澳洲新快网

看不见的幽灵乘客 Uber代叫内幕调查

2018-09-10 来源/澳洲新快网 編輯/charlene.chen

很多澳洲市民已经习惯通过叫车软件打车。(网络图片)

文:严哲

本报独家 谢绝转载

随着各种网约车平台应用软件的普及,很多澳洲市民已经习惯通过叫车软件打车。对于加过澳洲华人的微信群的一些华人来说,对“4折代叫Uber”等广告估计并不陌生,一些人也乐于用相对低廉的价格享受着同样的约车服务。 

而本报记者在调查中发现,这些服务背后充斥着盗号、盗刷等违法行为,并由此衍生出了一条“代叫”黑色产业链。

疯狂的银行卡盗刷事件

在网上搜索“Uber代叫”、“信用卡”等关键字,记者了解到,不少澳洲华人都遇到过莫名其妙的Uber扣款事件。似乎有一个看不见的“幽灵乘客”,用你的账户在不停地打车,穿行在全世界各地。

一个月前,墨尔本一位学生在社交媒体上向大家寻求帮助,称自己近日突然收到银行短信,被询问一笔Uber消费是否为本人操作。而登录手机银行软件后,他发现自己莫名多了好多Uber的扣款。 

无独有偶,另一位澳人也在某论坛上发帖,称其在某日凌晨澳洲和英国银行账户多了数笔Uber账单,而他自己从来没有Uber账户。

以上事例似乎表明他们的银行卡被盗刷了。虽然很多情况下,银行会注销这些信用卡,并退回损失金额,但这种案例仍在不停地发生,也依然有很多人投诉无门。这些并非个案,此前已有多家媒体报道类似的银行卡被盗刷相关新闻。而这些新闻的另一端,是微信上“代叫Uber”业务的悄然兴起,两者有何关联吗? 

悉尼一位华人 Uber司机告诉记者,一些人莫名其妙被扣款,基本都和一些所谓的“Uber4折代叫”业务有关;这些“代叫”会通过大量盗取的Uber账户或信用卡替乘客付款。

有Uber司机表示,这些“代叫”服务的价格都只有平常的4折,你只需要在微信上转账相应金额,对方就会帮你代理叫车,虽然叫车时间略长,但对于一些路途较长金额较大的Uber用户来说,该价格依然具有很大吸引力。
 
“Uber代叫”之所以在网上泛滥,和其“自动扣款”功能有关。记者发现,通常情况下在其他平台消费后付款时,都需要确认账单后由消费者主动操作付款,但Uber在行程结束后会自动通过已绑定的支付方式扣除车费,无需验证和输密环节。 

原本以“为用户带来流畅体验”为初衷设计的“免密支付”功能,现在却被大量用户诟病:一旦账号被盗,绑定的支付方式就有被不法分子消费的巨大风险。

另一方面,大部分用户想要登录Uber账号修改密码时,却发现包括手机号码、邮箱在内的登录信息已被修改,导致无法重设密码。

而对不法分子来说,他们几乎没有成本,也少有被发现的风险。一是因为低频低额的盗刷,让被发现的几率不那么高;另外,即使被用户发现,银行或Uber公司付出了相应的退款赔偿,受害者也只是Uber和银行。

这些“代叫”服务,到底是怎么形成的?

“代叫”背后的黑色产业链

记者发现,“代叫者”为了变现,通过盗号、卖号、盗用信用卡、更改用户数据等一系列的环节,已发展形成一条严密而完整的黑色产业链。 

通过微信群,记者找了一家提供Uber代叫服务的“商家”。对方表示,通过他们叫Uber可以打四折,只要告知上、下车地点,成功下单后对方会告知司机的电话和车牌号,付款直接微信给该“商家”,期间无需支付给司机任何费用。 

