起底身份倒卖产业：那些被公开叫卖的人生

文｜半佛仙人（ID：banfoSB）

今天这篇文章，与我们每一个人的生活都密切相关。

这两天有3个新闻同时出现，让我突然有了写这篇文章的冲动。

一个是潜逃近三年的北大高材生弑母案嫌疑人吴谢宇在重庆被捕，被抓时身份身上携带三十多张身份证，靠着不停变换身份，躲避着追捕。

一个是网传京东被人拖库，5000万条含用户身份资料的账户信息被泄露，京东官方第一时间出面辟谣，表示相关信息非京东账户信息。

第三个比较少人知道，但最重要，NCC Group公布了高通芯片的旁路漏洞，收到波及的高通芯片有近40款，这个漏洞可用来窃取用户信息，高通于本月初修复了这个漏洞。

除了苹果和华为，绝大多数安卓手机的核心芯片，是高通，这次漏洞，与每一个安卓用户有关，此次漏洞最高可能波及全球数十亿手机，你的手机可能就是其中之一。

作为专业风控，我看到这三个新闻的第一反应不是情绪，而是关于身份信息泄露与交易市场的一些事情，应该被更多人知道。

1

现代社会中，核实人身份的方法有很多，例如实名银行卡，实名手机号，驾驶证等等等等，但是这些所谓的实名信息，本质上还需要一个源数据来提供真实性兜底。

这个数据源，就是身份证。

银行卡，手机号等一切所谓实名信息，都是基于身份证的，只是身份证信息的一种承载方式而已。

如果没有身份证信息，你没法证明你是你。

但假如有了你的身份证信息，则某种程度上，可以证明我是你。

一个虚假的身份，对于我们大多数普通人而言，虽然听起来很酷，但是其实没有什么用处，因为我们的生活不需要这些。

而对于另一些做特殊产业的人而言，虚假身份则是最重要的生产资料，没有之一，绝大多数黑产的根基，就是身份伪装。

有了身份伪装，漏洞攻击，骗贷，薅羊毛，洗钱，伪造注册信息甚至骗补贴等一切违法手段，都有了一层安全的保护。

而虚假身份的交易，更是当前黑市最火热的交易品。

你有没有想过，世界上可能会有另一个人，披着你的身份生活？

2

黑产内，对于全套身份伪装信息，有个专有名词，叫做四件套。

所谓四件套，是指身份证原件+身份证对应手机卡+身份证对应银行卡+网银U盾，一般来说银行卡都是已经开通网银的的，某些手机卡甚至还会预存话费。

例如这样（图片来自网络）。

比较成熟的四件套贩子，甚至可以为买家定制具体的籍贯，性别，年龄，手机卡运营商，开户银行等。

只要买家愿意加钱并且耐心等待，这些都不难做到。

当前市场中最受欢迎的开户银行是四大行中的某家，因为这家银行的U盾普遍不需要插电脑，只需要输入盾的验证码即可，毕竟少一次物理交互，就少一次麻烦和破绽。

四件套算是身份信息中的贵族，一份完整的标准版四件套，黑市价格在400到700元，按照供需关系决定，定制版会更贵一些。

之所以需要定制，是因为很多大的机构对于某些地域某些群体，是有特殊限制规则的，例如某些公司坚决不跟某些地域的身份证产生任何业务往来。

所以即使是身份证四件套，也是不平等的。

像极了生活。

3

四件套，属于身份信息中的中高端产品，交易起来也相对复杂。

刨除四件套之外，最常见且频繁的身份信息，更多的是大量的身份证正反面照片，手机号，工作收入情况，以及本人手持身份证照片。

这些资料往往都是成批出售的，在暗网，在一些小众聊天APP，走虚拟货币交易。

例如这样（图片来自网络）。

这种叫卖数据的行为，在暗网中非常常见。

这些数据的涵盖面比较广，有的只是部分精准手机号，例如4S店车主手机号，小区业主手机号，股民手机号等等，这些主要用于打营销电话。

稍微复杂一点的，大量的身份证正反面照片，手机号，工作收入情况，以及本人手持身份证照片，用于伪装身份骗贷款。

