防不胜防的“人肉开盒”

防不胜防的“人肉开盒”

• 在中国大陆，人肉搜索与开盒早在零几年便已蔚然成风。

“铜须门”、“高跟鞋虐猫事件”、“恶俗维基”等。

Note

人肉开盒并非“源自”饭圈文化。

• 社工库查档黑灰产主要以telegram为阵地，提供多种“业务”。

传统业务：个人、全家户籍，身份证照片，社交媒体账号等反查身份证号，开房记录等。

新兴业务：追踪定位，猎魔补齐（模糊查询），常住地址（快递、外卖收货地址），医疗记录（婚前查人流史与性病），人脸识别，司法程序，好友提取等。

• 触网即裸奔：个人信息的泄露与入库，是不可避免、且无法挽回的。

手机号实名制与互联网后台实名制。

学习通、腾讯、网易163邮箱等国民级平台的脱库（数据泄露）。

移动运营商、公安系统内鬼查档。

正视开盒之风

• 莫报侥幸心理。开盒者不需要理由。开盒你，与你有何相干？

• 但是不要迷信与神化开盒。开盒者不过狐假虎威之徒，无知与恐惧只会助长其气焰。

• 如果因恐惧被人肉开盒，而在网络上噤声失语、囿于自我审查、畏于表达自己的观点，这既是因噎废食，更将本应享有的开放自由的讨论环境拱手让人。

信息泄露对普通人的威胁

• “普通人”：假设其不科学上网，主要使用国内平台，无身份隐匿需求，并非显要人物，未从事特殊或争议职业，未与他人或组织发生重大矛盾，未被卷入网络热门事件、成为其主要或相关人士。

• 免费社工库：多为过时信息，可能误开出亲戚朋友，但身份证等无法变更的信息通常准确无误。

若无特殊情况，开盒者通常没必要付费开某个不相关普通人的盒。

• 撞库：若多个平台账号使用同一密码，可能会被通过撞库试出密码、盗用账号。

• 骚扰短信、电话等：来自泄露的手机号。

• 电信诈骗风险：骗子对受害者的底细更熟悉，更容易骗取信任。

从个人信息开始的开盒防护

• 警惕“水桶效应”，结合自身情况，分析自己的隐私安全短板。

名字很小众？QQ号太多好友不方便更换？工作需要必须公布手机号？……

• 通用处理方式：销号并重新注册，彻底更换联系方式。

开盒三要素：姓名、身份证号、手机号。

• 开盒常用个人信息的敏感程度：身份证号>姓名（特殊小众姓名）>手机号>QQ号、微信号>其他社交平台账号id、通用的网名>姓名（张伟等大众姓名）>邮箱（QQ数字邮箱除外）

