注意!这几款招商银行APP竟是假冒的,官方连夜警示
在银行抢占手机银行APP市场时,假冒的银行APP也开始出没,趁机收割用户。
撰文张浩东
出品支付百科
近期,工信部通报下架60款侵害用户权益APP,其中涉及到多家银行,银行APP的问题逐步暴露出来。当银行APP在积极进行整改,以达到监管要求时,市场上却出现了许多高仿和山寨的银行APP。利用银行做背书,这些假冒的APP在狠狠地吸着用户的钱包。
针对市场上大量的假冒软件,招商银行发布风险提示,表示有不法分子以“预授贷款额度”为由,通过短信连接,诱导用户下载伪冒APP,如“招商银行品质版”、“招商银行优质版”、“招商银行极速版”、“招商银行特邀版”等,窃取用户信息并实施诈骗行为。
可以看到,以上冒充招商银行手机银行的APP,在名称中均加入了招商银行字样,并在此基础上推出了各种版本,表面看似真实,实际上却并非招商银行官方的APP。用户稍有不慎,极有可能掉入不法分子的圈套。
目前,招商银行手机银行APP的正式名称为“招商银行”,通过非正规渠道信息链接下载的非法APP,均是不法分子另有所图,其真实的目的无非是以银行的名义,从用户身上获取非法利益。
无论是银行APP还是金融机构的APP,由于涉及到大量资金往来与结算,成为了不法分子利用的对象。这些人不生产品牌,只是品牌的搬运工,借正规平台作掩护,博取用户信任后再进一步实施诈骗。
随着用户使用习惯向移动端迁移,手机银行APP早已成为银行标配,并逐渐成为银行获客和营销的主要阵地。与在银行柜台办理业务相比,手机银行APP更加方便和高效,而这也为不法分子提供了可乘之机。
手机银行APP的功能不断推陈出新,竞争越发激烈,各类仿冒的手机银行APP也在加速上线,这类软件往往是消灭一家,又出现另外一家,难以全面消除。
有时一家银行可以同时出现上百个不同的APP,这些仿冒的APP和正规的手机银行APP的名称、图标以及功能体验十分相近,让用户真假难辨,也使部分用户因此遭遇了资金损失。
据了解,这些虚假的手机银行APP,从下载页面到操作界面,看起来都非常合规。一位下载了仿冒手机银行APP的用户小王向「支付百科」表示,从表面很难判断这些软件是否是银行官方的,但在真实使用过程中,却能发现这类软件的漏洞与危害。
由于今年银行不良率普遍升高,银行在放贷时变得更为审慎,从银行贷款及获取资金的难度加大。银行的严格风控下,许多用户资金周转渠道受阻,有的用户为了借钱便点击了不法分子发送的下载链接。
小王在不法分子诱导下,下载了一款名为“农信贷”的手机APP,下载后不法分子以缴纳手续费后提供贷款为诱饵,诱导小王转账,骗取资金,像小王这样的被骗者不在少数。
早在2015年,360发布《安卓手机应用盗版情况调研报告》中显示,在抽取的10305款正版APP样本中,平均每款正版APP就对应92个盗版APP。
暴利的驱动下,仿冒APP呈现上升的趋势,不法分子不仅仿冒银行的APP,微粒贷、蚂蚁花呗与360金融等互联网平台也没能逃过被仿冒的命运。在这些仿冒的APP中,金融APP成为了被仿冒的重点领域。
仿冒APP虽然套路不断升级,但归根结底,核心依然是通过放款前收费这样的模式,来骗取用户钱财,这也是与正规的APP最本质的区别。正规的金融APP不会在放款前收取任何费用,也不会以任何非官方渠道索要用户的隐私信息和验证码等。
除了仿冒银行APP外,还有人直接仿冒银行。此前在南京曾有一家没有任何金融资质的合作社,模仿银行的装修风格,并以高额的贴息款诱惑用户来存款,短短一年多就有近200人上当受骗,涉案金额近2亿元。
仿冒的APP可谓野火烧不尽,春风吹又生,相互之间也在模仿和抄袭,圈钱套路十分相似。即便监管层在加大打击力度,但假冒APP的基因已根深蒂固,面对围剿它们也不甘于束手就擒。
