盗号啊,多少谣言假汝之名以行

来源:网页教学基地 时间:2017-11-20 11:34:38  浏览次数:0

\

刚结束元旦休假、等待着年会、年终奖和春节长假扑面而来之际,一则关于盗号的谣言瞬间铺满了笔者的微信朋友圈,甚至有位姑娘用「刚从世界末日现场被救回来」的口吻炫耀自己在第一时间是如何如何的,着实令笔者哭笑不得。思量再三,笔者借此机会向大伙儿唠嗑唠嗑,专业人士请绕道,那位姑娘请自行忽略本文……

本文转载自我的简书:http://www.jianshu.com/p/773226f139b3

缘起

笔者晚上闲着无事打开微信刷刷朋友圈,刚打开就被铺屏消息给惊呆了,说是打开了个微信公众号,于是支付宝的钱就被转出去了……还截了个不知是谁谁谁转发的图,不明真相的笔者甚至还看到了某张打码截图上有人信誓旦旦说已经报警……

笔者作为 IT 熟练工出身,一看这段话就知「这不科学」。先不谈马化腾先生和马云先生这对冤家是如何互掐的,就凭那几张不专业的截图和更不专业打码截图便知。快速向下搓屏幕,本想就这么关闭朋友圈的,不过看到一位小姑娘说自己已经把钱给转出来时,我停下手,产生了为这个荒诞的谣言和那些更荒诞的信众写篇科普文的念想。这边是本文的缘起。

微信公开课是谁?

故事已经开始了好几大段落,主角君一致在一旁未登场,到底说不过去。此次谣言的主角君名叫「微信公开课」,中国籍,性别为微信服务号,爹妈都叫腾讯计算机系统有限公司,叔父张小龙先生,教父马化腾先生,最后一次体检时间为 2015 年 12月 14 日,洋名 wx-gongkaike……

作为腾讯国家队天字号的官方微信公众号「微信公开课」一直战斗在微信 O2O 战略推广的第一线,从全国巡回展开「微信公开课」路演到后来需要抢购门票才能参加的「微信公开课PRO」,从《微信思维》到《微信力量》,该公众号和公众号的小编始终扮演着张小龙先生和马化腾先生的喉舌、双脚和十指。这不,小编们辛辛苦苦策划的「我和微信的故事」却成了谣言祸其之始,小编算是赢了呢还是赢了呢还是赢了呢?

滚蛋吧,盗号君!

关于网传谣言,无外乎几个主题,「盗号」是其常客。

笔者遇到过两次盗号,第一次发生在高一,彼时笔者沉迷网游,每天着了魔似的要上游戏,即便不玩也得开着游戏当 3D 聊天室用。如果没有盗号者,笔者这辈子算是交代在这里了。盗号者把我的账号给盗了,于是笔者便重新振作起来,直至今日再也没有沉迷过游戏。在此感谢那位善良的盗号者,祝你这辈子能有二十次新婚快乐。

第二次盗号发生在 2012 年,笔者的主 QQ 账号被盗。笔者始终怀疑这起盗号事件是腾讯内鬼所为,因为笔者前脚刚在 http://aq.qq.com 上把自己的密码密保改掉、账号冻结,内鬼后脚便又改了我的密码和密保,解除了冻结,甚至还和笔者的写作 QQ 号聊起了天,问笔者借点小钱钱花。然后么,笔者一朋友的小钱钱就这么被骗了,还打了个电话给我「老刘,我已经把钱打给你了……」,我的内心是「……」。

这辈子丢脸的盗号事件就这两次,不能再多了。盗号不仅会危及到自己的经济安全,还会影响到朋友的经济安全以及朋友之间的关系。笔者还记得那天笔者接到了几十个电话、发了上百条短信告知朋友万不可上当……

这事儿发生在 2012 年,那时候的手机还没现在这么先进,也不存在手机支付,所以通过电话短信告知朋友后,想必他们也不会再上当了。但今日不一样了,高度发达的科技将人的距离拉近的同时,也把你和盗号者的距离给拉近了。手机转账几乎一眨眼就能完成,还说不准真会有你铁哥们先斩后奏,先给你打了款,你说这事儿怎么整……