这些名目繁多的各类资料，是黑市交易的主流，也是重点打击的对象。

倒卖用户信息，是非常严重的违法行为，不止是坐牢那么简单。

4

这些身份信息的交易信息是如何传达的？

如果你用身份证，网银之类的关键词去搜索，那么必然是查不到任何有效信息的，搜索引擎也知道要屏蔽敏感词。

但是这些群体非常聪明，他们知道各大网站都在打击，所以他们采取了很多隐蔽的方式。

例如不会用敏感词作为索引，而是使用某些代码，银行卡=YHK这样。

例如潜伏在各大论坛，贴吧，群，二手交易网站里，只要圈内人使用圈内代码，就可以找到他们。

甚至他们的广告都打到了视频网站的评论栏和弹幕里，各种+我看片之类的广告背后，都有这种见不得光的生意。

除了利用国内的一些设施，他们的主要交流根据地在国外。

在很多小众化的，国外的聊天APP中，他们有特定的群组，专门交流此类信息，并且IP多在国外。

非常难以打击。

实名制对他们意义不大，因为他们本身都是实名的，只不过实的不是自己的名。

最高明的隐藏，是不隐藏。

5

当找到接口人，谈好价格后，这些信息是如何交易的？

如果是各种虚拟资料的话，付款走虚拟货币，资料传输走境外网盘，相对比较方便。

如果是四件套的话，相对会麻烦一些，因为涉及实物快递。

一般这样的货物交易，都是走快递到付，如果和快递员关系好，或者和买家交易比较久，甚至支持先验货再付款。

付款基本都是到付或者特定二维码收款，一般都不会通过微信，支付宝或者其他第三方支付通道（例如银联），因为会被检测到异常。

交易只走到付，快递员有自己的方式收款，整条产业链中，物流网点是很重要的一环。

甚至很多专业黑产会自己盘下某些网点，方便自己来交易。

各种加盟不规范的小物流小快递，是他们最爱的工具。

说不定你下楼拿快递的时候，隔壁的箱子里，就藏着你的一生。

6

这些身份资料被购买后，用途是什么？

• 用途A ----隐匿

常见于新闻报道中的犯罪分子，这类群体对于身份信息是刚需，因为他们需要摆脱警方的追捕，同时需要让自己可以过上一些正常人的生活，例如弑母案中的吴谢宇，他被捕时的三十多个身份证，就是用来伪装自己身份的。

很多人会问，现在不是有各种人脸识别和酒店登记了吗？为什么还是能用假身份？

朋友，在很多小地方，这些技术根本不普及。而且就算是在大城市，用假身份租个房子，和房东个人签协议，要多简单有多简单。

实际上吴谢宇要不是出现在机场，有人脸识别与公安打通，他还不知道能潜逃多久。

你身边的人，到底是不是这个人呢？

• 用途B ----测试

某些支付公司和互联网公司的测试使用。

可能很多人没有意识到这个用途，很多与交易有关的互联网公司，在测试自己产品的付款与提现功能时（尤其是电商与互金），不同银行的银行卡兼容性非常重要。

全国这么多银行，需要这么多银行卡，身份信息（绑定时用），尤其是测试的时候需要反复测试不同组合的兼容性，还需要对这些资料的绝对掌控。

你说，某些公司的测试资料，是从哪里来的呢？

• 用途C ----骗贷+羊毛

拥有四件套，某种程度上就代表了你可以在互联网环境中伪造成这个人，并用他们的信息来做一些事情。

例如很多P2P公司都有注册送钱的活动，这些信息可以拿去用。

例如很多互联网公司都有实名注册送奖励的活动，这些信息可以拿去用。

例如很多高利贷公司闭着眼给白户放714高炮，这些信息就可以拿去骗贷，在7天内（7天后各大黑名单就开始记录了）尽可能多的申请贷款，然后下款后把钱转走，最后手机卡一掰，随便潇洒，反正一切记录都是身份信息的那个人，和自己无关。

