一方面,则是为贷后催收工作打好基础。

  由于借款人分布范围广,且涉及的金额比较小,上门催收成本高,电催自然成了网络借贷平台最常用的催收方式。

  而爆通讯录,就是最常见的电催手段之一。

  “不授权通讯录,谁给你下款啊,”一位借款人告诉消金社,“别说下款了,连软件你都用不了。”

  有行业内人士告诉消金社,催收时爆通讯录的电话信息,是在用户安装软件,首次进入的时候,就会授权获取。

  但是他表示,现在很少采用这种催收方式,“爆通讯录容易被投诉,催收公司被有关部门约谈的概率又很大,所有很少有公司会选择这样做了。”

  他透露,目前电话接通率普遍不高,接通率达到60-70%就已经很不错了,“一般T3-T7之前都不会爆通讯录,是否爆通讯录需要综合评判,借款人的还款意愿以及还款态度等。”

  但是,《网络安全实践指南》中却明确指出,金融借贷应用不应该强制读取用户的通讯录,应允许用户在应用中手动输入紧急联系人信息。

规定对规模较大的合规借贷平台来说,可能会影响用户流程,影响体验,但是对小的现金贷公司来说,应该影响不大。

  但目前,几乎还没有金融借贷软件,支持手动输入紧急联系人。

  “我抵押的就是通讯录。”有借款人认为,通讯录是一个人的名誉钱包,虽然无法用金钱来衡量它的价值,但是不能否定它对一个人的重要程度。

  甚至还有一些没有还款意愿的借款人狡辩,“爆通讯录就是处置抵押品了,为什么还要还钱?”

  数据倒卖的市场

类似的额度到账通知。

、及贷、蚂蚁速用、随心微粒、多多花、瓜子发财、闪电超人、卡卡来财、大金鱼、急钱宝等平台。

  在这些“营销”短信中,常常还会采用免息、逾期可借、无审核秒下款等字眼,诱使被营销对象点击借款。

  i1.go2yd.comimage.php?url=0MeuSwc95H

  图片由陆林提供

  陆林告诉消金社,他曾经注册过多个借款APP,“不知道信息是从哪泄露的,但是每天都会收到这种垃圾短信,就让人很烦。”

  几年前,陆林还从事过电销工作,每天上班前,他的主管就会给他们分配当天的外呼电话号码,“我们的任务就是挨个打电话,也不知道电话号码是那里弄来的,现在信息泄露的渠道太多了。”

  想要找到信息泄露的源头并不容易,陆林的信息甚至可能已经早就在数据市场中被交易多次。

的价格从0.3元到3元不等。

  在互联网金融领域,大面积信息泄露的事件也常有发生。

  2018年11月,有黑客在暗网发布帖子称,已经拿下了汽车金融平台玖融网的所有权限,并以“1个比特币”的标价售卖30万用户数据,以及后台服务器的全部权限。

  该黑客表示,他掌握的数据不仅是玖融网车贷用户,还有P2P投资用户,以及内部渠道数据。

  据了解,该黑客掌握的数据多达65个维度。

  他提供的电子表格显示,其中不仅涵盖了用户姓名、手机号、身份证号、银行卡号、户籍地址、居住地址、工作单位、职务、月薪等个人数据,还包括车贷用户的车辆信息,包括车型、车牌号、颜色、排量等。

  i1.go2yd.comimage.php?url=0MeuSwf0Hm

  图片来源于网络

贷款数据在暗网被明码标价售卖。

数据售价60美元,全套需拍十份。卖家提供的截图显示,泄露的贷款数据包括借款人姓名、电话号码以及所在地区。

  i1.go2yd.comimage.php?url=0MeuSwP3f9

  图片来源于网络

  你我贷在回应声明中提到,经调查,你我贷信息安全系统运行良好。根据媒体发布的截图中的20人,其中14人在你我贷没有注册信息,有注册信息的6人中,4人为已拒贷状态,通过你我贷获取借款的有2人。

  你我贷认为,基于目前借款人实际借款情况,部分借款人会选择同时在多个网贷平台申请借款,因而无法认定借款用户的信息泄露是你我贷导致的。

  据了解,目前信息泄露的源头一般有三个:一是网站漏洞,这是黑市上流通的个人信息的主要来源;二是针对个人用户的木马病毒、钓鱼网站和伪基站;三是无良商家的“内鬼”和技术黑客。

  而除了非正常泄露外,有些数据则很有可能在正常的业务往来中泄露出去的。

  消金社阅读多款借贷应用的《隐私政策》发现,几乎所有的借贷应用都向用户索权,将必要数据共享给合作的第三方。

  有借贷应用的《隐私政策》中提到,其用于贷后催收工作的信息包括:联系人信息、通讯录、通话记录(包括但不限于通话发生时间、通话发生地、主叫被叫、通话对方号码、通话时长、漫游长途属性等)等。

  该借贷应用还向用户提出授权请求,请求用户将这些信息授权给被授权人或授权人指定委托的第三方,甚至是第三方的合作机构。

  i1.go2yd.comimage.php?url=0MeuSwkpdz

  图片截自某APP《隐私政策》

  而在向第三方机构提供这些信息时,如果未经过脱敏处理,便容易造成信息泄露。

款。

  不仅如此,为了保障用户信息不被泄露,他指出,还要约定不能将相关数据泄露给第四方,“不然就太流氓了。”

  可怕的信息泄露

  信息泄露的后果有多严重?可能还不仅仅是备受骚扰这么简单。

  360互联网安全中心反诈骗专家曾表示,至少有50%以上的诈骗案件跟个人信息泄露有关。他指出,犯罪分子利用个人信息进行精准诈骗,普通人在多数情况下无法自我保护。

  而在金融借贷领域,诈骗人员利用泄露信息实施精准诈骗的成功性可能会更高一些。

  消金社跟踪发现,2017年底开始,一起针对包括在校大学生在内的年轻人的诈骗,一直在持续,而近期更是呈现出愈演愈烈之势。

  2017年底,有诈骗人员以“注销网贷平台账号”为由,对学生实施精准诈骗。据当时受骗学生整理的名单显示,受骗学生大多是大一新生,被骗金额从3000到元不等。

  据消金社了解,截止目前,该案件仍未侦破。知情人士表示,这种案子很难抓到主犯,甚至可以说没有主犯。

  而时隔两年,同样的诈骗手段还在上演。有多名受骗者告诉消金社,他们在接听到一个自称是“分期乐客服”的电话被诈骗。

  据了解,诈骗人员以“注销账户”、“国家禁止校园贷”等为由,诱导受骗者将分期乐贷款额度提出,并从其他平台借款转至指定的账户中。

  消金社统计37位受骗者的信息发现,其中年龄最大的是26岁,而最小的只有19岁。他们大多是在校大学生,或者刚刚毕业一两年的年轻人,大都是在近三个月内被骗。

  而诈骗人员除了诱导他们从分期乐把额度提出之外,还让他们从其他平台申请借款。消金社统计发现,被骗金额最高已经达到26万。

、花呗、借呗、美团生活费、京东金融、滴滴金融、微粒贷、马上消费金融、中邮钱包等。

  i1.go2yd.comimage.php?url=0MeuSwcu89

  受骗者提供内容,消金社制图

  在面对信息泄露的精准诈骗面前,受骗者们能做的事情并不多。

  没有社会经验的他们,在面对如此大额的诈骗时,他们也如同徐玉玉一样,恐惧、彷徨,甚至看不到未来的希望。

  “没用了”、“等等吧”这可能是他们在求助的时候听到的最多的几句话。

  “最主要的是,找到信息泄露的源头。”有行业内人士认为,只有控制信息泄露的源头,才能解决信息泄露事件。

  但面对分散在全国各地的受骗者,以及躲在网络背后的诈骗人员,想要追根溯源并不是一件容易的事情。

  另一方面,我国针对个人信息保护方面的法律也并不完善,保护个人信息的《个人信息保护法》目前尚在制定中,这也让部分诈骗人员找到了可乘之机。

  不仅如此,在目前金融数据共享的大趋势下,如何处理好用户信息保护与金融数据共享之间的关系,也成为一个值得探讨的话题。

  有行业内人士认为,金融数据共享得建立在完善的监管制度之上,任何的无背景无公信力的机构滥用金融数据共享,都将造成灾难性的信息泄露事件。

  我们早已学会了保护隐私信息,对别人的窥探抱以警惕,对来历不明的链接敬而远之。

  各类已经曝光的电信骗局虽然让我们愤怒不已,却又让我们感受到了一丝智商的优越感,只要警惕,就一定能防范这些拙劣的骗局。

  但各类金融APP们让我们重新认识了隐私数据的意义,面对骗子,大学生的智商也不再有优势。更让人难以接受的现实是,提供隐私信息的人,竟然是自己。

  注:文中部分受访者为化名。

  收藏举报投诉

达到当天最大量
频道热点
  1. 'Миpпpихoдитктeбeтaким,кaкимoниcхoдитoттeбя'。1。当你来到你身边的同时?
  2. ?广州糕点食品生产许可证的注意事项糕点作为公众广泛食用的食物,在世界范围内得到了高度认可。因此,许多制造商已加入糕点食品生产行业。处理糕点食品生产许可证时应注意什么?作者将告诉您有关处理食品生产许可证
  3.   文|文儿件一般的家庭似乎成为了生二胎的主力军,而对于那些中产家庭,在生二胎这件事上比较“怂”,甚?
  4.   文|文儿件一般的家庭似乎成为了生二胎的主力军,而对于那些中产家庭,在生二胎这件事上比较“怂”,甚?
  5. ?最近,球迷可能会关注全国锦标赛。在日本,小学比赛也在过去几天举行。注意力可能不会太高。最终,12岁的松岛队获得了男子单打冠军,而11岁的张本美则获得了女子单打冠军。值得一提的是,松岛惠孔已经取得了“
