文／本刊記者　傅宇凡

“全民狙擊”網(wǎng)絡詐騙產(chǎn)業(yè)鏈

文／本刊記者傅宇凡

準大學生徐玉玉受騙致死事件，讓網(wǎng)絡詐騙治理真正提升到國家層面

2016年9月23日，工信部、中國人民銀行、公安部、最高法院、最高檢察院、銀監(jiān)會等六部門聯(lián)合發(fā)布《關(guān)于防范和打擊電信網(wǎng)絡詐騙犯罪的通告》（以下簡稱《通告》）。這則通告，正式打響了針對電信網(wǎng)絡詐騙的“全民狙擊”戰(zhàn)。

8月，僅媒體曝光的電信詐騙案件就有至少4起。山東女孩徐玉玉被騙走9900元學費后心臟驟停，不幸離世；山東大學生宋振寧被騙猝死；廣東省揭陽市惠來縣準大學生蔡淑妍自殺；清華大學一名教授被騙1760萬元。

山東徐玉玉、宋振寧，廣東蔡淑妍，清華大學教授……多起事件均來自校園，為何校園電信詐騙如此高發(fā)？校園電信詐騙案為何屢屢得手？事實上，這些案件的發(fā)生，有著共同的幾個關(guān)鍵詞：網(wǎng)絡隱私泄露、電信通道、銀行支付。

一時間，通信、銀行的監(jiān)管政策被推到風口浪尖，如何從源頭上掐斷犯罪的傳播渠道、支付手段兩條補給線，是輿論關(guān)注的核心?！锻ǜ妗分行媪恕皣倚袆印钡牧洝爸厝保鹤允讖膶挕詻Q拔釘、加速實名、清理銀行賬戶、嚴保個人信息安全、監(jiān)管問責，從而將通信、銀行業(yè)納入狙擊戰(zhàn)戰(zhàn)團，在源頭上進行防范與監(jiān)管。

然而，這只是開啟“全民行動”的第一步，虛擬空間安全問題遠遠超出人們的想象，諸多業(yè)內(nèi)專家均提到，短信詐騙越來越精準，防不勝防，必須加強個人信息立法。

學生信息最易泛濫

據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的數(shù)據(jù)顯示，63.4%的網(wǎng)民通話記錄、網(wǎng)上購物記錄等信息遭泄露；78.2%的網(wǎng)民個人身份信息曾被泄露，包括姓名、家庭住址、身份證號及工作單位等。多則上億條用戶信息被泄露，少則也有幾萬條。

徐玉玉事件的犯罪嫌疑人陳文輝，選擇以學生為目標，從2016年6月起在網(wǎng)上以每條0.5元的價格購買了數(shù)萬條山東籍高考考生的個人信息，信息內(nèi)容包括學生姓名、學校、家庭住址和聯(lián)系電話。而這些學生的信息在網(wǎng)上泛濫，成本最低，獲取根本沒難度。

他的信息來源上線——18歲的杜天禹，據(jù)相關(guān)媒體報道，杜天禹于4月利用安全漏洞侵入了“山東省2016高考網(wǎng)上報名信息系統(tǒng)”網(wǎng)站，下載了60多萬條山東省高考考生信息，高考結(jié)束后開始在網(wǎng)上非法出售。

而這種個人信息販賣的生意，在網(wǎng)上早已司空見慣，杜天禹僅是其中之一。

有關(guān)調(diào)查發(fā)現(xiàn)，在網(wǎng)上，100元可以買到2000個電話信息、300元能買10000個電話信息，10萬個電話信息賣到1200元，20萬個電話信息賣到1800元。還有人聲稱出售個人全套信息，從身份證復印件、家庭成員、戶口本復印件、到網(wǎng)絡賬戶名都在其中，全套信息的價格是每套3元。

在這樣的網(wǎng)絡中，徐玉玉不幸成為網(wǎng)絡詐騙的目標，2016年8月19日，徐玉玉接到自稱教育局的電話稱她可以領到2600元助學金，于是一步一步走進詐騙者的圈套，最終被騙走父母為她辛苦積攢的學費9900元，21日，徐玉玉報案后回家路上傷心欲絕，郁結(jié)于心，最終導致心臟驟停，無力回天。