一千多元贷款牵出套路贷团伙,200余人被抓,主犯出逃
新京报讯(记者张彤)新京报记者从江苏镇江警方获悉,近日,镇江市公安局成功侦破“10·26”特大套路贷案件,抓获涉案人员200余名,主犯朱某卿系牛津大学研究生毕业,创办IT企业经营不善,后开发贷款APP进行违法犯罪活动。该案件涉及借款人100余万人次,作案9个月,非法获利2亿余元,共抓获200余名嫌疑人。目前朱某卿出逃境外,警方正在追捕中。
犯罪团伙PS的受害人不雅照。镇江警方供图
一千多元贷款牵出套路贷团伙
警方介绍,这起套路贷案件最初的线索是一个涉及小额贷款的受害者报案。2018年10月26日,镇江市公安局京口分局正东路派出所接刘女士报案,称因为需要钱周转,她于10月18日下载了一款名叫“随心借”的APP,该APP称其无抵押、放款快、利息低,刘女士顿时心动,即申请借款1850元。
按照软件提示,她在APP内选择贷款1850元之后,系统显示需要从中扣除750元的手续费,且需要同步上传借款人的手机通讯录,并且7天之内还清欠款1850元,但没有说明超期之后如何处理。
随后,刘女士将银行卡号输进平台,对方将1100元转入她的银行卡。然而意想不到的是,逾期一天后,刘女士的家人、朋友都收到了她借钱不还、在外“卖淫”的短信和身份证截图,同时还有裸露PS的淫秽图片;除此之外,刘女士的朋友、家人也不停接到电话骚扰和威胁。
在“随心借”团伙的狂轰滥炸下,刘女士被迫给该团伙汇款1942.5元,可是对方并未善罢甘休,依然不断来电发信息讨要欠款,不堪其扰的刘女士在亲友们的提醒下选择了报警。
警方接到报案后立即通过受害人提供的电话与对方联系,表明身份,正告其不得实施违法犯罪,但对方气焰异常嚣张:“不给钱不行,有本事你来抓我啊!”
办公地点被查获。镇江警方供图
主犯自称是“傀儡”供出多地窝点
警方的前期侦查显示,这是一个组织严密、系统复杂的犯罪团伙,特别涉及以超高“砍头息”、暴力催收等为典型特征的套路贷案件。
2018年12月19日上午10时,警力在河北廊坊和云南芒市、瑞丽三地同时出击,一举抓获涉案嫌疑人92名,缴获电脑、手机等涉案物品200余套。在杭州全面固定相关电子证据。根据前期侦查情况,所有线索均指向主犯李某。
抓捕后,警方立即对其开展审讯。李某供述,他仅是一个“傀儡”,其后另有他人在操纵着整个团伙犯罪。
李某交代,云南、河北两地的工作窝点均为浙江同牛网络有限公司下属企业,他带领的团队平常负责信贷业务的催缴工作。工作中,该团队采用电话轰炸、PS不雅照片等方式逼迫借款人还款。另据李某交代,浙江同牛公司总部位于浙江杭州,老板名为任某浩(法人代表人、总经理),但是其对公司的放贷途径并不知情。
在杭州警方的配合下,循线追查浙江同牛网络有限公司,查控涉案人员200余人,其中骨干成员8名。12月20日晚,犯罪嫌疑人任某浩在杭州机场落网。21日起,涉案主要嫌疑人周某芳(财务总监)、李某东(技术总监)、曹某涛(APP研发人员)、陈某伟(服务器运维人员)等相继被抓归案。
押解涉案人员返回镇江。镇江警方供图
牛津大学研究生主导高息贷款
经调查,浙江同牛网络有限公司创建人为朱某卿,是一名高级海归,牛津大学研究生毕业,任某浩是其合伙人。民警告诉记者称,该公司名义上是一家IT界的精英公司。公司成立之初,是一家正规的IT企业,但由于经营不善,接连亏损。2017年底,该公司经过市场调研,认为“现金贷”业务来钱非常快,且初步预测年化收益能达到2700%。
在暴利的驱使下,2018年3月,该公司正式从事“现金贷”业务。前期,朱某卿召集核心部门的骨干成员,研究了放贷业务的软件开发、形象美化、运营方式、资金准备、风险评估、法律规避以及贷款催缴等具体工作。
