搜索
打印 上一主题 下一主题

学生被诈骗离世背后的数据贩卖链条:几分钟可黑进教育局网站

[复制链接]
查看: 3980|回复: 0

5834

主题

6714

帖子

22万

积分

管理员

网站创始人

Rank: 9Rank: 9Rank: 9

积分
229167

最佳新人活跃会员热心会员推广达人宣传达人灌水之王突出贡献优秀版主荣誉管理论坛元老

跳转到指定楼层
楼主
发表于 2016-8-27 10:31:29 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
  短短3天之内,接连发生两起学生遭遇电信诈骗,继而发生心脏骤停离世惨剧。舆论在痛斥诈骗分子的同时,也开始关注:学生的信息是如何被精准泄漏的?
  据沂蒙晚报报道,山东临沂罗庄女孩徐玉玉8月19日接到了一通陌生电话,对方声称有一笔2600元助学金要发放给她。按照对方要求,徐玉玉将准备交学费的9900元打入了骗子提供的账号……让骗子得手的一个关键是,在这通陌生电话之前,徐玉玉曾接到过教育部门发放助学金的通知。这意味着,骗子精准掌握了徐玉玉的多类个人信息。
父亲徐连彬无法接受女儿已逝,痛哭不已
  8月25日,一名资深计算机技术人员表示,徐玉玉的信息有可能是被黑客盗取后,卖给了诈骗人员。据他称,有团队曾试过“侵入”临沂周边多个市县教育局的网站,发现几分钟就可以进入,相关信息可以随意浏览和下载。
  这名技术人员表示,目前黑客盗取个人信息,已形成一个巨大产业链,一部分黑客在黑进某些网站获取信息后,再在一些论坛、社交群中贩卖信息。
  与之相对应的,网络上的数据贩子则随处可见。
  据部分数据贩子称,他们手上有全国各地区各行业的各类数据,不只是学生的电话数据,股民的账户数据、机票数据、网络购物数据、新生儿数据等等,他们都可以出售。
  网络安全专家、猎豹移动安全研究员李铁军表示,其实不是这些黑客的技术有多好,主要是像学校、医院等机构在网络安全防范上投入不够,导致黑客用很简单技术就可以侵入,而这些网站存有大量个人信息。

“国内学校,有一半数据我都有”
  经知情人士指点,澎湃新闻记者以“购买数据”、“电话销售”等关键词,通过QQ软件查找,找到一两百个相关的群,这些群销售包括“精确数据购买”、“机票数据”、“淘宝数据”、“保健数据”、“电话数据”、“丰胸减肥数据“、“一手新生儿数据”等等手机号码资源。
相关QQ群比比皆是
  记者通过QQ加好友方式联系到了几名数据卖家。
  据几位卖家介绍,他们主要是做电话数据销售,这种数据可以简单分为两类,一类是比较精准的,电话与机主的姓名都有;另一类是比较模糊,仅有电话号码。
  卖家称,在售的数据类型包括,今年新开的股票账户,这种一般兜售股票资产类的公司会买的比较多;还有像老年人电话数据,可以推销保健品之类的;当然还有像学生类的电话数据,但买这类数据会相对少些。原因是学生本身不太好骗,且经济能力有限。
  这种数据根据新鲜程度,价格也不一样。
  根据这几名卖家的报价,100元可以买到2000个电话信息、300元能买10000个电话信息;10万个电话信息卖到1200元,20万个电话信息卖到1800元。
  卖家新拿到的信息则贵一点。一位卖家称,8月份刚拿到的数据1毛一条。当然,如果是“没有卖过”的纯一手数据,售价可能会高到1-2元。
  关于售卖数据的范围,有卖家宣称销售的是全国数据,买家可以根据地区来选择。
  某专业财经媒体的报道还提及,有“业内人士”宣称,“国内学校,有一半数据我都有。即使手头没有的,只要你告诉我名字,我也都能拿到。”
  以往,购买高中毕业生数据的,多是一些不正规的成人教育或者网络教育学校,但随着生源的减少,这类生意已经熄火。
新的买主中,职业骗子占了大多数。

