「您好,我们这边是蚂蚁金服客服...」

诈骗电话

今日午后正在躺椅上休憩,突然接到一通来自「安徽」的私人手机号。

「您好,我们这边是蚂蚁金服客服。请问您是不是 E 先生呢?您的手机尾号是不是 XXXX ? 」

「是的」

「我们这边后台有看到您开通的借呗有逾期未还金额。」

「挂断…」

这本看似是个人信息泄露后平淡无奇的诈骗电话,但却着实让我有些紧张起来。


事情要从一周前说起。 9 月 23 日开始,我的手机会陆续收到支付宝登陆的短信验证码,起初以为就是正常的误输操作。但接下来几天仍在收到登录的短信验证码,更甚在某一日的 1 个小时内连续收到 20+ 条相同的验证短信。

【支付宝】你正在登录支付宝,验证码5287,泄露验证码会影响资金安全。唯一热线:95188

IMG_7500

这让我开始意识到,可能有人在试图登录我的支付宝账户。但由于支付宝有二次登录验证,所以只要我保护好短信验证码不会被泄露,那么我的账户仍是安全的。(支付宝的验证码位6位数,对方有 1 / 1000000 = 0.0001% 的概率成功,并且暴力破解的平均时间会超过验证码超时时间。所以 Duck 不必担心验证码被试对。)

三天之后突然收到「阿里巴巴」发来的短信,同样是陆续收到很多条。

【阿里巴巴】您正在自助开通账户,验证码636175,请在15分钟内按页面提示提交验证码,切勿将验证码泄露于他人。

IMG_7491

不过我同样是并无理会。但一向注重隐私的我开始思考是哪个环节出现纰漏,我开始想到是否是最近在浏览他人博客时,留下的电子邮件。进而让有心之人通过邮箱账号进行支付宝登录。不过这种推测仍处在很初步的怀疑阶段。

直到接到那通电话,让我意识到「骗子可能开始主动出击了」。

拨通 95188

在挂掉安徽那通电话后,我随即拨通了支付宝客服电话「95188」。

拨打 95188 ,我主要想了解清楚以下几点情况:

  1. 在诈骗电话已经打上门的情况下,我的支付宝账户是否仍然安全?
  2. 对方是使用手机号还是电子邮箱进行登录?
  3. 我的借呗是否被开通?借呗的开通流程和借款流程是什么?
  4. 在个人信息已确认泄露无疑的情况下,我个人能做哪些措施去加强账户安全系数(是否需要更换邮箱账号、手机号等)?

由于我需要咨询业务的权限不同,先后有三名客服接待了我,我也获得了相应的答案。

  1. 在不泄露验证码的情况下,账户仍是安全的。
  2. 通过支付宝后台查看到,在 9 月 23 日 至今的短信验证码申请是通过手机号登录发送的,并不是邮箱账号。所以之前所推测的由于四处胡乱留邮箱所引起的信息泄露就可以排除掉了(其实通过邮箱去反推姓名、手机号的社工难度也很大)。
  3. 我的借呗没有被开通。借呗开通和借款均需要支付密码。
  4. 在确认个人信息已泄露的情况下,可以更换手机或邮箱。但最重要的是保管好短信验证码,最好使用完之后立马删除短信。定期在 <支付宝安全中心> 使用安全检测功能
  5. 建议:不要信任何私人号码,挂断后主动咨询官方电话,逆向询问。

了解到并无大碍之后,又继续酣睡了 😴。

复盘

虽然这是一次低级的电信诈骗,可是作为半个信息技术行业从业者,遇到个人信息被泄露得如此彻底,这也是非常值得我去复盘反思的。

此外,在 9 月 23 日发现异常的两天内,我做了以下三件事情来将损失减到最小。

  1. 将支付宝中余额宝的大部分金额转到银行卡。(不争气的基金实在不忍心因为这件事情割肉卖掉,时常安慰自己是价值投资者…)
  2. 更换全新的支付宝登录密码,检查登录邮箱账户的安全性。
  3. 确认是否购买支付宝账户险。

在工作、学校中难免会要求填写各种个人信息。这是我们无法回避的,如果信息从这样的渠道泄露我们实在是无能为力,但这不能成为我们彻底放弃个人信息保护的借口。关于此次信息泄露我怀疑是之前同某个培训机构合作所导致的,因为财务往来是通过支付宝,并且个人信息也会填写。并且因为培训机构泄露我的个人信息的情况遇到不止一两次。

在这里吐槽一下经常说「信息泄露很正常,没必要在意,反正都已经泄露了,无所谓」的人,每每听到这样的说辞我都会内心 OS :「以后你的个人信息满天飞,在黑市全套信息就值个 2 RMB。而由于我有意在保护个人信息,那么在黑市上全套信息也许能值 500 RMB?」

关于信息保护的措施,分享几点我个人在使用的 tips(虽然还是被泄露了…)。

  • 使用两个手机号

    一个用于银行卡、亲人联系等会一直用下去的情况。

    另一个用于购物和一些不得不填手机号的情况,此号码通常会每个一两年更换一次。

  • 网站注册名

    各种网站如需填写姓名,则以网站名为后缀。今后若收到骚扰短信,自然会知道从哪里泄露的。(如:赵B站,赵知乎,赵XX)

  • 不贪小便宜去填写商家促销打折等信息

    永远记住你的信息是值钱的。(除了某宝的店铺会员,不过也是使用小号去登记)

  • 遇事不决先百度

    在遇到某些自己都不清楚是不是诈骗行为的情况下,先百度(不用 google,因为这种偏家常范儿的问题百度里的内容更多,更接地气),去查询网上是否有相似情况再做判断。

It’s a proud thing to pay for security and privacy。