首页 »

你的个人信息早泄露了!认清这点,再来谈防诈骗

2019/9/17 8:16:10

你的个人信息早泄露了!认清这点,再来谈防诈骗

“喂,你好。我们这里有一套新楼盘,紧靠9号线,首付只需要……”

 

没等对方说完,Eric直接挂掉了电话。“这是我今天接到的第四通电话了,以前看到座机就不接,没想到现在推销和骗子电话都用手机打了,防不胜防。”他告诉解放日报·上海观察记者。半年内,他几乎每天都会接到几通电话,有推销的,也有诈骗的,“领导就坐我对面,骗子还在电话里装领导叫我去办公室。”

 

跟他一样,多数人都认为个人信息泄露跟中介等服务商有关系。但是,解放日报·上海观察记者了解到,这些线下的信息泄露只是冰山一角,而整座冰山,深藏在网络的各个角落里,在线上,个人信息泄露的规模甚至以“百万”计。

 

 

 

一、

 

裴智勇是猎网平台首席反诈骗专家,这是一个面向全体网民开放的网络诈骗信息举报平台,由北京市公安局网络安全保卫总队和360互联网安全中心联合发起成立。

 

他列举了一组数据:仅2015年,猎网通过检测发现,可能已有55.3亿条个人信息被泄露(注:由于漏洞为白帽子提交,只能确认信息泄露的可能性,不能确认信息是否已经被攻击者窃取),如果按照现有7亿网民来计算,每个网民的信息可能被泄露过7~8次。

 

显然,这么大规模的信息泄漏绝非是房产中介等可以相比拟的,“黑客入侵”才是罪魁祸首。“我预估90%~95%的个人信息泄漏都跟黑客入侵有关系。”裴智勇告诉记者,按照网站性质分类,企业网站显然是最受黑客青睐的,可能泄露的信息量高达25.9亿条,而政府网站和事业单位网站的泄漏量也不低,分别为9.5亿条和3.7亿条。

 

更可怕的是,黑客们还是这些网站的“常客”——你的个人信息不止泄露一次,不止泄露给一个人。

 

“黑客一旦入侵数据库,就会把整个个人信息库’拖’走,经过我们监测,有些网站频繁被黑客攻击,数据库就好像他们的仓库,想要什么随时来取。”裴智勇这么比喻。

 

随着各地对电信诈骗的逐渐重视,黑客们也学乖了,再也不出售“新鲜出炉”的数据库,而是会捂上3个月至半年再通过线人出售,而诈骗团伙也会等上一段时间再实施诈骗。

 

 既然这么多网站已然成为黑客的“仓库”,难道网站的负责人们毫不知情吗?

 

“国内有黑客,但也有很多白帽子,他们善意入侵网站,找出漏洞,并提交给网站,希望补缺漏洞。”裴智勇表示,即便第一时间通过网站官网上提供的联系方式向相关网站报告漏洞及漏洞细节,但漏洞修复率依然过低。根据统计数据,网站在收到相关漏洞报告后,平均修复率仅为4.7%,超过95%的网站漏洞长期得不到修复。

 

即便是网站漏洞可以修复,但修复时间过长也为黑客提供了可乘之机。《2015年中国网站安全报告》显示,24小时内修复的比例为10.3%,2-3天内修复的比例为14.1%,4-7天内修复的比例为23.8%,8-30天内修复的比例为24.2%,而修复周期大于30天的,占比为27.7%。

 

修补漏洞是否需要很大成本,导致很多网站才不愿修复?面对记者的疑问,裴智勇表示,多数网站都有能力修复漏洞,只是管理员缺乏安全意识罢了。“很多网站管理者普遍存在‘重上线,轻管理;重功能,轻安全;重收益,轻保护’的发展思维,更有部分创业型企业的网站管理者完全不知道安全漏洞究竟会给自己带来什么风险。”

二、

 

如果把个人信息泄露全怪在网站身上,也不尽合理。一些无心之举,也可能分分钟把自己给卖了。

 

“比如你随时捧着的手机就是黑客眼中的‘宝库’,一个恶意程序App就能轻松将手机通讯录全部拱手送给黑客。”裴智勇说,当下很多App都会要求读取手机通讯录、短信、通话记录等权限,这为恶意程序提供了方便之门。他根据监测数据推算,全国用户全年平均可能被盗取联系人信息14.4亿条,短信71.8亿条,通话记录51.5亿条、照片252万张。

 

还有新型的钓鱼网站巧借微信“还魂”,殊不知朋友圈里多少积分兑换、抢红包和网络投票,都是钓鱼网站的“外衣”。

 