一套完整资料500块，运气好可以在7天内薅出数万元的贷款，甚至很多贷款流量超市自己就买这种证件来骗自己客户的钱。

这种黑吃黑的套路，多不胜数。

有人说贷款都有人脸识别，用假身份过不了人脸，我只能说天真。

给你大家现场展示。

这是静态图

这是制作过的动态图。

如果这个技术不是用在肖像上，而是用在身份证和手持身份证的照片上呢？

你还觉得人脸无懈可击么？你还能证明你不是你么？

你所见到的，未必就是真相。

• 用途D ----洗钱

这是虚假身份市场最初诞生的原因，就是洗钱。

洗钱这件事，说穿就是把一笔笔来路不明的钱，通过各种转账以及搭配业务场景的模式，变为干净的钱或者说是变为可以控制的钱。

近些年我国对于洗钱的打击越来越重，银行对于洗钱规则的审核越来越严苛，所以很多黑产不得不升级手段。

而虚假身份的用途就在这里，通过一个个虚假的身份，把大额的资金分散为小额的个人转账，然后利用地下钱庄把钱搞到境外。

这些钱往往是非法所得。

近些年最大的金主，是东南亚网络博彩，由于网络博彩的充值金额很高，且充值方式复杂（各种二维码），所以他们是近些年身份信息倒卖最大的需求方。

最赚钱的生意，都在刑法里。

• 用途E ----借壳

这是一个比较罕见，但真实存在的用途。

往往是很多不法行为，需要有公司的壳来完成，而这些身份信息，就会被拿来注册成一个个壳公司的法人，最后出了问题，反正也只是身份证上的人倒霉。

更高级一点的借壳，是利用伪装身份，来持有股份。

很多公司的股权架构非常复杂和混乱，里面往往有很多分子公司交叉持股，这堆分子公司里面的很多法人与股东，是搞来的身份证注册的。

之前甚至出现过部分上市公司的前十位个人股东中出现了假身份的，对方实际上只是个普通农民的案例。

农民在一无所知的前提下掌控了上市公司，荒谬又真实。

7

由于贩卖身份信息，在我国是非常非常严重的违法行为，发现就抓，绝不姑息。

就代表，这一行见不得光。

而做这一行的，多数都是只认钱。

当一个行业见不得光且只认钱。

那么必然混乱与黑吃黑丛生，大家各凭本事，在黑暗丛林里厮杀。

所有礼仪道德廉耻都是虚的，只有到手的钱，才值得信任。

最低级的黑吃黑是骗钱与假数据。

在暗网中，这一整套交易环节，都是有邀请制的，你随随便便就去跟卖家聊，多数时候是不理你的，因为担心泄露被抓。

而那些公开叫卖的数据，里面十个人里起码九个是有有问题的，要么数据有问题，要么卖的人有问题。

或许买回来的几千万条数据里，有一般是系统随机生成的数据；

或许买回来的数据，最后其实是一部《葫芦娃》。

又或许对方要你付定金，但最后连《葫芦娃》都不给你。

高级的黑吃黑是钓鱼。

很多人买回来一堆身份信息四件套，想搞骗贷或者洗钱。

但很有可能，买回来的是卖家的鱼饵。

当买家自己拼命用这些信息骗到了贷款，又或者把搞黄赌毒弄来的钱分散进去企图开始洗刷刷的时候，会发现这些钱都不翼而飞了。

