曾敏用力掐了一下自己大腿,有痛感,一切都是真的。這天是她被網(wǎng)絡(luò)詐騙的第三天,但她一直像停留在一個可怕的夢里,走不出來。
2月14日凌晨,有人申請?zhí)砑釉舻腝Q好友,她沒多想,以為是可能認(rèn)識的人,就通過了對方的申請。對方隨即發(fā)給她幾個文件夾,她打開一看,里面全是她的個人信息,有通訊錄、私密照片、手機(jī)里的工作文件等重要內(nèi)容。
(資料圖片僅供參考)
“就像衣服被扒光了一樣?!痹粽f,她想不明白哪個環(huán)節(jié)出了錯,自己的信息會被這樣泄露。在對方的威脅之下,她在半小時內(nèi)給對方轉(zhuǎn)了十幾萬塊錢。
在曾敏被詐騙的兩天前,2月12日晚上,45億條個人信息泄露的消息在網(wǎng)絡(luò)上流傳。這些數(shù)據(jù)主要為網(wǎng)購用戶的個人快遞信息,包括真實姓名、電話與住址等信息,并且出現(xiàn)公開查詢渠道。
劉前偉是數(shù)據(jù)安全專家,從事信息安全二十多年,每個月,他要幫公司的客戶處理五六件重大數(shù)據(jù)泄露事件,查找泄露的原因以及給出保障系統(tǒng)安全的建議。在他看來,國內(nèi)數(shù)據(jù)安全仍然面臨著合規(guī)落地滯后、重要數(shù)據(jù)針對性防護(hù)缺失、缺乏全方位風(fēng)險感知等嚴(yán)重問題。
一次淘寶消費(fèi)記錄、一張快遞外賣訂單、一次招聘網(wǎng)站登記,一場校園招聘公司信息統(tǒng)計……在每一個動向的終端,也許都有一張看不見的網(wǎng)在圍獵個人隱私。這些個人信息流向網(wǎng)絡(luò)世界的每個角落,最后可能變成一把刺向自己的利劍。
“為什么是我”
“為什么是我?”
這是曾敏幾天來不斷問自己的問題,她睡不著吃不下,“難受得惡心想吐”,每天渾渾噩噩,滿腦子都是騙子和被騙的錢。23歲的曾敏在政府單位工作,這被騙走的十幾萬元里,有一部分是她三年來省吃儉用存下來的錢,“就這樣突然沒了”。
那天凌晨,還沒來得及反應(yīng),對方直接通過QQ打語音電話給她,她接了。對面是一個男人的聲音,說著一口不標(biāo)準(zhǔn)的普通話。男人直接表明來意,自己只想要錢。如果給他轉(zhuǎn)錢,他就把這些東西刪干凈;如果不轉(zhuǎn),他就把曾敏的信息全部泄露出去。
曾敏大腦一片空白,心里很害怕。她的第一反應(yīng)是報警求助,但是對方能實時監(jiān)控她的手機(jī),并威脅她說如果報警,他就馬上給她的家人和領(lǐng)導(dǎo)打電話。 “他真的馬上撥通了我領(lǐng)導(dǎo)的電話?!?/p>
在QQ語音通話里,曾敏記得男人說出了這個領(lǐng)導(dǎo)的名字,并聽出是領(lǐng)導(dǎo)的聲音。她當(dāng)時就慌了,很害怕他把手機(jī)里面的信息泄露出去。
對面的人開始引導(dǎo)她轉(zhuǎn)賬過去,等她把自己的幾萬積蓄轉(zhuǎn)過去后,又讓她找家人朋友借錢和貸款?!拔揖驼娴娜凑账f的做了。像是有什么魔力一直牽引著我的恐懼?!?/p>
轉(zhuǎn)完這些錢后,對方還讓她想辦法再給他轉(zhuǎn)五千,“我實在拿不出來了就把電話掛了,但是又害怕他再給我打過來,就把他QQ刪了。” 曾敏回憶。
曾敏留下了轉(zhuǎn)賬記錄和借款記錄,有收款人的姓名,她報了警,以為憑借這些信息就能找到人。但警察告訴她,身份證和銀行卡很可能是騙子買來的,就算找到用戶本人也沒用,“而且看他們那么專業(yè),估計人不在國內(nèi)”。
絕望之下,曾敏把被騙的事情告訴了父母,“他們這個年紀(jì)的人對網(wǎng)絡(luò)詐騙的高級騙術(shù)根本沒有概念,也不理解為什么我會被騙,更不能接受這個錢找不回來了?!币粋€人的時候,曾敏躲在房間里哭。她每天刷著各種和她有相似經(jīng)歷的網(wǎng)絡(luò)文章,從里面獲得“一絲絲安慰和找尋一點(diǎn)點(diǎn)希望?!?/p>
信息安全專家高雪峰的客戶中也有曾敏這樣的情況。違法者發(fā)過來的文件或者鏈接,一般帶有木馬病毒,只要點(diǎn)開就會中毒,電腦或者手機(jī)便被遠(yuǎn)程控制。對方通過這種方式,盜走手機(jī)和電腦里的私密信息,再騙取財物。
高雪峰在個人信息安全領(lǐng)域做了11年,他現(xiàn)在是一家網(wǎng)絡(luò)安全科技公司的創(chuàng)始人,主要負(fù)責(zé)政企方面的信息安全。在他看來,移動互聯(lián)網(wǎng)時代,人們基本上支付、購物、溝通聊天都是通過移動設(shè)備,個人信息的泄露風(fēng)險和應(yīng)對的挑戰(zhàn)越來越大。雖然相關(guān)的法律陸續(xù)出臺,“但是使用網(wǎng)絡(luò)的很多人安全意識不強(qiáng)”。
高雪峰說的相關(guān)法律是,近年來國家相繼出臺的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《個人信息保護(hù)法》等。
但是對于曾敏來說,這些法律是陌生的。她聽說過有保護(hù)個人信息相關(guān)的法律,但總覺得離自己很遙遠(yuǎn),更沒有想過自己會被個人信息反噬。
明碼標(biāo)價的買賣
和曾敏一樣,很多人不知道,在一些網(wǎng)絡(luò)平臺上,原本是隱私的個人信息成了明碼標(biāo)價的商品。
在一些社交軟件群里,包括戶籍、手機(jī)號、定位、查人查檔、財產(chǎn)調(diào)查、開房記錄、流水等在內(nèi)的用戶信息被公開售賣。
澎湃新聞潛入的一個售賣群中,如果只查詢個人基本信息,包括身份證,姓名和地址,價格700元/次,并稱這個價格是最低的代理價。如果想要成為他的代理,需要轉(zhuǎn)給他5000元的代理費(fèi)。
一位信息售賣者說,他們在微信或者QQ等國內(nèi)平臺上沒有個人信息交易的業(yè)務(wù),業(yè)務(wù)目前全部都在海外的社交軟件上進(jìn)行,但是轉(zhuǎn)賬主要通過支付寶賬戶。
“由于目前泄露信息的量比較多,不法分子將各種數(shù)據(jù)做了大數(shù)據(jù)集合。在其中輸入相應(yīng)的需求,系統(tǒng)會自動將相關(guān)信息搜索出來?!睆氖滦畔踩ぷ鞯耐鯘烧f。
不僅僅是一些海外的社交軟件,暗網(wǎng)中的個人數(shù)據(jù)交易量更是不計其數(shù)。暗網(wǎng)又被稱為隱藏網(wǎng)(Hidden Web),普通用戶無法通過常規(guī)互聯(lián)網(wǎng)手段搜索和訪問,它的設(shè)計讓用戶身份高度隱密,暗網(wǎng)社群之間也不能互通。這些泄露出來公開出售的信息,包括政府機(jī)構(gòu)公民信息;銀行、證券等金融機(jī)構(gòu)的客戶信息;各大電信運(yùn)營商的機(jī)主以及互聯(lián)網(wǎng)、快遞、酒店、房地產(chǎn)、航空、醫(yī)院、學(xué)校等各行各業(yè)的客戶信息。
暗網(wǎng)上的信息交易
2月18日,當(dāng)記者追蹤暗網(wǎng)相關(guān)討論帖,進(jìn)入以某海外社交軟件為主的信息查詢和交易群組時,發(fā)現(xiàn)此類群組每個群里都有上萬人參與,24小時內(nèi)持續(xù)活躍人數(shù)在一千左右。
信息售賣群組人工付費(fèi)查詢價格主頁
在這些信息交易的群里,平均每十秒就有一個新用戶進(jìn)群,其中不僅有查詢信息者,還有意欲批量提供隱私信息,尋求長期合作的從業(yè)者。一些群組提供地址找人、關(guān)聯(lián)人物、身份戶籍、手機(jī)機(jī)主、開房記錄、快遞地址、貸款記錄、車牌車主、個人常用密碼、手游及社交網(wǎng)絡(luò)賬號密碼,同名聯(lián)系方式等服務(wù),凡是實名制登記過的個人隱私,只要付費(fèi),都能在一定時限內(nèi),把需要的信息查找出來。甚至有售賣者表示可以通過手機(jī)號定位機(jī)主行蹤,而此類條目在群組中被標(biāo)記為“娛樂用”。
某信息交易群
除了此類人工收費(fèi)服務(wù),在暗網(wǎng)中隱私查詢網(wǎng)站四處遍布,無數(shù)個人信息滾雪球般被人消費(fèi),偷窺,竊取。
對于這種在外網(wǎng)上進(jìn)行個人信息交易的行為,云南凌云律師事務(wù)所主任孫文杰認(rèn)為,“任何個人或單位,如違反國家有關(guān)規(guī)定,不論通過何種形式出售或提供公民個人信息,均構(gòu)成侵犯公民個人信息罪?!?/p>
按照《刑法》第二百五十三條之一“侵犯公民個人信息罪”的規(guī)定,違反國家有關(guān)規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。
社交平臺上的信息交易
另外,信息販賣商通過境外社交軟件和暗網(wǎng)等方式交易往往會隱藏IP地址,無法準(zhǔn)確歸屬于哪個省份或城市進(jìn)行監(jiān)管,存在調(diào)查、取證困難等問題,倒賣的個人信息又用于其他類型的違法犯罪行為,如電信詐騙。
根據(jù)奇安信情報中心的監(jiān)測發(fā)現(xiàn),僅僅是2022年1月到10月,就有超過950億條的中國境內(nèi)機(jī)構(gòu)數(shù)據(jù)在海外被非法交易,其中60%是公民個人信息,約有570多億條,這就相當(dāng)于14億中國人,在2022年的頭十個月里,平均每人泄露了41條個人信息。
對于如何管控上述違法犯罪行為,孫文杰建議,一方面,通過技術(shù)手段監(jiān)管瀏覽登錄境外隱私交易網(wǎng)站的路徑和行為,加強(qiáng)此類案件的日常監(jiān)管;另一方面,應(yīng)設(shè)立國家級的監(jiān)管和處置平臺,加強(qiáng)國際合作,織密全球監(jiān)管網(wǎng)絡(luò)。
“數(shù)據(jù)資產(chǎn)在網(wǎng)上裸奔”
一個隱私查詢網(wǎng)站上寫著一句“隱私已死,看開些?!蓖鯘刹煌膺@個說法,他說,人們需要隱私,也需要安全。
前幾天,高雪峰看到有45億條個人信息泄露的消息后,他在暗網(wǎng)上用自己的電話號碼一查,發(fā)現(xiàn)自己購買過的快遞情況,家庭住址都暴露無遺。 “這種網(wǎng)絡(luò)傳輸都是加密的,很難找到是誰干的,可能人在國外,即便能定位到,也不一定能抓到?!备哐┓逭J(rèn)為很難追查到泄露者。
在數(shù)據(jù)售賣者那里,各種信息都可以被交易,即便只是一個名字。王澤說,另一個例子是機(jī)票,不法者拿到機(jī)票截圖,就可以追蹤到哪個人,坐哪架飛機(jī)等詳細(xì)信息,“危害就很大”。
在高雪峰看來,個人信息最后都是落在企業(yè)的數(shù)據(jù)防護(hù)上面。一個企業(yè)提供的不管是c端的數(shù)據(jù),還是c端的服務(wù),最后都可能產(chǎn)生大量的個人信息數(shù)據(jù),可能會被黑客攻擊或偷走。還有一種泄露的可能是,企業(yè)內(nèi)部人員偷竊數(shù)據(jù),售賣獲利的“也很多”。
