乐读窝

杂志

保存到桌面 | 繁体 | 手机版
传记回忆文学理论侦探推理惊悚悬疑诗歌戏曲杂文随笔小故事书评杂志
乐读窝 > 杂志 > “全民狙击”网络诈骗产业链

“全民狙击”网络诈骗产业链

时间:2024-11-06 08:01:01

2016年9月23日,工信部、中国人民银行、公安部、最高法院、最高检察院、银监会等六部门联合发布《关于防范和打击电信网络诈骗犯罪的通告》(以下简称《通告》)。这则通告,正式打响了针对电信网络诈骗的“全民狙击”战。

8月,仅媒体曝光的电信诈骗案件就有至少4起。山东女孩徐玉玉被骗走9900元学费后心脏骤停,不幸离世;山东大学生宋振宁被骗猝死;广东省揭阳市惠来县准大学生蔡淑妍自杀;清华大学一名教授被骗1760万元。

山东徐玉玉、宋振宁,广东蔡淑妍,清华大学教授⋯⋯多起事件均来自校园,为何校园电信诈骗如此高发?校园电信诈骗案为何屡屡得手?事实上,这些案件的发生,有着共同的几个关键词:网络隐私泄露、电信通道、银行支付。

一时间,通信、银行的监管政策被推到风口浪尖,如何从源头上掐断犯罪的传播渠道、支付手段两条补给线,是舆论关注的核心。《通告》中宣告了“国家行动”的六记“重拳”:自首从宽、坚决拔钉、加速实名、清理银行账户、严保个人信息安全、监管问责,从而将通信、银行业纳入狙击战战团,在源头上进行防范与监管。

然而,这只是开启“全民行动”的第一步,虚拟空间安全问题远远超出人们的想象,诸多业内专家均提到,短信诈骗越来越精准,防不胜防,必须加强个人信息立法。

学生信息最易泛滥

据中国互联网协会发布的数据显示,63.4%的网民通话记录、网上购物记录等信息遭泄露;78.2%的网民个人身份信息曾被泄露,包括姓名、家庭住址、身份证号及工作单位等。多则上亿条用户信息被泄露,少则也有几万条。

徐玉玉事件的犯罪嫌疑人陈文辉,选择以学生为目标,从2016年6月起在网上以每条0.5元的价格购买了数万条山东籍高考考生的个人信息,信息内容包括学生姓名、学校、家庭住址和联系电话。而这些学生的信息在网上泛滥,成本最低,获取根本没难度。

他的信息来源上线——18岁的杜天禹,据相关媒体报道,杜天禹于4月利用安全漏洞侵入了“山东省2016高考网上报名信息系统”网站,下载了60多万条山东省高考考生信息,高考结束后开始在网上非法出售。

而这种个人信息贩卖的生意,在网上早已司空见惯,杜天禹仅是其中之一。

有关调查发现,在网上,100元可以买到2000个电话信息、300元能买10000个电话信息,10万个电话信息卖到1200元,20万个电话信息卖到1800元。还有人声称出售个人全套信息,从身份证复印件、家庭成员、户口本复印件、到网络账户名都在其中,全套信息的价格是每套3元。

在这样的网络中,徐玉玉不幸成为网络诈骗的目标,2016年8月19日,徐玉玉接到自称教育局的电话称她可以领到2600元助学金,于是一步一步走进诈骗者的圈套,最终被骗走父母为她辛苦积攒的学费9900元,21日,徐玉玉报案后回家路上伤心欲绝,郁结于心,最终导致心脏骤停,无力回天。

图片由“易安在线”提供,绘画支持:潘浩子1760万元被骗事件的背后

徐玉玉、宋振宁、蔡淑妍的事件令人心痛,而仔细回顾清华大学教授被骗1760万元的事件细节,则是发人深思的教训。

这位53岁的清华大学教授卖了房,刚刚回到家就接到了诈骗电话,称她漏缴各种税款等。更重要的是,骗子显然掌握了卖房信息,“网签合同的编号是多少,各种交易中很细节的一些信息,骗子都能说得头头是道”。第六届上海市信息安全活动周开幕演讲中,复旦大学教授杨珉透露了该事件的更多细节。

据内部信息了解,该受害人与诈骗电话通话的时间并不短。教授是2016年7月23日下午4点多接到诈骗电话,而当天下午即有系统检测出该诈骗电话,警方联系提醒该教授,第二天,警方的虚假网址系统又被检出,于是,警方再次打电话让其丈夫劝阻,前后至少3个电话都未能阻止教授的一意孤行,警方的示警电话一再被拒:“这事你们不用管了。”最后,8月30日,该教授才报案称被骗了1760万元。

而我们上网稍作了解,也能发现,2014年武汉也曾发生同样的诈骗事件,同样的手法,同样的套路,遭遇诈骗的武汉一国企财务部部长黄某,在5小时内分十多次将1700万元公款转到骗子的账户。

