教育系统成黑客攻击目标 考生个人信息被打包出售
每年高考之后,有不少考生会接到一些自称“招生机构”的诈骗电话。记者调查后发现,网络上公然售卖考生信息者大有人在。这些卖家对于包含考生姓名、学校、电话、住址在内的信息进行打包出售,却根本不问买家用途。而考生个人信息与银行、医疗等行业的个人信息一样,已然成为黑客利用安全漏洞从事地下黑色产业的关键内容。
8月21日,18岁的徐玉玉离开了人世。
徐玉玉是今年的高考生,已经被南京邮电大学录取。8月19日,她接到了一个电话,最终将全家人省吃俭用攒下来的9900元学费全部汇给对方。在确认自己受骗选择报警后,在回家路上,她呼吸骤停,抢救无效后死亡。
徐玉玉的死激起了轩然大波,人们在同情这个姑娘的同时,再一次点燃对骗子的仇恨。目前,山东警方已就此案成立专案组,力求早日破案。
骗子如何能获知徐玉玉的高中毕业生身份,进行精准定位的诈骗呢?这成为这场悲剧留给众人的一大疑问。
每年高考之后,有不少考生会接到一些自称“招生机构”的诈骗电话。记者调查后发现,网络上公然售卖考生信息者大有人在。这些卖家对于包含考生姓名、学校、电话、住址在内的信息进行打包出售,却根本不问买家用途。而考生个人信息与银行、医疗等行业的个人信息一样,已然成为黑客利用安全漏洞从事地下黑色产业的关键内容。
高考生数据,打包5000元
本应该保密的考生个人信息,却可以轻易从互联网上获取。
8月24日,记者在网络上发现了大量出售、收购考生信息资料的QQ群。经过身份验证后,记者加入了其中一个名为“考试数据”的QQ群。
刚进群不久,群主“出售考试名单”就主动添加记者为好友。对方个人资料里写着“车主、研究生、房地产估价师……”等标签,记者询问其是否出售考生资料,对方很快答复:“去年研究生考试160万考生数据都有,4000元一个省。今年高考考生数据不多,要的话打包给你,5000元。”随即,对方发过来一张截图,上面的文件名分别为“湖南全省”、“重庆”、“江苏”等7省市数十万名的考生信息。记者问为何只有少数几个省市的高考考生数据,对方称“渠道不同,数据和数据当然不一样了,今年高考考生的数据难搞了。”
有人找高手入侵指定网站
同样在这个QQ群内,也充斥着大量求购这类考生数据的买家。一个昵称是“求稳定报考数据商”的买家,表示“只收一手二级建筑师,高考没有钱的,不收”。当记者细问为什么没有钱时,对方就不再说话了。另外,一些备注昵称为“李老师”、“王老师”等自称招生机构老师的人,还在群内招揽群发短信或者打电话的业务。
在这个QQ群观察两天后发现,这里几乎包含着整个围绕个人隐私信息的收购、出售、提供群发服务的灰色产业链。除了出售、收购个人信息者外,还有不少昵称为“短信中心”、“呼叫中心”的群内成员。一个名为“短信平台”的群成员在群内发布“大量发助考广告,联通、电信可以一起发,移动小量发送,需要发广告的朋友赶快联系”。
昨天,一个昵称为“前奏”的网友在群内发布了一条“找高手入侵指定网站,长期有单”的消息。记者询问对方要入侵哪些网站时,“前奏”发来了一张2016年考试时间表,并表示“今年没考的基本上可以,除了雅思、托福这种考试,银行从业、会计等都可以。”对方声称是一家注册过的公司,所收集的这些数据将用于“卖助考材料、书籍、培训等”,并向记者承诺,如果记者能够拿下银行从业考试的数据,“起码五万”。当记者询问网上这些考生数据来源时,对方说了一句“数据库”就匆匆下线了。
黑色链上分工特别明确
北京众安天下负责人、知名白帽子“301”杨蔚对于考生个人信息安全曾做过专门的研究。他讲诉了这些泄露的数据是如何一步步汇入黑色产业链的。“这些信息非常有价值,有人买就有人卖。既然下游有人愿意花钱,那自然就会有黑客去攻击这些目标。黑客非法获取这些信息,拿到数据以后,就会有人接手。这里面还有大量二道贩子的存在,在中间赚差价。”杨蔚说,这个链条上的人分工特别明确,而且都是“专业”级别的团队操作。“有些人会专门去联系相关的培训机构或诈骗团伙,从而把手上的数据卖到下游。而下游这些团队,有专人负责诈骗的话术编写培训、线上通过第三方支付平台洗钱、线下ATM机提款等,分工非常明确。”
