电信诈骗还在上演:教育机构和网购行业成信息泄露重灾区

2016年08月30日 17:46 TechWeb
微博 微信 空间 分享 添加喜爱

  TechWeb 8月30日报道 文/王蒙

  8月28日,徐玉玉被骗猝死案中,最后一名嫌犯自首,至此,该案6名嫌犯全部落网。倒卖数据产业链、嫌疑犯所在的福建安溪被媒体一一起底。然而,对于一个隐藏多年的黑色产业,即使遭到了密集式的揭底曝光它仍然还在偷偷运作。

  8月29日晚间,微博网友@越来越老的来来(以下简称“来来”),分享了自己近日遇到的一起电信诈骗案。

  骗子的手法并不高明甚至也不新颖,但可怕的是骗子掌握着来来的建设银行卡号、电话号码、近期网购消费记录。这些信息串连起来,任何个人在骗子面前无异于裸奔。

  个人信息的泄露缘何到了如此可怕的境地?哪些环节的失守导致了今天这样的局面?TechWeb整理了近几年来,有关个人信息泄露的报道,试图梳理出容易泄露个人隐私的几个关键点,希望能够在这个不安全的信息环境里,多一点个人自我保护意识。

  部分教育机构成黑客攻击目标

  山东大学新生徐玉玉之死激起轩然大波,人们在同情这个姑娘的同时也心生疑惑:徐玉玉的个人信息缘何被泄露得如此彻底?

  据澎湃新闻报道,黑客已经成为个人信息地下交易产业链的关键部分。徐玉玉的信息有可能是被黑客盗取后,卖给了诈骗人员。有黑客团队曾试过“侵入”临沂周边多个市县教育局的网站,发现几分钟就可以进入,相关信息可以随意浏览和下载。

  北京众安天下负责人、知名白帽子“301”杨蔚对于考生个人信息安全曾做过专门的研究。他在接受新闻晨报采访时,讲诉了这些泄露的数据是如何一步步汇入黑色产业链的。

  “这些信息非常有价值,有人买就有人卖。既然下游有人愿意花钱,那自然就会有黑客去攻击这些目标。黑客非法获取这些信息,拿到数据以后,就会有人接手。这里面还有大量二道贩子的存在,在中间赚差价。”杨蔚说,这个链条上的人分工特别明确,而且都是“专业”级别的团队操作。“有些人会专门去联系相关的培训机构或诈骗团伙,从而把手上的数据卖到下游。而下游这些团队,有专人负责诈骗的话术编写培训、线上通过第三方支付平台洗钱、线下ATM机提款等,分工非常明确。”

  除了黑客之外,一些教育培训机构内部人员还会主动贩卖考生信息。

  8月24日,北京市海淀法院宣判了一起培训机构员工倒卖学生及家长信息的案件。在培训学校、教育公司工作的杨某、徐某等6人,非法获取、购买200余万条学生及家长信息,除了定点向家长群发广告,还在赶集网、58同城等网络平台出售。最终,杨某、徐某等6人因犯非法获取公民个人信息罪,被海淀法院判处1年3个月、半年及缓刑一年等不同的有期徒刑。

  网络购物成个人信息泄露重灾区

  据CNNIC发布的《中国互联网络发展状况统计报告》显示,截至2016年6月,我国网络购物用户规模达到4.48 亿。网络购物为快节奏的都市生活提供了极大的便捷,但人们在享受这种便捷生活的同时也承担着个人信息泄露的风险。

  央视《新闻直播间》栏目曾详细披露了一起网购诈骗案件的全过程,北京的李小姐在网上购买了一套婴儿用品准备送给朋友,付款成功后的第二天,就接到自称是这家网店客服的电话。

  该“客服”称由于淘宝系统正在升级导致订单失效,需要先退款再购买,并准确说出了李小姐购买的商品名称、收获地址、电话以及所有订单信息。由于信息完全相符,李小姐便没有怀疑,并通过QQ打开对方发来的退款链接,并按提示输入银行卡号、密码、手机号及短信验证码等信息。直接导致李小姐的信用卡被盗刷1.3万元。

  据悉,不法分子之所以能获得消费者交易记录,主要是利用窃取快递数据库、破解卖家和买家常用密码等方式。

  中国互联网协会《中国网民权益保护调查报告2016》显示,近一年的时间,国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。

  运营商业务存在巨大漏洞

  2016年4月,北京移动用户许先生将自己亲身经历的一起电信诈骗案曝光在网络上。

  4月8日下午,许先生先后收到“1065800”、“10086”短信提示订阅某财经杂志手机报,该订阅直接导致许先生手机欠费。想退订的许先生回复了6位数的校验码后,支付宝、三张银行卡、百度钱包里的所有财产全部被转移走。

  网友随后复盘了整个诈骗案发生的全过程:犯罪分子在行动之前就获取了许先生的身份证、手机号、银行卡、移动网上营业厅登陆密码。

  拿到这些信息后,借助10086网上营业厅,139邮箱的官方运营商渠道骗取了许先生的校验码,完成“自助换卡”,用自己手中的空白SIM卡替换了许先生的手机卡,并且使许先生SIM卡作废。

  此时犯罪分子已经完成了偷天换日,成为许先生支付宝、银行卡的真正主人,通过改密码等手段,轻松转走许先生的钱。

  4月12日,北京移动官方对此事做出回应,该手机号码系通过海南海口IP、采用客户自设密码登陆营业厅,并通过客户本机下发的验证码换卡成功,业务流程办理正常。中国移动北京公司已暂停网站自助换卡业务,同时进一步完善临时验证码下发以及门户网站登陆等环节的用户提示。

  据21世纪经济报道,自助换卡业务起源于4G时代。2014年,中国移动4G用户高速增长,为了改善用户体验,中国移动推出“两不一快”服务:客户采用不登记、不换号的方式,用4G USIM卡替换原SIM卡。中国移动免费向用户寄出空白SIM卡,用户通过装有原SIM卡的手机主动发出短信即可完成换卡操作。该操作需要机主本人持原始SIM卡发出换卡请求,安全性很高。

  但需要指出,由于中国移动各省公司自主设计业务模式,北京、上海、广东等数个省市移动公司在开通短信自助换卡的同时,还开通了网上营业厅自助换卡、手机APP自助换卡流程。同时,各省的空白SIM卡不仅掌握在移动手中,诸多社会渠道也拥有发放的权利,甚至淘宝上也可以搜索到这类SIM卡,风险由此而来。

  尽管徐玉玉案的犯罪嫌疑人已经被抓获,但我们的心里并不轻松。因为她的死亡并没有带来这个电信诈骗这个黑色交易链的铲除。

  正如晶报所说,没有什么比生命的消逝更令人痛惜,一些公共治理也往往因生命代价而得到推动。我们希望,一个花季少女的离去,能够让社会告别麻木与沉睡,成为治理个人信息泄露及电信诈骗的分水岭,使这一社会痼疾得到根治。

推荐阅读
聚焦
关闭评论