你的QQ好友圈有“Uber代叫”那么个奇妙的存有吗？

只不过不而已QQ群，侨民高峰论坛、贴吧、QQ、博客，即使LX1的淘宝网，输出“Uber代叫”，就能看见一大堆结论。所以，她们纵使能接我国和爱尔兰的Uber，还可以接澳大利亚、韩国、英国......

除代叫Uber、Lyft，她们也会预支飞机票、订饭店、订airbnb，还招全权，教控制技术...

往左翻转能查阅更多截屏（截屏源自博客、淘宝网、QQ和腾讯贴吧）

圈哥查问了身旁有采用称找叫、介绍另一面业务流程的好友，还用了“代叫”的QQ，为我们Chhindwara介绍“代叫业务流程”和它的“白色产业发展”。

代叫的“方便快捷”

定居在爱尔兰伦敦东区的陈老师就采用称找叫。在他直言，代叫却是较为方便快捷的。如果说旁人起点终点的Deoria，他们的联系方式，就能打上车。

（聊天信息由受访者同意，个人信息和头像已马赛克处理）

不过他认为，相比用QQ叫Uber，直接用App更方便快捷一些。代叫需要10来分钟，采用软件一般2、3分钟就到了。

另一位在爱尔兰伦敦读本科的文老师和圈哥说，像接送机、长途的时候采用代叫只不过更划算一些。他12月份回国和返英时，就用的QQ代叫。去程150，回程接近200元。比直接坐车便宜一半。

Finance.co.uk

在爱尔兰读博的马老师因为出差，在爱尔兰和英国都采用称找叫。去年11月份在Newport用过，也在12月份曾在QQ上和好友一起叫了从法拉盛到新泽西的订单。

他认为相比直接用软件坐车，也没便宜多少，12月用的时候花了十几刀。除此之外，他发现代叫却是有不靠谱的，他的好友还遇到过给了钱没车的情况。

Daily Mail

代叫的黑幕

 被盗走的账号

只不过代叫不仅仅关系我国侨民群体，也关系到其他国家的用户，她们大多属于直接受害者——Uber账号被盗了。

有身在洛杉矶，Uber账号却显示他们在我国，用Uber从萧山跑到湖州的

还有莫名“跑到”澳大利亚溜了一圈的

一次两次就很让人气愤了，还有人被频繁扣钱。

（以上截屏均源自推特）

也有用户因为每次被扣掉的钱数较少，根本没注意到他们的账号被盗的情况。

 顶端的高级黑客这样盗取你的账号

这些代叫，正是利用了Uber软件在行程结束时自动扣款的特点，通过盗取的账号叫车。

但其实，被盗的不而已Uber账号，和Uber有关、和Uber密码相同的账号、即使银行卡信息都有可能被黑客盗取——这可不是电影小说里的剧情，这些黑客真的存有。

她们利用网友在网上泄露的手机号、身份信息、或者是加密不够严谨、被大型用户网站泄露出来的数据，进行遍历爆破和撞库攻击、一一破解Uber账号，推特账号、即使是信用卡信息等等。

什么是撞库？

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列能登录的用户。

因为很多用户在不同网站采用的是相同的帐号密码，黑客能通过获取用户在A网站的账户从而尝试登录B网址，这就能理解为撞库攻击。

Facebook的联合创始人兼CEO马克·扎克伯格就遭受过“撞库”

：被黑客团体OurMine先通过领英账号泄露信息get到他的密码是dadada（如此简单...），紧接着他的Twitter，Pinterest等多个社交账号也被盗了。

(图片源自：twitter)

不而已OurMine会那么做，黑客们还会分享技能，发帖直播教学。hack8.cc的黑客也曾放出黑推特账号的过程，放出所得知的一系列网站账号和密码。

hack8.cc

国内网友@土夫子也发现过Uber漏洞，在他的测试下，他获得了几个账号密码。

如上图所示，200为登录成功，404为存有用户，403为不存有用户（图片源自https://www.secpulse.com/）

获取账号信息后，还能查阅用户每天的行程记录。

（图片源自https://www.secpulse.com/）

当然，我们联系到的“代叫客服人员”可不是这些黑客（绝大部分不是）。上文提到的黑客一般只负责破解和盗取信息，被司法部门抓到的可能性很小。

而通过她们盗取的大量信息被制成数据库，或者拆成几百个几千个一包的，就放在网上公开售卖，有钱（或者比特币）就能买到。

领英泄露的1亿6千7百多用户信息被公开售卖。（源自the real deal ）

暗网AlphaBay上公开售卖的Uber账号

暗网AlphaBay上公开售卖的银行卡账号

即使有的黑客会直接将解密后的明文账号密码数据分享出来。

（截屏源自新浪博客）

跟这些黑客买数据的，也有大公司。他们想把被黑客们解密和泄露的信息买回来、或者让黑客们删掉，以这样的补救措施保护用户的账号安全.......