不过比起「手机被盗」来,盗号似乎又变得不值一提……当年最怕 QQ 被盗,现在最怕的就是手机被盗了。去年年底笔者认识的一位女性朋友就向妙手空空大人纳了贡,大好的 iPhone 5s 就这样「非正常人道」了(当然,菇凉还是很开心地换上了 iPhone 6s plus 脑残粉版),时候菇凉冻结这个注销那个,估计比当年高三准备高考时还要抓紧时间……

微信如何知道你是谁

在朋友圈中我们经常会遇到这样一些消息,比如点开后可以查看本年度能够代表自己一年运势的汉字,或是看看自己在八百年前最像哪位英雄前辈;或是饿了么之类的订餐 APP 通过微信在微信群组间地推优惠券,打开网页就能得到几块钱的优惠等。那么这个网页是怎么知道你是谁呢?

答案其实简单到你不敢相信,通过微信 OAuth 2.0 授权即可。微信提供了两种授权方式,下面来看这两种授权的区别:

1、以snsapi_base为scope发起的网页授权,是用来获取进入页面的用户的openid的,并且是静默授权并自动跳转到回调页的。用户感知的就是直接进入了回调页(往往是业务页面)
2、以snsapi_userinfo为scope发起的网页授权,是用来获取用户的基本信息的。但这种授权需要用户手动同意,并且由于用户同意过,所以无须关注,就可在授权后获取该用户的基本信息。
3、用户管理类接口中的“获取用户基本信息接口”,是在用户和公众号产生消息交互或关注后事件推送后,才能根据用户OpenID来获取用户基本信息。这个接口,包括其他微信接口,都是需要该用户(即openid)关注了公众号后,才能调用成功的。

商家获取用户信息,在于获取用户的 OpenId。OpenId 可以看做是一种你和公众号之间的「会员编号」,或者谓之「协商编号」,这是具有唯一性质的,通过 OpenId 能唯一对应到一个用户身上。用户在不同公众号中的 OpenId 也是不相同的,因此根本不存在「公众号之间盗取对方 OpenId」的情况(为解决一公司多公众号多 OpenId 的尴尬,腾讯后来推出了能标识唯一用户的 UnionId,当然这是另一回事儿了)。

解释完 OpenId,还需要解释两种授权。

一是静默授权,基于 snsapi_base。所谓「静默」就是你不会有任何感觉,网页就完成了授权流程。但静默授权有两项限制:1、用户必须已经关注了这个公众号;2、只能得到无字面意义的 OpenId 字符串。

二是高级授权,基于 snsapi_userinfo。虽然这种授权可以在流程间尝试获取用户的昵称、性别、国家省市、语言、头像,但也仅此而已!它不能拿到你的收货地址,不能拿到你的联系方式,甚至连你的个人微信号名称都拿不到!而且高级授权会显式要求用户手动同意,如果用户不同意则啥也获得不了。

当你在微信内打开网页,微信只能知道这些,顶多 H5 页面通过 JsSDK 获得你的网络状态和坐标地址。

微信和支付宝

谣言的高潮在于「受害者」最终盗取了支付宝的钱。Oh!天哪,即便笔者脑洞开得再大,也不能理解这种风马牛不及的事儿也能扯到一块儿来。即便能做到巅峰每秒处理八万请求的支付宝也架不住无知者、不解者、凑热闹者的起哄,据说随后人们在微信支付、支付宝中提现时出现「用户过多,请稍后重试」的提示,笔者再次感叹「咱们国家真是人多力量大」哈。

微信和阿里相互掐架是由来已久的事儿了,微信不可访问阿里系的页面,阿里系的站点也纷纷屏蔽了微信支付。作为老死都不愿相互往来的两位村长,他们怎么可能会将自家村的村民数据让对方看呢?

