日薪10万?偷窥欺诈黑吃黑暗网里

2023-06-05 | 来源: 风暴眼 | 转到微信 | 有0人参与评论 | 字体: 放大缩小 | 收藏 | 打印

我有些担心再次被骗，这可不是一笔小数字。不过客服再三保证，四大行四小行流水均可查询，都是内部人员从系统导出的表格，绝对真实可靠。他给出的证据是“我们有几个出流水的固定客户从没反馈过有任何问题。”

社工库客服承诺银行渠道查询信息保真

我最终选择了一个最低的收费项目——查询一个月流水。在对方给出支付方式u币支付和支付宝时，我选择了后者，不过需要额外支付10%的手续费，一共支付了2750元。不到四个小时，我收到了一份详细的Excel表格，里面列出了我的银行卡里某月每笔交易记录，包括交易时间、交易款、余额、交易对方等信息。

为了验证信息真伪，我在手机银行里调取自己的消费记录，一一核对后，信息完全吻合。

尽管提前做了各种预设，但结果还是让人大吃一惊！貌似稳固如磐的金融系统，显得如此脆弱不堪。实际上，为了加强流程上信息泄漏的管控，银行已经设置严格的查询流程。

要抢马斯克生意?Meta发布最新创新

当律师变成带货主播:一场讨债生意的流量绞杀

"重庆姐弟坠亡案"涉事房产拍卖,60万起.....

“银行内部工作人员，查询个人流水明细，除了司法查询和继承需要外，是不允许未经个人授权私自查的。而且即使查询，也需要个人上传资料，后台通过集中授权系统授权柜员查询，才能查。查询的结果，也通常是以加密文件的形式发到客户指定邮箱或者当面交给查询人。”在建行工作多年的柜员王付敏也感到诧异。为了搞明白，她还特意跑到主管那里咨询，最后她认真地告诉我，他们也一头雾水。

不只农行，实际上各大行因为未经授权泄漏出来的个人信息，在网上比比皆是。

“内鬼”身份隐秘，很难发现。即使是身边同事，也不易发觉。李菁为企业做过许多漏洞排查。在他的实际工作中，最难发现的不是黑客攻击的技术漏洞，而是自己人在技术上做的“手脚”。有些技术开发人员会在系统里故意留个“后门”——相当于一个管理员超级账号——这个后门设置有多种方式，比如在内存里留一个托管账户，在成千上万条的程序代码里故意设置一个接口，不深入排查的话，根本不易发现。

李菁也服务过银行客户，但不是银行内部人信息泄漏的案例。在他看来，根据最小接触原则，柜员肯定是拥有最小权限的人。什么样的人才能做“内鬼”？拥有权限级别越高的人越可能。级别高的领导，还有技术开发人员。他举例说，技术开发人员在金融系统上做手脚，还是有很多种方式。譬如，任何一个系统，包括银行，通常上线前都有一个预生产环境，用来测试系统是否正常运行。上线前，系统内部的部分真实数据也会同步到预生产环境里，相关的开发人员和测试人员都拥有接触这些数据的权限。而大部分系统经常要迭代升级，所以预生产环境的使用也很频繁。

信息保护最为严苛的银行都难以避免内鬼泄漏，更何况其他行业。每个社工库里都能看到客服丢出的查询图片样例，有户籍查询带着明显的标识“PLC·公安部全国人口信息库”，还有“美团配送烽火台”“蜂鸟即配”平台内部查询图片等。饿了么、美团外卖、淘宝、京东、圆通都是内部人泄露的重灾区。