2016年9月23日,工信部、中國人民銀行、公安部、最高法院、最高檢察院、銀監會等六部門聯合發布《關于防範和打擊電信網絡詐騙犯罪的通告》(以下簡稱《通告》)。這則通告,正式打響了針對電信網絡詐騙的“全民狙擊”戰。
8月,僅媒體曝光的電信詐騙案件就有至少4起。山東女孩徐玉玉被騙走9900元學費後心髒驟停,不幸離世;山東大學生宋振甯被騙猝死;廣東省揭陽市惠來縣準大學生蔡淑妍自殺;清華大學一名教授被騙1760萬元。
山東徐玉玉、宋振甯,廣東蔡淑妍,清華大學教授⋯⋯多起事件均來自校園,為何校園電信詐騙如此高發?校園電信詐騙案為何屢屢得手?事實上,這些案件的發生,有着共同的幾個關鍵詞:網絡隐私洩露、電信通道、銀行支付。
一時間,通信、銀行的監管政策被推到風口浪尖,如何從源頭上掐斷犯罪的傳播渠道、支付手段兩條補給線,是輿論關注的核心。《通告》中宣告了“國家行動”的六記“重拳”:自首從寬、堅決拔釘、加速實名、清理銀行賬戶、嚴保個人信息安全、監管問責,從而将通信、銀行業納入狙擊戰戰團,在源頭上進行防範與監管。
然而,這隻是開啟“全民行動”的第一步,虛拟空間安全問題遠遠超出人們的想象,諸多業内專家均提到,短信詐騙越來越精準,防不勝防,必須加強個人信息立法。
學生信息最易泛濫
據中國互聯網協會發布的數據顯示,63.4%的網民通話記錄、網上購物記錄等信息遭洩露;78.2%的網民個人身份信息曾被洩露,包括姓名、家庭住址、身份證号及工作單位等。多則上億條用戶信息被洩露,少則也有幾萬條。
徐玉玉事件的犯罪嫌疑人陳文輝,選擇以學生為目标,從2016年6月起在網上以每條0.5元的價格購買了數萬條山東籍高考考生的個人信息,信息内容包括學生姓名、學校、家庭住址和聯系電話。而這些學生的信息在網上泛濫,成本最低,獲取根本沒難度。
他的信息來源上線——18歲的杜天禹,據相關媒體報道,杜天禹于4月利用安全漏洞侵入了“山東省2016高考網上報名信息系統”網站,下載了60多萬條山東省高考考生信息,高考結束後開始在網上非法出售。
而這種個人信息販賣的生意,在網上早已司空見慣,杜天禹僅是其中之一。
有關調查發現,在網上,100元可以買到2000個電話信息、300元能買10000個電話信息,10萬個電話信息賣到1200元,20萬個電話信息賣到1800元。還有人聲稱出售個人全套信息,從身份證複印件、家庭成員、戶口本複印件、到網絡賬戶名都在其中,全套信息的價格是每套3元。
在這樣的網絡中,徐玉玉不幸成為網絡詐騙的目标,2016年8月19日,徐玉玉接到自稱教育局的電話稱她可以領到2600元助學金,于是一步一步走進詐騙者的圈套,最終被騙走父母為她辛苦積攢的學費9900元,21日,徐玉玉報案後回家路上傷心欲絕,郁結于心,最終導緻心髒驟停,無力回天。
圖片由“易安在線”提供,繪畫支持:潘浩子1760萬元被騙事件的背後
徐玉玉、宋振甯、蔡淑妍的事件令人心痛,而仔細回顧清華大學教授被騙1760萬元的事件細節,則是發人深思的教訓。
這位53歲的清華大學教授賣了房,剛剛回到家就接到了詐騙電話,稱她漏繳各種稅款等。更重要的是,騙子顯然掌握了賣房信息,“網簽合同的編号是多少,各種交易中很細節的一些信息,騙子都能說得頭頭是道”。第六屆上海市信息安全活動周開幕演講中,複旦大學教授楊珉透露了該事件的更多細節。
據内部信息了解,該受害人與詐騙電話通話的時間并不短。教授是2016年7月23日下午4點多接到詐騙電話,而當天下午即有系統檢測出該詐騙電話,警方聯系提醒該教授,第二天,警方的虛假網址系統又被檢出,于是,警方再次打電話讓其丈夫勸阻,前後至少3個電話都未能阻止教授的一意孤行,警方的示警電話一再被拒:“這事你們不用管了。”最後,8月30日,該教授才報案稱被騙了1760萬元。
而我們上網稍作了解,也能發現,2014年武漢也曾發生同樣的詐騙事件,同樣的手法,同樣的套路,遭遇詐騙的武漢一國企财務部部長黃某,在5小時内分十多次将1700萬元公款轉到騙子的賬戶。
根據權威數據,電信詐騙已經形成完整的黑色産業鍊,其從業人數超過160萬人,詐騙“年産值”達1152億元。
盡管事後人們都認為詐騙手法并不高明,然而,利用社會工程學原理的網絡詐騙騙到的并不僅僅是普通人,有時連電信專家也能中招。複旦大學楊珉教授也舉了信息安全業内專家受騙的例子,曾有一名業内專家的手機被帶有木馬病毒的短信擊中,向多名好友發送一條信息,短信内容為“我是某某某,這是我幫你拍的一個小視頻”,并附上一個鍊接。一夜之間,這名專家的多名好友(不乏安全業内專業人士)點擊鍊接,造成财物損失。
