教育系統成黑客攻擊目標 考生個人信息被打包出售
住賓館、寄快遞都有可能泄露個人信息,從而被不法份子利用/肖允
8月21日,18歲的徐玉玉離開了人世。
徐玉玉是今年的高考生,已經被南京郵電大學錄取。8月19日,她接到了一個電話,最終將全家人省吃儉用攢下來的9900元學費全部匯給對方。在確認自己受騙選擇報警后,在回家路上,她呼吸驟停,搶救無效后死亡。
徐玉玉的死激起了軒然大波,人們在同情這個姑娘的同時,再一次點燃對騙子的仇恨。目前,山東警方已就此案成立專案組,力求早日破案。
騙子如何能獲知徐玉玉的高中畢業生身份,進行精準定位的詐騙呢?這成為這場悲劇留給眾人的一大疑問。
每年高考之后,有不少考生會接到一些自稱“招生機構”的詐騙電話。記者調查后發現,網絡上公然售賣考生信息者大有人在。這些賣家對于包含考生姓名、學校、電話、住址在內的信息進行打包出售,卻根本不問買家用途。而考生個人信息與銀行、醫療等行業的個人信息一樣,已然成為黑客利用安全漏洞從事地下黑色產業的關鍵內容。
高考生數據,打包5000元
本應該保密的考生個人信息,卻可以輕易從互聯網上獲取。
8月24日,記者在網絡上發現了大量出售、收購考生信息資料的群。經過身份驗證后,記者加入了其中一個名為“考試數據”的群。
剛進群不久,群主“出售考試名單”就主動添加記者為好友。對方個人資料里寫著“車主、研究生、房地產估價師……”等標簽,記者詢問其是否出售考生資料,對方很快答復:“去年研究生考試160萬考生數據都有,4000元一個省。今年高考考生數據不多,要的話打包給你,5000元。”隨即,對方發過來一張截圖,上面的文件名分別為“湖南全省”、“重慶”、“江蘇”等7省市數十萬名的考生信息。記者問為何只有少數幾個省市的高考考生數據,對方稱“渠道不同,數據和數據當然不一樣了,今年高考考生的數據難搞了。”
有人找高手入侵指定網站
同樣在這個群內,也充斥著大量求購這類考生數據的買家。一個昵稱是“求穩定報考數據商”的買家,表示“只收一手二級建筑師,高考沒有錢的,不收”。當記者細問為什么沒有錢時,對方就不再說話了。另外,一些備注昵稱為“李老師”、“王老師”等自稱招生機構老師的人,還在群內招攬群發短信或者打電話的業務。
在這個群觀察兩天后發現,這里幾乎包含著整個圍繞個人隱私信息的收購、出售、提供群發服務的灰色產業鏈。除了出售、收購個人信息者外,還有不少昵稱為“短信中心”、“呼叫中心”的群內成員。一個名為“短信平臺”的群成員在群內發布“大量發助考廣告,聯通、電信可以一起發,移動小量發送,需要發廣告的朋友趕快聯系”。
昨天,一個昵稱為“前奏”的網友在群內發布了一條“找高手入侵指定網站,長期有單”的消息。記者詢問對方要入侵哪些網站時,“前奏”發來了一張2016年考試時間表,并表示“今年沒考的基本上可以,除了雅思、托福這種考試,銀行從業、會計等都可以。”對方聲稱是一家注冊過的公司,所收集的這些數據將用于“賣助考材料、書籍、培訓等”,并向記者承諾,如果記者能夠拿下銀行從業考試的數據,“起碼五萬”。當記者詢問網上這些考生數據來源時,對方說了一句“數據庫”就匆匆下線了。
黑色鏈上分工特別明確
北京眾安天下負責人、知名白帽子“301”楊蔚對于考生個人信息安全曾做過專門的研究。他講訴了這些泄露的數據是如何一步步匯入黑色產業鏈的。“這些信息非常有價值,有人買就有人賣。既然下游有人愿意花錢,那自然就會有黑客去攻擊這些目標。黑客非法獲取這些信息,拿到數據以后,就會有人接手。這里面還有大量二道販子的存在,在中間賺差價。”楊蔚說,這個鏈條上的人分工特別明確,而且都是“專業”級別的團隊操作。“有些人會專門去聯系相關的培訓機構或詐騙團伙,從而把手上的數據賣到下游。而下游這些團隊,有專人負責詐騙的話術編寫培訓、線上通過第三方支付平臺洗錢、線下ATM機提款等,分工非常明確。”
在分析山東女生受騙的這起事件時,楊蔚稱徐玉玉的個人信息一般有兩種情況可能被詐騙集團掌握。一種是教育機構環節中某個人主動向外售賣,另一種則是黑客從系統中盜取了她的個人信息。不管是哪種方式,這條信息最終都被下游的詐騙團伙拿去利用了。