圖片由“易安在線”提供，繪畫支持：潘浩子

1760萬元被騙事件的背后

徐玉玉、宋振寧、蔡淑妍的事件令人心痛，而仔細回顧清華大學教授被騙1760萬元的事件細節(jié)，則是發(fā)人深思的教訓。

這位53歲的清華大學教授賣了房，剛剛回到家就接到了詐騙電話，稱她漏繳各種稅款等。更重要的是，騙子顯然掌握了賣房信息，“網(wǎng)簽合同的編號是多少，各種交易中很細節(jié)的一些信息，騙子都能說得頭頭是道”。第六屆上海市信息安全活動周開幕演講中，復旦大學教授楊珉透露了該事件的更多細節(jié)。

據(jù)內(nèi)部信息了解，該受害人與詐騙電話通話的時間并不短。教授是2016年7月23日下午4點多接到詐騙電話，而當天下午即有系統(tǒng)檢測出該詐騙電話，警方聯(lián)系提醒該教授，第二天，警方的虛假網(wǎng)址系統(tǒng)又被檢出，于是，警方再次打電話讓其丈夫勸阻，前后至少3個電話都未能阻止教授的一意孤行，警方的示警電話一再被拒：“這事你們不用管了?！弊詈螅?月30日，該教授才報案稱被騙了1760萬元。

而我們上網(wǎng)稍作了解，也能發(fā)現(xiàn)，2014年武漢也曾發(fā)生同樣的詐騙事件，同樣的手法，同樣的套路，遭遇詐騙的武漢一國企財務部部長黃某，在5小時內(nèi)分十多次將1700萬元公款轉(zhuǎn)到騙子的賬戶。

根據(jù)權(quán)威數(shù)據(jù)，電信詐騙已經(jīng)形成完整的黑色產(chǎn)業(yè)鏈，其從業(yè)人數(shù)超過160萬人，詐騙“年產(chǎn)值”達1152億元。

盡管事后人們都認為詐騙手法并不高明，然而，利用社會工程學原理的網(wǎng)絡詐騙騙到的并不僅僅是普通人，有時連電信專家也能中招。復旦大學楊珉教授也舉了信息安全業(yè)內(nèi)專家受騙的例子，曾有一名業(yè)內(nèi)專家的手機被帶有木馬病毒的短信擊中，向多名好友發(fā)送一條信息，短信內(nèi)容為“我是某某某，這是我?guī)湍闩牡囊粋€小視頻”，并附上一個鏈接。一夜之間，這名專家的多名好友（不乏安全業(yè)內(nèi)專業(yè)人士）點擊鏈接，造成財物損失。

除了社會工程學的電信詐騙手段以外，一些高新技術(shù)手段也被不斷采用。目前有7種技術(shù)手段使用頻率較高，范圍較廣：一是偽基站，二是木馬病毒，三是改號軟件，四是釣魚網(wǎng)站，五是“貓池”，六是詐騙Wi-Fi，七是“黑盒”。

針對此，騰訊安全的相關(guān)負責人李旭陽認為切實可行的方案是，從警方，運營商，銀行側(cè)通過大數(shù)據(jù)的方式，識別出詐騙行為，從而物理上阻斷詐騙。一些企業(yè)研發(fā)出的技術(shù)方案，在試點的地區(qū)，部署在運營商網(wǎng)絡的系統(tǒng)對電信詐騙進行物理隔絕，從警情數(shù)據(jù)來看，涉案金額可以下降70%～80%。

然而，面對“信息安全背后是一個地下社會，一個江湖的形成”這樣的形勢，防范網(wǎng)絡安全顯然需要更多的解決方案。

“誰收益，誰擔責?！睏铉虢淌诒硎荆訌娋W(wǎng)絡信息安全監(jiān)管除了個人用戶須加強信息安全意識，扎緊籬笆防狼之外，尤其要明確責任主體。

個人隱私數(shù)據(jù)泄漏難堵源頭

復旦大學信息網(wǎng)絡安全研究室的一組研究數(shù)據(jù)表明，在針對谷歌應用商城的17425個應用分析中發(fā)現(xiàn)，有35個類別都會收集用戶隱私。針對用戶賬號這類的隱私數(shù)據(jù)收集，比例較高的主要是社交應用，跟天氣相關(guān)的App等；針對地理位置的隱私信息，在天氣、出行、搜秀這些App當中比例比較高；而支付類的應用無疑則是隱私收集的高地，無一例外地收集用戶各類個人隱私數(shù)據(jù)。“人們時常習慣于享受應用軟件帶來的便利，往往不在乎它的風險。甚至很多人并不知道軟件裝上之后意味著什么？”楊珉教授還提到，國內(nèi)有關(guān)部門曾針對300多款常用軟件進行了檢測，60%涉及個人隱私數(shù)據(jù)泄漏的問題，而且這些軟件都是一些常用軟件，沒有哪個殺毒軟件會將它列入黑名單。