除了社會工程學的電信詐騙手段以外,一些高新技術手段也被不斷采用。目前有7種技術手段使用頻率較高,範圍較廣:一是僞基站,二是木馬病毒,三是改号軟件,四是釣魚網站,五是“貓池”,六是詐騙Wi-Fi,七是“黑盒”。
針對此,騰訊安全的相關負責人李旭陽認為切實可行的方案是,從警方,運營商,銀行側通過大數據的方式,識别出詐騙行為,從而物理上阻斷詐騙。一些企業研發出的技術方案,在試點的地區,部署在運營商網絡的系統對電信詐騙進行物理隔絕,從警情數據來看,涉案金額可以下降70%~80%。
然而,面對“信息安全背後是一個地下社會,一個江湖的形成”這樣的形勢,防範網絡安全顯然需要更多的解決方案。“誰收益,誰擔責。”楊珉教授表示,加強網絡信息安全監管除了個人用戶須加強信息安全意識,紮緊籬笆防狼之外,尤其要明确責任主體。個人隐私數據洩漏難堵源頭
複旦大學信息網絡安全研究室的一組研究數據表明,在針對谷歌應用商城的17425個應用分析中發現,有35個類别都會收集用戶隐私。針對用戶賬号這類的隐私數據收集,比例較高的主要是社交應用,跟天氣相關的App等;針對地理位置的隐私信息,在天氣、出行、搜秀這些App當中比例比較高;而支付類的應用無疑則是隐私收集的高地,無一例外地收集用戶各類個人隐私數據。“人們時常習慣于享受應用軟件帶來的便利,往往不在乎它的風險。甚至很多人并不知道軟件裝上之後意味着什麼?”楊珉教授還提到,國内有關部門曾針對300多款常用軟件進行了檢測,60%涉及個人隐私數據洩漏的問題,而且這些軟件都是一些常用軟件,沒有哪個殺毒軟件會将它列入黑名單。
而通過8月集中爆發的電信詐騙事件來看,值得關注的是,高校校園師生正在成為個人信息洩露的重災區。内蒙古某高校曾有一位學生提到自己因為好奇,用簡單的密碼“123456”就進入了該校教學管理系統的後台,學校教師的各類信息、學生的學習成績一覽無餘。高校信息管理系統重建設輕管理的現象,依然存在。
有調查表明,目前高校各類應用系統存在諸多安全漏洞,尤其學校在安全防護措施上重視不夠,使得大量的師生數據處在漏洞威脅之中。
高校各類應用系統存在諸多安全漏洞,尤其學校在安全防護措施上重視不夠,使得大量的師生數據處在漏洞威脅之中。然而,在高校校園網絡交流群中,關于防護技術的讨論似乎也走到一個“死胡同”。大連理工大學于廣輝主任認為:“基于特征值方法的各種學習、改善,隻能治标不治本。我們還是希望能夠有更好的方法,比如行為分析、背景流量分析、應用白名單等方法防護,但目前還沒看到合适的産品。”
在高校網絡管理員群中普遍認為,高校缺的不是技術,缺的是把安全責任落實到位的管理機制。清華大學CCERT鄭先偉提出管理應是更重要的環節,建議對數據庫的使用進行嚴格規範化管理,他認為:“數據庫用戶權限需嚴格限制,查詢的就隻給查詢權限,越權或是頻率太高都不行。基礎權限控制需要由數據庫廠商進行,應用畢竟隻是在它的基礎上來做的。需要數據庫廠商和應用開發多協調。”他建議,今後高校校園信息化的工作第一步是資産評估,“重要的資産必須嚴格按照要求來做”。
個人網絡信息立法呼之欲出
9月底國家網絡安全宣傳周活動上,中國工程院院士、武漢大學副校長李建成認為,清華大學教師被騙、宋振甯案等見諸媒體的各類詐騙,暗藏龐大的個人隐私洩露。但“數據開放”和“信息安全”是一枚硬币的正反兩面,他建議,法律為根本,管理和技術為支撐,“網絡空間安全法亟待出台,網絡空間安全管理規章條例也亟待出台,法律和技術在大數據、信息安全方面是同等重要的”。
據了解,目前《網絡安全法》已經進入二次征求意見稿,和初稿相比,已經發生了很大變化。預計國家将在年底推出《網絡安全法》。《網絡安全法》發布以後,在具體實踐中,還需要更多細則。同時,互聯網生态複雜,網絡安全僅僅是其中一個角度,要把互聯網工作做好,還需要更好的法律環境。
“誰收益,誰擔責。”楊珉教授表示,加強網絡信息安全監管除了個人用戶須加強信息安全意識,紮緊籬笆防狼之外,尤其要明确責任主體。監管部門要在法規的層面上強化責任主體意識。數據由誰拿去,誰就要對确保數據安全負法律主體責任。此外,提升信息安全治理還要強化立體的全方位測控,懲治犯罪,必須破除地域和部門的界限,建立由公安部門牽頭,銀行、電信運營商等共同參與的反電信網絡詐騙中心,形成協作共享和快速反應聯動機制。