手机变身窃听器:那些发生在我们身边的“窃听风云”
2019-6-13 腾讯手机管家
最近,偷拍成为一个热门话题,在你意想不到的地方可能正在一个针孔摄像头对着你。
然而,我们每个人每天都在用的手机,也有可能成为泄露你隐私的源头。
看过《无间道》、《窃听风云》这些谍战片的朋友,应该会对故事中窃听获取重要情报的方式印象深刻。
(《窃听风云》剧照)
电影里有一句台词,也是真事:每个人的手机都是一部窃听器,不管你开不开机,都能被窃听。
有人曾经描述过这样一个场景:
A在北欧一家破旧的酒吧里跟朋友窃窃私语,有人却能在4000英里外的美国,通过一条手机短信,远程让间谍软件开启了A手机上的麦克风。于是A的手机就偷偷窃听他们的谈话内容,并传给另一个人。
低价试吃水果这类诈骗手法,其实是“免费送”诈骗的一种新变种。
免费送诈骗,是指骗子以免费赠送一些看似高价值,实则以假充真、以次充好的物品为诱饵,骗取参与者支付快递费、关注社交平台账号、提交隐私信息等条件实施的一种诈骗手法。
在街头路边,我们总能遇到一些扫码填报送纸巾的线下人员,说是推广产品、做调研,其实很多是非法收集个人信息。中老年朋友应该也遇到过填表就送米面、食用油、鸡蛋、水果的情况。
然而这种原本在线下的行为,随着快递变得便利、网络社交变得便捷,慢慢开始转移到了网络社交平台上。
免费送诈骗用来吸引人的幌子有很多,从看似昂贵的手表、手机、电动车、古玩玉器,到品牌衣裤鞋帽、床上用品四件套、水果等应有尽有。
这类诈骗主要有三种类型:
骗取快递费
物品寄送到达,用户达到领取物品条件后,骗子一般都要求用户支付寄送物品的“快递费”。而这笔所谓的“快递费”已经支付,其实是快递公司代商家对用户进行“代收货款”。
骗子通常将包裹大批量往外发送,快递费用只有几块钱,而最后往往能够骗取用户几十元的“快递费”。
骗子通过病毒营销让大量人员上当受骗,最终诈骗金额往往相当巨大。
骗关注
以增加粉丝为目的,诱导用户关注社交平台的账号。
然而等你关注成功,完成转发点赞、以及邀请了足够数量的好友也前去关注,回头再联系时,对方一般都不会再与你联系,说好的免费/低价礼品也是空头支票而言。
骗隐私信息
实际上,这才是骗子们真正目的:
“快递公司要求寄礼品需要实名登记呢”,骗取姓名、电话、收货地址、身份证号。
“只需要点击链接,支付一点点手续费/快递费,马上给你优先安排寄送哦”,这就千万要小心了,链接很有可能植入病毒,在你手机中毒后获取你手机上的包括支付密码在内的重要信息。
更可恨的是,一旦这些公民信息被骗子获得,就会被转手倒卖或者实施精准诈骗。
这才有“为免费获得58元的短装,反被取走1.9万元”、“参与砍价免费拿奖品,诈骗电话接个不停”的受害惨剧发生。
而在这类诈骗中上当后,才仅仅是一个开始。
这个过程不需要用到精密昂贵的仪器,也没有涉及商业机密、绝密计划,只是消费级间谍软件被使用的一个场景。
随着手机越来越重要,网络技术越来越发达,窃听甚至不用过多的设备,普通人花上一笔钱,就能买到这些间谍软件,再通过一些手段在手机中植入软件就能做到窃听。
与商业机密、间谍大战有关的窃听,距离我们这些吃瓜群众的日常生活有点遥远,但每个人心中肯定存在一个八卦之魂。
比如在办公室走动时可能会瞄下同事的电脑屏幕,或者在半夜时分会忍不住翻下前女友的朋友圈。
然而总有人在窃听偷窥上胆子比较肥,这些人顶着违法犯罪的风险使用间谍软件。他们可能是心存间隙的恋人、有利益争夺的商业对手,或者是藐视法律想要监控员工的老板等等。
间谍软件,并没有一个明确的定义。然而,正如同名字所暗示的一样,它通常被泛泛的定义为:从计算机或移动终端搜集信息,并在未得到该设备所有者许可时便将信息传递到第三方的软件。
它能够削弱用户对系统安全的物质控制能力;使用用户的系统资源;或者搜集、使用、并散播用户的个人信息或敏感信息。
腾讯守护者计划安全团队通过对手机间谍类应用进行梳理,发现1款名为“X卧底”的头部APP,可在被安装手机机主不知情的情况下窃取通话记录、短信、通话录音、GPS定位以及微信、QQ、陌陌等社交软件的聊天记录等内容。
