短短3天之内,接连发生两起学生遭遇电信诈骗,继而发生心脏骤停离世惨剧。舆论在痛斥诈骗分子的同时,也开始关注:学生的信息是如何被精准泄漏的?
据沂蒙晚报报道,山东临沂罗庄女孩徐玉玉8月19日接到了一通陌生电话,对方声称有一笔2600元助学金要发放给她。按照对方要求,徐玉玉将准备交学费的9900元打入了骗子提供的账号……让骗子得手的一个关键是,在这通陌生电话之前,徐玉玉曾接到过教育部门发放助学金的通知。这意味着,骗子精准掌握了徐玉玉的多类个人信息。
8月25日,一名资深计算机技术人员对澎湃新闻(www.thepaper.cn)表示,徐玉玉的信息有可能是被黑客盗取后,卖给了诈骗人员。据他称,有团队曾试过“侵入”临沂周边多个市县教育局的网站,发现几分钟就可以进入,相关信息可以随意浏览和下载。
这名技术人员告诉澎湃新闻,目前黑客盗取个人信息,已形成一个巨大产业链,一部分黑客在黑进某些网站获取信息后,再在一些论坛、社交群中贩卖信息。
与之相对应的,网络上的数据贩子则随处可见。
据部分数据贩子称,他们手上有全国各地区各行业的各类数据,不只是学生的电话数据,股民的账户数据、机票数据、网络购物数据、新生儿数据等等,他们都可以出售。
网络安全专家、猎豹移动安全研究员李铁军对澎湃新闻(www.thepaper.cn),其实不是这些黑客的技术有多好,主要是像学校、医院等机构在网络安全防范上投入不够,导致黑客用很简单技术就可以侵入,而这些网站存有大量个人信息。
数据贩子猖獗:有人宣称“国内学校,有一半数据我都有”
经知情人士指点,澎湃新闻(www.thepaper.cn)记者以“购买数据”、“电话销售”等关键词,通过QQ软件查找,找到一两百个相关的群,这些群销售包括“精确数据购买”、“机票数据”、“淘宝数据”、“保健数据”、“电话数据”、“丰胸减肥数据“、“一手新生儿数据”等等手机号码资源。
记者通过QQ加好友方式联系到了几名数据卖家。
据几位卖家介绍,他们主要是做电话数据销售,这种数据可以简单分为两类,一类是比较精准的,电话与机主的姓名都有;另一类是比较模糊,仅有电话号码。
卖家称,在售的数据类型包括,今年新开的股票账户,这种一般兜售股票资产类的公司会买的比较多;还有像老年人电话数据,可以推销保健品之类的;当然还有像学生类的电话数据,但买这类数据会相对少些。原因是学生本身不太好骗,且经济能力有限。
这种数据根据新鲜程度,价格也不一样。
根据这几名卖家的报价,100元可以买到2000个电话信息、300元能买10000个电话信息;10万个电话信息卖到1200元,20万个电话信息卖到1800元。
卖家新拿到的信息则贵一点。一位卖家称,8月份刚拿到的数据1毛一条。当然,如果是“没有卖过”的纯一手数据,售价可能会高到1-2元。
关于售卖数据的范围,有卖家宣称销售的是全国数据,买家可以根据地区来选择。
某专业财经媒体的报道还提及,有“业内人士”宣称,“国内学校,有一半数据我都有。即使手头没有的,只要你告诉我名字,我也都能拿到。”
以往,购买高中毕业生数据的,多是一些不正规的成人教育或者网络教育学校,但随着生源的减少,这类生意已经熄火。
新的买主中,职业骗子占了大多数。
谁泄漏了个人隐私信息:教育机构信息安全投入不足
关于这些个人隐私数据的来源,绝大多数卖家都不愿透露。
有一位卖家称,他们获得电话号码的其中一个来源,是通过财经网站提取的。
李铁军解释,这可能是通过一个程序,只要用户登录这个网站,电话号码就会被抓取,但这些电话号码绝大多数不是实名的。
前述卖家还透露,其出售的数据的另一个来源是,自己去“开发”。这个所谓“开发”,正是向银行、证券公司、大型门户网站、购物网站等机构里的个人去购买。
不过该卖家称,现在这样的渠道越来越难了。