卖家收网了。

本来这些信息就是卖家卖出的，想对这些账户做出操作连挂失都不用。

花了钱还给人打白工，还没法说理去。

很多突然倒下的公司与P2P，其实背后遇到了这样的钓鱼，老板本来想通过洗钱来潜逃，最后被人钓了鱼，所有钱都没有了，而且还没法解释。

只能老实自首。

近期P2P又开始暴雷了，其中有多少是蠢鱼呢？

讽刺的是，如果这些P2P公司不被钓鱼，他们还会骗更多人。

所以钓鱼是杀，还是救？

这堪称当代善恶体系的一个重大难题。

最高级的黑吃黑，是虚拟货币割韭菜。

不管直接骗钱也好，钓鱼也好，总归是要与买家有直接接触的，还是存在风险。

最高级的黑吃黑，某种程度上已经脱离了单纯黑吃黑的范畴。

他们发币。

只要成为黑产交易的等价物，那么某种程度上，就等于是掌握了自己印钱的能力。

并且由于虚拟货币的匿名属性与不可追踪属性，又是极度安全的，甚至都不需要参与交易。

等他们玩腻了，要收手了，只需要在某些交易所大量抛售，并且用另外的身份做空，就能再赚尽最后一笔钱，然后深藏功与名。

很多突然崩溃的虚拟货币，往往与某位大佬的洗白行动有关。

很多韭菜，到死都不知道自己是怎么死的。

8

我们上面说了这么多的身份信息的意义，到买房是，价值，那么关键的问题来了，这些数据，总该有些源头吧？这些数据是从哪里来的？

A，是来源于各大安全防范不严密的公司。

以前做渗透安全测试的时候，我往往发出感叹，国内很多所谓牛逼的公司，业务规模无比牛叉，但信息安全做的惨不忍睹。

他们很多的数据库没有做到内外网分离，甚至很多密码都是默认的admin和guest，还有123456，若是碰上别有用心且不惧法律的黑客，可以轻松把数据搞出来然后丢到黑市上打包卖掉。

各种某某公司被脱裤，用户信息泄露贩卖的新闻，在网上已经算不得新闻了。

B，是那些已经完蛋的P2P公司。

暴雷了这么多公司，这些公司里有这么用户的敏感数据，公司完蛋后，数据呢？

很多被P2P坑了的人，还没有意识到，自己的信息，同样也被暴露了。

一地鸡毛。

C，公司内鬼。

现在融资环境不好，很多早期烧钱过头的公司，已经快要挺不下去了。

当一个公司面临快要终结的命运时，为了筹钱，没有什么事情是老板做不出来的，包括贩卖用户数据，反正都是一死，早死不如晚死。

另外很多公司里能接触到用户数据的技术人员太多了，而很多公司的数据仓库对于跳板机和账户监控又太松散了，很多关键数据都是可以被一键无痕复制出来的。

这个诱惑非常大，我每年都会送进去一些手脚不干净的人。

D，钱包丢失

大量丢失钱包中的身份证，被拿去做成了四件套。

E，社会工程学

人才市场里面的招聘摊位，大学校园里的兼职招募，这些日常的场景中，潜藏着很多黑产，他们用各种手段创造一个合理的用途，来让你心甘情愿配合，把身份证复印件以及手持身份证照片交出去，并且毫无感知。