在分析山东女生受骗的这起事件时,杨蔚称徐玉玉的个人信息一般有两种情况可能被诈骗集团掌握。一种是教育机构环节中某个人主动向外售卖,另一种则是黑客从系统中盗取了她的个人信息。不管是哪种方式,这条信息最终都被下游的诈骗团伙拿去利用了。
这些考生的个人信息在地下流通时能获取多大的利润呢?杨蔚表示,地下产业链里的数据跟市面上做代理一样,每个人拿的市场价格不一样,没有一个非常标准的价格。“一些未成年的黑客往往对金钱没有概念,最低几百元可能就会卖到中间商手中,然后有一些中间商会以几万元的价格卖到下游。有些职业的黑产团队,拿到一些信息可能会卖到几十万甚至上百万。”杨蔚说,有些时候这些信息也可能会按条算钱,例如一名考生信息定价为“一分”。
“有的数据是第一手的,没有人碰过的,价格就会非常高;如果数据已经被利用过很多次,就会变得非常廉价,因为在诈骗团伙看来,经手太多就意味着价值缩水。”
教育系统成攻击目标之一
在杨蔚看来,一些黑客哪怕只是掌握了这一领域的皮毛,想去攻击一些地方政府机构、教育机构的网站就已经很容易了。
杨蔚发现,近年来针对考生的个人信息安全事件层出不穷,每年都会发生类似的情况。“这从侧面说明,教育系统已经成为黑客攻击的目标之一。”在杨蔚看来,一方面政府系统、教育机构还有一些公司网站,安全系统非常薄弱,本身就存在很多漏洞,攻击难度低,这样的情况下黑客获取信息会比较容易。另一方面,绝大多数这类网站,没有专人去负责信息安全,甚至在被黑客攻击后也察觉不到。“级别越低的单位,因为在信息安全上的投入也相对较低,其安全性就更差,更易被黑客攻击。”
山东又一学生疑被骗离世
就在徐玉玉受骗事件备受关注之时,同样来自山东临沂的大二学生宋振宁,在8月18日接到诈骗电话被骗之后,于8月23日凌晨心脏骤停,离开人世。
据澎湃新闻报道,临沭县的大二学生宋振宁,在8月18日接到一个来自济南的陌生电话,被告知自己的银行卡号因被人购买珠宝透支了六万多元。据宋振宁的家人回忆,骗子能够清楚的报出宋振宁的银行卡和身份信息,这成为宋振宁上当受骗的关键。最终宋振宁在银行给对方转去了2000元。回家路上跟亲戚聊起这件事,才意识到自己上当受骗。而后宋振宁选择了报警。但在此之后的8月22日,那个陌生电话再次联系宋振宁让其还款,宋的老师和同学称,宋振宁不知何故将自己的生活费及家中现金存入了银行卡,当天下午发现卡内的金额都不见了。
懊悔不已的宋振宁在晚饭时跟父母说起了受骗的事,他的父亲还宽慰他钱没了可以再赚,别太难过。然而在8月23日凌晨,宋振宁的家人却发现他躺在沙发上一动不动,走近才发现他已经停止了呼吸。后经医生确认,宋振宁死于心脏骤停。
【新闻链接】
刑法修正案解决打击信息泄露两大难题
记者 邬林桦
晨报讯 针对公民信息泄露,《刑法修正案(九)》进一步加强对公民个人信息安全的保护,第二百五十三条规定:
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金; 情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三项罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照该款的规定处罚。
在业内人士看来,从“非法获取公民信息罪”到如今“侵犯公民个人信息罪”,在两方面改变了过去法律法规中对于解决信息泄露的难点问题:“这一法律条文没有特定的对象,这意味着不仅是政府部门、金融机构、通讯部门、教育医疗机构,也包括中介企业、物流快递、网站等各行各业,只要存在符合条款所描述行为的主体都要受到制约。”此外,这是一项独立罪名,即无需真正造成被害人损失,只要犯罪事实存在即可认定。
记牢这三点,可躲开航班取消骗局
晨报记者 宋 杰
日前,重庆又有一位大二女生,因接到了航班诈骗短信,被骗走6100元学费。
近年来,航班诈骗短信层出不穷,尤其是谎称航班取消的短信,让旅客防不胜防。携程、去哪儿等知名旅行网站提醒:收到不明短信后,应第一时间联系航空公司或订票网站查询求证。另外,航空公司因自身原因导致航班取消的,会全额退款。签转、变更都是免费的,不会向乘客收取任何手续费。
