“全民狙擊”網(wǎng)絡(luò)詐騙產(chǎn)業(yè)鏈

文／本刊記者　傅宇凡

“全民狙擊”網(wǎng)絡(luò)詐騙產(chǎn)業(yè)鏈

文／本刊記者傅宇凡

準(zhǔn)大學(xué)生徐玉玉受騙致死事件，讓網(wǎng)絡(luò)詐騙治理真正提升到國家層面

2016年9月23日，工信部、中國人民銀行、公安部、最高法院、最高檢察院、銀監(jiān)會等六部門聯(lián)合發(fā)布《關(guān)于防范和打擊電信網(wǎng)絡(luò)詐騙犯罪的通告》（以下簡稱《通告》）。這則通告，正式打響了針對電信網(wǎng)絡(luò)詐騙的“全民狙擊”戰(zhàn)。

8月，僅媒體曝光的電信詐騙案件就有至少4起。山東女孩徐玉玉被騙走9900元學(xué)費(fèi)后心臟驟停，不幸離世；山東大學(xué)生宋振寧被騙猝死；廣東省揭陽市惠來縣準(zhǔn)大學(xué)生蔡淑妍自殺；清華大學(xué)一名教授被騙1760萬元。

山東徐玉玉、宋振寧，廣東蔡淑妍，清華大學(xué)教授……多起事件均來自校園，為何校園電信詐騙如此高發(fā)？校園電信詐騙案為何屢屢得手？事實上，這些案件的發(fā)生，有著共同的幾個關(guān)鍵詞：網(wǎng)絡(luò)隱私泄露、電信通道、銀行支付。

一時間，通信、銀行的監(jiān)管政策被推到風(fēng)口浪尖，如何從源頭上掐斷犯罪的傳播渠道、支付手段兩條補(bǔ)給線，是輿論關(guān)注的核心。《通告》中宣告了“國家行動”的六記“重拳”：自首從寬、堅決拔釘、加速實名、清理銀行賬戶、嚴(yán)保個人信息安全、監(jiān)管問責(zé)，從而將通信、銀行業(yè)納入狙擊戰(zhàn)戰(zhàn)團(tuán)，在源頭上進(jìn)行防范與監(jiān)管。

然而，這只是開啟“全民行動”的第一步，虛擬空間安全問題遠(yuǎn)遠(yuǎn)超出人們的想象，諸多業(yè)內(nèi)專家均提到，短信詐騙越來越精準(zhǔn)，防不勝防，必須加強(qiáng)個人信息立法。

學(xué)生信息最易泛濫

據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的數(shù)據(jù)顯示，63.4%的網(wǎng)民通話記錄、網(wǎng)上購物記錄等信息遭泄露；78.2%的網(wǎng)民個人身份信息曾被泄露，包括姓名、家庭住址、身份證號及工作單位等。多則上億條用戶信息被泄露，少則也有幾萬條。

徐玉玉事件的犯罪嫌疑人陳文輝，選擇以學(xué)生為目標(biāo)，從2016年6月起在網(wǎng)上以每條0.5元的價格購買了數(shù)萬條山東籍高考考生的個人信息，信息內(nèi)容包括學(xué)生姓名、學(xué)校、家庭住址和聯(lián)系電話。而這些學(xué)生的信息在網(wǎng)上泛濫，成本最低，獲取根本沒難度。

他的信息來源上線——18歲的杜天禹，據(jù)相關(guān)媒體報道，杜天禹于4月利用安全漏洞侵入了“山東省2016高考網(wǎng)上報名信息系統(tǒng)”網(wǎng)站，下載了60多萬條山東省高考考生信息，高考結(jié)束后開始在網(wǎng)上非法出售。

而這種個人信息販賣的生意，在網(wǎng)上早已司空見慣，杜天禹僅是其中之一。

有關(guān)調(diào)查發(fā)現(xiàn)，在網(wǎng)上，100元可以買到2000個電話信息、300元能買10000個電話信息，10萬個電話信息賣到1200元，20萬個電話信息賣到1800元。還有人聲稱出售個人全套信息，從身份證復(fù)印件、家庭成員、戶口本復(fù)印件、到網(wǎng)絡(luò)賬戶名都在其中，全套信息的價格是每套3元。

在這樣的網(wǎng)絡(luò)中，徐玉玉不幸成為網(wǎng)絡(luò)詐騙的目標(biāo)，2016年8月19日，徐玉玉接到自稱教育局的電話稱她可以領(lǐng)到2600元助學(xué)金，于是一步一步走進(jìn)詐騙者的圈套，最終被騙走父母為她辛苦積攢的學(xué)費(fèi)9900元，21日，徐玉玉報案后回家路上傷心欲絕，郁結(jié)于心，最終導(dǎo)致心臟驟停，無力回天。

圖片由“易安在線”提供，繪畫支持：潘浩子

1760萬元被騙事件的背后

徐玉玉、宋振寧、蔡淑妍的事件令人心痛，而仔細(xì)回顧清華大學(xué)教授被騙1760萬元的事件細(xì)節(jié)，則是發(fā)人深思的教訓(xùn)。

