我问我们实验室的小技师“你有窥探隐私的嗜好吗?”

小技师嫌弃的瞥了我一眼“文化人的事情,那能叫窥探隐私吗,只能说是充满了好奇心和无尽的求知欲!”

无论我们愿不愿意承认,现实生活中的每个人都有一定程度的窥私欲,想要通过窥探别人的秘密满足自己的控制欲,但又不愿自己的秘密被窥探失去安全感,这大概就是从人的劣根性中衍生出的低级欲望。

既然有这种“市场”需要,一些“有心人”便利用窥私欲从中作梗,可能在不知不觉间,我们已经变成了这张叫做“窥私欲”蛛网上被粘的蝇虫,逃脱不了被捕食的命运。

本篇文章将从“三号小技师”险些中招的一个故事说起,最终全盘托出建立在窥私欲上的黑产巨网。

 

究竟是谁的隐私遭到了窥探

小技师单身已久并且年轻气盛,所以长期混迹于各大(单身聊骚)兴趣爱好讨论群。就在上周末,一个叫“瑶瑶”的小姐姐添加了我们小技师好友。

小技师并不是喜欢被动的人,他一看到瑶瑶美丽的头像果断决定主动出击。

“嗨~瑶瑶”

“小哥哥好~”

……(在小技师的墙裂要求下,此处省略数段土味情话)

在二人聊的“情到深处”时,瑶瑶还会主动给小技师发几张自拍。

小技师解释道,这其实是电信诈骗者惯用的一种手法,通过发送“假自拍”来让被骗者知道和自己聊天的是美女,这也是让男人放下戒备心的一张王牌,俗话说,英雄难过美人关。(诈骗者也极有可能反过来用此手段诈骗女生。

 

鉴于这些照片大概率不是本人照片,选择做马赛克处理

 

在大家基本互相了解后,瑶瑶突然想拜托小技师帮个忙。

瑶瑶说自己手机刚刚越狱,无法登陆自己的icloud账号,但之前手机相册上有个重要的表格照片,希望小技师可以帮忙登陆找到照片,并且瑶瑶再三强调不可以偷看自己的“私房照”。

 

小技师已被对方拉黑,这是事先留存的聊天记录

 

小技师抽出张纸巾擦了擦刚流出来的鼻血,心想“帮忙登下icloud还有私房照免费看,这也太刺激了吧?虽然我一直承受着我这个年纪不该有的帅气与才华,但我们才聊过几次,她就这么放心让我看她的隐私吗?”这难免让常年游走在灰黑产业中打击网络犯罪的小技师觉得有些蹊跷。

 

小技师在事后分析,这里诈骗者精心设计的一个环节,其实是利用了被骗者内心潜在的窥私欲

1.icloud里面可是另一个世界,有美女备份的照片、浏览记录、通讯录、备忘录等等,任何一样都有可能会满足人的窥私欲

2.诈骗者往往会再三向人暗示“别偷看我的私房照哦~”,这种欲盖弥彰的话翻译过来就是,“里面可以是有我的大尺度照片,快登上去看吧,免费让你偷窥我的所有隐私”

3.要到你的账号很难,但反过来,别人给你一个账号,你还会有那么高的戒备心吗?

 

但是登陆看一下应该不会有什么问题,况且是她邀请我去看她的隐私,小技师一边安慰自己一边怀着侥幸心理用电脑尝试登陆瑶瑶的icloud账户。

按照瑶瑶提供的账户密码,小技师并没有成功登陆她的icloud账户,瑶瑶却撒娇说是只能用手机去登陆。

 

 

无论是用手机还是网页登陆icloud账号,密码都是一样的,并不会出现登陆不上去的情况,有着多年被诈骗反诈骗经验的小技师此时已经意识到这极有可能是一场骗局。这次可真是老鼠撞猫身上了,小技师这只“老猫”决定陪瑶瑶演下去,看看“小老鼠”能玩出什么花样。

不过小技师肯定不可能真的用自己手机登录对方的icloud账号,他首先在自己电脑上安装了苹果虚拟机,之后将无法成功登陆的截图发给了瑶瑶。

 

 

按照对方提供的新密码,小技师成功登上了瑶瑶的icloud账户。

刚开始诈骗者会先发送过来一个错误的密码,被骗者肯定无法成功登陆,在将密码错误的截图发过去后,才会再次发送正确的密码。诈骗者会通过这个环节确认被骗者是在通过手机还是电脑登陆,如果是在用电脑登陆,诈骗者会以只有手机才能登陆为借口让被骗者用自己的手机去登陆。

令人意外的是,瑶瑶的相册里似乎并没有所谓的私房照,甚至连一张照片都没有。小技师将没看到照片的情况反馈了过去,瑶瑶说“小笨蛋,你截图给我,按照我说的来”。

 

 

“我要按你说的来可真成了你的小笨蛋了”小技师心想。

小技师嘴上说着不要,身体却很诚实的按着瑶瑶的引导,一步步打开icloud的上传权限和查找我的iphone功能。

 

 

因为小技师使用的虚拟机上并没有任何照片、备忘录、通讯录等信息,所以在打开自动上传icloud功能后,瑶瑶并没有得到任何信息,并且虚拟机上打开“查找我的iphone”功能是无效的,瑶瑶似乎也发现了不对,已把小技师拉黑,但庆幸的是小技师提前保存了整个聊天记录。

那如果真的用自己手机登陆了诈骗者的icloud账户会有什么后果呢?