• 其中，使用时间越久的手机号、QQ号等，越容易被开出准确信息。

这是因为，首先免费社工库内一般为过去信息泄露中的过时信息；随后，网民最初触网时一般缺乏隐私保护意识，更容易无意中泄露个人信息。

Note

身份证号无法更改，姓名更名流程繁琐，下文将不再讨论。

对个人信息进行信任分级

• 分级依据：被许可取得该信息的人的范围。列出的信息标准仅作参考。

姓名及外貌在此分级标准中论外。

除-1级信息需尽可能不再透露外，更高分级的信息，通常不得暴露给更低分级对应的人群。

• -1级：法律强制要求等“无法提供隐私信息便寸步难行”的情形。

身份证号，银行政府预留手机号（不论该手机号实际用途）……

• 0级：仅亲属、配偶与深交朋友可以得知。

私人用手机号，私人用微信、QQ等通讯工具，住址，真实、细节且私密的生活经历……

能进入该级别的社交平台，必须是能够实现“完全掌握你所发布信息的传播范围”的平台（例如设权限的微信朋友圈）。

• 1级：现实生活中的普通同学、同事、朋友（无上下级关系）。

日常联系用手机号，日常用微信等通讯工具，较公开的社交平台（如微博、小红书）……

• 2级：工作关系（上下级关系、客户等），生活依赖的网络平台服务（打车、外卖、网购等），前同学或前同事。

工作用或专用手机号（及通讯工具），工作地址或快递代收点……

• 3级：素未谋面的网上朋友，向不特定人群公开信息，注册其他平台。

电子邮箱、内容不涉及个人隐私的社交平台（博客等）……（在需要的范围内尽可能少透露信息）

手机号-人肉开盒的重要切入点

• 非绝对必要，不要公布手机号。不轻易向他人或平台提供手机号。

• 注册专门用于网络活动（如注册账号、网购点外卖等）与工作的手机号。

可选择容易注册到运营商回收号的渠道（例如校园卡、大流量卡）。这样的回收号即使被开盒，也更容易开到原号主。

一人多号、专号专用的意义是，将被开盒暴露的信息量、及后续注销更换手机号的成本降至最低。

• 也可以借用家中非直系亲属闲置号码，或使用其身份注册手机号。

• 有能力可注册国外不记名手机号，或Google Voice虚拟号，专用于注册与绑定国内账号。

Caution

相反，切勿用+86手机号注册任何海外平台。

注意其月租话费高昂，且绑定国内账号（如微信与小红书）时可能有诸多限制。

需准备科学上网手段、稳定的国际支付手段、以及一部iPhone X或更高版本（建议至13系列）的外版苹果水货机（需拥有esim功能，因此不能是“改了双卡”的手机）。

• 有条件者建议专号专机使用。

且应做到非常用手机保持关机，非必要不同时携带多机出行。

单是免费社工库即可根据某个手机号，开出曾经插过该手机卡的手机的IMEI、手机型号等信息。更遑论更高端的“定位”服务。

重拾被遗忘的邮箱

• 非必要不公开邮箱。或者可仅公开“邮箱小号”。

• 不建议使用QQ自带的QQ号数字邮箱。

• 邮箱名不建议包含个人姓名缩写或拼音，其他平台常用的id，或少见的英语单词。

虽然域名邮箱有着极高的自由度，可将个人信息完全掌握在自己手里，但注意“域名”本身也包含着个人特征。

• 建议注册非实名海外邮箱（例如proton mail），因为国内邮箱同样需要提供手机号注册。

Caution

切勿用国内平台邮箱注册任何海外平台。

跨国收发电子邮件丢信率高，如无科学上网手段，考虑到收信方便，可注册微软邮箱。

• 部分场景（如注册无关紧要、即用即弃的账号）可考虑使用一次性邮箱。

社交平台的信息隔离

• 检查应用设置，关闭所有类似以下的隐私设置：

“通过手机号找到我”、“把我推荐给通讯录的朋友”

“允许陌生人查看空间/朋友圈/个人主页”

“允许任何人查看关注列表/粉丝列表/访客……”

• 设置复杂且不重复的密码。如平台有提供相关选项，可额外设置两步验证。

可以使用密码管理器辅助记录密码。

• 不同社交平台的账号，其昵称（或id）命名原则上不应相同或具有关联性，发布的内容也不应相同或相似，否则有被连锁爆破的风险。

• 如需运营有辨识度的网络身份（内容创作者、自媒体从业者等），需保证网络公开身份与个人身份的完全分离。

命名无关联，不在相近时段发布内容，不发布相似内容，不相互关注或艾特……

• 非绝对私密的平台（如设置“仅好友可查看”的QQ空间或微信朋友圈），不发布包含隐私信息或新近拍摄的照片。

如需发布可隔数日再发布，或对照片中文字内容与非拍摄主体内容打码。

注意清除照片包含的EXIF信息。

• 警惕来路不明的关注与好友请求。

莫名被人关注，可能是开盒者已经锁定目标，或正在通过你的关注列表摸排你的好友。

• 提供信息最少原则。

能不拍人脸或身份证便不拍，能不实名便不实名，能不用手机号注册便不用。个人简介能不挂真实信息（哪怕是生日、星座）便不挂。

一个未经证实的反制方法：如果家族中有党政机关、公检法或军警相关人士，可借用其身份过实名。开到这类人士对于开盒者而言如同开到地雷。

如果这位有能量的人士就是你的直系亲属，那你自己就是地雷。

告别过往，打造全新虚拟身份

新身份的“三要素”

• 非原身份及亲属实名的手机号。

• 全新注册的社交平台。

• 逻辑自洽、形象迥异的“网络人设”。

新身份的硬件支持

• 全新且专用于该虚拟身份的手机/电脑。

视财力而定。至少要有一台插新手机卡的功能机。

通过“自我开盒”查缺补漏

Caution

请注意“查询”操作本身也有隐私信息泄露，甚至自身身份暴露风险。

• 查询手机号曾注册过的所有平台。（见《注销手机号时的注意事项》）

• 主动在telegram上寻找社工库机器人，尝试查询自己的信息。

无海外手机号者不建议尝试。telegram需手机号注册，默认公开手机号，且+86手机号有私信限制。

更危险的是，一旦使用+86手机号接码注册，也将引起有关部门的注意。

无确凿证据，但通常用上社工库第一步是自搜，理论上黑灰产可以据此确认该telegram账号的真实身份。

缺德的方法是随便开几个知道真名的朋友，同时把自己的信息夹杂其中，一并发给机器人。