●及时验证信息真伪
此类案件有一个共同特点:乘客接到的改签通知或订票网站,提供的电话号码多为400开头的电话。400电话原本是一些有知名度的企业为方便服务客户,向电信部门申请的由企业付费的电话。但这种电话也被一些别有用心的人利用,申请到400电话对他们来说并不复杂。
去哪儿网机票专家提醒消费者,收到此类信息后,应第一时间通过航空公司官方电话或购票网站进行确认,切勿轻信来路不明的信息,更不要拨打短信中提示的陌生号码。
●航班变动免费退改签
根据航空公司规定,因非旅客原因造成的航班延误或取消时,办理退改签是免费的,不需要交手续费。如果短信或者电话中要求收取手续费,则极有可能是诈骗,应立即拒绝要求和停止沟通。
●索要卡号的都是骗子
涉及付款时,诈骗分子往往会引导消费者通过输入验证码、转账的方式实施诈骗,遇到转账要求时应马上拒绝,切勿提供自己的银行账户、卡号等信息。正规网站往往采取网银或第三方支付平台进行在线支付,有安全保障。
除了航班取消短信,骗子还爱玩这些花招
●机票保险低价高售
如今,不少旅客在预订机票后,都会加购一份航空意外险或航班延误险,为行程增添保障。一些黑心代理商也玩起了猫腻,利用消费者疏于核对的心理,赚取非法利益。
据一些业内人士介绍,航空意外险的水很深,由于投保人用上该险种的概率很低,一些代理商会冒险出售虚假保单。另一些代理商,虽然卖的是真保险,但却是将保金为5元、10元的低价险种,来替代20元、30元的高价险种卖给消费者。
航班延误险,玩的则是“事后补保”的把戏,凭借和保险公司的良好关系,代理商只会选择一些航班延误可能性较大的航班投保,其余的保费,则自己截留了。万一消费者出险,就用保险公司的名义,自己赔付。
携程机票专家提醒,识别假保单的方法很简单,将保单号输入保险公司官网查询系统验证即可。凡是不告知承保公司名称,或提供的保单号无法查询到保单信息的,很可能是有问题的保险,消费者一定要当心。
●山寨网站低价吸引
消费者通过互联网搜索,可以快速获取大量的机票售卖信息,但是搜索结果中许多提供超低价机票的小网站却存在很多安全隐患。甚至有些山寨网站会直接模仿知名旅行网站,博取消费者的信任,最后通过所谓的客服诱导消费者进行转账购买机票,等到消费者醒悟过来时为时已晚。
一般情况下正规的机票销售渠道不会出现要求客户用银行卡直接汇款的方式,消费者如遇类似要求一定要提高警惕,核实网站的合法性,验证客服电话是否属实,留意其是否具有CATA(中国民航运输协会)的认证资质和工信部的运营备案,如对方号称是知名在线旅游网站又让消费者汇款基本可断定为骗子网站,建议直接报警处理。
●假以400客服热线为名
消费者防骗能力的提升,也逼得一些不法分子走上了“专业化”的道路,一些骗子网站和黑代理为掩人耳目会用400开头的电话与消费者进行沟通并要求汇款或转账,而往往消费者根据对方的要求进行操作后扣了款项却拿不到机票。有些骗子网站甚至会利用软件修改来电显示号码,用400开头的电话表示“合法”身份。
提高对400/800等所谓企业客服专用号码的警惕性,对不熟悉的号码最好通过搜索引擎核实信息的真实性,凡是在电话里索取银行卡号和支付密码均属骗子行为。消费者尽量通过知名的服务商或者航空公司官网购买。
评论41次
大多数高校网站的负责人有必要补修信息安全课
现在都是这样的,很多都搞黑产
信息泄漏一部分是网络信息的窃取贩卖,但是还有更大的一部分是人为的信息泄漏。
中国的网络安全缺少正规军啊 而且大环境也不好 搞黑产的做的风水水起 白帽却会被查水表
的确是有这方面的事情,这个事情也是让人气愤的,特别是 那个 什么事件 被抓之后,很多人 真的更加 感觉到 迷茫了 。到底应该怎么做呢? 其实还是大氛围 不是很合理。xi望 各种待遇政策能够有所提高吧。市场化在安全界 还不是特别好。
wy貌似也被水表了,心疼我的账号...
最近出了这么多这种事,让人很揪心啊
看着很痛心的,得重判诈骗的。安全也得重视!
