個人信息如何被販賣?女大學生被騙背后的黑色產業
“在互聯網上,沒人知道你是一條狗。”(On the Internet, nobody knows you’re a dog)
這是刊登在1993年7月5日的《紐約客》上的一則漫畫。然而,23年過去了,漫畫中的話已經不是現實。
現在,在互聯網上,別人不僅知道你是人還是狗,還知道你家住哪里,電話號碼是多少,孩子是不是馬上要出生了,還有 …… 是不是馬上要上大學了。
幾日前,山東女孩大學學費被騙導致憂郁離世,引起軒然大波。據報道,山東臨沂女孩徐玉玉8月19日接到了一通陌生電話,對方聲稱有一筆2600元助學金要發放給她。按照對方要求,徐玉玉將準備交學費的9900元打入了騙子提供的賬號……讓騙子得手的一個關鍵是,在這通陌生電話之前,徐玉玉曾接到過教育部門發放助學金的通知。這意味著,騙子精準掌握了徐玉玉的多類個人信息。
作為一個安全從業人員,安安很絕望地看到,電話詐騙已經和互聯網黑產結合得越來越緊密,在可見的未來,類似的詐騙案不僅不會減少,還會越來越多。
個人信息地下產業鏈
據獵網平臺于去年底發布的《現代網絡詐騙產業鏈分析報告》初步統計,在中國,從事網絡詐騙產業的人數至少有160萬人,“年產值”超過1100億元。網絡詐騙儼然已經是一個規模龐大的“行業”。
在這起詐騙案中,犯罪分子作案的分工很明確,流程也非常簡潔。大致的過程是這樣:
- 個人隱私信息流出
- 個人隱私信息被出售
- 詐騙團伙利用信息進行詐騙
在上面這個過程中,個人隱私流出的方式不僅方式多,而且成本低,從而造成了詐騙行為的泛濫。而且,因為成熟產業鏈的存在,參與到步驟3中的詐騙團伙并不需要很高的技術支持,只需要購買個人隱私數據進行詐騙即可。
個人信息如何流出
在山東女孩被騙案件中,某業內人士表示:國內學校,有一半數據都有。即使手頭沒有的,只要告訴名字,都能拿到。而這些數據又是怎樣流入這一黑色產業呢?學生數據流出一般有三種途徑:
- 接觸到數據的工作人員泄露數據
- 黑客入侵目標獲取數據
- 第三方IT系統服務公司在提供服務時獲取數據并泄露
數據存儲渠道的多樣,增加了接觸數據人員的數量,也無限放大了內部人員泄密的風險。舉個例子,范冰冰在青島買房,被房管局工作人員截圖發到網上,引起軒然大波。類似的,如皋市某女民警女兒在個人空間上傳了兩張李易峰、楊洋的“常住人口基本信息表”,包括了兩人的身份證照片、曾用名、出生年月、戶籍所在地等個人信息。
在中國,個人信息的管理者缺乏對隱私保護的有效認知,常常主動或被動地泄露信息。
黑客入侵網站盜取信息則是另一個主要途徑 ,相對于商業性網站,傳統的教育網站、事業單位網站的防護措施形同虛設。有團隊曾試過 “侵入”臨沂周邊多個市縣教育局的網站,發現幾分鐘就可以進入,相關信息可以隨意瀏覽和下載。倒不是這些黑客的技術有多好,主要是像學校、醫院等機構在網絡安全防范上投入不夠,導致黑客用很簡單技術就可以侵入,而這些網站存有大量個人信息。
目前黑客盜取個人信息,已形成一個巨大產業鏈,一部分黑客在黑進某些網站獲取信息后,再在一些論壇、社交群中販賣信息。
個人信息隨意被販賣
前文提到,個人信息被販賣的現象已經泛濫,與之相對應的,網絡上的數據販子則隨處可見。
據部分數據販子稱,他們手上有全國各地區各行業的各類數據,不只是學生的電話數據,股民的賬戶數據、機票數據、網絡購物數據、新生兒數據等等,他們都可以出售。
以“購買數據”、“電話銷售”等關鍵詞,通過QQ軟件查找,找到一兩百個相關的群,這些群銷售包括“精確數據購買”、“機票數據”、“淘寶數據”、“保健數據”、“電話數據”、“豐胸減肥數據“、“一手新生兒數據”等等手機號碼資源。
安安通過QQ加好友方式聯系到了幾名數據賣家。
據幾位賣家介紹,他們主要是做電話數據銷售,這種數據可以簡單分為兩類,一類是比較精準的,電話與機主的姓名都有;另一類是比較模糊,僅有電話號碼。
賣家稱,在售的數據類型包括,今年新開的股票賬戶,這種一般兜售股票資產類的公司會買的比較多;還有像老年人電話數據,可以推銷保健品之類的;當然還有像學生類的電話數據,但買這類數據會相對少些。原因是學生本身不太好騙,且經濟能力有限。
這種數據根據新鮮程度,價格也不一樣。
根據這幾名賣家的報價,100元可以買到2000個電話信息、300元能買10000個電話信息;10萬個電話信息賣到1200元,20萬個電話信息賣到1800元。
賣家新拿到的信息則貴一點。一位賣家稱,8月份剛拿到的數據1毛一條。當然,如果是“沒有賣過”的純一手數據,售價可能會高到1-2元。
關于售賣數據的范圍,有賣家宣稱銷售的是全國數據,買家可以根據地區來選擇。以往,購買高中畢業生數據的,多是一些不正規的成人教育或者網絡教育學校,但隨著生源的減少,這類生意已經熄火。
其他危害
安安作為互聯網安全從業者,并不與電話詐騙直接打交道。但是,在現實情況中,黑客盜取了個人信息,除了賣給電話詐騙之外,還可能賣給其他行業的詐騙犯和盜號者。
另一方面,個人隱私被泄露未必會被詐騙,但是卻能引起很多困擾:
- 家里孩子快出生了,很快就有商家推銷奶粉
- 開車在路上刮蹭了一下,很快就有人來推銷保險
- 腿摔折了去醫院看病,結果有人來推銷拐杖
個人隱私的保護,是一個非常宏大的命題,也是關心到每個人切身利益的問題。
