隐私泄露：“爱又米客服”诈骗猖獗三年数百大学生哭天无门

原标题：隐私泄露：“爱又米客服”诈骗猖獗三年 数百大学生哭天无门

2017年12月13日，邯郸某大学学生小林接到一个电话：“你好，我是爱又米的客服，您是小林同学吗？”

“我是。”

“您上个月注册了我们的贷款账户是吗？最近国家的政策有变动，不允许向在校大学生发放贷款，因此需要您把账户额度清算一下。”

（图片来自网络）

在这个所谓“爱又米客服”一步一步的指导下，小林从爱又米平台借出6000元，并转给了所谓的“收款账户”，以求“清算账户额度”。

一周之后，小林收到了爱又米的催款短信，这才惊诧的发现，这个“客服”是假冒的，那6000元贷款及利息还需要他自己还。

这下子小林懵了，于是赶紧向警方报案。

小林只是邯郸数百名被骗大学生中的一个，而且不是被骗金额最多的。

根据邯郸市公安局的事后统计，单单在邯郸几个高校，就有300多名大学生被骗了200多万，都是类似的套路。

这个案子，被邯郸警方称为“12·01”系列网络电信诈骗案，并投入巨大人力物力进行侦破。

2018年5月到9月，此案7名嫌疑人相继落网。

12月，邯郸市公安局召开新闻发布会，向社会公布此案的详细情况。

黑奇士（id hqssima）综合多个消息来源，为您揭开“爱又米客服”系列诈骗案的来龙去脉。

犯罪关键环节：说出用户隐私博取信任 理由听起来“合情合理”

邯郸市公安局邯山区公安分局党委书记、局长刘军海介绍，2017年12月以来，河北警方先后接到当地多所高校学生报案称被网络诈骗。部分学生通过微博在网上发表文章，在部分高校内引起恐慌。

办案民警表示，犯罪嫌疑人具有相当高的反侦察意识，比如从学生那里骗到2000元之后，并不进入私人账户（现在的银行卡都是实名），而是通过电商网站购买充值卡、游戏卡、话费等，出售之后再转到其他账户，逃避警方侦查。

骗子的通常套路是：上来就问你是不是某某同学，手机号是某某某，是不是住在什么宿舍，某月某日是不是注册了爱又米的账户？

按照一般人的理解，能掌握这么详细的信息，那只有“爱又米的官方客服”，因此在潜意识里对诈骗分子形成了信任感。

在诈骗理由上，犯罪分子的说法是“国家政策收紧”、“公司破产，必须清偿贷款额度，否则会上征信黑名单”等。

与之对应的是，2017年5月，教育部、银监会、人力资源社会保障部联合发布《关于进一步加强校园贷规范管理工作的通知》，要求一律暂停网贷机构开展在校大学生网贷业务。不少学生对这个消息有一定认知。

而这个认知，跟骗子所说的“政策收紧”能对应上，从而进一步加深了对其的信任感。

而且，绝大多数人经常听到“上了征信黑名单会限制坐飞机、坐高铁”，而对“征信黑名单”的详细情况并不了解，到底什么情况会上黑名单、延迟还款会不会上黑名单？这些东西都不太清楚，从而被骗子误导。

（别觉得学生笨，我问你，信用卡延迟几天还款会上征信？花呗没还会不会上征信？我估计读者里能有5%的人回答对就不错，何况是没走上社会的大学生。）

而且最主要的是，犯罪分子能说出只在“爱又米”平台上注册过的隐私资料，这成为犯罪分子获得学生信任的最关键一环。

破案不易：民警万里追凶 7名骗子落网

经过侦查，警方查明，犯罪嫌疑人简某某等人共同预谋，利用非法取得精准个人信息，寻找话务员（打电话诈骗的人，叫做话务员），针对特定群体进行诈骗。该团伙组织严密，反侦查意识极强，有总指挥、下设组长和小组长等职务，相互之间单线联系。

实施诈骗时由组长统一安排话务人员上缴个人手机，集中乘车拉至作案地点，分设岗哨和监督员后发放诈骗用手机实施诈骗，完成后再集中乘车送回，返还个人手机。（也就是说，在不诈骗的时候，一线实施诈骗的话务员也没有手机，无法对外联络，以此来逃避警方侦查）

2018年12月，在邯郸市公安局的新闻发布会上，警方公布了此案的办案细节：

在成立专案组之后，邯郸市公安局邯山区分局全力侦破，办案小组奔波往返8个省、市，行程2万余里。在当地警方的大力协助下，办案民警于2018年5月展开收网行动，5月10日至25日，在福建省龙岩市相继将5名犯罪嫌疑人抓获。2018年9月20日在山西省运城市将2名犯罪嫌疑人抓获。