教育机构信息安全投入不足
  关于这些个人隐私数据的来源,绝大多数卖家都不愿透露。
  有一位卖家称,他们获得电话号码的其中一个来源,是通过财经网站提取的。
  李铁军解释,这可能是通过一个程序,只要用户登录这个网站,电话号码就会被抓取,但这些电话号码绝大多数不是实名的。
前述卖家还透露,其出售的数据的另一个来源是,自己去“开发”。这个所谓“开发”,正是向银行、证券公司、大型门户网站、购物网站等机构里的个人去购买。
  不过该卖家称,现在这样的渠道越来越难了。
  除了上述渠道,李铁军表示,黑客正成为泄漏个人信息产业链上最大一环,一部分黑客开始专门倒卖各种数据,一些教育机构、医疗机构的数据往往很容易被盗取,因为这些机构的业务现在与互联网的结合很紧密,但这些机构在国内一直是比较缺钱的部门,而做好信息安全需要比较大的投入,其在选择安全方案上就受限,这还包括后续的投入和维护,所以这些机构面临掌握了大量信息,但安全方面却是做得不够。
  按教育部、公安部发布的《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》,在全国开展信息系统安全等级定级备案工作。两份通知中,对教育行业建议的最高安全保护等级为第三级(级数越高要求越高),当然学校可以根据自己需求提升安全保护等级。
  可资对照的是,银行部分系统的最高防护等级为第四级。
“另外一个情况是,这些教育机构网站存在的漏洞并不高深,很容易被入侵“,李铁军表示。
  上述资深计算机技术人员也表示过,其了解到,一个黑客团队几分钟内绕过某市教育局的网站防火墙进入后台。

监管缺位:防范仍只能靠个人
  那么,问题这么多,监管去哪儿了。
  关于个人隐私泄漏带来的损失甚至灾难,一位地方经侦警官表示很无奈,他们很理解也很同情受害者,但他们对这类案件也很苦恼,有时候牵涉金额不大,但案件的调查却很复杂,一方面涉及查案侦查地域范围会很广,另一方面一些零碎案件可能要积累到一定时候才一起侦办,对他们来说,精力很有限,不太可能到处去灭火。
  这名警官认为,如果不从根本上解决问题,很难通过公安、司法机构来减少案件的发生。
  据光明网报道,北京市公安局网络安全保卫总队与360互联网安全中心联合发起成立的网络诈骗全民举报平台——猎网平台于去年底发布的《现代网络诈骗产业链分析报告》初步统计,在中国,从事网络诈骗产业的人数至少有160万人,“年产值”超过1100亿元。
  李铁军直言,现在中国个人信息泄漏正面临失控的危险,每个人都不安全,但这个系统的改善需要花的时间会非常长,包括国家相关法律法规的出台、司法机关办案能力是否跟的上、还有管理数据机构能力是否能提升等等,这中间需要花的时间和代价都会很大。
  光明网在一篇评论中直言,骗子之所以得手,其“成功”之处远不止于电信主管部门和电信运营商对“骗子专用号段”公然存在的无睹和无视,其他掌握公民个人信息的部门和机构、以及负责审核(骗子开卡)客户信息的相关银行,都不能与此撇开关系。
李铁军提醒,在相关监管完善之前,最主要的防范还是靠自己,尽可能保护个人的信息,“比如在提供个人数据时,只有在那些必须提供个人真实数据的地方提供。”
诈骗犯被押解回国
  另外,李铁军还认为,在这些容易泄露信息机构缺乏安全方面的管理人才时,这些机构找是不是可以找专门的第三方安全服务公司,比如现在用的较多的云技术,可以将他们的资料交给专业公司的云服务器托管,这些专业公司被黑客攻陷的可能远要低于他们本身。虽然无法从根本上解决这个问题,但可以安全方面上个台阶。
李铁军,社会不应该通过一个少女的死亡来警醒民众。在法制、网络安全相对滞后的今天,需要改善的地方也有太多,更需要个人清醒认识到这种电信骗局,让悲剧不再发生。

服务华人社会,打造交流平台,架设中巴新友谊金桥!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

热门图文
精华帖子
热门图文

  ©CopyRight 2016 巴新中文网  Inc All Rights Reserved.  冀ICP备2021023911号-1  技术支持:金纯.com

快速回复 返回顶部 返回列表