随后,该公司先后开发“一信贷”、“随心贷”、“七天贷”等10多个放贷APP。通常对用户的放贷额度为1850元,扣除首期利息750元,用户实际得款1100元,要求用户在7天内还款1850元,以及本金年利率的36%。
民警介绍,该案典型性非常突出:受害人数之多和涉案金额之大全国罕见,仅在涉案APP上借款的有100余万人次,平台资金交易流水达18亿元人民币;非法获利巨大,作案9个月,非法获利2亿余元;抓获涉案嫌疑人全国最多,共抓获200余名嫌疑人,其中128名涉案人员已被采取刑事强制措施;作案手法新颖、隐蔽,涉案资金通过第三方支付等方式流转,隐蔽性强;团伙组织架构极为严密,分为技术部、风控部、法务部、催收部等部门。
目前,除犯罪嫌疑人朱某卿出逃境外,其余犯罪嫌疑人全部归案。
新京报记者张彤
编辑李劼校对吴兴发
实测!APP“偷看”短信还上传 “老板给我涨工资了”明文可见
“没有人知道,此刻我有多害怕第二天的到来……”
2月20日凌晨一点多,小媛在微博写下了这样一段话。天亮后,等待她的将是一场由网贷平台发起的“狂风骤雨”。
果然,8点53分,一个被多人标记为“骚扰电话”的号码打进来催债;9点31分,另一个显示是老家江西赣州的座机号也来问候;9点54分后,小媛的手机开始响个不停,威胁、谩骂、诋毁接踵而来。
更让小媛焦虑的是,这样的手机轰炸不止是针对她本人,她通讯录里的亲友也陆续收到了催债电话与短信,她觉得自己在他人眼中的形象已经破产,尊严全无。
其实,从小媛下载网贷A,并允许它读取自己的通讯录开始,这样的结局似乎就已经注定。只是在使用包括网贷在内的A前,人们鲜少考虑交出这项手机权限可能带来的影响,等到催收的骚扰范围扩展到整个通讯录,波及到无辜的第三方,才追悔莫及。
借贷类A在获取权限后会做什么是显而易见的,对通讯录内家人朋友进行轰炸型的催债能够切实地感知到。除了这些,我们授权出去的权限还会被A怎么用?那些非借贷类的A又会怎么处理我们的个人信息?
近日,南都记者尝试使用技术实测了143款A,尝试研究在我们把收集权限交给A之后,会发生什么?结果我们在A行为测试的结果中明文看到了A调取了用户的短信内容并上送;此外,还有A向多个第三方服务器发送用户信息,可谓触目惊心。
逾期通讯录被爆,名誉毁于一旦
27岁的小媛从未想过生活会这样失控。回想最初,债务从一两万元滚到近三十万元,只是短短28天。
三年前,她和丈夫离婚,带着9个月大的女儿回到娘家。孩子一天天长大,生活的细碎开销让这个每月工资仅有3600元的单亲妈妈不堪负重。
最难的时候,小媛想到了信用卡,却担心入不敷出影响个人征信记录。于是,她用了一种最笨的方法,通过借网贷来偿还信用卡债。二十多天里,她下了90多个借贷A,一些钱是到手了,可是网贷的口子一旦打开,随即而来的是意想不到的“无底洞”。
“网贷借款基本以7天为周期,借款金额4250元,实际到账只有2921元。”小媛告诉南都记者,还款期一到,当天催收电话就来了。随后开始爆通讯录,家人朋友相继接到电话威胁恐吓,这意味逾期者通讯录里的所有人,包括家人朋友甚至是并不熟悉的联系人都可能成为被催收的对象。
打爆小媛手机的催收电话。受访者供图。更让她感到惊恐的是,一些带有侮辱性的短信和不雅P图也被群发到各处。当个人通讯等隐私信息曝光在网贷平台和催收公司面前,小媛此刻不如意的生活人尽皆知,名誉毁于一旦,隐私和尊严更是无从谈起。
催收者发送的侮辱短信。受访者供图。和小媛一样,最近三个月,来自河北石家庄的王先生也正在经历这样的生活。苹果手机里安装的250个借贷A时刻提醒他,身上背负的55万元欠款。最多的时候,他一天接到了400个催收电话。