除了上述渠道,李铁军告诉澎湃新闻(www.thepaper.cn)记者,黑客正成为泄漏个人信息产业链上最大一环,一部分黑客开始专门倒卖各种数据,一些教育机构、医疗机构的数据往往很容易被盗取,因为这些机构的业务现在与互联网的结合很紧密,但这些机构在国内一直是比较缺钱的部门,而做好信息安全需要比较大的投入,其在选择安全方案上就受限,这还包括后续的投入和维护,所以这些机构面临掌握了大量信息,但安全方面却是做得不够。
按教育部、公安部发布的《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》,在全国开展信息系统安全等级定级备案工作。两份通知中,对教育行业建议的最高安全保护等级为第三级(级数越高要求越高),当然学校可以根据自己需求提升安全保护等级。
可资对照的是,银行部分系统的最高防护等级为第四级。
“另外一个情况是,这些教育机构网站存在的漏洞并不高深,很容易被入侵“,李铁军表示。
上述资深计算机技术人员也表示过,其了解到,一个黑客团队几分钟内绕过某市教育局的网站防火墙进入后台。
监管缺位:防范仍只能靠个人
那么,问题这么多,监管去哪儿了。
关于个人隐私泄漏带来的损失甚至灾难,一位地方经侦警官表示很无奈,他们很理解也很同情受害者,但他们对这类案件也很苦恼,有时候牵涉金额不大,但案件的调查却很复杂,一方面涉及查案侦查地域范围会很广,另一方面一些零碎案件可能要积累到一定时候才一起侦办,对他们来说,精力很有限,不太可能到处去灭火。
这名警官认为,如果不从根本上解决问题,很难通过公安、司法机构来减少案件的发生。
据光明网报道,北京市公安局网络安全保卫总队与360互联网安全中心联合发起成立的网络诈骗全民举报平台——猎网平台于去年底发布的《现代网络诈骗产业链分析报告》初步统计,在中国,从事网络诈骗产业的人数至少有160万人,“年产值”超过1100亿元。
李铁军直言,现在中国个人信息泄漏正面临失控的危险,每个人都不安全,但这个系统的改善需要花的时间会非常长,包括国家相关法律法规的出台、司法机关办案能力是否跟的上、还有管理数据机构能力是否能提升等等,这中间需要花的时间和代价都会很大。
光明网在一篇评论中直言,骗子之所以得手,其“成功”之处远不止于电信主管部门和电信运营商对“骗子专用号段”公然存在的无睹和无视,其他掌握公民个人信息的部门和机构、以及负责审核(骗子开卡)客户信息的相关银行,都不能与此撇开关系。
李铁军提醒,在相关监管完善之前,最主要的防范还是靠自己,尽可能保护个人的信息,“比如在提供个人数据时,只有在那些必须提供个人真实数据的地方提供。”
另外,李铁军还认为,在这些容易泄露信息机构缺乏安全方面的管理人才时,这些机构找是不是可以找专门的第三方安全服务公司,比如现在用的较多的云技术,可以将他们的资料交给专业公司的云服务器托管,这些专业公司被黑客攻陷的可能远要低于他们本身。虽然无法从根本上解决这个问题,但可以安全方面上个台阶。
李铁军,社会不应该通过一个少女的死亡来警醒民众。在法制、网络安全相对滞后的今天,需要改善的地方也有太多,更需要个人清醒认识到这种电信骗局,让悲剧不再发生。
相关新闻:为何手机实名制反而有助电信诈骗?来自韩国的实践教训
为何手机实名制反而有助电信诈骗?来自韩国的实践教训
来源:凤凰国际智库
3人参与2评论
作者:李姗敏
来源:制度开门
临近开学,又有一大批电话诈骗受害者出现。联想到日常生活中人人对此类电话的麻木、前不久大陆强力从第三国引渡台湾地区诈骗犯的新闻,与我们想象的相反,为何电话诈骗在手机实名制实行之后,非但没有收敛,反而成为我们生活中的一部分?
为什么每次电话诈骗都能准确知道你的名字甚至身份证号?为什么实名制制止不了电话诈骗?
