替這個司機
心疼
先跟大家講一個5毛錢的故事���。����。�����。
晚上放工�,用手機叫了一輛車���,很快�,一個師傅接了單�����,上車后�����,健談的差評君就跟師傅聊成一片�����。
然后�,這位師傅就訴苦了起來:前幾天接到了一個去火車站的單子��,但是乘客下車后���,卻遲遲沒有付款����,發短信催付款����,沒人回�,打電話他停機�。�����。��。
差評君那時候并沒有怎么放在心上���,認為那只是一個貪便宜的乘客����。
投遞之后����,為了讓那個師傅放心����,差評君立馬付款下車�。
所以這真的是一個 5 毛錢故事
但是��,今天差評君發現���,事情可能沒有那么簡樸����。�����。����。
正文��,
一直以來��,優步給人的印象實在蠻好的���,恬靜的界面����,優質的叫車服務��,還有那小額免密支付方式����。����。�����。
但是�����。����。溘然泛起了這么一條朋友圈動靜�。��。���。
這條朋友圈的大概內容就是��,他的優步賬號被盜刷了����,而且����,除了凍結支付寶��,一點辦法也沒有����。��。�����。
當然�����,這有可能是個個例���。
不外進一步在網上搜索相關信息��,就顯得不那么天然了��。���。��。
各種被盜刷
這么多人發生這樣的事��。��??磥砜赡芨脚_本身有關�����。�。�����。
果然�,在 3 月 23 日���,白帽子黑客 “ 土夫子 ” 在烏云網上宣布了優步的漏洞��。
漏洞標題:Uber 優步客戶端接口設計不當可導致撞庫攻擊
大家應該知道���,注冊優步是用手機號���,登錄優步也不需要手機驗證碼的���。
而且�!優步可多設備同時在線的����。��。���。
三臺設備同時在線
(假如有點開圖的差友�,會發現���,賬號名字都叫 “ 君差評 ”)
并且�����,Uber 居然也沒有異地登陸的提醒�����。����。
然后再配上剛剛說的漏洞����,一般黑客�����,都能神不知鬼不覺的盜號了�。����。
盜號過程真的還算不難��。����。���。
首先�,設置一個固定的 password(密碼) 例如:“ 123456 ”�����,然后再對手機號碼進行一一遍歷�。��。就是一個一個用這個密碼去嘗嘗嘗��。����。��。
爆破 + 遍歷 + 撞庫
在返回的數值 Status 中�,200 代表登錄成功�����,404 為存在用戶���,403 為不存在用戶�。
(好家伙�,獲得三個可成功登錄的賬號�。)
差評君隨便找一個他們曝光的賬號試一下���,尼瑪���,到現在還能正常登錄��。�。���。
留意觀察���,上圖有 “ 歡行杭州 ”����,恩����,恰是差評君在杭州的無惡意測試�����,而實際��,該賬號主人八成是北京的����。
由于還看到了他的行程�����。�。�。
他的行程
(他最后一次的打車時間是在 4 月 22 日都被查看的一清二楚��。�。而當事人應該依舊毫無察覺����。�。���。)
而且���, 3 月 25 日��,廠商就確認該漏洞���,但最新狀態是暫無�,可以理解為��,置之不理了吧�。����。���。
關于漏洞�,就先說到這吧����,反正也不是什么高深莫測的方法���。
假如優步當真對待這個情況��,分分鐘就能修復好了����。���。�。
那么題目來了����,黑客都愛宅家里的��,又不怎么用 Uber��,盜了干嘛呢�����?