必须要重视,事情很多,国家很大,但是事情如果要一件一件解决 也要一件件 解决掉。总会慢慢变好。
中国的网络安全缺少正规军啊 而且大环境也不好 搞黑产的做的风水水起 白帽却会被查水表
的确是有这方面的事情,这个事情也是让人气愤的,特别是 那个 什么事件 被抓之后,很多人 真的更加 感觉到 迷茫了 。到底应该怎么做呢? 其实还是大氛围 不是很合理。xi望 各种待遇政策能够有所提高吧。市场化在安全界 还不是特别好。
这些骗子真是太可恨了,这给家庭带来巨大的无法弥补的损失。前年,我学校的网站被入侵,黑客留下了一句话:“你们校长真猥琐”。到现在网管也解决不了,网站从此不开了。
那个网管可能 也觉得校长猥琐吧 哈哈。要不然真想解决 怎么会解决不了呢。
一些考出去的大学生,学xi相关技术后就不想再回来了,好多年轻人宁可在外面租房工作,也不愿回县城发展,造成技术人才缺失,导致缺少氛围
当地政府 应该也有相关的人才政策吧 要不然 会 愈演愈烈的 。
学生的信息资料已经很多年前都被利用起来了,只是最近查的疯而已。媒体没新闻报到了,就炒这些。。。
你说的还真是蛮有道理啊,这段时间 突然新闻 都没有什么进展了 ,这个事情 弄一下 新闻就有新热题,如果放在大事件发生的时候,这个事情就瞬间被埋没了啊。真的很聪明的看法,受教了。
看着很痛心的,得重判诈骗的。安全也得重视!
中国的网络安全缺少正规军啊 而且大环境也不好 搞黑产的做的风水水起 白帽却会被查水表
这些骗子真是太可恨了,这给家庭带来巨大的无法弥补的损失。前年,我学校的网站被入侵,黑客留下了一句话:“你们校长真猥琐”。到现在网管也解决不了,网站从此不开了。
那个网管可能 也觉得校长猥琐吧 哈哈。要不然真想解决 怎么会解决不了呢。
县里肯定是有人才的,只是应该都外流了,比如出去工作了 甚至出去搞黑产了,只是体制内,这方面的人才的确是少一些,一般这些地方普通百姓的娃儿又不好进,就算有一定的水平,也不一定有关xi,所以有关xi的又不必会什么。然后....各种循环
一些考出去的大学生,学xi相关技术后就不想再回来了,好多年轻人宁可在外面租房工作,也不愿回县城发展,造成技术人才缺失,导致缺少氛围
学生的信息资料已经很多年前都被利用起来了,只是最近查的疯而已。媒体没新闻报到了,就炒这些。。。
风险大 利益大 总有人去做
绝对利益下,很少人能够控制的到自己不去触碰的,如果利益够大的话,很难控制自己,比如 给我10万我肯定不做 100万我也不做.但是一千万呢?或者王健林说的先来个小目标,一个亿呢?这个就很难把握了。所以道德,只是 天平 不破坏平衡的情况下发生的。比如,你知道强奸这种事情不对,但是如果你喜欢的女神,比如刘X菲,林X玲,X幂,X岩,X甜喝醉了呢。你会不会想 他妈的这种女人我一辈子都干不到,就他妈的来一发,应该没人发现。这个时候你想的不是强奸这个事情不对,你想的是没有人发现。
谁碰就是想去喝茶啊
目前这几天肯定是了,死了人了,上了大新闻了,未来的上百个小时都会是热点的。只是过去之后就没人提了,比如 疫苗,比如北京和颐酒店女生拖拽事件,比如赵薇任用台独演员...貌似都发生了不久,发生的时候貌似都比现在严重,然后就没有了。
很无奈,国民的信息泄露很严重,而且很早就有了。个人的防骗意识也不够。
老百姓集体防范意识 一直都是落后于诈骗技术的,因为 生活中肯定会有漏洞 让别人发现的。只是为什么他敢碰?为什么他做了没事儿?这个是比较严重的,为什么很多人会抱有上面的想法?...
这些骗子真是太可恨了,这给家庭带来巨大的无法弥补的损失。前年,我学校的网站被入侵,黑客留下了一句话:“你们校长真猥琐”。到现在网管也解决不了,网站从此不开了。
那个网管可能 也觉得校长猥琐吧 哈哈。要不然真想解决 怎么会解决不了呢。
基层单位的薪水都不高的,整个县里教育xi统电脑技术好的也没两个,会编程的更是一个没有,所以急需人才
县里肯定是有人才的,只是应该都外流了,比如出去工作了 甚至出去搞黑产了,只是体制内,这方面的人才的确是少一些,一般这些地方普通百姓的娃儿又不好进,就算有一定的水平,也不一定有关xi,所以有关xi的又不必会什么。然后....各种循环
风险大 利益大 总有人去做
谁碰就是想去喝茶啊
很无奈,国民的信息泄露很严重,而且很早就有了。个人的防骗意识也不够。