韩国从2002年开始逐步实现网络实名制,其制度初衷是为减少网上语言暴力、诽谤以及传播虚假信息。但在整个过程中弊端频现,推行缓慢,最后导致黑客轮番狂攻韩国各类网站,70%韩国人详细身份信息外泄。在2011年12月不得不废除。这个富有戏剧性色彩的案例,让韩国作为第一个推行同时也是第一个叫停网络实名制的国家,成为一个活体标本。当然,韩国是网络实名制,我国推行的是电话实名制,但同样富有借鉴意义。
“狗屎女”事件
1、实名制强化网站对客户资料的审核职能
2007年7月,《促进使用信息通信网络及信息保护关联法》规定,韩国各主要网站在网民留言之前,必须对留言者的身份证号码等信息进行记录和验证,否则对网站处以最高金额达3万美元的罚款。韩国广播通信委员会2008年10月3日表示:“为预防以匿名方式产生的互联网副作用,计划从11月起执行《信息通信网法施行令修正案》,增加适用‘限制性本人确认制’的网站。”按照施行令修正案,韩国将把范围扩大至日用户数量超过10万的所有网站运营商。
邮箱、账号等个人信息实行实名制认证。根据实名制,网民在申请网站邮箱或聊天账号时,网站都要求申请者填写详细的客户资料,填报真实姓名、住址、身份证号、职业等详细信息。为杜绝虚假信息,网站对每个申请人的姓名和身份证号核实无误并备案后,才提供邮箱或账号。根据规定,网民在网络留言、建立和访问博客时,必须先登记真实姓名和身份证号,通过认证方可继续操作。
尤其对于17岁以下没有身份证的青少年,网站在获取青少年详细信息后,会通过向手机发送密码的方式确认使用者身份。由于韩国手机在销售时必须有身份证明,网络管理部门在需要时可以通过与手机运营商合作,追查上网者的真实身份。
崔真实自杀事件
2、实名制控制有害网络信息
1、限制“有害信息”接入。韩国信息通信道德委员会(ICEC)根据《年轻人发展法令》,在重要信息传播场所安装过滤、屏蔽软件。政府公布了12万个有害网站列表,要求通过防火墙来限制色情或“令人反感”网站站点的接入。同时,还要求在年轻人经常使用互联网的地点包括学校、公共图书馆、网吧或其他公用计算机中心安装过滤软件。
2、阻止违法信息下载。韩国信息通讯部、警察厅等政府部门、韩国主要门户网站、运营商等联合制定了拦截网络淫秽视频的有关对策。根据这些对策,韩国政府下属的信息通讯伦理委员会内设立一个24小时运行的“有害信息举报中心”,由各大门户网站向举报中心派出工作人员从事专门的监控工作。韩国信息通讯部引进暗号使用法,开发多功能屏蔽软件,阻止网民从国外网站下载并转载淫秽视频。此外,根据规定,韩国网站如果不主动屏蔽有关淫秽、违法和涉嫌诋毁他人名誉的网络文章和影像资料等,将要对这些不良信息引发的纠纷负法律责任。
3、实行网络游戏内容分级管理。为了减少不良游戏对青少年的影响,韩国对网络游戏内容实行按用户年龄分级管理制度。韩国负责电影和游戏内容分级管制的“韩国媒体评等委员会”(Korea Media Ration Board,简称为KMRB)规定,韩国的分级有全年龄、12岁以上、15岁以上和18岁以上。有些美国认为适合青少年的游戏,在韩国却被列为限制级,在美国是“18禁”的游戏,到了韩国却可能认为是适合青少年。
黑客攻击网站导致大批个人信息泄露
3、公民信息外泄:实名制的恶果
实施实名制后两个月,韩国网络振兴院和信息通信部联合进行调查,发现实施实名制之后,恶意网帖仅仅减少了2.2%。2010年4月,首尔大学的一项研究称,该制度实施后,诽谤跟帖数量从13.9%减少到12.2%,仅减少了1.7个百分点。据分析,部分原因在于,由于“法不责众”,很多人用真实姓名登记后继续毫无忌惮地进行攻击谩骂,据调查,2/3曾发表恶意网帖的网民对是否实名并不在意。
网络实名制的初衷是遏制网络暴力,但令人意想不到的是,“人肉搜索”这一行为在实名制后变本加厉,更加彻底。实施网络实名制后,韩国主要网站成了黑客们的主要攻击对象,实名登记的政策给网络黑手打开方便之门。2008年针对eBay韩国子网站的黑客攻击,导致1800余万网民真实资料泄漏。
然而,2011年7月,韩国发生了空前的信息外泄案件,韩国SK通讯旗下的门户网站Nate和社交网站“赛我网”被黑客攻击,约3500万名用户的个人真实详尽信息外泄,这等于说,95%的韩国网民,70%韩国人(韩国总人口约5000万)的身份资料已经外泄,泄漏的用户信息包括姓名、生日、电话、住址、邮箱、密码和身份证号码,极为详尽。正是这一事件,让韩国不得不重新考虑网络实名制政策。就在政府拟废除网络实名制之时,2011年11月下旬,韩国一家游戏公司遭到黑客攻击,1320万游戏玩家的信息被泄漏。
韩国政府建立了公民身份认证体系来为网络实名制的实施提供技术保障。但这种基于静态口令(居民身份证号码)的认证技术,技术上的落后性使散兵游勇就能攻克其安全认证系统,冒充他人实施网络操作。正所谓上有政策下有对策,自从韩国实施实名制后,被称为“身份证伪造器”的作弊软件也应运而生。这类软件可以伪造出通过身份验证机制的韩国身份证号,从而可以用伪造的身份注册。此类技术漏洞的出现,也就意味着“网络实名制”近乎名存实亡。公众信息的大规模泄漏,最终让韩国政府下定决心取消网络实名制。
韩国实践表明:手机实名制挡不住犯罪分子购买手机,因为电话诈骗犯罪本来就是极少量的专业性组织化团体,绕开实名制几乎没有难度和成本。而针对普通大众的实名制,反而使得犯罪分子方便获得了大量极具价值的个人真实信息,如果没有实名制,不仅大大减少了犯罪分子的犯罪动力,也使诈骗可信度大为降低。