這位53歲的清華大學(xué)教授賣了房，剛剛回到家就接到了詐騙電話，稱她漏繳各種稅款等。更重要的是，騙子顯然掌握了賣房信息，“網(wǎng)簽合同的編號是多少，各種交易中很細(xì)節(jié)的一些信息，騙子都能說得頭頭是道”。第六屆上海市信息安全活動周開幕演講中，復(fù)旦大學(xué)教授楊珉透露了該事件的更多細(xì)節(jié)。

據(jù)內(nèi)部信息了解，該受害人與詐騙電話通話的時間并不短。教授是2016年7月23日下午4點(diǎn)多接到詐騙電話，而當(dāng)天下午即有系統(tǒng)檢測出該詐騙電話，警方聯(lián)系提醒該教授，第二天，警方的虛假網(wǎng)址系統(tǒng)又被檢出，于是，警方再次打電話讓其丈夫勸阻，前后至少3個電話都未能阻止教授的一意孤行，警方的示警電話一再被拒：“這事你們不用管了?！弊詈螅?月30日，該教授才報案稱被騙了1760萬元。

而我們上網(wǎng)稍作了解，也能發(fā)現(xiàn)，2014年武漢也曾發(fā)生同樣的詐騙事件，同樣的手法，同樣的套路，遭遇詐騙的武漢一國企財務(wù)部部長黃某，在5小時內(nèi)分十多次將1700萬元公款轉(zhuǎn)到騙子的賬戶。

根據(jù)權(quán)威數(shù)據(jù)，電信詐騙已經(jīng)形成完整的黑色產(chǎn)業(yè)鏈，其從業(yè)人數(shù)超過160萬人，詐騙“年產(chǎn)值”達(dá)1152億元。

盡管事后人們都認(rèn)為詐騙手法并不高明，然而，利用社會工程學(xué)原理的網(wǎng)絡(luò)詐騙騙到的并不僅僅是普通人，有時連電信專家也能中招。復(fù)旦大學(xué)楊珉教授也舉了信息安全業(yè)內(nèi)專家受騙的例子，曾有一名業(yè)內(nèi)專家的手機(jī)被帶有木馬病毒的短信擊中，向多名好友發(fā)送一條信息，短信內(nèi)容為“我是某某某，這是我?guī)湍闩牡囊粋€小視頻”，并附上一個鏈接。一夜之間，這名專家的多名好友（不乏安全業(yè)內(nèi)專業(yè)人士）點(diǎn)擊鏈接，造成財物損失。

除了社會工程學(xué)的電信詐騙手段以外，一些高新技術(shù)手段也被不斷采用。目前有7種技術(shù)手段使用頻率較高，范圍較廣：一是偽基站，二是木馬病毒，三是改號軟件，四是釣魚網(wǎng)站，五是“貓池”，六是詐騙Wi-Fi，七是“黑盒”。

針對此，騰訊安全的相關(guān)負(fù)責(zé)人李旭陽認(rèn)為切實可行的方案是，從警方，運(yùn)營商，銀行側(cè)通過大數(shù)據(jù)的方式，識別出詐騙行為，從而物理上阻斷詐騙。一些企業(yè)研發(fā)出的技術(shù)方案，在試點(diǎn)的地區(qū)，部署在運(yùn)營商網(wǎng)絡(luò)的系統(tǒng)對電信詐騙進(jìn)行物理隔絕，從警情數(shù)據(jù)來看，涉案金額可以下降70%～80%。

然而，面對“信息安全背后是一個地下社會，一個江湖的形成”這樣的形勢，防范網(wǎng)絡(luò)安全顯然需要更多的解決方案。

“誰收益，誰擔(dān)責(zé)?！睏铉虢淌诒硎荆訌?qiáng)網(wǎng)絡(luò)信息安全監(jiān)管除了個人用戶須加強(qiáng)信息安全意識，扎緊籬笆防狼之外，尤其要明確責(zé)任主體。

個人隱私數(shù)據(jù)泄漏難堵源頭

復(fù)旦大學(xué)信息網(wǎng)絡(luò)安全研究室的一組研究數(shù)據(jù)表明，在針對谷歌應(yīng)用商城的17425個應(yīng)用分析中發(fā)現(xiàn)，有35個類別都會收集用戶隱私。針對用戶賬號這類的隱私數(shù)據(jù)收集，比例較高的主要是社交應(yīng)用，跟天氣相關(guān)的App等；針對地理位置的隱私信息，在天氣、出行、搜秀這些App當(dāng)中比例比較高；而支付類的應(yīng)用無疑則是隱私收集的高地，無一例外地收集用戶各類個人隱私數(shù)據(jù)?！叭藗儠r常習(xí)慣于享受應(yīng)用軟件帶來的便利，往往不在乎它的風(fēng)險。甚至很多人并不知道軟件裝上之后意味著什么？”楊珉教授還提到，國內(nèi)有關(guān)部門曾針對300多款常用軟件進(jìn)行了檢測，60%涉及個人隱私數(shù)據(jù)泄漏的問題，而且這些軟件都是一些常用軟件，沒有哪個殺毒軟件會將它列入黑名單。

