2016年9月23日,工信部、中国人民银行、公安部、最高法院、最高检察院、银监会等六部门联合发布《关于防范和打击电信网络诈骗犯罪的通告》(以下简称《通告》)。这则通告,正式打响了针对电信网络诈骗的“全民狙击”战。
8月,仅媒体曝光的电信诈骗案件就有至少4起。山东女孩徐玉玉被骗走9900元学费后心脏骤停,不幸离世;山东大学生宋振宁被骗猝死;广东省揭阳市惠来县准大学生蔡淑妍自杀;清华大学一名教授被骗1760万元。
山东徐玉玉、宋振宁,广东蔡淑妍,清华大学教授......多起事件均来自校园,为何校园电信诈骗如此高发?校园电信诈骗案为何屡屡得手?事实上,这些案件的发生,有着共同的几个关键词:网络隐私泄露、电信通道、银行支付。
一时间,通信、银行的监管政策被推到风口浪尖,如何从源头上掐断犯罪的传播渠道、支付手段两条补给线,是舆论关注的核心。《通告》中宣告了“国家行动”的六记“重拳”:自首从宽、坚决拔钉、加速实名、清理银行账户、严保个人信息安全、监管问责,从而将通信、银行业纳入狙击战战团,在源头上进行防范与监管。
然而,这只是开启“全民行动”的第一步,虚拟空间安全问题远远超出人们的想象,诸多业内专家均提到,短信诈骗越来越精准,防不胜防,必须加强个人信息立法。
学生信息最易泛滥
据中国互联网协会发布的数据显示,63.4%的网民通话记录、网上购物记录等信息遭泄露;78.2%的网民个人身份信息曾被泄露,包括姓名、家庭住址、身份证号及工作单位等。多则上亿条用户信息被泄露,少则也有几万条。
徐玉玉事件的犯罪嫌疑人陈文辉,选择以学生为目标,从2016年6月起在网上以每条0.5元的价格购买了数万条山东籍高考考生的个人信息,信息内容包括学生姓名、学校、家庭住址和联系电话。而这些学生的信息在网上泛滥,成本最低,获取根本没难度。
他的信息来源上线——18岁的杜天禹,据相关媒体报道,杜天禹于4月利用安全漏洞侵入了“山东省2016高考网上报名信息系统”网站,下载了60多万条山东省高考考生信息,高考结束后开始在网上非法出售。
而这种个人信息贩卖的生意,在网上早已司空见惯,杜天禹仅是其中之一。
有关调查发现,在网上,100元可以买到2000个电话信息、300元能买10000个电话信息,10万个电话信息卖到1200元,20万个电话信息卖到1800元。还有人声称出售个人全套信息,从身份证复印件、家庭成员、户口本复印件、到网络账户名都在其中,全套信息的价格是每套3元。
在这样的网络中,徐玉玉不幸成为网络诈骗的目标,2016年8月19日,徐玉玉接到自称教育局的电话称她可以领到2600元助学金,于是一步一步走进诈骗者的圈套,最终被骗走父母为她辛苦积攒的学费9900元,21日,徐玉玉报案后回家路上伤心欲绝,郁结于心,最终导致心脏骤停,无力回天。
1760万元被骗事件的背后
徐玉玉、宋振宁、蔡淑妍的事件令人心痛,而仔细回顾清华大学教授被骗1760万元的事件细节,则是发人深思的教训。
这位53岁的清华大学教授卖了房,刚刚回到家就接到了诈骗电话,称她漏缴各种税款等。更重要的是,骗子显然掌握了卖房信息,“网签合同的编号是多少,各种交易中很细节的一些信息,骗子都能说得头头是道”。第六届上海市信息安全活动周开幕演讲中,复旦大学教授杨珉透露了该事件的更多细节。
据内部信息了解,该受害人与诈骗电话通话的时间并不短。教授是2016年7月23日下午4点多接到诈骗电话,而当天下午即有系统检测出该诈骗电话,警方联系提醒该教授,第二天,警方的虚假网址系统又被检出,于是,警方再次打电话让其丈夫劝阻,前后至少3个电话都未能阻止教授的一意孤行,警方的示警电话一再被拒:“这事你们不用管了。”最后,8月30日,该教授才报案称被骗了1760万元。
而我们上网稍作了解,也能发现,2014年武汉也曾发生同样的诈骗事件,同样的手法,同样的套路,遭遇诈骗的武汉一国企财务部部长黄某,在5小时内分十多次将1700万元公款转到骗子的账户。
根据权威数据,电信诈骗已经形成完整的黑色产业链,其从业人数超过160万人,诈骗“年产值”达1152亿元。
尽管事后人们都认为诈骗手法并不高明,然而,利用社会工程学原理的网络诈骗骗到的并不仅仅是普通人,有时连电信专家也能中招。复旦大学杨珉教授也举了信息安全业内专家受骗的例子,曾有一名业内专家的手机被带有木马病毒的短信击中,向多名好友发送一条信息,短信内容为“我是某某某,这是我帮你拍的一个小视频”,并附上一个链接。一夜之间,这名专家的多名好友(不乏安全业内专业人士)点击链接,造成财物损失。