根据权威数据,电信诈骗已经形成完整的黑色产业链,其从业人数超过160万人,诈骗“年产值”达1152亿元。

尽管事后人们都认为诈骗手法并不高明,然而,利用社会工程学原理的网络诈骗骗到的并不仅仅是普通人,有时连电信专家也能中招。复旦大学杨珉教授也举了信息安全业内专家受骗的例子,曾有一名业内专家的手机被带有木马病毒的短信击中,向多名好友发送一条信息,短信内容为“我是某某某,这是我帮你拍的一个小视频”,并附上一个链接。一夜之间,这名专家的多名好友(不乏安全业内专业人士)点击链接,造成财物损失。

除了社会工程学的电信诈骗手段以外,一些高新技术手段也被不断采用。目前有7种技术手段使用频率较高,范围较广:一是伪基站,二是木马病毒,三是改号软件,四是钓鱼网站,五是“猫池”,六是诈骗Wi-Fi,七是“黑盒”。

针对此,腾讯安全的相关负责人李旭阳认为切实可行的方案是,从警方,运营商,银行侧通过大数据的方式,识别出诈骗行为,从而物理上阻断诈骗。一些企业研发出的技术方案,在试点的地区,部署在运营商网络的系统对电信诈骗进行物理隔绝,从警情数据来看,涉案金额可以下降70%~80%。

然而,面对“信息安全背后是一个地下社会,一个江湖的形成”这样的形势,防范网络安全显然需要更多的解决方案。“谁收益,谁担责。”杨珉教授表示,加强网络信息安全监管除了个人用户须加强信息安全意识,扎紧篱笆防狼之外,尤其要明确责任主体。个人隐私数据泄漏难堵源头

复旦大学信息网络安全研究室的一组研究数据表明,在针对谷歌应用商城的17425个应用分析中发现,有35个类别都会收集用户隐私。针对用户账号这类的隐私数据收集,比例较高的主要是社交应用,跟天气相关的App等;针对地理位置的隐私信息,在天气、出行、搜秀这些App当中比例比较高;而支付类的应用无疑则是隐私收集的高地,无一例外地收集用户各类个人隐私数据。“人们时常习惯于享受应用软件带来的便利,往往不在乎它的风险。甚至很多人并不知道软件装上之后意味着什么?”杨珉教授还提到,国内有关部门曾针对300多款常用软件进行了检测,60%涉及个人隐私数据泄漏的问题,而且这些软件都是一些常用软件,没有哪个杀毒软件会将它列入黑名单。

而通过8月集中爆发的电信诈骗事件来看,值得关注的是,高校校园师生正在成为个人信息泄露的重灾区。内蒙古某高校曾有一位学生提到自己因为好奇,用简单的密码“123456”就进入了该校教学管理系统的后台,学校教师的各类信息、学生的学习成绩一览无余。高校信息管理系统重建设轻管理的现象,依然存在。

有调查表明,目前高校各类应用系统存在诸多安全漏洞,尤其学校在安全防护措施上重视不够,使得大量的师生数据处在漏洞威胁之中。

高校各类应用系统存在诸多安全漏洞,尤其学校在安全防护措施上重视不够,使得大量的师生数据处在漏洞威胁之中。然而,在高校校园网络交流群中,关于防护技术的讨论似乎也走到一个“死胡同”。大连理工大学于广辉主任认为:“基于特征值方法的各种学习、改善,只能治标不治本。我们还是希望能够有更好的方法,比如行为分析、背景流量分析、应用白名单等方法防护,但目前还没看到合适的产品。”

在高校网络管理员群中普遍认为,高校缺的不是技术,缺的是把安全责任落实到位的管理机制。清华大学CCERT郑先伟提出管理应是更重要的环节,建议对数据库的使用进行严格规范化管理,他认为:“数据库用户权限需严格限制,查询的就只给查询权限,越权或是频率太高都不行。基础权限控制需要由数据库厂商进行,应用毕竟只是在它的基础上来做的。需要数据库厂商和应用开发多协调。”他建议,今后高校校园信息化的工作第一步是资产评估,“重要的资产必须严格按照要求来做”。

个人网络信息立法呼之欲出

9月底国家网络安全宣传周活动上,中国工程院院士、武汉大学副校长李建成认为,清华大学教师被骗、宋振宁案等见诸媒体的各类诈骗,暗藏庞大的个人隐私泄露。但“数据开放”和“信息安全”是一枚硬币的正反两面,他建议,法律为根本,管理和技术为支撑,“网络空间安全法亟待出台,网络空间安全管理规章条例也亟待出台,法律和技术在大数据、信息安全方面是同等重要的”。

据了解,目前《网络安全法》已经进入二次征求意见稿,和初稿相比,已经发生了很大变化。预计国家将在年底推出《网络安全法》。《网络安全法》发布以后,在具体实践中,还需要更多细则。同时,互联网生态复杂,网络安全仅仅是其中一个角度,要把互联网工作做好,还需要更好的法律环境。

“谁收益,谁担责。”杨珉教授表示,加强网络信息安全监管除了个人用户须加强信息安全意识,扎紧篱笆防狼之外,尤其要明确责任主体。监管部门要在法规的层面上强化责任主体意识。数据由谁拿去,谁就要对确保数据安全负法律主体责任。此外,提升信息安全治理还要强化立体的全方位测控,惩治犯罪,必须破除地域和部门的界限,建立由公安部门牵头,银行、电信运营商等共同参与的反电信网络诈骗中心,形成协作共享和快速反应联动机制。
   

热门书籍

热门文章