而通過8月集中爆發(fā)的電信詐騙事件來看，值得關(guān)注的是，高校校園師生正在成為個人信息泄露的重災區(qū)。內(nèi)蒙古某高校曾有一位學生提到自己因為好奇，用簡單的密碼“123456”就進入了該校教學管理系統(tǒng)的后臺，學校教師的各類信息、學生的學習成績一覽無余。高校信息管理系統(tǒng)重建設輕管理的現(xiàn)象，依然存在。

有調(diào)查表明，目前高校各類應用系統(tǒng)存在諸多安全漏洞，尤其學校在安全防護措施上重視不夠，使得大量的師生數(shù)據(jù)處在漏洞威脅之中。

然而，在高校校園網(wǎng)絡交流群中，關(guān)于防護技術(shù)的討論似乎也走到一個“死胡同”。大連理工大學于廣輝主任認為：“基于特征值方法的各種學習、改善，只能治標不治本。我們還是希望能夠有更好的方法，比如行為分析、背景流量分析、應用白名單等方法防護，但目前還沒看到合適的產(chǎn)品?！?/p>

在高校網(wǎng)絡管理員群中普遍認為，高校缺的不是技術(shù)，缺的是把安全責任落實到位的管理機制。清華大學CCERT鄭先偉提出管理應是更重要的環(huán)節(jié)，建議對數(shù)據(jù)庫的使用進行嚴格規(guī)范化管理，他認為：“數(shù)據(jù)庫用戶權(quán)限需嚴格限制，查詢的就只給查詢權(quán)限，越權(quán)或是頻率太高都不行?；A權(quán)限控制需要由數(shù)據(jù)庫廠商進行，應用畢竟只是在它的基礎上來做的。需要數(shù)據(jù)庫廠商和應用開發(fā)多協(xié)調(diào)?！彼ㄗh，今后高校校園信息化的工作第一步是資產(chǎn)評估，“重要的資產(chǎn)必須嚴格按照要求來做”。

高校各類應用系統(tǒng)存在諸多安全漏洞，尤其學校在安全防護措施上重視不夠，使得大量的師生數(shù)據(jù)處在漏洞威脅之中。

個人網(wǎng)絡信息立法呼之欲出

9月底國家網(wǎng)絡安全宣傳周活動上，中國工程院院士、武漢大學副校長李建成認為，清華大學教師被騙、宋振寧案等見諸媒體的各類詐騙，暗藏龐大的個人隱私泄露。但“數(shù)據(jù)開放”和“信息安全”是一枚硬幣的正反兩面，他建議，法律為根本，管理和技術(shù)為支撐，“網(wǎng)絡空間安全法亟待出臺，網(wǎng)絡空間安全管理規(guī)章條例也亟待出臺，法律和技術(shù)在大數(shù)據(jù)、信息安全方面是同等重要的”。

據(jù)了解，目前《網(wǎng)絡安全法》已經(jīng)進入二次征求意見稿，和初稿相比，已經(jīng)發(fā)生了很大變化。預計國家將在年底推出《網(wǎng)絡安全法》?！毒W(wǎng)絡安全法》發(fā)布以后，在具體實踐中，還需要更多細則。同時，互聯(lián)網(wǎng)生態(tài)復雜，網(wǎng)絡安全僅僅是其中一個角度，要把互聯(lián)網(wǎng)工作做好，還需要更好的法律環(huán)境。

“誰收益，誰擔責?！睏铉虢淌诒硎?，加強網(wǎng)絡信息安全監(jiān)管除了個人用戶須加強信息安全意識，扎緊籬笆防狼之外，尤其要明確責任主體。監(jiān)管部門要在法規(guī)的層面上強化責任主體意識。數(shù)據(jù)由誰拿去，誰就要對確保數(shù)據(jù)安全負法律主體責任。此外，提升信息安全治理還要強化立體的全方位測控，懲治犯罪，必須破除地域和部門的界限，建立由公安部門牽頭，銀行、電信運營商等共同參與的反電信網(wǎng)絡詐騙中心，形成協(xié)作共享和快速反應聯(lián)動機制。