網購訂單有13種泄露可能,有的一手信息每條賣7元
追蹤電信詐騙黑色鏈條
 |
|
翟桂溪繪(新華社發) |
近日,多地電信詐騙事件引發廣泛關注。記者調查發現,電信詐騙之所以容易得手,首先是通過高校、政府平臺以及商業活動中的各個環節,大量個人信息被肆意買賣,另一方面是虛假的來電顯示號碼具有極強的欺騙性。
業內專家稱,目前的網絡偵查技術已經足夠應對個人信息泄露、電信詐騙等案件。工信部相關負責人表示,將對虛假詐騙電話進行重點源頭整治,要求電信企業確保主叫號碼的合法性和真實性,及時中止和阻斷不法信息的傳播。
高校信息泄露嚴重,企業泄露的個人信息與個人資產結合最緊密
在不少業內人士看來,互聯網技術發展至今,個人信息特別是身份證號、住址、電話等基礎信息,在流動過程中的多個環節均有泄露。“我們也許早就成了信息‘透明人’。”一位網絡安全專家說。
“個人信息泄露嚴重的當屬高校。”獵豹移動安全專家李鐵軍說,有些部門和單位自身又因數據管理意識薄弱或數據庫安全防范較弱,很容易泄露信息。一旦黑客發現一個漏洞,便可以利用這個漏洞攻擊所有同類型網站,造成大面積信息泄露。
因管理人員意識薄弱引起的泄露,在大學表現得特別突出。其中,QQ群可以說是最沒有技術含量但“有效”的渠道。記者通過QQ聊天軟件輸入“藝術”等院系簡稱,未受到任何阻攔,便直接加入一個名為“12級藝術設計”的QQ群,從群內信息看,該群屬于煙臺大學。
記者在群內找到3份直接標明“名單”的文檔,在“建筑特困和助學貸款畢業生名單”中,姓名、畢業院校、身份證號、手機號、貸款金額等詳細信息暴露無遺。另一份畢業生還款確認名單中,還能找到同一個人的還款金額、疑似還款日期等。
企業泄露的個人信息也不可小覷,這些數據與個人資產結合得更緊密。如京東、淘寶等購物平臺掌握客戶網購訂單,中航信等公司掌握航班機票信息,各種手機理財APP擁有個人金融賬號等。哪怕只有一條信息被詐騙分子利用成功,都會造成財產損失。
深圳前海征信公司信息安全總監戴鵬飛曾梳理網購訂單的4大環節,發現有13種信息泄露的可能,包括商家環節的內部倒賣、病毒攻擊、信息被監聽,用戶環節的賬號被盜,物流環節的內鬼倒賣,電商平臺環節的內部倒賣、系統漏洞等。
記者8月20日在百度貼吧中搜索數據相關的貼吧,發現不少疑似交易個人信息的帖子。記者隨后在“數據資源”吧中隨意加了兩個QQ號碼,對方均表示,可以交易網購訂單等各種數據。記者從一個賣家手中獲取了300個一周前的訂單后,確認是真實發生過的網購訂單。
以“對詐騙是否有幫助”為定價標準,百元以下的生意不屑做
“泄露的個人信息大多用于詐騙。”李鐵軍說,黑客或內鬼拿到最新數據后,會通過QQ群、論壇等途徑倒賣給使用者,或經過掮客注水加工后,倒賣給下游的詐騙者或其他使用者,已經形成了“黑產業鏈”。
記者向數據倒賣者詢價發現,個人信息會以“對詐騙是否有幫助”為標準定價:一手的、隔夜的京東網購訂單數據可賣到每條7元以上,但10天后只能賣每條3角錢,“時間久了,貨都到客戶手里了,就沒法行騙了”。
“個人身份證、住址等基礎信息最不值錢,有時打包出售的幾千萬條身份信息,平均一條只需幾厘錢。”李鐵軍說,這些基礎信息可以從不同渠道獲得,泄露得多,被轉賣得也多,很多基礎的信息甚至可以在網上搜索到并打包下載。