每个深陷网贷泥潭者的故事背后,大抵都有相似的遭遇:以贷养贷,让人喘不过气的2000%年利率。一旦逾期被爆通讯录,频繁遭到催收骚扰,日子不得安宁但却无计可施。
权限授权页面“一闪而过”
聚投诉平台发布的一份年度报告显示,2018年,在聚投诉平台上的第一大被投诉行业是互联网消费金融,有效投诉量共计20.9万件,占投诉总量的66.4%。消费者投诉的两大突出问题,仍然是恶性催收与利率超标。
那么,依托爆通讯录,曝光借款者个人隐私的催收怪圈是如何形成的呢?其实,早在下载现金贷A点击同意授权“读取通讯录权限”、“同意交出通话记录”开始,小媛、王先生及通讯录里所有人的信息已成透明。而这样的同意授权,往往始于借款人的无意识与疏忽。
“当打开A时,一个允许读取联系人,允许读取定位等信息的页面一闪而过,随后才进入贷款申请环节。”小媛说。
王先生使用过的250个网贷A中,有些并非从应用商店下载来的,而是通过扫描指定的二维码,绕过苹果手机的A审核机制安装到他手机上的。在扫码下载借贷A后,用户需在手机里选择“可信任”设置才能打开。
他告诉南都记者,进入借贷A之后,还需经过信用评估才能结款。信用评估即填写自己的个人信息,大都包括个人信息如姓名、身份证、学历、婚姻状况、紧急联系人、手机运营商网上营业厅的账号信息、银行卡、芝麻分授权等。
数据一旦交出,意味着王先生的个人隐私尽被网贷平台掌握,而且有可能分享给催债公司或是其它第三方。
一揽子协议,A过度收集信息严重
需要关注的是,即便用户足够重视信息安全,或许也难逃A收集个人信息的套路。
近日,南都个人信息保护研究中心实测143个A,从有无隐私政策、内文是否存在霸王条款、收集个人信息前是否公示收集使用规则、有无强制同意非必要权限、收集个人敏感信息时是否再次获取明示同意、有无注销功能等方面,实际考察A获取个人信息的情况。
测评发现,A使用“一揽子协议”的方式过度收集个人信息的现象仍然普遍存在。
一款名为“贝壳钱包”的A在用户协议中提及,“您授权贝壳钱包在业务运营中获悉您的手机通话详单、手机服务密码、第三方网络平台的账户和密码信息。”也就是说,用户同意这份个人信息收集的协议后,即代表允许平台获取你的通话记录,你常用联系人,通话时长等信息可能都被知晓。
贝壳钱包服务协议。另一款名为“盈盈有钱”的借贷A在《隐私权保护声明》中提到,会收集来自第三方的信息,其中包括认证芝麻分和运营商。上述声明提及,“一旦开始使用该APP的服务并提交本隐私保护声明所示信息材料,我们即有权根据您提供的运营商信息,获取您最近6个月的信息记录,包括但不限于通话、短信、流量记录、运营商报告等。
盈盈有钱隐私权保护声明。单从隐私政策或用户协议看,这些A需要获取的用户信息范围广泛,但与哪些核心功能相关,适用于何种场景,并未作过多说明,更有A甚至要求用户确认位置信息并非个人隐私。
一个名为“在外”的旅游交通类A在明确条款中写道:“用户确认其地理位置信息为非个人隐私信息,用户成功注册‘在外’账号视为确认授权公司提取、公开及适用地理位置信息。”
在外用户协议。而根据两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,行踪轨迹信息、通讯内容、征信信息、财产信息均属于个人敏感信息,非法获取、出售或者提供50条以上即算“情节严重”。
不给说“不”的权利,A强制索权遭诟病
在测评中,南都记者还发现,部分移动金融A通过捆绑甚至强制获取的方式,要求用户一次性同意多项敏感权限。
以“融360”和“钱站”为例,当使用华为手机(安卓版本8.0)在华为应用商店下载安装这两款A时,页面弹窗需要获取用户的以下权限:存储、电话、位置信息、相机、麦克风、通讯录、信息、通话记录、其他等九大类敏感权限,并要求用户一揽子选择“允许”或“取消”。