（邯郸警方供图）

经过对犯罪嫌疑人的审讯，该团伙成员供述了爱又米客服实施诈骗的犯罪经过，被骗对象涉及杭州、太原、石家庄、武汉、福建、四川、山东、江西等全国几十个城市和地区。

至此，该案取得阶段性成果。（因为不少疑点未搞清楚，只能说是阶段性成果）

支付环节：用二维码取代陌生账号，降低用户警惕性

骗子骗人转钱的关键说法，是说要消除爱又米的额度，避免上征信，需要先贷款，再还款。（这种做法还不够诡异吗，谁听说过这么消除额度的）而且，别的途径还款都是在APP内部还款，骗子们要求转到自己的私人账户。

在这个关键环节，骗子们巧妙地用了一个方法：如果给用户陌生账号转账，大多数人都会提起警惕。他们就从电商网站购买电话充值卡，在付款的时候有个生成二维码的功能，别人扫这个二维码，就可以结清货款。

这个二维码的有效期，是30分钟。

于是，骗子就对学生说，你要还款，得通过这个二维码还；然后购买充值卡，生成付款码，再截图给学生进行扫描。

用户扫描这个二维码，很顺利就把刚到手的贷款给了骗子。

无法追回。

本案最大疑问：“假客服”用的个人隐私哪来的？

案件虽然有了阶段性成果，但仍有疑点待解：比如，诈骗分子用的用户隐私从何处得来？

早在2017年12月，就有用户发帖称遭到了精准诈骗，犯罪分子知道向爱又米平台提交的详细资料，包括家庭关系、学籍等隐私，并用这些东西掩护，获得了大学生的信任。在信任之下，被骗的学生对一些别的疑点视而不见。

比如，诈骗分子用的手机号是从网上购买的未实名号码，归属地天南地北的都有。而实际上，爱又米的官方400电话仅限于用户的单方拨入，不能提供拨出功能。

这些隐私是哪里来的呢？

办案民警向媒体表示，从爱又米方面了解到的情况是，他们自称内部进行了自查，无人泄漏，爱又米怀疑是黑客所为。

犯罪嫌疑人交代，诈骗所用的资料是上级交给他的，上级从何处取得他不知道。嫌疑人供称的上级，已被重庆警方从越南跨国追捕（因为其他案由），至于此批资料从何而来，需要重庆警方的进一步侦查。

而受骗学生则指称，这些资料只在爱又米平台填写过，不管是黑客盗取还是员工内鬼泄露，平台都无法逃脱“监管不严”的责任。

（真的安全？）

黑奇士从业内匿名人士处获得的消息，爱又米平台“胆子特别大，对用户资料榨干一切价值”，言外之意可能通过同业交换、资料出售等途径泄露。

而根据安全专家的分析，爱又米的官方说法：黑客攻击、撞库取得用户隐私不是没可能，而是可能性非常小。

因为诈骗案从2017年12月开始在全国泛滥，时至今日仍有利用这些资料的骗案零散发生，时间跨度如此之大、涉及受骗者如此之广，仅仅一个黑客攻击，很难在这么长的时间内持续攻击爱又米内网，持续获取资料。（如果一个公司内网被攻陷这么长时间还束手无策，那他的安全部门早该全部裁掉了）

撞库的可能性就更小了。所谓撞库，是指用一个用户在多个网站注册账号，在这些网站使用了同一密码，当黑客获得了A网站的密码之后，用这个密码去B网站尝试登陆，这叫做撞库。

目前爆出来的“爱又米客服”诈骗系列案件，被骗者可能高达数千人，这么多人的密码同时被“撞库”获得，可能性很低很低。

实际真相如何，需要等待警方的进一步侦查。

案后反思：网站是否该过度索取用户隐私？

作为专门关注黑产的自媒体，黑奇士（id hqssima）一直对商业公司索取用户隐私这件事情保持警惕。

随着网络技术的发展，以前不认为是隐私的东西，现在通过大数据分析，也能起到非常惊人的效果。

例如人们手机上的图片，在拍摄的时候会自动标注经纬度、拍摄时间、手机型号等信息。如果商业公司获取了手机的“相册”权限，就可以读取到图片包含的信息。

通过经纬度，可以获知你每天的行动轨迹，猜测你的职业和生活习惯，如果使用的是高档手机，可以推测你的消费能力比较强……等等。

而且像“爱又米”这样的金融类APP，为了降低自己的放款风险，往往会倾向于获取一切能获得的信息，而且不少信息是用户不可能向其他公司透露的。

比如在放款审核的时候，金融类APP会要求借款者的手机号服务密码，微信密码，家庭关系（担保人）等。通过手机号服务密码，可以获取你过去的通讯记录，从风控角度讲，这可以验证你的联系人是否真实；但从隐私角度，如果被泄露出去，其带来的风险也是不可估量的。

也正是因为骗子先声夺人的说出隐私信息来获取学生信任，才造成了本案300人被骗200多万的恶劣后果。（仅仅邯郸一地）

而作为处理结果，爱又米仅仅是“免了学生被骗金额所产生的利息，本金仍需归还”。