至于说「我已经到派出所报案」一说,更是神奇。先不谈归属地问题(如果真的立案,大姐您也得去深圳报案……),就光这区区几千块钱的「小钱」,虽然超过了立案标准,但这钱盗了也是盗了,警察也没办法帮你取回来啊……立了案又不能破案,这影响咱们的结案率,而这结案率影响的又是奖金……想想事关年终奖一事,辛苦了大半年的警察也会一脸苦涩的媳妇儿脸地对你说「大姐,您看这事儿就算了吧……」。

最后笔者倒是真心诚意地跪拜高手,哪位好心的大爷能告诉笔者,怎样通过微信的 OpenId 盗得支付宝的钱,笔者定将一半收成赠予大爷您!

小结

在《乌合之众:大众心理学研究》中有这么两段理论描述:

群体的思想会占据绝对的统治地位,群体的行为表现为排斥异议,极端化、情绪化及低智商化等特点,进而对社会产生破坏性的影响。
(第二章)

群体不会推理,它们对任何观念,要么是全盘接受,要么是整体拒绝;它们既不会讨论,也不容任何反驳,施加给它们的暗示,总是侵占其理解力的整个领地,往往立即转变为行动。
(第四章)

今年一号谣言事件再一次为我们提供了实践机会。白羊先生在他的简书网址中这么推导:「人们一看到别人都在转发这种消息,首先便陷入情绪化,人一慌张便开始胡思乱想,继而他们想到了在影视作品中看到的那些神一般的黑客们,于是便给自己设了一套逻辑:因为大家都说这是个钓鱼网站,因为黑客们都是很牛逼,所以他们会窃取我的一切信息,所以我手机上的一切都是不安全,支付宝帐号密码也会被盗,所以我要赶紧把钱转出来。这么想完了再一瞅别人,原来大家都在转,看来我的想法是对的,赶紧转钱!」

由于个体缺乏相关专业知识(或足以科普的知识),外加在群体中能发挥领袖作用的人未能在第一时间引导舆论走向,以致谣言传播;而后领袖的作用开始发挥作用,于是无辜的大众们便开始腹黑地脑补「是不是微信在炒作」,不过躺枪最深的还是支付宝,账面流水一下子多了这么多,不是熔断甚是熔断,在这寒风凛冽的一月份里……

在今日,无论是盗号还是盗手机,对我们的影响都太大了,不仅影响到我们自己的经济安全,更影响我们身边人的经济安全,影响到我们与朋友之前的友谊。如果手机或手机 APP 恰好存在漏洞(去曾经爆出的支付宝手机 APP 漏洞)那么「宝宝」内的资金安全也会受到影响。对我们来说,宁可钱被慈善捐掉赌博输掉股市熔断掉,也不愿被人盗走不是?前者我们至少能换取荣誉感、沮丧感。无奈心灰意冷感,后者一点感觉都没有——能用钱买感觉买教训,也比打水漂不冒个水花强不是?

如果有人用「盗号」的名义来造谣的话,影响之大、影响面之广可见一斑。盗号啊,多少谣言假汝之名以行……


参考资料与来源

  1. 我是如何甄别昨晚的谣言的?,生椒牛肉 @简书,2016
  2. 今晚的微信朋友圈,向我们展示了什么叫乌合之众,白羊先生 @简书,2016
  3. 点开一条微信不会被盗 但你要知道的不止这些,爱范儿,2016
  4. 微信公开课刷爆朋友圈 张小龙:谣言产生到很多用户解绑银行卡不过一两个小时,观察者,2016
  5. 微信公开课刷爆朋友圈 微信团队辟谣病毒之说,观察者,2016
  6. “我和微信的故事”由微信官方推出 盗号为谣言,观察者,2016
  7. 如何根据域名检验智商?这是一道送分题!,DNSPOD,2016
  8. 简述 OAuth 2.0 的运作流程,小胡子哥,2016
  9. 微信公众平台开发者文档,网页授权获取用户基本信息
  10. 乌合之众:大众心理学研究,(法)古斯塔夫·勒庞著,秦传安译,哈尔滨出版社,2011

修订历史

  1. 2016/01/13,完稿。

__EOF__

最近相关