數據掮客還可以反復倒賣個人信息,或注水加工再次出售。據記者了解,1000元買入的批量賬戶數據,只需倒賣兩次,就可以收回成本;不同時間段的老數據注入最新數據列表,便可實現更高回報;不同類型的數據拼在一起,也可以實現更高的價值。
記者采訪發現,低于百元的生意,數據倒賣者是不屑做的,“還不夠麻煩的”。
偵查技術足以應對詐騙案,關鍵是多地多部門協作
調查數據顯示,僅今年二季度,獵網平臺就接到來自全國各地的網絡詐騙舉報5509起,涉案總金額高達4524.8萬元,人均損失8213元。
記者調查發現,大量個人信息被售賣后用于詐騙,受害者損失在百萬元、千萬元的不在少數,如中國裁判文書網今年3月披露的一宗電信詐騙案中,受害者損失達3800萬元。
工信部信息中心工經所所長于佳寧認為,應盡快出臺個人信息保護相關法律,明確個人隱私數據的邊界,明確數據存儲、處理、查詢、使用的規則,明確數據保護的主體責任,明確數據泄露和濫用的處罰方式等。
業內人士認為,對于電信詐騙中最常見的虛假來電顯示號碼應加強監管。據了解,目前,篡改來電顯示或虛假電話號碼產生的渠道主要包括:一是電信企業開展的語音專線業務對主叫號碼未經核驗,給不法分子篡改電話號碼提供了可乘之機;二是不法分子非法經營VIP電話并提供改號服務,可以隨意設置來電顯示號碼;三是國際來電中的虛假主叫號碼;四是通過偽基站發送短信息并隨意設置虛假的發送號碼。
工信部9月6日表示,將對虛假詐騙電話進行重點源頭整治,要求電信企業確保主叫號碼的合法性和真實性。同時面向全國手機用戶提供國際來電的甄別和提示服務,以提高用戶防范意識,降低受騙上當的幾率。依法加大對利用偽基站等開展電信詐騙等違法犯罪活動的懲戒力度。
業內人士認為,防范電信詐騙需要公安、金融、電信、司法等多部門參與,統籌協作,從強化個人信息保護、推進電信卡、銀行卡實名管理、規范身份證件使用管理,提升個人防范意識和公安機關偵破能力等方面建立長效機制。
“目前的網絡偵查技術已經足夠應對個人信息泄露、電信詐騙等案件,關鍵是要多部門、多區域聯動。”李鐵軍說。徐玉玉案中,犯罪嫌疑人在福建,受害者在山東,但經多地、多部門協作,從立案到抓捕犯罪嫌疑人歸案,僅用了數天時間。(許晟、高亢、邵琨、朱基釵、劉碩)
電信詐騙頻發,根在網上個人信息保護乏力
信息泄露 誰該挨“板子”
 |
|
|
8月19日,山東臨沂“準大學生”徐玉玉被“教育局工作人員”電話騙走9900元,不久后心臟驟停,經醫院搶救無效不幸去世。
8月23日,山東臨沐縣大二學生宋振寧也在遭遇詐騙之后心臟驟停,不幸離世。
8月24日,大二學生小文(化名)被“航空公司客服”以發放改簽補償為由,騙走6100元學雜費。
表面上看,悲劇的矛頭直指“電信詐騙”,但究其根源,是受害者的個人信息早已遭泄露。
《中國網民權益保護調查報告(2015)》顯示,63.4%的網民通話記錄、網上購物記錄等活動信息遭泄露;78.2%的網民個人身份信息曾被泄露,包括姓名、家庭住址、身份證號及工作單位等。
究竟誰在販賣個人信息,個人信息保護為何停滯不前,“板子”該打誰?這些問題值得深究。
泄露源頭多 暗結“利益鏈”
互聯網方便了人們的日常生活,但同樣增加了信息泄露的風險。
由于互聯網的開放性、共享性,網絡侵害的后果更不可控。僅在2015年,就有多個數據庫被曝存在嚴重漏洞,用戶的個人信息面臨威脅。知名快遞公司、知名門戶網站紛紛“上榜”。甚至有媒體曝光超30個省市的衛生和社保系統有大量高危漏洞,數千萬用戶的社保信息面臨泄露的風險。
