你能在暗网上买几乎任何东西。这片互联网的阴影之地,最臭名昭著的一点便是它的黑市,可以交易毒品、武器、和上百万人的个人信息。
关于最后一点,现在有意思了,许多网上罪犯,开始将自拍放到那些人的个人信息里售卖。
是的,自拍。新年伊始,以色列的暗网研究公司 Sixgill 在俄罗斯的暗网论坛里,发现了一次信息交易,这次交易之所以这么特别,是因为每一则记录里都放了那个人的自拍。
“我们在一个以俄罗斯人居多的封闭论坛里发现了一条广告,某人以 5 万美金的价格卖掉了 10 万个文件,” Sixgill 的 Aled Karlinsky 说,“这些文件里包含身份证或护照、地址证明、以及一个不寻常的东西——自拍。”
可以交易任何信息的信息交易没什么新鲜的。但是,这是 Sixgill 发现的的第一例有自拍在其中的交易。
那么,关键点在哪儿呢?自拍。他们自己拍的用处不大,但是,当自拍和对应的个人信息结合在一起,就能让罪犯以受害人的名义开设银行账户并取得贷款。
一部分银行,允许通过扫描身份证文件和自拍的方式开户,尤其在那些努力用线上服务取代线下网点的银行中,十分常见,更不用说那些近几年成立的只在网上开展服务的银行了。
据 Sixgill 讲,那个售卖个人信息的人也提供一些数量更少,价格更低的信息包。他们还发现有另一个人是一条一条卖,只要 70 美金,你就能得到一份身份文件和一张自拍。
Sixgill 还不知道这些信息的来源。“从感染了恶意软件的手机里,最容易获取自拍。”他说,”另一个方法,就是黑进一个保存了个人信息的网站。“
后者可能性更大。像 Amazon S3 这样的云存储就是大量泄漏数据的来源。
今年早些时候,11.9万 FedEx (联邦快递)客户的照片和护照在一个可以自由访问的 Amazon S3 服务器上被发现,这个服务器由 Bongo International 运营,而这个服务器是他们在 2014 年拿到的,然后他们在 2015 年改名 FedEx Cross-Border International,在 2017 年,该服务器停止了服务。
德国安全公司 Kromtech 的研究人员发现, 这些身份文件来自世界各地,包括美国、澳大利亚、加拿大、及部分欧洲国家,文件里有发货清单、联系人信息、家庭住址。
FedEx 的文件有没有被不怀好意的第三方访问过还不得而知。但这个例子提醒我们,没有被合理配置的云服务会让敏感文件落入坏人之手。
Karlinsky 倒不担心大家在 Instagram 上随便放照片,但他强烈建议大家:在网上,当你需要证明自己身份时请多留心。当你上传自己的照片和文件时,问问自己:“你在向谁证明自己的身份?值不值得?”
“不要拿着身份证自拍,也不要在手机里存放身份证的照片,以防手机里有恶意软件。”他补充道。