比如Uber，去年就付给盗取了5千7百万用户信息的黑客10万美金，让他把明文数据库删除。

源自彭博社

卡贩子、号贩子和套现的贩子

没有一分钱是“代叫客服人员”他们的。

当圈哥查问一位代叫客服人员时，他说圈哥学控制技术花2万，他们一天能接好多单，一周就回本......

聪明的小伙伴应该就能猜到，采用他人信用卡信息来“代叫Uber”的这些贩子就。这里面就涉及到卖卡、发展线下卖卡、做伪造信用卡、和用伪造信用卡套现等等业务流程。

（图片源自WooYun知识库）

一位不愿透露姓名的“曾经的代叫客服人员”说圈哥，他就属于其中的“套现人”。套现方式就是通过购买实物/虚拟产品，比如像Uber代叫，借你QQ打给他的钱来换钱......

而代叫的定位问题就更好解决了：用“站街”等虚拟定位软件坐车，用虚拟定位去完成整个行程。

pokemon go大火时，就有网友用虚拟定位软件辅助游戏

国内共享单车领红包火起来那会儿，也有新闻报道有人利用虚拟定位软件“假装骑车”刷红包的案例。

在爱尔兰、英国、韩国等这样信用卡被盗情况极其严重的国家，一旦信用卡主人向信用卡公司投诉被盗，已支付的费用会被扣回，损失由Uber公司或者司机承担。

代叫需要承担法律后果吗？

2个国家的68个机场，通过互联网盗取信用卡信息而导致的可疑飞机票交易多达265起。113人被拘留，70人被捕。

也有我国侨民和华人代购携带写着他们名字的假银行卡，打算购买奢侈品邮寄到我国大陆、港澳和英国，但因入境关岛时被发现被捕，同时被起诉。

www.postguam.com

就在上个月底，该事件中33岁的Daoqin Liu被判1年缓刑。

guampdn.com

而我国，也有对Ub

判决此案6天后，Uber我国和滴滴宣布两者合并。

《法国侨报》也曾报出，今年1月底，一位公司老总就因为代叫被司机告上法庭。

上文接受采访的马老师还跟圈哥说，他们的好友因为叫称找叫，该好友的英国F-1签证被拒。

（聊天信息由受访者同意，个人信息和头像已马赛克处理）

就连没有用过代叫的老师也开始被司机叫住检查ID，查好了才开车。

我该怎样保护他们的个人信息？

除停止采用代叫，圈哥还建议你通过以下措施保护个人信息：

所有账号最好密码不要完全一样，以防多个账号被盗。

拒绝给他们不必要的隐私信息。包含以下信息的文件最好妥善保管或用碎纸机销毁：

• 出生年月日

• 信用卡号码

• 金融银行账户的账号

• 医疗保险的号码

账户、地址等信息在正常情况下，不会因为浏览合法网页而泄露，我们要谨慎登陆非法的钓鱼或黑客网站。

bilgi.zone

合理设置社交网络的隐私管理，尤其是 Facebook 和 Linkedin。尽量少让他们的照片、地址、好友名单暴露在公众面前。

谨慎填写需要提供账号密码的网站网址，尤其是QQ、QQ、博客陌生网友扔过来的未知网站。

谨慎购买转让的二手票、转让的Airbnb房源等，以防个人信息泄露给居心不良者。

如接到陌生人电话通知“交通事故”、“孩子被绑架”、“亲人意外身亡”等信息时务必冷静，待通过其他渠道核实情况后再处理。在旁人谈及银行账户、转账等事宜一定要冷静处理。

Marshall E-Learning

代叫有风险，采用需谨慎！

小伙伴如果有类似经验或者更好的信息保护措施，欢迎告诉圈哥，分享给更多人。