另外据听说，很多大学里的学生干部，在帮老师忙的同时，是有权限接触到学生详细信息的，很多时候只需要一个U盘，就够了。

快递公司，房产中介，4S点，营业厅，某个库管，无数岗位在面对用户资料时，一个U盘，就够了。

某些免费的WIFI，某些公共场所被劫持的网络，只要你连上，你就透明了。

我自己是从来不连任何公共场所的未加密WIFI的，某些以免费WIFI为主打的产品，本身的盈利模式就有用户信息。

攻破网络防御，或许很难；但诱惑人心，没那么难。

F.身份证所有者自己出售的

随着科技的进步，想单纯靠一张偷来骗来的身份证做出4件套越来越难。

但这个行业又十分暴利。

暴利，可以催生一切。

很多某些偏远地方的人，对于自己的身份资料并不看重，他们觉得自己一辈子不太会和外面的世界有什么交集，卖也就卖了，他们往往把自己的身份信息当做商品，卖给黑产贩子。

这就是为什么身份证籍贯和年龄在黑市上是支持定制的原因。

当然也有一些走投无路的人，大多数赌鬼或者高利贷债务崩盘的人，对他们而言，自己的身份资料能换回来几百块，非常划算。

钱都没了，要身份还有什么用呢？

9

说了这么多与身份信息倒卖有关的信息，最后再谈一下如果你知道了自己的信息可能会丢失，应该怎么做。

首先你要知道你的信息有没有被拿来使用。

A.定期去运营商营业厅查查自己名下究竟有几个手机号，有哪些号是自己不用但还没有注销的。

B.定期去银行查查自己名下有几张卡，自己已有的卡中有没有出现一些自己不知道来源的业务和授权。

C.经常去企业查询类网站（天眼查启信宝之类），查查自己有没有被某些公司作为法人。

这些操作都不复杂，也不困难，只要你有心。

如果查出来发现确实有点问题，怎么办？

不要慌，你要记住，你才是资料的主人。

应该怎么做？

很简单，挂失和注销。

身份证疑似泄露，就挂失身份证；

银行卡多了或者被人拿走了，就注销银行卡；

电话卡多了，就注销电话卡；

记住，你才是资料的主人。

做完这一切之后，你就暂时安全了，因为当你的身份被任何异常利用之后，你都有足够的证据来证明与自己无关。

这种有效证据，基本目前是安全的，所有私信我说资料被人拿走的人，我也都是这么建议的。

这套自我排查与自我保护的方法，建议大家扩散给更多身边的人。

10

在我国，贩卖身份信息，是严重的违法行为。

即使交易是在国外发生，贩卖中国人的身份信息，依然是触犯中国法律，且中国享有管辖权，各国政府对于这类行为也是普遍严打的。

每隔一段时间，就会有一批身份贩子被打掉，警方对于身份资料贩卖的打击是极端的严厉。

但这丝毫阻止不了黑产的猖獗，甚至每一次大规模整治之后，都会导致黑市价格的暴涨。

现在黑市上甚至出现了一部分囤积资料，靠价格波动来获利的中间商，他们就是在价格便宜时吃下大量资料，严打后高价抛售，盆满钵满。

堪称黑产证券化，有中间商赚差价。

于此同时，随着00后的登场，黑市上出现的身份信息，也开始越来越年轻。

现在黑市上已经出现了08年出生的身份信息，连成年都没有，这些身份信息都被拿出来叫卖，让人想不到应用场景是什么，就连注册刷羊毛，很多公司也都要求成年。

后来我想明白了，这不重要，因为只要有身份信息，就可以卖钱。

想想一个还在读小学或者还没上学的孩子，他的身份资料就有可能已经在黑市上被倒卖了无数手，可能是用于注册各类教育APP薅羊毛。

等到他年龄满18岁的时候，这些泄露的信息会被拿来做更多坏事。

极端情况下，他可能还未踏上社会，就已背负巨额债务，人生陷入深渊。

而在黑产眼中，这些都不重要，身份资料只是一堆数据，只是生产资料，能换钱就好。

而我们这些身份信息都不知道被倒卖过多少手的普通人，唯一能安慰自己的，只能是自己的隐私不值钱，自己只是普通人，强行让自己看不见这一切。

但就算是这不值大钱信息，也是我们的一生。

是我们努力，勤劳，辛苦又无可替代的一生。

众生皆苦。

【钛媒体作者介绍：半佛仙人（ID：banfoSB），微博：半佛仙人正在装，知乎：半佛仙人，这是一个神奇的男人，你完全猜不出他会写出什么，他自己也不知道。】

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App

作者暂无likerid, 赞赏暂由本网站代持，当作者有likerid后会全部转账给作者（我们会尽力而为）。


Support author:
Author's Filecoin address:
Or you can use Likecoin to support author: