记者 王伟凯 2016-09-21 06:00
一个月后,当再谈起“苏经理”的那几通电话,张馨(化名)轻拍着自己的胸口依然直冒冷汗,她至今也想不明白,那个假冒的“苏经理”怎么会对她的信息了如指掌?如果不是真的苏经理及时现身,自恃聪明的张馨很有可能已经按照“苏经理”的指示,一步一步地把自己的钱拱手转给别人。
这是一起典型的“精准诈骗”,诈骗分子利用“满天飞”的个人信息,对目标人物进行“画像”,然后有针对性地实施诈骗,令人防不胜防。我们的信息到底是怎么泄露出去的?
对方为何能清楚喊出我的名字?
今年暑假,张馨在广州某家企业实习,实习单位确实有一位苏经理,只不过两人并无多少交集,互不熟悉。她记得,假冒的“苏经理”能够叫出她的名字,口气也像领导,还疑惑地说:“小张,你怎么没存我号码?”电话中,“苏经理”让张馨来自己的办公室,后来又以临时来了领导为由,让她晚些再来。
张馨告诉记者,在刚开始的几通电话中,她并没有怀疑电话那边的“苏经理”是冒牌货,直到这位“苏经理”向她借钱,让她给领导打钱,这才引起张馨的怀疑——经理怎么会找实习生借钱?后来,张馨把“苏经理”的电话发给自己的实习经理求证,才确认电话中的“苏经理”是冒牌货。
一个多月前,山东徐玉玉被电信诈骗案也是如此,电诈分子可以清楚地叫出她的名字,并知道她在近期办理了助学贷款,也正是因为掌握了徐玉玉的这些个人信息,才让徐玉玉没有了戒备心。
个人信息的泄露是电信诈骗的第一步,尤其在今天,这些信息可以通过整合分析,为目标对象进行画像,个人信息倒卖在网络上也屡见不鲜。近日,记者获得一些不法分子在网上出售信息的记录,且多为低价出售,几厘钱就可以买一条信息,而这些信息又再不断向别人倒卖。
哪些渠道泄露了个人信息?
这些四处倒卖的个人信息又是如何被泄露的呢?以徐玉玉案为例,根据公安部门后来公布的信息,在徐玉玉案中,犯罪嫌疑人攻击“山东省2016高考网上报名信息系统”,并植入木马病毒,从而获取网站后台登录权限,盗取了包括徐玉玉在内的大量考生报名信息。
北京白帽汇科技有限公司首席安全官邓焕向南方日报记者分析,个人信息泄露主要有三种——网站出现漏洞被攻破;公司出现“内鬼”故意泄露;个人不小心下载病毒软件或登陆钓鱼网站。在邓焕看来,在信息发达的今天,个人只要与网络接触,就存在信息泄露的风险,个人信息处在一个“裸奔”的时代。
网站被攻击是常见的一种信息泄露模式,除了一些安全系数低的网站容易被攻破外,那些在国内颇有影响的网站也可能遭遇攻击。根据媒体的公开报道,12306、网易、携程、小米、大众点评、汽车之家等多个知名网站都曾遭遇攻击。
公司“内鬼”也是导致信息泄露的常见因素。邓焕介绍,有的网站分为主网、子网多个层次,如果监管不严,尤其是对子网对监管不严,“内鬼”很容易就可以将公司的数据挪走。一位不愿透露姓名的房产中介就向记者表示,在一些中介行业,客户信息“共享”是比较常见的事情。
这样的案例有不少,如2011年,某运营商职员苏某私自调取并出售山西全省该运营商手机用户资料;2012年10月,东方航空公司客运营销委员会系统管理员王某,擅自将600余万条“东航万里行”积分卡客户信息资料下载、存储,转交他人出售;2015年3月,6名在京的教育培训机构员工,非法买卖200余万条学生、家长信息。
此外,个人不小心下载恶意软件、登陆钓鱼网站,也会导致信息泄露。据邓焕介绍,那些软件和网站会在手机上安装病毒,然后将手机上的各种信息进行收集分析,进行诈骗时更加准确。“在今天,个人信息就像在裸奔。”邓焕感叹。
为何还有200万手机用户未实名?
相对于个人信息被泄露,手机实名制也备受关注。在过去很长一段时间,电诈分子所使用的手机号码均为不实名的卡,这为相关部门打击通讯信息诈骗带来了不小的难度。
记者从广东省通信管理局了解到,截止今年8月底,广东省的手机实名制率已经达到了98.3%,由于基数大,这也意味着尚有200多万手机用户还未完成实名制。今年8月底,人大代表视察三大运营商广东分公司时曾提出质疑,为何还有这么多用户完成实名认证?
据运营商内部人士介绍,除了一部分未实名登记的手机卡被用于电信诈骗,还有相当一部分用户可能是山村的老人,或旅居在国外不方便进行实名登记,运营商无法贸然做停机服务。不过,省通管局网络管理处副处长刘山葆向记者确认,通管局已要求运营商从10月1日起对未实名的手机用户暂停服务。
那么,实名制在防范电信诈骗上到底能发挥多大作用呢?北京市公安局反电信诈骗专家金大志在接受南方日报记者采访时表示,有一些电信诈骗,须使用智能电话或者VOIP电话,但VOIP电话不能形成回路,如果诈骗团伙想要连续向一个事主施骗,必须给这个事主留一个能够构成回路的电话号码,就是我们常用的手机号码。“如果实行实名制,这些诈骗的号码就不敢被轻易使用。”金大志说。
刘山葆则向记者表示,没有实名制之前,电信诈骗所使用的手机号都是在街头上买的,成本低、难度小,实名制之后,电诈分子获取手机号难度增大。不过,在白帽汇首席安全关邓焕看来,由于电信诈骗涉及多个环节,手机实名制在防范电信诈骗的问题上所发挥的作用不是太大,更多的是一种震慑作用。
“黑电话卡”从哪里流出?
然而,即便实名登记的手机卡,也可能被用于非法用途。在徐玉玉案中,涉及的两个手机卡均已实名认证。在“最严实名制”实施以来,这些黑卡到底是如何流出来的呢?
此前曾有媒体做调查,在某些摊位批量购买虚拟运营商的卡时,老板会拿出一些已经实名登记过的卡,这也就是业内所说的“养卡”现象。这种现象在基础运营商也存在,一些不法分子盗用别人的身份信息后恶意开卡。在去年9月1日最严实名制实施之前,在不少的办卡网点,只需要输入身份信息就可以办卡。
通信世界网主编郄勇志在接受南方日报记者采访时表示,这种现象在业内比较普遍,一些销售渠道从一些地方购买个人信息,然后开卡再加点钱卖给用户。“一旦发生电信诈骗案之后,也就很难找到幕后的人。”
记者此前也曾报道,中山大学一位在读博士的身份证被他人开通了5张卡,导致她无法再开通该运营商的卡。近日,在佛山读书的季同学也向记者爆料,她的身份证被开通了一张手机卡,并且已经欠费了两千多元,还收到了某运营商的律师函。
在记者的调查中,这两起盗用身份证开卡的现象,均是去年9月1日之前在一些摊位、网店上办理。涉事运营商告诉记者,去年9月1日之后,各运营商都对实体渠道配备二代证读取设备或NFC识别器,现场核验用户身份信息,非本人持有身份证将不能开卡,加大了监管力度。
然而,需要注意的是,面对运营商在实名制技术上的限制,已有不法份子开发恶意软件,予以攻破。今年8月,广东省公安厅对外公布的“安网2号”打击利用非法软件办理电话“黑卡”专案收网行动就透露,有不法分子开发了一款软件可以非法破解运营商电话卡实名登记系统,既售卖软件又贩卖非实名登记的电话卡,造成大量“黑卡”流入社会。如此,又增加了一层安全隐患。
【统筹】洪奕宜 程鹏
【记者】王伟凯