“在互联网上,没人知道你是一条狗。”(On the Internet, nobody knows you're a dog)
这是刊登在1993年7月5日的《纽约客》上的一则漫画。然而,23年过去了,漫画中的话已经不是现实。
现在,在互联网上,别人不仅知道你是人还是狗,还知道你家住哪里,电话号码是多少,孩子是不是马上要出生了,还有……是不是马上要上大学了。
几日前,山东女孩大学学费被骗导致忧郁离世,引起轩然大波。据报道,山东临沂女孩徐玉玉8月19日接到了一通陌生电话,对方声称有一笔2600元助学金要发放给她。按照对方要求,徐玉玉将准备交学费的9900元打入了骗子提供的账号……让骗子得手的一个关键是,在这通陌生电话之前,徐玉玉曾接到过教育部门发放助学金的通知。这意味着,骗子精准掌握了徐玉玉的多类个人信息。
作为一个安全从业人员,安安很绝望地看到,电话诈骗已经和互联网黑产结合得越来越紧密,在可见的未来,类似的诈骗案不仅不会减少,还会越来越多。
个人信息地下产业链
据猎网平台于去年底发布的《现代网络诈骗产业链分析报告》初步统计,在中国,从事网络诈骗产业的人数至少有160万人,“年产值”超过1100亿元。网络诈骗俨然已经是一个规模庞大的“行业”。
在这起诈骗案中,犯罪分子作案的分工很明确,流程也非常简洁。大致的过程是这样:
1. 个人隐私信息流出
2. 个人隐私信息被出售
3. 诈骗团伙利用信息进行诈骗
在上面这个过程中,个人隐私流出的方式不仅方式多,而且成本低,从而造成了诈骗行为的泛滥。而且,因为成熟产业链的存在,参与到步骤3中的诈骗团伙并不需要很高的技术支持,只需要购买个人隐私数据进行诈骗即可。
个人信息如何流出
在山东女孩被骗案件中,某业内人士表示:国内学校,有一半数据都有。即使手头没有的,只要告诉名字,都能拿到。而这些数据又是怎样流入这一黑色产业呢?学生数据流出一般有三种途径:
1. 接触到数据的工作人员泄露数据
2. 黑客入侵目标获取数据
3. 第三方IT系统服务公司在提供服务时获取数据并泄露
数据存储渠道的多样,增加了接触数据人员的数量,也无限放大了内部人员泄密的风险。举个例子,范冰冰在青岛买房,被房管局工作人员截图发到网上,引起轩然大波。类似的,如皋市某女民警女儿在个人空间上传了两张李易峰、杨洋的“常住人口基本信息表”,包括了两人的身份证照片、曾用名、出生年月、户籍所在地等个人信息。
在中国,个人信息的管理者缺乏对隐私保护的有效认知,常常主动或被动地泄露信息。
黑客入侵网站盗取信息则是另一个主要途径,相对于商业性网站,传统的教育网站、事业单位网站的防护措施形同虚设。有团队曾试过“侵入”临沂周边多个市县教育局的网站,发现几分钟就可以进入,相关信息可以随意浏览和下载。倒不是这些黑客的技术有多好,主要是像学校、医院等机构在网络安全防范上投入不够,导致黑客用很简单技术就可以侵入,而这些网站存有大量个人信息。
目前黑客盗取个人信息,已形成一个巨大产业链,一部分黑客在黑进某些网站获取信息后,再在一些论坛、社交群中贩卖信息。
个人信息随意被贩卖
前文提到,个人信息被贩卖的现象已经泛滥,与之相对应的,网络上的数据贩子则随处可见。
据部分数据贩子称,他们手上有全国各地区各行业的各类数据,不只是学生的电话数据,股民的账户数据、机票数据、网络购物数据、新生儿数据等等,他们都可以出售。
以“购买数据”、“电话销售”等关键词,通过QQ软件查找,找到一两百个相关的群,这些群销售包括“精确数据购买”、“机票数据”、“淘宝数据”、“保健数据”、“电话数据”、“丰胸减肥数据“、“一手新生儿数据”等等手机号码资源。
安安通过QQ加好友方式联系到了几名数据卖家。
据几位卖家介绍,他们主要是做电话数据销售,这种数据可以简单分为两类,一类是比较精准的,电话与机主的姓名都有;另一类是比较模糊,仅有电话号码。
卖家称,在售的数据类型包括,今年新开的股票账户,这种一般兜售股票资产类的公司会买的比较多;还有像老年人电话数据,可以推销保健品之类的;当然还有像学生类的电话数据,但买这类数据会相对少些。原因是学生本身不太好骗,且经济能力有限。
这种数据根据新鲜程度,价格也不一样。
根据这几名卖家的报价,100元可以买到2000个电话信息、300元能买10000个电话信息;10万个电话信息卖到1200元,20万个电话信息卖到1800元。
卖家新拿到的信息则贵一点。一位卖家称,8月份刚拿到的数据1毛一条。当然,如果是“没有卖过”的纯一手数据,售价可能会高到1-2元。
关于售卖数据的范围,有卖家宣称销售的是全国数据,买家可以根据地区来选择。以往,购买高中毕业生数据的,多是一些不正规的成人教育或者网络教育学校,但随着生源的减少,这类生意已经熄火。
其他危害
安安作为互联网安全从业者,并不与电话诈骗直接打交道。但是,在现实情况中,黑客盗取了个人信息,除了卖给电话诈骗之外,还可能卖给其他行业的诈骗犯和盗号者。
另一方面,个人隐私被泄露未必会被诈骗,但是却能引起很多困扰:
家里孩子快出生了,很快就有商家推销奶粉
开车在路上刮蹭了一下,很快就有人来推销保险
腿摔折了去医院看病,结果有人来推销拐杖
个人隐私的保护,是一个非常宏大的命题,也是关心到每个人切身利益的问题。