«

»

Sep 06 2016

由一封来自『招式』的垃圾邮件,告诉你大数据下个人信息泄露有多严重

收到一封垃圾邮件。

里面写着很特别的个人信息。

而且这邮件还想由此钓出更多的信息。

更为可怕的是,这封邮件中还有伪造的信息。

邮件全文:

(青椒马赛克是我最喜欢的打码方式了)

个人信息

邮件的情况很明显,这个『招式』知道我的姓名,知道我的毕业院校。但有一点比较特别,就是这个邮箱。

如果这个网站是从其他招聘网站上采集个人信息的话,那这就奇怪了。我在工作中是不会用私人邮箱的,如果搜我的简历的话,是不会搜到这个邮箱的,会搜到关键词是job或者gmail的一个邮箱。这个网站是如何把我的真实个人信息与日常生活使用的邮箱关联到一起的?

思朗特

思朗特这个公司,我只呆过一个月,具体经历已经在去年的文章《我的2014下半年》讲过,只不过当时没提及名字。

我现在补充一些之前文章中没有讲过的内容。

思朗特,全称是北京思朗特科技有限公司,英文简称是Surfront,Surf和front的合写,是一家主营网络加速产品的小公司,主要产品都是贴牌oem销售。

贴牌对应有两个大公司:

  • 一是锐捷,主要面向学校销售网络产品。我在北京第一家公司时,棘手的竞争对手之一,在学校网络加速市场上几乎是垄断级别。
  • 二是鹏博士,国内二级运营商的头头。除了歌华属于广电之外(未确认),你听说过的任何一个小区宽带或二级宽带,都是其下的子公司,长城宽带,电信通,宽带通,方正宽带,你听说过的,你没听说过的。

当时进了这个公司发现以前竞争对手的产品竟出自这么一个小作坊时,只是感慨老东家你对这个产品线投入的太少了(只有自己一个人支持到产品生命结束)。

之前遇到《工作期间遇到的一次由于HTTP和TCP层被劫持的问题》时,也是瞬间就想到了这个公司的产品,其技术实现方式,出现的问题,面向的客户群体,一切能确认的现象都能指向锐捷的加速产品,也就是思朗特生产的网络加速产品。

思朗特加速设备系统安装界面出错时的情景

系统安装界面出错时的情景

我在思朗特工作时,这个公司就确定已经被鹏博士收购了,公司内一直在传什么时候能搬到雍和宫的鹏博士,而不是窝在黄寺大街,太挤了。

 

怀疑

为什么当我收到这封邮件的时候,我直接就怀疑这封邮件中内容的真实性了呢?

思朗特的招聘

我在入职思朗特时,并没有什么明确的应聘经验。我觉得也没什么人能有这种经验,不能踏踏实实工作,总频繁换工作的人,才会有应聘经验吧。

我当时问了公司经理一个问题:“公司招应届毕业生吗?”经理回答:“不会!”很果断,不需思考。

而从这个公司在各个招聘网站上留下的信息来看,虽然招聘的职位乱七八糟,但工作经验都是要求1年以上,所以说这个公司在表面上也不会招收应届毕业生。

再加上我在这个公司的工作经历来看,这个公司也没有能力去培养一个应届毕业生。

思朗特的测试笔试题

思朗特的测试笔试题

所以说这个公司不可能用思朗特的名义对外公开招聘应届毕业生。

模板与固定文本

既然可以确定思朗特不会招聘应届生,那么接下来该怎么办呢?

我点了一下邮件中的『点击查看』,打开页面:

这很奇怪,在校学生会称已毕业的学长为『前辈』吗?在中国,『前辈』这个词只有已就职的新人会对老员工这么称呼,而在校生一般都以『学长』来称呼。

而且,不觉得这段文字太过于 模式化 了吗?没有提到我的名字,我的院校,与暴露出来的个人信息的邮件风格完全不一样。

邮件中的内容应该是套用的模板,人名+学校+公司,明明是给一个做IT的发邮件,后面的内容竟然都是金融公司,正常人一般都会写微软、IBM之类的才对吧?模板用的都这么吝啬。

而这段文字甚至不是模板,只是一段写死的固定的文字。

叶子是否存在

那么这个叶子真的存在吗?