而通過8月集中爆發(fā)的電信詐騙事件來看，值得關(guān)注的是，高校校園師生正在成為個人信息泄露的重災(zāi)區(qū)。內(nèi)蒙古某高校曾有一位學(xué)生提到自己因為好奇，用簡單的密碼“123456”就進(jìn)入了該校教學(xué)管理系統(tǒng)的后臺，學(xué)校教師的各類信息、學(xué)生的學(xué)習(xí)成績一覽無余。高校信息管理系統(tǒng)重建設(shè)輕管理的現(xiàn)象，依然存在。

有調(diào)查表明，目前高校各類應(yīng)用系統(tǒng)存在諸多安全漏洞，尤其學(xué)校在安全防護(hù)措施上重視不夠，使得大量的師生數(shù)據(jù)處在漏洞威脅之中。

然而，在高校校園網(wǎng)絡(luò)交流群中，關(guān)于防護(hù)技術(shù)的討論似乎也走到一個“死胡同”。大連理工大學(xué)于廣輝主任認(rèn)為：“基于特征值方法的各種學(xué)習(xí)、改善，只能治標(biāo)不治本。我們還是希望能夠有更好的方法，比如行為分析、背景流量分析、應(yīng)用白名單等方法防護(hù)，但目前還沒看到合適的產(chǎn)品?！?/p>

在高校網(wǎng)絡(luò)管理員群中普遍認(rèn)為，高校缺的不是技術(shù)，缺的是把安全責(zé)任落實到位的管理機(jī)制。清華大學(xué)CCERT鄭先偉提出管理應(yīng)是更重要的環(huán)節(jié)，建議對數(shù)據(jù)庫的使用進(jìn)行嚴(yán)格規(guī)范化管理，他認(rèn)為：“數(shù)據(jù)庫用戶權(quán)限需嚴(yán)格限制，查詢的就只給查詢權(quán)限，越權(quán)或是頻率太高都不行?；A(chǔ)權(quán)限控制需要由數(shù)據(jù)庫廠商進(jìn)行，應(yīng)用畢竟只是在它的基礎(chǔ)上來做的。需要數(shù)據(jù)庫廠商和應(yīng)用開發(fā)多協(xié)調(diào)?！彼ㄗh，今后高校校園信息化的工作第一步是資產(chǎn)評估，“重要的資產(chǎn)必須嚴(yán)格按照要求來做”。

高校各類應(yīng)用系統(tǒng)存在諸多安全漏洞，尤其學(xué)校在安全防護(hù)措施上重視不夠，使得大量的師生數(shù)據(jù)處在漏洞威脅之中。

個人網(wǎng)絡(luò)信息立法呼之欲出

9月底國家網(wǎng)絡(luò)安全宣傳周活動上，中國工程院院士、武漢大學(xué)副校長李建成認(rèn)為，清華大學(xué)教師被騙、宋振寧案等見諸媒體的各類詐騙，暗藏龐大的個人隱私泄露。但“數(shù)據(jù)開放”和“信息安全”是一枚硬幣的正反兩面，他建議，法律為根本，管理和技術(shù)為支撐，“網(wǎng)絡(luò)空間安全法亟待出臺，網(wǎng)絡(luò)空間安全管理規(guī)章條例也亟待出臺，法律和技術(shù)在大數(shù)據(jù)、信息安全方面是同等重要的”。

據(jù)了解，目前《網(wǎng)絡(luò)安全法》已經(jīng)進(jìn)入二次征求意見稿，和初稿相比，已經(jīng)發(fā)生了很大變化。預(yù)計國家將在年底推出《網(wǎng)絡(luò)安全法》。《網(wǎng)絡(luò)安全法》發(fā)布以后，在具體實踐中，還需要更多細(xì)則。同時，互聯(lián)網(wǎng)生態(tài)復(fù)雜，網(wǎng)絡(luò)安全僅僅是其中一個角度，要把互聯(lián)網(wǎng)工作做好，還需要更好的法律環(huán)境。

“誰收益，誰擔(dān)責(zé)?！睏铉虢淌诒硎?，加強(qiáng)網(wǎng)絡(luò)信息安全監(jiān)管除了個人用戶須加強(qiáng)信息安全意識，扎緊籬笆防狼之外，尤其要明確責(zé)任主體。監(jiān)管部門要在法規(guī)的層面上強(qiáng)化責(zé)任主體意識。數(shù)據(jù)由誰拿去，誰就要對確保數(shù)據(jù)安全負(fù)法律主體責(zé)任。此外，提升信息安全治理還要強(qiáng)化立體的全方位測控，懲治犯罪，必須破除地域和部門的界限，建立由公安部門牽頭，銀行、電信運(yùn)營商等共同參與的反電信網(wǎng)絡(luò)詐騙中心，形成協(xié)作共享和快速反應(yīng)聯(lián)動機(jī)制。