在現(xiàn)實生活中,不少APP在未經(jīng)授權(quán)或者越權(quán)的情況下采集用戶信息作公司客群畫像的分析,或者轉(zhuǎn)賣給其他公司獲利。
一些應(yīng)用會“偷聽”你的聊天或者“偷看”用戶的搜索偏好。 “這其實也是一種個人信息的泄露。一些APP可能授權(quán)讓你開啟了麥克風(fēng)的權(quán)限,語音識別捕捉到關(guān)鍵字后做后臺的運(yùn)算。”高雪峰說。
“很多企業(yè)沒有體系規(guī)劃,沒有能力覆蓋到需要保護(hù)的數(shù)據(jù)資產(chǎn)上?!眲⑶皞フf??蛻粽业剿?,說數(shù)據(jù)泄露了。劉前偉就成立“專案組”,“要向醫(yī)生一樣去診斷”,是網(wǎng)絡(luò)問題還是賬號問題,有哪些暴露面,別人通過什么途徑可以獲取這些信息。
在他的客戶里,很多數(shù)據(jù)已經(jīng)泄露出去很長時間,或者有人已經(jīng)在暗網(wǎng)上兜售這些數(shù)據(jù),“這些機(jī)構(gòu)才發(fā)現(xiàn)”, “數(shù)據(jù)資產(chǎn)像在互聯(lián)網(wǎng)上裸奔”。
在高雪峰的客戶里,曾經(jīng)有人被遠(yuǎn)程操控手機(jī),把手機(jī)銀行里的錢都轉(zhuǎn)走。“他的密碼是怎么泄露出去的呢?”高雪峰提醒,很多人習(xí)慣使用同一密碼,如果登錄過不安全的網(wǎng)站,違法者就能借此獲取信息。
不完美的系統(tǒng)
為了防止個人信息在網(wǎng)上泄露,高雪峰通常會在不同情況使用多個密碼,尤其是跟支付相關(guān)的,設(shè)置較為復(fù)雜的密碼。
王澤的日常工作是保障一個網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)安全,如果有非法請求使用個人數(shù)據(jù),他需要出一些策略攔截非正規(guī)途徑的請求。
多年來,他處理過一些惡意軟件、為法庭案件收集過取證信息、在計算機(jī)系統(tǒng)中追捕過黑客、研究了海量的日志數(shù)據(jù)、使用和維護(hù)了各種安全工具。
在他看來,這個信息紛繁的龐大系統(tǒng)是很難盡善盡美的, “不要完全指望企業(yè)能完全保護(hù)好你的數(shù)據(jù),個人的信息安全意識是最重要的?!?/p>
具體來說,他從來不在網(wǎng)購平臺上留下真實名字和詳細(xì)地址,快遞送來時,他直接選擇放在快遞柜。如果一些平臺需要授權(quán)電話號碼,他通常會拒絕使用。他注冊了一個專門接收各種驗證碼的郵箱,同時用虛擬電話號碼注冊各種網(wǎng)絡(luò)信息?!熬蛡€人信息來說,能不授權(quán)就不授權(quán),因為它會共享給第三方,很多人不會去看隱私協(xié)議里寫了什么。”
北京藍(lán)秦律師事務(wù)所主任李文謙建議,不要在網(wǎng)絡(luò)上隨意填寫調(diào)查問卷,不在來源不明網(wǎng)站注冊,不點(diǎn)擊不明短信鏈接,不掃來源不明的二維碼,不在各類社交軟件上暴露過多信息,慎連來源不明的WiFi,不貪小便宜而下載不明app。
經(jīng)歷這次詐騙后,曾敏卸載了聊天軟件。在她被詐騙的第五天,她的貼文下面成了一個樹洞,和她有相同經(jīng)歷的人述說著自己被騙的事。她反過去安慰和她一樣的受害者,“都是騙子的錯,以后保護(hù)好自己的個人隱私”。
曾敏的帖文下面,有跟她一樣遭遇的人留言
(為保護(hù)受訪者隱私,曾敏、王澤為化名。)