《第38次中國互聯網絡發展狀況統計報告》顯示,截至2016年6月,中國網民規模達7.10億,互聯網普及率51.7%,手機網民占比92.5%。龐大的網民基數帶來海量的信息,隨著網站對于注冊用戶的需求上升,大量用戶信息被保存至網站服務器當中。不法分子便借機通過信息購買、數據盜取等形式獲取用戶個人信息。
近日,不少網友反映,自己在某票務網站的賬號信息被盜,導致被冒充“客服”的行騙者騙走大量現金,行騙者準確地報出了受騙用戶的姓名、電話號、身份證號。有受騙者表示,自己雖然平時有戒備心,但遇到這種情況還是難以辨別。
據公安部門介紹,不法分子非法獲取的公民個人信息種類多樣,已經從簡單的身份信息、家庭地址等,擴展到手機通訊錄、銀行賬號和密碼、出行記錄等,任何主體均可能成為個人信息侵權行為的受害者。同時,泄露源頭多樣,信息盜取技術不斷增強,已經形成了“源頭—中間商—非法使用人員”的利益鏈條和黑色產業。
2016年1月,重慶市公安局巴南區分局曾破獲一起販賣公民個人信息案件,抓獲犯罪嫌疑人53名。案件涉及信息巨大,包括中小學生及家長信息、重慶各大樓盤業主信息、車主信息、銀行客戶信息等,各類公民個人信息數千萬條,存儲量達61.9G。
“問題的根源在于巨大的利益驅動。當前,圍繞個人信息的竊取、販賣以及在此基礎上的電信詐騙和電話營銷的龐大產業鏈已經形成。”上海社會科學院信息研究所信息安全研究中心主任惠志斌說。
遺憾的是,多數網民的信息保護意識不強。《我國公眾網絡安全意識調查報告(2015)》指出,81.64%的網民不注意定期更換密碼,80%網民不考慮安全性隨意連接WiFi。而在注冊不熟悉的網站或下載軟件需簽署用戶信息保護和責任條款時,僅有14.87%的網民會仔細閱讀個人信息保護相關內容。
法律出臺難 維權成本高
“就個人而言,需要提升信息安全的基本意識和技能,最直接的方式就是要通過用戶協議了解平臺收集個人信息的合理范圍和法律責任。”惠志斌說。
隨著近年來由信息泄露導致的詐騙案件頻現,個人信息保護不斷成為社會關注的焦點。2012年12月,全國人大常委會頒布《關于加強網絡信息保護的決定》,將公民個人電子信息保護納入法律層面;2013年7月,工信部制定出臺《電信和互聯網用戶個人信息保護規定》;去年底開始施行的《中華人民共和國刑法修正案(九)》中也專門新設了“侵犯公民個人信息罪”,對于犯罪嫌疑人的判罰最高可達7年有期徒刑。這些法律法規的制定對于公民個人信息保護起到了一定的積極作用。
“我國目前已經對受保護的個人信息范圍作出了具體界定,即‘可識別’身份的個人信息。而不可識別的個人信息則屬于大數據范疇。”中國政法大學傳播法研究中心副主任朱巍說。
北京安理律師事務所高級合伙人王新銳認為,我國沒有專門的《個人信息保護法》,涉及個人信息的相關法律規定較為分散,信息采集、使用缺乏統一規范。普通消費者很難對個人信息保護法律制度有系統的了解,導致個人維權難度加大,維權成本增加。保護公民信息安全,需要統籌協調運營商、服務商、工信、司法等部門在監管體系中的角色,分清責任歸屬,使法律執行、問責及時、有效。
北京市網信辦網絡技術安全處處長張越今表示,隨著互聯網產品的豐富,必須考慮各種不同形態產品的法律共性問題,特別是對于信息安全保護方面的管理規則。網信辦下一步將探索運用市場的資源和技術的力量,加大對違法問題的發現力和制約力。(許一凡 張 璁)
責任編輯:
