时间用它独有的刻薄方式令我们渐渐宽宏，明白不管怎样被生活对待，依然要许诺自己明日必有太阳。我想，沉默是成长的标志，而成熟的标志，就是如何去沉默。

——泰戈尔

这个公号的所有收益全部用作公益

前天我给这个公号开通了广告，就是在文末的地方，会有一个小广告。为了不影响大家的阅读体验，我不会在文中加广告。我并不知道这个广告会带来多大的收益，可能积累起来还是会有一些吧。

我决定将这个公号的所有收益全部用于公益，特别是帮助像徐玉玉一样被诈骗的学生。后续我会公开使用情况。

使一个人灭亡的，不是身处的绝境，而是没有希望。这一点希望的火种，比太阳还耀眼。

就像前来咨询的人一样，即使我不能帮你破案，但是我会尽我所知地热心解答，希望在受害者被骗之后给他们一点温暖和希望。

如果能够避免类似徐玉玉案的发生，或者让他们能够走出被骗的阴影，重回学校继续学业；或者让他们能够不因被骗而对这个社会充满憎意，继续善意地深爱，这个公号也就有了存在的价值。

01

很多诈骗案的受害者之所以被骗，并不是因为傻，而是因为网络安全知识的欠缺和对这个社会的信任。

前来咨询的受害者中很多不能理解，他们说：“现在不都是实名制了吗？怎么会抓不到骗子呢？”

他们认为，我在网上都是实名的，大家应该也一样，包括骗子。

对此，我只能告诉他们：“你们还是太单纯！”

2014年开始，为了打击电信网络诈骗，相关部门开始强力推行实名制，规定电信企业要严格落实电话用户真实身份信息登记制度，也就是说手机号必须对应登记真实人员的身份。

2016年，工信部还组织了1.2亿电话用户进行了实名补登记，实现了全部电话用户的实名登记。

与此同时，网络实名制也在同步进行，从微博开始，论坛、网游、快递、网吧、旅馆全面落实了实名制。

“这下安全了！”如果遇到诈骗案，直接从受害者家顺着电话线或者网线就可以抓到骗子了。这样电信网络诈骗案就灭绝了。

管理者的初衷是这样的，但是万万没有想到的是，随着实名制的实行，电信网络诈骗反而如雨后春笋般遍地开花了!

因为，实名制滋生出了一个千亿级的巨大市场——个人信息贩卖的市场。

02

前面的文章里我们提到过个人信息贩卖的问题，参见电信诈骗猖獗的背后，是众多科技公司在恰饭。这次我们来分析一下我们的个人信息是从哪些地方泄露出去的。

相信大家很多都办过信用卡，办信用卡需要填写的申请信息可以说是最全的了。除了到银行填写此类信息，网上经常有代办信用卡服务，姓名、性别、年龄、住址、工作职务一应俱全，此外还有身份证照片、家属信息、联系人信息，总之是把自己扒光了。

然而不知道大家想过没有，代办的信用卡信息真的提交银行了吗？又或者，提交银行的同时，代办的机构有没有截留一份，拿来卖钱呢？

很多时候，等来的不过是一句：“您的申请未达到我行评分标准。”

因为收集的信息齐全，所以网上代办信用卡是最受欢迎的收集个人信息的方式。除此之外，申请网络贷款、领取奖品等也是专业收集个人信息的公司喜欢使用的借口。

移动网络发展起来之后，利用手机APP获取用户信息的情况日趋严重。一个功能小得不能再小的APP却要求获取你手机的十几项权限，包括通讯录、文件管理、读取短信等等，不给权限就不让用，这不是“司马昭之心路人皆知”吗？

你一路绿灯，全部权限给它开通的同时，它悄悄地在后台收集你的身份信息、通讯录、银行卡、位置信息，甚至连你的短信都帮你看一遍。

这些信息，经过无数手转卖，有的用来发送垃圾短信，有的到了诈骗犯的手中，成为诈骗的目标。

03

随着电信和互联网实名制的推进，我们登录哪个网站都要求实名认证，作为离开网络已经无法生存的年轻人来说，到处留下我们的个人信息。

在互联网时代，所有的互联网公司都有广告业务，而为了精准投放广告引流，所有的互联网公司都会收集个人信息。

这就是为什么我们刚刚在搜狐网上看了一篇NBA的新闻，打开头条主页跳出来一大堆NBA新闻的原因。

而我们的网络安全，还完全没有跟上，甚至有的处于空白地带。

很多公司的安全监管漏洞百出，公司员工可以轻易获得用户资料，并将这些资料盗出变卖，这就是内鬼。

更可恨的是，很多小公司做好主营业务的同时，还搞点副业，把自己的用户资料卖了创收。

大家可以仔细想一想，淘宝网、京东商城作为我国最大的两个电商网站，其网站安全系数应该是最高的级别了，但是同样有那么多的个人购物信息被泄露，导致了大量网购退款诈骗的发生。其他的小网站可想而知了。

