广东警方缴获一批破解了运营商电话卡实名登记系统的“黑卡”。南方日报记者 郭智军 摄
一个月后,当再谈起“苏经理”的那几通电话,张馨(化名)轻拍着自己的胸口依然直冒冷汗,至今也想不明白,那个假冒的“苏经理”怎么会对她的信息了如指掌?如果不是真的苏经理及时现身,张馨很可能已按照“苏经理”的指示,一步一步地把自己的钱拱手转给别人。
这是一起典型的“精准诈骗”,诈骗分子利用“满天飞”的个人信息,对目标人物进行“画像”,然后有针对性地实施诈骗,令人防不胜防,山东徐玉玉被诈骗案就是这种模式。在今天,通讯信息诈骗的模式也已经从初级的“人海战术”升级到“更加精准、有效率的2.0版本”。
此外,据了解,目前广东的手机实名制率已经达到了98.3%,虽然这个比例已经很高,但是由于基数大,依然有两百多万张卡尚未实名。在信息“裸奔”时代,个人信息到底是如何泄露出去?为何依然有大量用户未完成实名?
对方为何能喊出我的名字?
今年暑假,张馨在广州某家企业实习,实习单位有一名苏经理,只不过两人并无多少交集,互不熟悉。她记得,假冒的“苏经理”能够叫出她的名字,口气也像领导,还疑惑地说:“小张,你怎么没存我号码?”电话中,“苏经理”让张馨来自己的办公室,后来又以临时来了领导为由,让她晚些再来。
张馨告诉记者,在刚开始的几通电话中,她并没有怀疑电话那边的“苏经理”是冒牌货,直到这位“苏经理”向她借钱,让她给领导打钱,这才引起张馨的怀疑——经理怎么会找实习生借钱?后来,张馨把“苏经理”的电话发给自己的实习经理求证,才确认电话中的“苏经理”是冒牌货。
一个多月前,山东徐玉玉被电信诈骗案也是如此,电诈分子可以清楚地叫出她的名字,并知道她在近期办理了助学贷款。正是因为掌握了徐玉玉的这些个人信息,才让徐玉玉没有了戒心。
个人信息的泄露是电信诈骗的第一步,尤其在今天,这些信息可以通过整合分析,为目标对象进行画像,个人信息倒卖在网络上也屡见不鲜。近日,记者获得一些不法分子在网上出售信息的记录,且多为低价出售,几厘钱就可以买一条信息,而这些信息又再不断向别人倒卖。
QQ网友“总有适合你的数据”在倒卖信息中写道:“数据渠道权威!每天都有大批数据涌入,保证质量,成功率高”;“我们精细分工,互相谋利,顺丰面单、电视购物男女总和免单”。QQ网友“因为完美”写道:“养生保健、学生数据,老年保健,女性减肥数据。”
QQ网友“请叫我雷锋”更是写道:“数据就是你的核心,担心受骗上当,给你一个机会,100元60万个数据,可以先发货。”这名网友还强调,需要“客户”提供自己的手机号码,如果不付钱,就会用“呼死你”的技术,将他的手机呼爆。
哪些渠道泄露了个人信息?
这些四处倒卖的个人信息又是如何被泄露的呢?以徐玉玉案为例,根据公安部门后来公布的信息,在徐玉玉案中,犯罪嫌疑人攻击“山东省2016高考网上报名信息系统”,并植入木马病毒,从而获取网站后台登录权限,盗取了包括徐玉玉在内的大量考生报名信息。
北京白帽汇科技有限公司首席安全官邓焕向南方日报记者分析,个人信息泄露主要有三种——网站出现漏洞被攻破;公司出现“内鬼”故意泄露;个人不小心下载病毒软件或登录钓鱼网站。在邓焕看来,在信息发达的今天,个人只要与网络接触,就存在信息泄露的风险,个人信息处在一个“裸奔”的时代。
网站被攻击是常见的一种信息泄露模式,除了一些安全系数低的网站容易被攻破外,那些在国内颇有影响的网站也可能遭遇攻击。根据媒体的公开报道,12306、网易、携程、小米、大众点评、汽车之家等多个知名网站都曾遭遇攻击。
去年10月,乌云漏洞报告平台爆出,网易邮箱存在漏洞,这个漏洞导致163、126邮箱过亿用户数据泄露,涉及邮箱账号、密码、用户密保等。随后有网友表示,自己iCloud账号被黑,绑定的iPhone手机被锁敲诈等,而iCloud账号正是用网易邮箱注册。
根据另一家漏洞报告平台补天漏洞响应平台的数据,截至2015年,该平台报告的已知漏洞就可导致23.6亿条隐私信息泄露,包括个人隐私信息、账号密码、银行卡信息、商业机密信息等。而从2011年至2015年,4年的时间里,就已有11.27亿用户隐私信息被泄露。
公司“内鬼”也是导致信息泄露的常见因素。邓焕介绍,有的网站分为主网、子网多个层次,如果监管不严,尤其是对子网监管不严,“内鬼”很容易就可以将公司的数据挪走。一名不愿透露姓名的房产中介就向记者表示,在一些中介行业,客户信息“共享”是比较常见的事情。
这样的案例有不少,如2011年,某运营商职员苏某私自调取并出售山西全省该运营商手机用户资料;2012年10月,东方航空公司客运营销委员会系统管理员王某,擅自将600余万条“东航万里行”积分卡客户信息资料下载、存储,转交他人出售;2015年3月,6名在京的教育培训机构员工,非法买卖200余万条学生、家长信息。
此外,个人不小心下载恶意软件、登录钓鱼网站,也会导致信息泄露。据邓焕介绍,那些软件和网站会在手机上安装病毒,然后将手机上的各种信息进行收集分析,进行诈骗时更加准确。“在今天,个人信息就像在裸奔。”邓焕感叹道。
200万手机用户为何未实名?