在与警方进行多次沟通和确认后,守护者计划安全团队配合公安机关开展行动,成功抓获该软件所有人王某某,扣押涉案电脑等设备一批,实现了对该类间谍软件的刑事打击。
“X卧底”最初是一款从泰国引进的名为“flexispy”的软件,早在塞班操作系统时代就已出现。
2007年8月份,“X卧底”因被定性为间谍器材,被国家安全部门查封,服务器被封,软件不允许在国内任何场所发布与销售。
随着手机硬件的升级和技术的迭代,名为“X卧底”的间谍软件层出不穷,因“X卧底”曾被定性为间谍器材,制作和贩卖相同功能间谍软件的开发者为规避法律打击,仅在私密渠道使用“X卧底”这一命名,如本案中,“X卧底”软件在网站上的名称是“XX手机助手”,且网站上还保留有“禁止窥探他人隐私”等免责申明。
小管曾经接到过诈骗电话,对方居然能够讲出我的姓名、身份证号、银行卡号时,我当时就震惊了,平时坚信小心驶得万年船的我,居然不知道在哪个环节上被泄露了个人信息,翻车了。
在电信诈骗等许多网络黑灰产行为中,用户的个人信息是源头之一。黑产在互联网平台上进行恶意注册时,就需要这些个人信息。
在黑灰产产业中,包含身份证、银行卡、手机卡、银行U盾的隐私信息被称为“四件套”,也是在黑灰产交易中价值较高的。
随着有关部门对公民个人信息的保护在加强,四件套的价格也在水涨船高,在2018年底已经达到了1500元左右。
近年来,公民个人信息的源头泄露者还有公司化运作的趋势。根据媒体报道显示,公民个人信息泄露主要三大渠道:
内鬼作恶
日防夜防,家贼难防。
运营商、快递公司等平台都曾出现过内鬼窃取用户信息进行售卖的案例。
还有服务供应商作为内鬼的,比如杭州某科技公司在为省级疾病预防控制中心建设网站时,趁机窃取儿童医疗信息,进行贩卖后获利200余万元。
网络平台隐私保护不力
使用各类网站、app时,往往要用手机、邮箱进行注册。然而不少平台掌握着大量用户信息,却不一定有着足够强大的安全防护。
比如谷歌最近被爆出部分G Suite用户的密码以明文方式存储了14年。世界互联网巨头都有这样的漏洞,守哥震惊了。
黑产盗取信息
“手机0元购,大家动动手,快来帮我砍价,多谢了!”
面对这些来路不明的砍价链接,你点还是不点?
小管希望大家这时候能够理智、冷血一点,不要轻易帮忙点击。这些链接不是想要截留个人信息,就是想要给你的手机里植入木马等病毒。
黑产团伙还通过爬虫、攻击拖库等方式对已经泄露的个人信息进行“清洗”。
就目前而言,公民个人信息泄露已经发展出公司化运营、团伙作案的完整的产业链条。
从内鬼、黑客攻击、撞库等各个渠道窃取的公民信息,汇聚到第二道贩子的手里后,会根据性别、年龄、地区、行业等各个不同的规则进行整理和筛选,也就是所谓的“洗库”。
随后,这些分类打包、贴好标签的公民信息,就会进入销售的流程。这些倒卖的信息,如果平摊到每一条,售价其实也不过几分到几元钱。
然而当这些信息用于实施精准诈骗,对受害者可能产生巨大的损失和伤害。
“X卧底”软件安装在Root过的安卓手机,初次安装并根据教程设置后应用程序图标和进程被隐藏。
通过操作者的主动设置,获取安卓系统的应用最高权限,再通过电子邮件实时上传通话记录、短信、GPS定位、通话录音以及社交软件聊天记录等用户隐私信息,控制方还可通过向被控手机的手机号发送短信执行相应控制指令。
(软件获取的权限)
(软件设置界面)
在“安全选项设置”-“隐藏图标”中可隐藏软件图标,隐藏图标后,将无法在Android的启动器上看到软件,但是可通过短信指令控制软件。
(软件图标隐藏提示)
(短信控制指令)
设置之后,就可以在已经设置好的邮箱中接收到软件中传输的隐私信息。邮件样式如下:
通过设置的邮箱,用自己发自己的方式,将窃取信息传输。
无可否认,此类软件确有积极的一面,但更多的却被用于侵犯公民个人信息,甚至会导致后续的严重暴力犯罪。
在生活中,总有人以保护未成年人、关爱老人为名,行侵犯公民个人信息之实的监控、间谍软件。建议加强对此类软件的管控,提高发布和使用的门槛,减少用于犯罪现象的发生。
腾讯手机管家提醒,不要轻易安装共享软件或“免费软件”,以及来源不明的软件。这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。