以往在PC端,钓鱼网站再如何伪装,还可以通过域名来加以判断,然而朋友圈内的分享却无法直接辨识域名,只要页面做得逼真,再加上对熟人没有戒备心,很多网友因此“入坑”。

 

“还有不要忘了二手手机,不少人在更换旧手机时不注意,所有通讯录也被二手贩子给盗走拿去卖了。”裴智勇也不否认,线下的中介等机构等也存在个人信息泄露的问题,但是跟网上的不是一个数量级。

 

 

三、

 

仅仅是个人信息泄漏,电信诈骗还不至于如此猖獗,这只是个开端。背后一整条产业链,才可能是夺走受害者钱财,甚至性命的元凶。

 

通过对大量网络诈骗犯罪活动及网络诈骗犯罪团伙的追踪研究,猎网平台发现,网络电信诈骗犯罪往往是有组织、成规模的。即便是那些手法最简单、最传统的诈骗,通常来说也不是一两个人能够独立完成的,而是由10人或10人以上的有组织团伙共同完成。极端情况下,还会出现几十人、上百人甚至参与。这些团伙分工明确,相互配合,协同作案,形成了一条完整的犯罪产业链。

 

裴智勇介绍,网络电信诈骗产业链通常可以分为4个主要环节、15种具体不同的分工。这4大环节包括:开发制作、批发零售、诈骗实施和分赃销赃。而15个具体的分工工种为:钓鱼编辑、木马开发、盗库黑客、钓鱼零售商、域名贩子、个信批发商、银行卡贩子、电话卡贩子、身份证贩子、电话诈骗经理、短信群发代理、在线推广技师、财务会计师、ATM小马仔、分赃中间人。

 

他解释了整个犯罪的大致过程:首先,“开发员”主要为网络诈骗提供各种技术工具,如木马病毒,钓鱼网站等,并盗取个人信息。他们通常情况下不会直接参与网络诈骗的实施过程,往往隐藏较深,不易被发现。随后,“批发商”从黑客手中购买木马病毒、钓鱼网站和个人信息等之后专卖给真正实施网络诈骗的团伙,并从中获利。

 

接下来,就到了我们最熟悉的“诈骗实施”环节。“他们集中了受害者的仇恨,事实上既不是直接拿走钱的人,也不是诈骗犯罪活动中获利最多的人,而通常仅仅只是参与分赃的一份子。”

 

诈骗一旦实施成功,就进入分赃销赃的环节。诈骗团伙一旦骗到钱,必须立即将赃款从一个网银账户转移分散到多个其他的网银账户,以增加警方破案和银行冻结账户的难度。转账完成之后,会有专人负责去ATM机提款,再把赃款分配给其他参与诈骗活动人员的中间人。

 

然而,这条成熟的产业链近年来变得更“专业”了,甚至出现了专门的“诈骗策划师”和“心理培训师”。“策划师”针对现已掌握的个人信息,策划出新的诈骗方式,而“培训师”则对实施诈骗的“客服人员”进行培训,教授如何攻破受害者的心理防线,一步步“引君入瓮”。“前段时间,警方掌握了一个犯罪团伙的资料,其中就有几个小时的培训课程,教你怎么诈骗。”裴智勇告诉记者。

 

四、

 

既然电信诈骗如此猖獗,我们是否只能坐以待毙呢?

 

抓源头与提高防骗技能,也许是不错的选择。

 

记者发现,虽然现有法条规定了“非法获取公民个人信息罪”,明确“窃取或以其他方式非法获取个人信息,情节严重的,依据前款的规定处罚”,但现实中因为种种原因,网站仍对安全漏洞“不上心”。

 

“我倒是有个想法,比如出台相应政策,让网站像汽车一样,每年都需要年检和年审,对安全方面不达标的,限期整改,不整改的关停,尤其是针对实名登记的网站。”裴智勇建议。

 

相比网站的积极做法,用户在防骗方面只能多下功夫了。

 

裴智勇给出了4条实用的建议。

 

首先,多关注最新的电信诈骗案例。由于诈骗手法总是在推陈出新,哪怕是裴智勇这种安全方面的“老司机”,也遇到过堪称完美的诈骗,因此防骗意识也要及时跟上。

 

其次,只要是陌生电话,无论对方说出了你的多少信息,哪怕是亲朋好友的信息,涉及金钱的都不要相信,因为“你的个人信息早已被泄露”。

 

第三、接到银行、运营商等的电话,了解清楚事情之后,挂断电话。确认清楚官方电话,再拨回去。这样虽然麻烦了点,但是可以确保不是诈骗电话。毕竟现有的科技手段可以将诈骗电话,伪装显示成官方电话。

 

第四、但凡涉及“ATM机操作”和“公检法”的电话,一律挂断。