在打击防范电信网络诈骗中,手机实名制的话题也备受关注。在过去很长一段时间,电诈分子所使用的手机号码均为未实名的卡,这为相关部门打击通讯信息诈骗带来了不小的难度。
记者从广东省通信管理局了解到,截至今年8月底,我省的手机实名制率已经达到了98.3%,由于基数大,这也意味着尚有200多万手机用户还未完成实名制。今年8月底,人大代表视察三大运营商广东分公司时曾提出质疑,为何还有这么多用户未完成实名认证?
去年底,广东省人大常委会曾公布《关于落实电信用户真实身份信息登记制度的决定》,要求手机用户在今年3月30日完成实名登记,那些在今年3月30日前未完成实名登记的用户,运营商要催促其在10日内(即4月10日之前)完成。如果在10日内依然不办理,运营商则可以暂停其电信服务,即强制停机;自暂停之日起满90日还未补办,运营商要终止其电信服务,即销号。
据运营商内部人士介绍,除了一部分未实名登记的手机卡被用于电信诈骗,还有相当一部分用户可能是山村的老人,或旅居在国外不方便进行实名登记,运营商无法贸然停机。不过,省通信管理局网络安全管理处副处长刘山葆向记者确认,通管局已要求运营商从10月1日起对未实名的手机用户暂停服务。
那么,实名制在防范电信诈骗上到底能发挥多大作用呢?北京市公安局反电信诈骗专家金大志在接受南方日报记者采访时表示,有一些电信诈骗,须使用智能电话或者VOIP电话,但VOIP电话不能形成回路,如果诈骗团伙想要连续向一个事主施骗,必须给这个事主留一个能够构成回路的电话号码,就是我们常用的手机号码。“如果实行实名制,这些诈骗的号码就不敢被轻易使用。”金大志说。
刘山葆则向记者表示,没有实名制之前,电信诈骗所使用的手机号码都是在街头上买的,成本低、难度小,实名制之后,电诈分子获取手机号难度增大。不过,在白帽汇首席安全官邓焕看来,由于电信诈骗涉及多个环节,手机实名制在防范电信诈骗的问题上所发挥的作用不是太大,更多的是一种震慑作用。
“黑电话卡”从哪里流出?
然而,据记者了解,即便实名登记的手机卡,也可能被用于非法用途,在徐玉玉案中,涉及的两个手机卡均已实名认证。在“最严实名制”实施以来,这些“黑卡”到底是如何流出来的呢?
此前曾有媒体做过调查,在某些摊位批量购买虚拟运营商的卡时,老板会拿出一些已经实名登记过的卡,这也就是业内所说的“养卡”现象。这种现象在基础运营商也存在,一些不法分子盗用别人的身份信息后恶意开卡。在去年9月1日最严实名制实施之前,在不少的办卡网点,只需要输入身份信息就可以办卡。
通信世界网主编郄勇志在接受南方日报记者采访时表示,这种现象在业内比较普遍,一些销售渠道从一些地方购买个人信息,然后开卡再加点钱卖给用户。“一旦发生电信诈骗案之后,也就很难找到幕后的人。”
记者此前也曾报道,中山大学一名在读博士的身份证被他人冒用开通了5张卡,导致她无法再开通该运营商的卡。近日,在佛山读书的季同学也向记者爆料,她的身份证被开通了一张手机卡,并且已经欠费了两千多元,还收到了某运营商的律师函。
在记者的调查中,这两起盗用身份证开的卡,均是去年9月1日之前在一些摊位、网店上办理的。涉事运营商告诉记者,去年9月1日之后,各运营商都对实体渠道配备二代证读取设备或NFC识别器,现场核验用户身份信息,非本人持有身份证将不能开卡,加大了监管力度。
然而,需要注意的是,面对运营商在实名制技术上的限制,已有不法分子开发恶意软件,予以攻破。今年8月,广东省公安厅对外公布的“安网2号”打击利用非法软件办理电话“黑卡”专案收网行动就透露,有不法分子开发了一款软件,可以非法破解运营商电话卡实名登记系统,既售卖软件又贩卖非实名登记的电话卡,造成大量“黑卡”流入社会。如此,又增加了一层安全隐患。
本文转自d1net(转载)