通过华为应用商店安装融360和钱站时出现的提示。另一款名为“金信宝”的A捆绑索取的权限也较多,当初次打开应用时,要求获得“存储”权限并提示有版本更新,更新安装后申请获取用户GPS信息、读取通讯录、拍摄照片和视频等12项权限。
金信宝要求安装新版本。一旦点击“取消”,用户即无法正常安装这款A。南都记者在测评中发现,类似的问题至少出现在16款A内,其中近一半为移动金融类A。
另有部分A存在不同意授权个别权限,无法正常使用的情况。比如“LOHAS乐活”,如果用户不同意授权摄像头、录音权限便会出现频繁弹出,无法使用的情况,“新浪有借”在用户初次打开A时要求获得存储、电话权限,拒绝后也出现无法打开的问题。
“不同意就退出”,不授予权限连打开A的可能都没有,这实际上是一种变相的强迫同意。
上海市信息安全行业息会副主任张威告诉南都记者,Ai5.0应用系统基本采用一揽子授权的方式,但随着Ai版本的升高,开始对权限的管理进行区分,获取用户敏感权限需经过同意,但现阶段仍有部分A存在这种打擦边球的行为,模糊授权的界限。
根据《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循必要的原则,不得收集与其提供的服务无关的个人信息。南都记者关注到,今年2月,《个人信息安全规范》修订草案中特别新增了“不得强迫收集个人信息的要求”。
A行为测试:用户短信“老板该给我涨工资了”明文可见
在现实情况中,一款A在应用商店或首次开启后显示申请的权限并不意味着实际只调取这些权限。对用户而言,也很难知晓相关代码是否被执行,或者有无足够必要性。
为此,除了考察被测A隐私政策透明度,用户端实际操作行为合规外,在此次测评中,南都个人信息保护研究中心分别通过两个途径,利用技术手段对部分A的iOS客户端和Ai客户端个人信息收集情况进行分析。这两种渠道分别是利用“直节隐私合规助手”进行测评分析,以及联合第三方机构中国金融认证中心(CFCA)技术检测手段进行分析。
根据CFCA的测试结果,Ai版本号为3.4.6的“融360”存在如下问题:如果用第三方账号登录,A会将用户第三方平台上的社保与公积金查询账号密码发送至己方的业务服务器,由后台代为查询,并且使用的是明文传输。
CFCA认为,如果明文传输,黑客很容易就能通过网络嗅探和劫持的方法获得这些信息,存在安全风险。
测试结果显示融360在后台明文传输社保账号。另一款名为“榕树贷款”的Ai3.3.3版本A,除了存在上述行为,还被检测捕捉到应用调用系统接口获取通话记录、联系人信息、短信记录等行为,并在数据流量中发现上送信息。在对“榕树贷款”的短信记录权限进行检测时,类似“老板该给我涨工资了”的短信内容明文可见。
测试结果显示榕树贷款获取了用户短信。值得一提的是,检测显示,铁友火车票在运行过程中会不断获取系统的剪切板内容。
测试结果显示铁友火车票不断获取手机剪切板内容。此外,这款A还存在向第三方服务器明文传输用户个人信息的行为。比如传输能够标记到个人的用户与设备之间的绑定信息,在运行中不断获取的地理位置信息不仅上传到自身服务器,还向数个第三方服务器发送,过程中包含其他隐私信息。
铁友火车票存在向第三方服务器明文传输用户的个人信息行为。直节隐私合规助手的测试结果显示,铁友火车票A向系统申请了17个敏感权限,但安装包里存在敏感权限相关的API调用(有使用可能)则有19个,其中,读取短信、接收短信等敏感权限是A中未申请但调用API的相关权限。这意味着,这款A自身或者集成的第三方工具包代码中存在冗余代码。冗余代码具备在A版本更新时,在用户不知情的情况下调用敏感权限的可能。