  6.   零壹财经2天前我要分享    7月16日,App专项治理工作组发布了《关于督促40款存在收集使用个人信息?
  7.   哈弗H6是哈弗品牌旗下的一款SUV车型,H6车型自上市以来销量一直跃居榜首,不仅国产车型不是它的对手,?
  8. ?最近,球迷可能会关注全国锦标赛。在日本,小学比赛也在过去几天举行。注意力可能不会太高。最终,12岁的松岛队获得了男子单打冠军,而11岁的张本美则获得了女子单打冠军。值得一提的是,松岛惠孔已经取得了“
  9. ?大家好,我是一个可爱的小女孩!韩服测试服更新了鬼剑和女法的第五职业。其中,牛奶是DNF的第三个乳品行业。在某些情况下,牛奶量非常高。你怎么看到Master傀儡女巫的第五班?MilkLodSkills
  10.   文|文儿件一般的家庭似乎成为了生二胎的主力军,而对于那些中产家庭,在生二胎这件事上比较“怂”,甚?
新闻排行
  1. 21:35:49有趣的历史韩尚燕炫耀户口书!小米也想打电话,孙亚亚听了羞怯热门电视剧《亲爱的热爱的》即将迎来

    21:35:49有趣的历史韩尚燕炫耀户口书!小米也想打电话,孙亚亚听了羞怯热门电视剧《亲爱的热爱的》即将迎来...

  2. ?当冬天到来时,美食家们将开始锻炼肌肉。它不时是中国人的日常生活,尤其是火锅。它在冬天特别受欢迎。作为火锅行业的领导者,海底劳基本上需要等位基因。在几个小时内,业内海钓的服务是出了名的好,但是有些人不

    ?当冬天到来时,美食家们将开始锻炼肌肉。它不时是中国人的日常生活,尤其是火锅。它在冬天特别受欢迎。作为火锅行业的领导者,海底劳基本上需要等位基因。在几个小时内,业内海钓的服务是出了名的好,但是有些人不...

  3. 明星被一张脸击中,王渊就像一个兄弟姐妹,岳云鹏就像一个兄弟,而陈伟的复制品是如此美丽众所周知,今天的

    明星被一张脸击中,王渊就像一个兄弟姐妹,岳云鹏就像一个兄弟,而陈伟的复制品是如此美丽众所周知,今天的...

  4. ?  债全网2天前我要分享

    ?  债全网2天前我要分享...

  5. ?有关华为Mate30Pro的信息已在互联网上传播了近一个月。从9月开始,我们距离华为Mate30Pro推出还有不到一个半月的时间。最近,由于主要技术媒体对华为Mate30Pro信息的挖掘,Mate3

    ?有关华为Mate30Pro的信息已在互联网上传播了近一个月。从9月开始,我们距离华为Mate30Pro推出还有不到一个半月的时间。最近,由于主要技术媒体对华为Mate30Pro信息的挖掘,Mate3...

  6. ?有关华为Mate30Pro的信息已在互联网上传播了近一个月。从9月开始,我们距离华为Mate30Pro推出还有不到一个半月的时间。最近,由于主要技术媒体对华为Mate30Pro信息的挖掘,Mate3

    ?有关华为Mate30Pro的信息已在互联网上传播了近一个月。从9月开始,我们距离华为Mate30Pro推出还有不到一个半月的时间。最近,由于主要技术媒体对华为Mate30Pro信息的挖掘,Mate3...

  7. ?大家好,我是一个可爱的小女孩!韩服测试服更新了鬼剑和女法的第五职业。其中,牛奶是DNF的第三个乳品行业。在某些情况下,牛奶量非常高。你怎么看到Master傀儡女巫的第五班?MilkLodSkills

    ?大家好,我是一个可爱的小女孩!韩服测试服更新了鬼剑和女法的第五职业。其中,牛奶是DNF的第三个乳品行业。在某些情况下,牛奶量非常高。你怎么看到Master傀儡女巫的第五班?MilkLodSkills...

  8.   原创搜达足球昨天我要分享  北北京时间7月25日19日:30,2019年国际冠军杯,马歇尔开启纪录,小卢卡斯

      原创搜达足球昨天我要分享  北北京时间7月25日19日:30,2019年国际冠军杯,马歇尔开启纪录,小卢卡斯...

  9. ?有关华为Mate30Pro的信息已在互联网上传播了近一个月。从9月开始,我们距离华为Mate30Pro推出还有不到一个半月的时间。最近,由于主要技术媒体对华为Mate30Pro信息的挖掘,Mate3

    ?有关华为Mate30Pro的信息已在互联网上传播了近一个月。从9月开始,我们距离华为Mate30Pro推出还有不到一个半月的时间。最近,由于主要技术媒体对华为Mate30Pro信息的挖掘,Mate3...

  10. 内马尔的转移是一个“罗马门”,很难区分真假。在巴塞罗那方面,包括巴托梅总统在内的一些高层管理人员公开

    内马尔的转移是一个“罗马门”,很难区分真假。在巴塞罗那方面,包括巴托梅总统在内的一些高层管理人员公开...

日期归档