老李住的小区有快递柜,平时取件很方便。那天他下班回家顺路去取快递,站在快递柜前面,在屏幕上输入取件码,柜门弹开了。取件流程很普通,老李也没在意。但有一个细节他完全没注意到——快递柜的屏幕上清清楚楚地显示着他的完整手机号码。他在快递柜前操作的时间虽然不长,但后面排队等着取件的人已经把他屏幕上的号码扫了一眼,而且记了下来。排在后面的那个人姓赵,没有正经工作,手头紧的时候就动歪脑筋。他看到老李的手机号之后,回去就开始策划一个电话诈骗的话术。第一步,赵某通过老李的手机号在社交App上搜索,找到了老李的微信号——因为老李的手机号绑定了微信,搜一下就出来了。老李的微信头像是一家三口的合照,微信名字就是自己的名字。赵某还翻到了老李的朋友圈,知道他最近在关注汽车方面的信息,可能准备换车。第二步,赵某伪造了一个身份给自己,假装是汽车4S店的销售,给老李打了个电话。电话一接通赵某就叫出了老李的名字,还知道他的家庭大概情况,老李一点戒心都没起。赵某在电话里说店里最近有厂家直销活动,优惠力度非常大,让老李先转一笔定金锁定名额。老李已经有换车的打算,一听这么优惠的活动,就信了。第三步,赵某发了一个收款二维码让老李扫,老李转了两万定金过去。转完钱之后赵某说第二天联系他取车,结果第二天电话打不通了。老李这才意识到被骗了。他报警的时候,警察问他对方怎么知道他的手机号。老李想了半天才想起来——几天前在快递柜取件的时候,屏幕上的号码被后面的人看到了。
这个泄密链条的起点非常普通——就是快递柜操作界面上的手机号码显示。第一步是视觉泄露。现在的快递柜为了方便用户取件,通常在输入取件码或者扫码之后,屏幕上会显示完整的手机号码作为验证步骤。这个设计逻辑是:用户输入取件码后,系统显示手机尾号,让用户确认是不是自己的快递。但问题是,很多快递柜的屏幕直接显示完整的11位手机号码,没有任何遮挡或者部分隐藏。而且屏幕的位置和人眼的高度差不大,站在后面的人稍微往前看一眼,就能清楚地看到屏幕上的数字。快递柜又通常安装在小区门口或者快递驿站这种公共区域,排队取件是常有的事,站后面的人距离前面操作的人通常只有不到一米远。第二步是手机号关联信息的挖掘。拿到一个手机号码之后,要查到这个人的身份信息并不难。用手机号去微信搜一搜,就能找到对应的微信号。很多人的微信设置了"可通过手机号搜索到我",而且在朋友圈里分享了大量个人信息——工作、家庭、兴趣爱好。用手机号去支付宝也能查到部分身份信息。有些人甚至用手机号注册了各种App,只要搜索一下就能看到关联的社交账号。第三步是社会工程诈骗的落地。赵某拿到了老李的手机号和基础信息之后,用这些信息包装了一个精准度很高的诈骗话术。他知道老李的名字,知道他的家庭情况,知道他最近想买车,所以打电话的时候完全不像一个陌生人。一般人对陌生来电会警惕,但对方能说出自己的名字和家庭情况,警惕性就会大大降低。这种精准信息加持的诈骗比盲拨的诈骗成功率高出非常多。
快递柜在便利性和隐私保护之间的平衡其实做得并不好。很多人每天都要用快递柜,从来没想过站在柜子前面的那几十秒会暴露什么。几点可以注意的。第一,取快递的时候注意观察周围环境。如果后面有人站得特别近,可以稍微侧一下身体挡住屏幕。不用觉得不好意思,保护自己的隐私没有什么值得尴尬的。第二,快递公司在技术上应该改进这个环节。其实已经有快递柜厂商推出了隐私保护模式——屏幕上只显示手机号后四位,前七位用星号代替。如果你所在的小区快递柜还显示完整号码,可以向物业或者快递公司反映要求升级。第三,不要用手机号直接作为各个平台的用户名或者搜索关键词。微信的"通过手机号搜索到我"功能建议关掉,在微信的设置里可以找到这个开关。第四,取完快递之后留意一下有没有异常来电。如果有人在取件后不久就打电话来报出你的个人信息,基本可以判断信息是从取件环节泄露的。及时做记录和报警。快递柜本身没有错,但它屏幕上的那串数字,可能是骗子找到你的入口。