我的毕业院校能应聘计算机开发相关专业的学院只有一个,约5个专业,人数大概约500人,如果这个叶子性别属实的话还可以进一步缩小范围。以我当时在学校的作为,现在也能从很多渠道查到是否真的有这么一个昵称叶子的人,学院、社团、老乡会,方法多的是。

然而我并不想动用这些,走个偷懒的方式:

从头像下手。应该不会有那么蛋疼的人会专门用一张真人照片去专门注册一个网站,头像的重复使用率一般都会很高。

结果:

这张图片作为头像的重复使用率真的很高啊,这到底是个谁啊,韩国明星吗,我第一个想到的竟然是新浪微博僵尸粉。

与其说是头像,更像是什么软件从美女图库批量生成的东西。

也就是说, 我认为这个叶子就是用软件生成的垃圾账号,头像是从美女图库生成的,并不存在叶子这个人。


2016年11月30日补充。

很高兴支付宝给咱上了一课。

冷启动

这种依靠机器人来充当用户的方法,原来叫做“冷启动”,真的是学到了。

 

zhaoshit

伪造

并没有一个知道我并与我同校的昵称名为叶子的学生,通过了这么一个网站向我发起了解思朗特这个公司的提问。

这封邮件以及点开的链接,完全都是由这个网站自导自演的。

这个名为招式问答平台的网站,不知道用了什么手段,同时拿到了我的真实姓名、毕业院校、曾任职的公司、以及私人邮箱,并且很大胆的发送了这封垃圾邮件。

利用

不得不说这种猥琐的手段很是巧妙,充分利用了人的虚荣心、美女情节,甚至还有良心和热心。

虚荣心,不论什么人有什么事,都想炫耀一般。我下过矿井不是都写了个长篇大论么。

美女情节,这个不用多说,随便关注一下今年火爆的直播市场就懂了。

良心和热心,帮助他人都是有良心的,都是热心肠的。利用他人的良知做这种事。

目的

51zhaoshi这个网站的备案信息是2011年的,51找事信息网。然而这个域名在2015年过期过,之后2016年才重新创建。中间发生了什么不清楚。

可以认为这个 「招式」一问一答皆招式 是新建立的网站,目前仍在数据采集阶段,用如此卑劣的手段在收集信息。

目前这个网站在搜索引擎上几乎搜索不到,其官网也只有一张图片要你加微信。

谁知道接下来还有什么流氓手段。

10 comments

Skip to comment form

  1. 大致

    从来不看垃圾箱。我觉得你的洁癖挺严重的了。
    以及,程序员的字啊~

    1. 石樱灯笼

      蛤蛤,主要是总有正常邮件往垃圾箱里进,所以删除之前都会快速过一遍。
      是有点洁癖问题。
      我这字啊,不是写程序才有的,我上小学时写字就这么丑了QAQ。

      1. jean
        Firefox 62.0 Firefox 62.0 Windows 10 x64 Edition Windows 10 x64 Edition
        Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:62.0) Gecko/20100101 Firefox/62.0

        字挺好的,主要是清晰易认 + 排版不错。

  2. nyun

    现在的信息泄漏的太多了~~

  3. SN

    信息贩卖太严重了。话说这种垃圾邮件还是比较好辨认的,一股很浓的机器写作的味道,不过还是能骗到小白的。

  4. 荔枝

    在现在的网络环境下,要想不泄露个人信息真太难了,个人隐私保护和在网上公开发布信息在某种程度上本来就是矛盾的,鱼和熊掌不能兼得啊。个人能做的只有尽力保护好涉及个人财产的帐户和信息了…

  5. 方室网志

    我看垃圾邮件也就是瞄一眼就算了。外面的骗子那么多,只好加强防御了。

  6. 灰狼

    这种垃圾邮件,从来不看。也不会去深究到底是怎么回事。

  7. Thiece

    其实我想吐槽字写得好丑23333333

    1. 石樱灯笼

      参见第一条评论的回复hhhhhhhhhh

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据