在icloud设置页面有一个“查找我的iphone”功能,当这个功能被打开后,通过电脑网页登陆icloud官网,可以锁定登陆同一账号的ios设备。

被锁定的手机会一秒变砖头,诈骗勒索者会在手机解锁页面留下自己的联系方式,并要求受骗者在一定时间内支付500-1000元来解锁手机。

 

 

如果你的手机已经开启了同步icloud权限,在你登陆了别人的icloud账户后,就会开始自动上传手机中的信息到别人的icloud账户,包括你的照片、通讯录、备忘录等等隐私(也许里面就包括了一些敏感的账户密码和照片)。

这样的话,被骗者不但没有看到别人的隐私,反而会将自己的隐私信息全部泄露出去,诈骗者极有可能通过这些被泄露的信息进行更深一轮的诈骗活动。

 

 

你的私生活在满足谁的窥私欲

事后小技师也长出了一口气,“还好我机智,差点就身败名裂,这些诈骗者不仅研究计算机技术,还开始涉猎心理学,仅仅是利用人性中的窥私欲,就大大提高了诈骗成功率。”

之后我从小技师那里了解到,黑产已经不仅是利用窥私欲去进行电信诈骗,还有更多的黑产人员为了迎合人们的窥私欲而主动提供服务、生产商品。

在QQ里一搜索与“窥私”相关的词汇,窗口里直接跳出了一大堆相关的群,潜入各种群中后,我被眼前的乱象震惊了,我从未想过因人的窥私欲会衍生如此庞大的产业链条。

 

1.偷窥直播软件

在上篇文章《+V看片后,我发现她们戏真多》中,我们提到的色情产业链条背后还牵扯着另一条线——偷窥直播软件。我们加入群后,发现不同的群出售的偷窥直播软件有所不同,但大致可以分为两类。

一类是借用一款名为“有看头”的APP售卖账号,账号内会包含数百甚至上千被破解的摄像头,使用者可以通过这款APP选择自己想看的内容。

小技师介绍,他们通用“破解”摄像头的方式有两种:一种是扫描摄像头的IP段,爆破那些使用弱密码的摄像头;另一种是通过利用已被公布的漏洞PoC,攻击那些尚未打补丁的摄像头来获取权限。(这里提醒大家一定要提高自己的安全意识,即时更新摄像头软件版本,使用复杂的密码)

售卖者会将这些被“破解”的摄像头同步到售卖的账号上,也就有了下面这些被看到的直播画面。

 

 

另一类直播软件,则是由黑产开发,进行自产自销的直播软件,他们通过自己放置的成批量偷窥设备以及破解的部分偷窥装置来进行直播,这些偷窥设备往往都经过“精心挑选”,能够拍摄到“有料内容”,下面是我在和售卖者接触过程中看到的推广图。

 

 

这些针孔摄像头或者隐秘的拍摄装置会被装在酒店或家中,对准卫生间和卧室等敏感位置进行偷拍。

 

 

这种软件除了pc端外,往往还会设置ios端和安卓端,便于偷窥者随时随地的进行监控。

我们每天的私生活就这样被做成了一档档“精彩”的直播栏目,被付费观看,而在直播栏目中作为主角的我们却丝毫没有察觉。

 

2.偷窥设备

硬件方面包括各种千奇百怪的偷窥设备,往往会被伪装成手表、笔、钥匙链、台灯、充电宝等等千奇百怪的东西。

 

在购物网站可以搜到的部分偷拍设备

 

而一些更为隐秘的偷拍装置,类似于被改装过的路由器和充电插口中的针孔摄像头,就只有在这种群中才能够买到。

从千奇百怪的偷窥装置供应中,其实可以看到背后同样巨大的市场需求,这些偷拍装置最终流入谁手、用作何种用途,我们也不难猜想。

 

谁在迎合谁

 

无论是这起电信诈骗还是我们探索出的多条黑产链,皆是因“窥私欲”而生。说到底窥私欲只是一种潜在的低级欲望,黑产做的就是把人的这种潜在欲望无限放大。

前者可能是在利用人潜在的欲望进行勒索诈骗,而后者则更是去主动迎合满足人的窥私欲,将一群人的“隐私”贩卖给另一群人。黑产纵然滋长了人的窥私欲,但窥私欲又何尝不是黑产的助推剂呢?谁迎合了谁,就像鸡和蛋的问题一样,难有定论。

如何保护自己隐私,让这种潜在欲望不被黑产利用,这些隐藏在背后的问题才是一个理智成年人应该去思考的。

 

关注“安全客”微信公众号,倾听有思想的安全声音。