你的身分是这样被坏人偷盗的…
解滨
如今可以说没有几个网民不知道上网的时候要注意保护自己的隐私。 但网民们的隐私被侵犯的事件还是越来越多。 为什么呢? 因为绝大多数网民们根本就不知道如何去保护自己的隐私。 一个十分普遍的错误看法是:只要我不告诉别人我叫什么名字,我住在哪儿,我家里电话号码是什么,别人就不知道我是谁。 使用匿名ID上网似乎就足够了。 现在我要告诉你:错了! 匿名ID并不能保护你。 可以说,绝大多数的隐私信息都是网友们上网的时候不经意地泄露出去的。 要保护自己的隐私,必须从多方面入手。 具体地说,大致有以下几个方面:
第一,不在博客中零零碎碎地把自己各方面信息一点点透露出去。 因为这些零碎的信息可以拼凑出一个人的完整的信息,甚至你的家人的详细信息。
第二,不要随便把自己的通讯联系透露出去。 这包括Email 和电话号码。
第三,不要在和网友的交流或交谈中透露自己的任何真实信息。 在多数情况下别人可以看到你们的对话。
第四,不在不能确信的网站上注册。 如果非要在这一类的网站上注册,请使用代理服务器和一次性电子邮箱。
第五,家里的计算机一定要按时打安全补丁,启动防火墙。安装美国造的杀毒软件。
我说这么多,道理不是很容易理解。 那我就举个例子说明吧。
有一位网民,假设她的ID是QMH70。 这个ID看起来是比较安全的。 现在假设我是一位不怀好意的信用卡惯偷,我的目标就是那些容易猎取的猎物。 我发现这位QMH70网友写过一篇博文,介绍自己的妹妹出生时自己上小学一年级。 另一篇博文中说妹妹出生的那一年,刚好是粉碎四人帮的那一年,有一天父亲回家兴高采烈地喝了很多酒。 这位博主的另外一篇博文,图文并茂地介绍了自家在美国的隔壁的邻居的圣诞节彩灯多么令人赞叹,以至于当地的报纸上都登有照片。 然后这位博主把自己家里所在的城市C城的一个节日大游行的照片与网友分享。 有一次网上社区举办了一次庆祝中秋节活动,这个QMH70网友当即说出自己的email是qh1970@yahxx.com,甚至连电话号码都说出去了 。 然后呢,中秋节结束后这位网友兴高采烈地秀了自己的玉照。 这位网友还有一篇博文说自己从来没有退过税,总是补税。 看起来,这位网友什么隐私都没有透露。 实际上,她的隐私全透露光了。
我是如何对这个猎物发生兴趣的呢? 很简单,就凭她说从没退税,这说明她家里人口不多,收入不低,这是很理想的目标。 她妹妹出生那年赶上粉碎四人帮,她那年上小学,说明她今年很有可能是2012-1976+7=43岁。也就是说,她很可能是1969年出生的。 但是考虑到她的ID是QMH70,那可以推断她是1970年出生的。 这也和她的email 吻合。 然后我去谷歌搜索一下那个ID,发现她在另外一个网站也注册了同样一个ID,而且那个ID居然填写了出生的日和月: 7月3日。 她自己曾说自己是巨蟹座的,这十分吻合。 于是我判断她是1970年7月3日出生。
搞到出生日期后就要搞住址了。 我去那个城市的那一家报纸的网站上,把圣诞节彩灯的那张照片的那一页找到了,查到了那家挂圣诞彩灯的地址。 然后我去Google Map上搜查那个地址,那家的街道照片就在Google Map上,我从那看到了邻居的地址,以及电话号码。 有了地址,我去whitepages.com通过reverse lookup查到了那家主人的名字分别是Charles Jun Wang 和 Qiaoman Hu。 这一下我找到了她的真名: 胡乔满。 怪不得她的ID是QMH70呢,原来如此。 不过也许胡巧曼更像一位女士的名字。 于是我就在谷歌上搜索C城胡巧曼 – 哈,原来这位胡巧曼还是当地华人秧歌队的演员。 那个华人秧歌队有个网站,公布了所有队员的名字。 我把那个华人网站上的照片与这位网友的中秋节真人秀一对比,正是同一人。