除了社会工程学的电信诈骗手段以外,一些高新技术手段也被不断采用。目前有7种技术手段使用频率较高,范围较广:一是伪基站,二是木马病毒,三是改号软件,四是钓鱼网站,五是“猫池”,六是诈骗Wi-Fi,七是“黑盒”。
针对此,腾讯安全的相关负责人李旭阳认为切实可行的方案是,从警方,运营商,银行侧通过大数据的方式,识别出诈骗行为,从而物理上阻断诈骗。一些企业研发出的技术方案,在试点的地区,部署在运营商网络的系统对电信诈骗进行物理隔绝,从警情数据来看,涉案金额可以下降70%~80%。
然而,面对“信息安全背后是一个地下社会,一个江湖的形成”这样的形势,防范网络安全显然需要更多的解决方案。
图片由“易安在线”提供,绘画支持:潘浩子
个人隐私数据泄漏难堵源头
复旦大学信息网络安全研究室的一组研究数据表明,在针对谷歌应用商城的17425个应用分析中发现,有35个类别都会收集用户隐私。针对用户账号这类的隐私数据收集,比例较高的主要是社交应用,跟天气相关的App等;针对地理位置的隐私信息,在天气、出行、搜秀这些App当中比例比较高;而支付类的应用无疑则是隐私收集的高地,无一例外地收集用户各类个人隐私数据。“人们时常习惯于享受应用软件带来的便利,往往不在乎它的风险。甚至很多人并不知道软件装上之后意味着什么?”杨珉教授还提到,国内有关部门曾针对300多款常用软件进行了检测,60%涉及个人隐私数据泄漏的问题,而且这些软件都是一些常用软件,没有哪个杀毒软件会将它列入黑名单。
而通过8月集中爆发的电信诈骗事件来看,值得关注的是,高校校园师生正在成为个人信息泄露的重灾区。内蒙古某高校曾有一位学生提到自己因为好奇,用简单的密码“123456”就进入了该校教学管理系统的后台,学校教师的各类信息、学生的学习成绩一览无余。高校信息管理系统重建设轻管理的现象,依然存在。
有调查表明,目前高校各类应用系统存在诸多安全漏洞,尤其学校在安全防护措施上重视不够,使得大量的师生数据处在漏洞威胁之中。
然而,在高校校园网络交流群中,关于防护技术的讨论似乎也走到一个“死胡同”。大连理工大学于广辉主任认为:“基于特征值方法的各种学习、改善,只能治标不治本。我们还是希望能够有更好的方法,比如行为分析、背景流量分析、应用白名单等方法防护,但目前还没看到合适的产品。”
在高校网络管理员群中普遍认为,高校缺的不是技术,缺的是把安全责任落实到位的管理机制。清华大学CCERT郑先伟提出管理应是更重要的环节,建议对数据库的使用进行严格规范化管理,他认为:“数据库用户权限需严格限制,查询的就只给查询权限,越权或是频率太高都不行。基础权限控制需要由数据库厂商进行,应用毕竟只是在它的基础上来做的。需要数据库厂商和应用开发多协调。”他建议,今后高校校园信息化的工作第一步是资产评估,“重要的资产必须严格按照要求来做”。
“谁收益,谁担责。”杨珉教授表示,加强网络信息安全监管除了个人用户须加强信息安全意识,扎紧篱笆防狼之外,尤其要明确责任主体。
个人网络信息立法呼之欲出
9月底国家网络安全宣传周活动上,中国工程院院士、武汉大学副校长李建成认为,清华大学教师被骗、宋振宁案等见诸媒体的各类诈骗,暗藏庞大的个人隐私泄露。但“数据开放”和“信息安全”是一枚硬币的正反两面,他建议,法律为根本,管理和技术为支撑,“网络空间安全法亟待出台,网络空间安全管理规章条例也亟待出台,法律和技术在大数据、信息安全方面是同等重要的”。
据了解,目前《网络安全法》已经进入二次征求意见稿,和初稿相比,已经发生了很大变化。预计国家将在年底推出《网络安全法》。《网络安全法》发布以后,在具体实践中,还需要更多细则。同时,互联网生态复杂,网络安全仅仅是其中一个角度,要把互联网工作做好,还需要更好的法律环境。
“谁收益,谁担责。”杨珉教授表示,加强网络信息安全监管除了个人用户须加强信息安全意识,扎紧篱笆防狼之外,尤其要明确责任主体。监管部门要在法规的层面上强化责任主体意识。数据由谁拿去,谁就要对确保数据安全负法律主体责任。此外,提升信息安全治理还要强化立体的全方位测控,惩治犯罪,必须破除地域和部门的界限,建立由公安部门牵头,银行、电信运营商等共同参与的反电信网络诈骗中心,形成协作共享和快速反应联动机制。
高校各类应用系统存在诸多安全漏洞,尤其学校在安全防护措施上重视不够,使得大量的师生数据处在漏洞威胁之中。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。