實在�,盜號分子為了變現�,早就衍生出一條玄色工業鏈 —— 優步代叫����。
(看到沒有���,不限間隔�����,隨叫隨到�,通通 25 元����。���。����。)
在 QQ 上��,也有大量的優步代叫服務群���。����。����。
既然這么公然�,那就隨便找一個人問下好了�����。��。�����。
唉����,差評君這周已經做了好幾回的臥底了�����。
為了掩人線人�,這周頭像也換的飛起����。
也真的是絕不避諱�����。���。他的朋友圈里也全是這樣的信息�����。���。����。
(可憐無邪可愛的民國表情包�,被拿來做這么喪心病狂的事�����。��。)
當然���,天下烏鴉一般黑����,這種事情在滴滴里也是有的���。�����。����。
(代叫滴滴快車�,10公里5元�����。)
而且有些叫車賬號里并沒有那么多錢�,所以�����,就會泛起文章開頭那個司機師傅講的那個情況��,無人付款���,無人應答�。�。�。
而這些不法分子�����,就是通過這個手段����,把盜來的賬號變現的�����。
雖熱對你來說���,占點小便宜����,可能真特么是件好事�����。��。�����。但���,有知己的你�����,請千萬不要這么做��。
這些代叫服務提供者�����,把握了大量的優步賬號�,還有作案工具�。
“ 并且明天開始提供高質量服務�!” 呵呵�,where are your face ��。��。���。
再來具體的看一下這個叫車流程 �����。����。�����。
叫車流程
也就是說�����,他利用一個盜取的賬號幫你叫車���,無論路程多遠�,你只需要暗里給他 30 元�����,就可以拍拍屁股走人了���。����。而實際打車用度�,就由那些被盜號的人承擔了����。�。�。
上圖還特么宣傳了可以教你����,這樣的技術:
另出技術�,需要的詳聊�����,觀望���,注定無法賺錢���。
好東西應該大家分享�,即日起����,凡是推薦一名朋友加我微信找我代叫車成功的��,立發 10 元紅包�����,有錢率性���。
(踏馬的�����,有錢還干這種齷齪事�����?�����?)
害得一大波無辜者�,遭受被盜刷的悲劇���。�����。�。
一個將受害經歷反饋給 “ 廈門日報 ” 的被盜人��,廖先生說:
除了支付方式����,賬號里的郵箱��、密碼����、電話及賬戶名字都被更改了�����,但優步卻沒有實時發送任何提示��。
但優步竟然沒有客服電話����,他想注銷優步����,但一旦注銷�����,損失的錢怎么要歸來��?可假如不注銷����,萬一有人繼承通過優步盜刷自己的錢怎么辦����?
優步還要求必需要有一個付款方式����,所以我無法解綁全部支付方式����,解除了支付寶和銀行卡后�����,還留下了沒有錢的百度錢包�����。
呵呵���,沒錯��,Uber 直到現在��,在海內都沒有一個客服投訴電話�。���。�����。
唉��,心好累�,容差評君抽根煙�����,再細說�。��。�����。
從優步漏洞 → 盜號 → 優步代叫 → 免密支付 → 盜刷 → 投訴無門����,整一條玄色工業鏈�,行云如流水一般�,溜到沒邊���。���。�。
固然你可以頻繁的更換密碼暫時脫離他們的控制�����,但是跟那些利欲熏心的盜號者來說��,他們的手段�,總會高你一籌��。
而且�,因為你的 Uber 必需要有一種付款方式�,所以��,并不能在 Uber 上等閑的解除綁定�����。�����。�。
差評君為了測試����,也入坑了
再回想昨天收到的短信 “ 付款時�����,無需輸入支付密碼 ” 這就不是抽根煙壓壓驚就好的了了��。��。���。
當然���,盡管美國來的優步�,碌碌無為��,實在早在今年 3 月份����,支付寶自己就推出了對策����。��。�。
在教你們之前����,有一件事還要先跟大家說清晰��,假如你解綁 Uber 成功了的話�����,你的那個 Uber 賬號就幾乎廢了�����。���。�����。
由于你的 Uber 賬號就會因此而被封
(詳細原因應該是與 Uber 本身 “ 至少要留有一個付款方式 ” 的設定相互沖突吧)
所以各位差友在做下列操縱的時候要想清晰哦�����。�。���。
由于手機真個解綁選項藏的比較深����,差評君就一步一步演示給你們看����。���。�����。
首先打開手機真個支付寶����,在主界面最下面選擇 “ 我的 ”
然后點你自己的頭像��。
點 “ 設置 ” ���。
進去之后點 “ 安全設置 ”
然后點 “ 安全中央 ” 再點 “ 賬戶授權治理 ”�����。
就泛起了這樣的界面��。���。之后你想解綁哪個就解綁哪個���。���。���。
然后你就會收到下面這條短信���。��。�����。
再見�����,Uber
作為消費者��,把財產�、個人數據及信任交給了你們�����,那么請收起你們的傲慢�,上下齊心�����,彌補漏洞�����,肅清玄色工業鏈�。���。���。
當然�,還有個非常有效的辦法�,多來點優惠�����。�。反正你們最近都融了十幾億���。�����。��。
|
咨詢服務熱線:400-099-8848