这些“代叫者”毫不避讳地在微信群、各类助手号、华人论坛上打广告和“晒单”,更有甚者,直接打出了招募分区域“代理”的广告。 

事实上,有很大一部分“代叫者”不会用Uber账号原本就绑定的信用卡,而是用另一张盗取的信用卡,以防止被Uber用户本人发现。 

通常,“代叫者”会准备一个新支付宝账号,以及另一张盗取的信用卡。将Uber老账号信息更改,并绑定新支付宝后,叫车后用额外准备的信用卡支付。这就构成了一个“代叫”链条。

在实际操作中,“代叫者”们还需要另一条产业分支协助,即虚拟定位和呼叫转移这两个“黑科技”。 

有“代叫者”透露,他们有很多海外客户,其中涉及到的定位问题并不难解决:用“站街”、“假装骑车”等虚拟定位软件,可以模拟打车者在某个指定的位置来完成整个行程。 

也正因为此,“代叫者”们可以在全球接单“代叫” 业务,并难以被追查。 

呼叫转移则更容易了。当有生意上门时,“代叫者”会在他人的Uber账号上输入乘客的行程起终点,按照“乘客”的需求进行叫车服务,随后司机在联系账号绑定的手机号时,“代叫者”会使用一种“来电转移”软件,将电话号码更改为“顾客”的手机号。

就此,司机就可以直接联系到“乘客”沟通,丝毫不会发现乘车人并不是叫车人。

在到达目的地后,通过新绑定的支付宝账号中,Uber公司就从盗取的信用卡里自动划取相应的金额,一直到该信用卡不能支付了为止,而无需任何密码。

记者发现,现在不法分子不仅提供“Uber代叫”,通常还做Airbnb和飞机票代买等业务。不仅盗刷,其中还衍生出其他不少诈骗行为,不少消费者因此蒙受了高额经济损失。

见不得光的信息贩卖

那么,这些盗用的银行卡和泄露的Uber账户信息从哪里来呢? 

记者发现,Uber等账号的泄密,一部分来自地下黑市的购买,一部分来自黑客用“撞库”等手段盗取。

网络上真实存在地下黑市,这绝非电影桥段。这些地下黑市交易网站不是公开的网站,用户要通过加密软件登录这类网站,并且搜索引擎不能发现。

去年7月在多国联合行动中覆灭的暗网黑市AlphaBay是其中代表,而此时这个网站已经运营了三年之久。在早之前,还有另一个地下暗网“丝路”。 

这样加密过的网络形成“暗网”,用户可在隐匿身份与地点的情况下进行非法物品的交易。有西媒记者通过种种手段加入“暗网”,并在“暗网”上找到了数百个优步账号。页面显示的广告上承诺可“无限制免费乘车”。 

在过去的几年里,这些地下黑市成为了买卖非法商品的地方。有人在上面购买违法药品、信用卡号码、假护照、假学位证书、黑客工具、武器以及很多Uber账户。

还有网友指出,Uber客户端存在漏洞可能导致黑客“撞库”攻击。 

什么是“撞库”?相关人士介绍,“撞库”是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以 登录的用户。

因为很多用户在不同网站会使用相同的帐号密码,黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就叫做“撞库”。 

根据网友的调查,由于Uber登陆时不需要手机验证码验证,黑客可以通过“暴力破解”的方式盗取账号,并修改邮箱和密码。

如此防不胜防的盗号风险下,Uber账号难以解绑支付方式的问题,也成为了众多用户的“槽点”:这使得Uber账号被盗后,绑定的信用卡信息安全也难以保证。 

对此,有Uber公司公关人员回应称:“代叫”是一种欺诈行为。他提醒称,不要在多个平台使用同一个密码;此外长时间没有使用的账号,再打开时Uber会要求其重新填写资料,包括银行卡信息。

目前,记者已将相关情况反映给新州警方,警方提醒在澳华人,大家应该尽可能地保护自己的个人信息,一旦受到隐私和经济侵害,一定要向对应的企业或金融机构反馈。

 

分享到
相关阅读