這些考生的個人信息在地下流通時能獲取多大的利潤呢?楊蔚表示,地下產業鏈里的數據跟市面上做代理一樣,每個人拿的市場價格不一樣,沒有一個非常標準的價格。“一些未成年的黑客往往對金錢沒有概念,最低幾百元可能就會賣到中間商手中,然后有一些中間商會以幾萬元的價格賣到下游。有些職業的黑產團隊,拿到一些信息可能會賣到幾十萬甚至上百萬。”楊蔚說,有些時候這些信息也可能會按條算錢,例如一名考生信息定價為“一分”。
“有的數據是第一手的,沒有人碰過的,價格就會非常高;如果數據已經被利用過很多次,就會變得非常廉價,因為在詐騙團伙看來,經手太多就意味著價值縮水。”
教育系統成攻擊目標之一
在楊蔚看來,一些黑客哪怕只是掌握了這一領域的皮毛,想去攻擊一些地方政府機構、教育機構的網站就已經很容易了。
楊蔚發現,近年來針對考生的個人信息安全事件層出不窮,每年都會發生類似的情況。“這從側面說明,教育系統已經成為黑客攻擊的目標之一。”在楊蔚看來,一方面政府系統、教育機構還有一些公司網站,安全系統非常薄弱,本身就存在很多漏洞,攻擊難度低,這樣的情況下黑客獲取信息會比較容易。另一方面,絕大多數這類網站,沒有專人去負責信息安全,甚至在被黑客攻擊后也察覺不到。“級別越低的單位,因為在信息安全上的投入也相對較低,其安全性就更差,更易被黑客攻擊。”
山東又一學生疑被騙離世
就在徐玉玉受騙事件備受關注之時,同樣來自山東臨沂的大二學生宋振寧,在8月18日接到詐騙電話被騙之后,于8月23日凌晨心臟驟停,離開人世。
據澎湃新聞報道,臨沭縣的大二學生宋振寧,在8月18日接到一個來自濟南的陌生電話,被告知自己的銀行卡號因被人購買珠寶透支了六萬多元。據宋振寧的家人回憶,騙子能夠清楚的報出宋振寧的銀行卡和身份信息,這成為宋振寧上當受騙的關鍵。最終宋振寧在銀行給對方轉去了2000元。回家路上跟親戚聊起這件事,才意識到自己上當受騙。而后宋振寧選擇了報警。但在此之后的8月22日,那個陌生電話再次聯系宋振寧讓其還款,宋的老師和同學稱,宋振寧不知何故將自己的生活費及家中現金存入了銀行卡,當天下午發現卡內的金額都不見了。
懊悔不已的宋振寧在晚飯時跟父母說起了受騙的事,他的父親還寬慰他錢沒了可以再賺,別太難過。然而在8月23日凌晨,宋振寧的家人卻發現他躺在沙發上一動不動,走近才發現他已經停止了呼吸。后經醫生確認,宋振寧死于心臟驟停。
【相關新聞】
上海曾有學生被騙70余萬
記者鄔林樺
晨報訊今年1月18日,同濟大學2013級中法工商管理女大學生小王,在莘莊地鐵站去實習單位浦東振華重工的路上失聯。第二天,松江警方在浙江紹興找到小王,并證實小王系遭遇電信詐騙。
據悉,小王接到一名自稱是聯通的“客服來電”,說她的個人信息被不法分子利用,涉嫌一宗巨額信用卡詐騙,她和家人都有生命危險。隨后騙子同伙又冒充警方將其誘導至所謂“安全基地”紹興,又以將資金轉移到安全賬戶的名義,共被騙取70余萬。
【新聞鏈接】
刑法修正案解決打擊信息泄露兩大難題
記者鄔林樺
晨報訊針對公民信息泄露,《刑法修正案(九)》進一步加強對公民個人信息安全的保護,第二百五十三條規定:
違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。單位犯前三項罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照該款的規定處罰。
在業內人士看來,從“非法獲取公民信息罪”到如今“侵犯公民個人信息罪”,在兩方面改變了過去法律法規中對于解決信息泄露的難點問題:“這一法律條文沒有特定的對象,這意味著不僅是政府部門、金融機構、通訊部門、教育醫療機構,也包括中介企業、物流快遞、網站等各行各業,只要存在符合條款所描述行為的主體都要受到制約。”此外,這是一項獨立罪名,即無需真正造成被害人損失,只要犯罪事實存在即可認定。