还有一个更加便捷办法可以搞到住址和姓名,这就是如果我一开始搞到了电话号码,可以对电话号码进行反向搜索,英文叫reverse lookup。 根据电话号码可以查到电话用户的姓名和住址。
我想起来她还有一个email qh1970@yahxx.com。 于是我去Google上一搜,发现她居然在Linkedin上有一个网页,使用同一个email,那上面有她的履历表。 这一下我有了她的全部信息。唯一没有搞到的,就是她的SSN。 怎么办呢? 有好几个办法。 第一个办法就是搞到她的IP,这个过程并不复杂,有很多种办法。 例如在和她跟贴对话时,在跟贴里面加一个含有来自我私人web服务器的一个代码,只要她看到我的跟贴,她的IP就被我的服务器记录下来。 第二个办法就是我设立一个网站,用email引诱她去注册,那上面有许多“免费的服务”,但只对注册用户开放。 她一来注册,她的IP就掌握在我手中了。有了IP,就容易偷盗SSN了。
请注意,到目前为止我做的一切大都是合法的。 只有设立虚假网站引诱用户是非法的。 上述过程看起来复杂,其实用不了一个小时。
很多人把SSN放到电脑里,例如报税表。 电脑如果没有按时打安全补丁,没有防火墙保护,没有杀毒软件,很容易被黑客入侵。
还有一个极其简单的办法偷窃SSN,这就是使用一些收费的在线服务。 对于这个过程,我就不详细介绍了。 这种服务,代价在2.95美元至14.95美元之间。 批量服务可以享有极其优惠的价格。
有了这一切信息,我就可以肆无忌惮地利用她的credit 来犯罪了。 这叫做身份盗用(identity theft)。
伪造一个驾照大约要25美元,各大城市的中国城可以轻易办到。 然后我先以她的名义开设一个支票账户,放个100元钱进去,使用online monthly statement。 在同一天我开一个信用卡,使用online monthly billing。 由于她的信用良好,我轻易拿到了2500元的信用线。
头一个月我用信用卡买60元钱的东西,用支票按时付清。
第二个月我用信用卡买40元钱的东西,用支票按时付清。
第三个月我用信用卡邮购2100元钱的贵重物品,寄到我临时开的一个P. O. Box里。
拿到那2100元的贵重物品后,我人间蒸发了。 其实我还住在我原来的地方,没有谁知道这一切是我干的。
为什么要等三个月后作案? 因为银行的录像文件只保留90天。 这样一来我开账户那一天的录像不存在了。
为什么使用online monthly statement呢? 因为我使用假的地址开账户。 如果不使用online monthly statement,银行的monthly statement 寄出去后被退回,就会发现我使用了虚假的地址开账户。
为什么要把那贵重物品邮寄到P.O.Box? 因为我不让别人知道我住在哪呀。
为什么我不一次多搞点钱呢? 因为我知道,银行对于两、三千元的案子,一般不会去报案的。 只是去credit agency , 然后 update 一下“我”的credit就完了。 “我”是谁呢? 半年后,那个胡巧曼收到一张信用卡的账单。
我的全部代价不超过150元。
实际上,以上这个例子还是很复杂的。 真实的信用偷盗比以上简单多了。
这种案子,多如牛毛,你读完这篇文章后又发生好几起这样的案子了。
现在我问你:
今后还要不要在博客里把自己的家私一点一点地漏出去?
今后还要不要随便把自己的email或电话号码透露给别人?
今后 还要不要随意地去那些污七八糟的网站上注册?
今后还要不要让自家的电脑不设防火墙,不打安全补丁,不装杀毒软件?