铁友火车票获取多项敏感权限。此外,直节隐私合规助手测评结果显示,一些A会使用大量的SDK(软件开发工具包,可以理解为一种植入A的第三方工具包),这些SDK也会获取使用权限,例如铁友火车票A嵌入了56款SDK,融360也嵌入了49款SDK。不少SDK需要获取用户的网络连接、精确地理位置、手机状态与身份等用户信息。
铁友火车票A嵌入56款SDK。融360嵌入49款SDK。专家指出,获取权限首先应该符合必要性原则,即与一定的场景与功能相关,没有该项权限这一功能无法实现;其次应该获取用户的知情同意。但第三方SDK获取的权限往往不会在一款A的隐私政策中提及,更不用说告知用户具体使用的场景和功能,因此很难说已经获取了用户的同意。
如何破解一揽子授权?专家意见不一
不难理解,在经济利益的驱使下,网络运营者有着天然的冲动最大限度地收集个人信息。
“对厂商来讲,能拿到的用户信息越多越好,这有利于分析用户的使用习惯。而知道了用户习惯就能更好地推送产品。”中国网络空间安全人才教育联盟秘书长,广州大学鲁辉副研究员告诉南都记者,“但是绝对不能以牺牲用户的隐私为前提。”
“从根本上说,这些为了占有更多数据的不合理的权限申请是对消费者基本权益的严重侵害,也是垄断和不正当竞争无限孵化的温床。”南京信息工程大学法政学院教授蒋洁直言。
如何打破一揽子授权,解决A过度收集个人信息的问题?有观点认为,应对A调用的权限进行动态的单独授权,以达到用户信息最小化授权的效果。
南都记者注意到,这也是此次《个人信息安全规范》修订草案提出的新方案,即当产品或服务提供多项需收集个人信息的业务功能时,平台不得违背用户的自主意愿,强迫用户接受信息收集请求,不得通过捆绑各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求。
如何理解?鲁辉对南都记者解释,以某些需要身份识别的A为例,用户在A上办理业务时,需要用户的人脸信息或者语音信息,这时就需要获得手机的拍照和录音权限。这个听起来是合理的,使用的时候可能也是必须的。“但是问题在于,用户是否有必要一直给予这种权限,还是说只需要在用到拍照或录音功能的那几分钟临时授权就行。”
在鲁辉看来,从保护用户隐私角度,应该是临时授权,并且这在技术上实现起来并不难,但是很多A并未做到。
鲁辉还表示,用户在安装A时需要有保护隐私的意识,不要随意输入自己的姓名、证件号、住址等信息,而诸如定位、通讯录、通话记录、摄像头和录音等敏感权限,在授予平台时,需要格外谨慎。“当用户的安全意识提高了,A开发者自然不敢随便索权了。”鲁辉说。
“如果一概要求重新授权,可能会降低用户体验。但一揽子的授权方式又会给个人信息安全带来较大风险。”蒋洁对南都记者表示,目前获得较多赞同的说法是区分功能性质,对于A的基本功能或主体功能及其更新,可以进行一揽子授权,而对于拓展功能或辅助功能,则需要再次授权。
值得一提的是,A的信息安全已经引起官方重视。今年1月底,中央网信办联合工信部、公安部、市场监管总局等四部门表态,今年将在全国范围内发起专项治理活动。严重违法违规收集个人信息的A运营者,将被依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
在蒋洁看来,除了大幅提升违法违规企业的惩罚力度,还需制定A过度索权的评估标准和有力的监管体系,并健全救济机制。
鲁辉则表示,用户在安装A时需要有保护隐私的意识,不要随意输入自己的姓名、证件号信息,诸如定位、通讯录、通话记录、摄像头和录音等敏感权限在授予平台时,需格外谨慎。
“当用户的安全意识提高了,A开发者自然不敢随便索权了。”鲁辉说。
(文中小媛为化名)
统筹:南都记者娜迪娅
采写:南都记者李玲蒋琳冯群星尤一炜钱柳君
技术支持:中国金融认证中心(CFCA)
直节隐私合规助手