2011年，CSDN 600万用户资料泄露，且用户密码被明文保存。

同时，国内其他网站用户密码泄露问题也浮出水面：

这还只是爆出来的冰山一角。

04

没有攻不破的网站。连号称最安全的美国五角大楼、中情局网站都曾经被攻破。

每个有用户信息的网站都有一个数据库，用于存放用户的数据信息，也就是我们的用户名、密码、年龄、性别什么的，实名认证了的还有姓名、身份证等信息，绑定了银行卡的还有银行卡信息。

黑客拿到数据库就等于拿到了海量的个人信息。

数据库是不可能让他人随便下载的，黑客要怎么样拿到数据库呢？

方法当然不局限于一种，其中最常见的有拖库、撞库。

黑客入侵网站，直接下载数据库的行为就叫拖库。由于入侵网站技术含量较高，所以一些安全措施不到位的小站点是主要被攻击的目标。

这些小网站的用户信息价值往往不大，为了充分利用其价值，黑客会利用已有的信息进行撞库攻击。

撞库攻击得以实施的原理是因为大多数人为了方便记忆都使用同一个密码，黑客使用拖库得来的用户名密码到价值更高的大站上面尝试登录，筛选出成功的，从而获得大型网站的更有价值的用户名、密码等个人信息。

05

除了盗库之外，网络爬虫也是获取用户信息的一种方式。

网络爬虫是一种网络机器人，本来是搜索引擎用来获取网站信息，从而达到搜索目的的一种工具。比如我们常用的百度，为什么能搜到海量的信息，就是网络爬虫在辛勤的工作。

后来别有用心的黑客开始利用网络爬虫为自己搜集有用的信息，其中最主要的当然是用户名、密码等用户信息。

黑客获得初始用户信息后，还会进一步进行社工库查询。

社工库就是一个黑客们将泄漏的用户数据整合分析，然后集中归档的一个地方。

这些用户数据大部分来自以前黑客们拖库撞库获得的数据包，包含的数据类型除了账号密码外，还包含被攻击网站所属不同行业所带来的附加数据。

比如，酒店类网站数据泄露，所泄露的开房数据；订票类网站，所泄露的火车飞机票数据；购物类网站，泄露的银行卡数据和交易数据；团购类网站，泄露的数据；...

在黑客对数据进行整理后，就能了解一个人（姓名+身份证号+照片），住在哪里，工作单位，每年出差几次，一般去哪里旅游，收入水平多少，购物习惯是怎么样的，一般看什么类型的电影，去什么档次的餐馆，看什么类型的书，喜欢什么色号的口红...

画像精确到如此地步，是不是我们某些机关的同志都汗颜了。

甚至比父母和我们自己都了解我们了。

《孙子兵法》有云：“知己知彼，百战不殆”，用在诈骗这行也一样。

获取有用数据库后，当然是卖出去变现了，这个俗称洗库。一个库可以洗很多次。

下面这张图可以更好地帮助你们理解整个过程。

还有更复杂的，有兴趣的可以了解一下

06

骗子实名了吗？

当然实名了。

骗子也需要正常生活，在这个实名制的大背景下，他也是实名的。

那公安机关不是一抓一个准吗？

关键问题在于，他用来实施诈骗的身份是伪装的，与他本人的身份是割裂的。

专业一点的骗子，他的微信、QQ、身份证、银行卡，全部都是买来的。

而且骗子远远不止一个身份，我们经常看到转账的银行卡换了一张又一张。银行冻结了这张，再换一张。

实名制的初衷，是想通过实名制，挤压违法犯罪的空间。

殊不知，该实名的，仍然没有实名。

遵纪守法的人，实了名之后，成为了犯罪分子看得见的靶子。

骗子对受害者的情况了如指掌，他说得出你的名字、身份证号码、银行卡密码，还知道你家人的名字，让受害者不由的相信对方是公检法、银行、淘宝网客服或者其他官方机构。

到现在，你还说被骗是因为傻吗？

没有实名之前，骗子即使知道你的网络身份，也难以下手。

假如有一天骗子打电话给你，问道：“你是‘西门吹雪’（网名）吗？”

你说：“是我。”

然后他说：“我是国安局的，你因为涉嫌犯罪，请协助我们调查。”

你肯定会说：“国你X的局，我还是中情局的呢，连我的名字都不知道，还想来骗我！”

少了被骗对象的精准信息，骗子还那么容易得手吗？诈骗案件还会那么多吗？

电信诈骗的蓬勃发展，正好对应了实名制推行的这几年。

这个锅，实名制是不是要背？

并不是说实名制一定不行，实名制实施的前提，是要做好保护个人信息的准备。

而这方面，我们的网络安全意识和技术上都没有准备好。

当然个人信息泄露的途径还有很多，这篇文章远不能陈述完全，欢迎大家补充。