欢迎来到深圳互联网技术应用协会
您当前的位置:首页 - 协会资讯 - 行业动态

个人信息非法交易调查:1万条报价2800元还“保证质量”

来源:发布日期:2016/08/26已有 2919 人浏览

多个售卖个人信息Q Q群,最终都指向这个人。
 
多个售卖个人信息Q Q群,最终都指向这个人。
 
QQ上随便一搜,便弹出大量出售个人信息的QQ群。QQ上随便一搜,便弹出大量出售个人信息的QQ群。
网购信息泄露受害者购买了该网站网购信息,经核实,真实无误。
 
 
网购信息泄露受害者购买了该网站网购信息,经核实,真实无误。
 

  刚被南京邮电大学录取的山东临沂女孩徐玉玉接到一个171开头的陌生电话,称有笔2600元的助学金要发给她。按照该电话指示,她把业已准备好的9900元学费汇给对方,之后方知受骗。8月21日,到派出所报案后,她在回家路上突然昏厥,继而身亡。日前,此事在网上引发广泛关注。

  令人唏嘘的是,昨天又有噩耗传来。8月23日凌晨,来自山东临沭县的大二学生宋振宁也在遭遇电信诈骗后,心脏骤停,不幸离世。

  据调查发现,个人信息数据泄露现象颇为严重,在互联网上个人信息被非法交易也呈空前火爆的态势。除了助学金信息,姓名、电话、地址、银行卡号、医疗信息等都存在公开贩卖的现象,根据信息质量高低要价0.1元至5元不等。与此同时,涉世不深的大学生是该问题的主要受害者之一。

  “助学金”骗局

  冒充教育局

  骗取银行卡密码

  山东临沂罗庄区18岁女孩徐玉玉遭电信诈骗,接到171开头的陌生电话声称发放2600元助学金。按电话指示被骗光9900元大学学费后,徐玉玉到派出所报案,回家途中突然昏厥,两天后离世。据了解,徐玉玉曾于8月中旬到教育部门申请助学金留下手机号。

  此事引起广泛关注,临沂市公安局罗庄分局称已抽调精干力量组成专案组,目前专案组民警已分赴多地开展调查工作,案件正全力侦破中。

  8月24日,南京邮电大学安排外语学院、校宣传部、校招生就业办公室的3名老师前往山东临沂,到准大学生徐玉玉家里慰问了她的家人。校方表示,此前学校除了向学生发放了录取通知书之外,没有任何学校工作人员与徐玉玉联系,通知发放助学金的事宜。对于学生个人信息等问题,南京邮电大学宣传部长徐雷表示,“在我们寄给学生的录取通知书中,入学须知包含了安全教育的内容,包括防诈骗内容。里面还列举了一些案例。包括防止以老师名义、熟人名义、QQ好友名义诈骗。还有对学生进行安全知识测试的题目,发到每一位新生手里。”

  事实上,正值开学前夕,很多诈骗分子正有针对性地打着“助学金”的旗号实施骗术。一模一样的骗局,来自山东省菏泽市的蔡女士今年也遇到过。

  在儿子高考结束半个月后,她接到一个电话称有一笔奖学金补助,对方还能准确说出孩子的姓名、家庭住址和出生年月。刚开始,蔡女士也心存疑虑,拒接了几次电话。但在对方锲而不舍的“忽悠”下,蔡女士渐渐放松警惕,最终将银行卡卡号和密码告诉对方,结果卡里的5万元被转走了3万。

  来自四川的王伟(化名)称,自己2013年高考完也经历过“助学金”诈骗。王伟介绍,当地有补助政策,在高考出分后不久经学校统一发放表格进行登记,再上交给当地教育部门审核,审核合格即可获得补助金,而自己也填写了这样一份登记表,包括姓名、学校、电话、身份证号、家庭情况等信息。

  在等到教育部门的正式通知之前,王伟却先收到了一个来自上海的陌生电话。

  王伟回忆,对方自称国家教育局补助办工作人员,“第一句话就说出了我的姓名和身份证号,说有8000元补助,找我要银行卡号。”由于之前确实登记过助学信息,而且对方还知道自己的身份证号码,王伟当时也并未多疑。

  但小心起见,王伟还是给了对方一张没有钱的银行卡,对方却坚持一定要钱最多的银行卡,王伟便起了疑心,随后向班主任打电话核实,了解到发放金额和发放部门均不符,才免于受骗。

  南都记者搜索“助学金诈骗”,类似案例也多有报道。今年1月,警方曾抓获一伙诈骗犯,专门冒充教育局等单位工作人员,以“发放助学金”为名针对贫困大学生实施电信诈骗,涉案金额更高达500余万元。据悉,不法分子往往伪装身份,以发放助学金、查询核对等名义进行诈骗,还能清楚地说明个人身份信息,以此获得受害者信任,不少学生和家长因此上当受骗。

  个人信息

  1万条数据

  报价2800元还“保证质量”

在QQ上以“学生数据”为关键词进行搜索,联系上一位客服,其报价1万条数据2800元,并称“服务器提取一手数据,保证质量长期合作”。该客服称,数据包含学生信息、电话、家长信息、家庭地址等,“数据源于指定学校的数据库,而不是从网站上抓取的数据,保证质量没问题。”

  据进一步提出针对性的家庭条件的要求,对方则表示精选的价格贵,1万条3800元,“有的代理客户都是拿几万条。”

  另一名信息销售商则表示,信息不能单条购买,需要打包出售,380元一包,每包500条。若要限定学校、年级、专业等信息,则需加价至700元一包。

我们试问某985高校毕业生信息,对方表示学生姓名、学号、电话、奖助学金等档案信息均可包含在内。

  除了助学金信息之外,如网购消费记录、新生儿信息、信用卡等多种重要个人信息也被明目张胆地放在网上公开销售。

  以网购消费记录泄露为例。8月18日,昆明市民吴双休的妻子接到一个以“189”开头,归属地为江苏无锡的电话。对方自称是某电商平台客服,询问其是否在7月19日购买了纸尿布。该“客服”表示这批产品存在荧光剂质量超标的问题,会引起宝宝不适,引导吴太太按要求填写银行账号、验证码和密码,结果,卡里的钱被盗走了8万多元。

  在21CN聚投诉平台上,从去年8月开始,截至2016年7月26日,这家电商平台被指信息泄露致使多名用户受骗的投诉达51起,投诉人损失金额上千元至56万元。

  据了解,假客服诈骗的方式大同小异,行骗时编造的理由,除了以产品有质量问题可退款外,还包括订单延迟交易,支付不成功,或误归为批发商,升级为白金客户会被扣钱等。

 通过查询中国判决文书网发现,因涉嫌泄露公民个人信息而被判刑的案例并不少见。被泄露的个人信息范围广泛,涉及网购记录、车主、业主、楼主、酒店住宿信息、12306注册信息、个人简历信息以及网络注册账号、密码等。

  来自山东的胡某某在日照市岚山区万德福百货大楼三楼经营“某儿童摄影”,自2014年6月份开始,他从日照市岚山区人民医院的内部人士那里,以每条5元的价格购买200余条新生儿信息,用来为照相馆招揽顾客。

  无独有偶,上海一公司承接了兴业银行与中国东方航空股份有限公司(以下简称“东航”)联名信用卡的营销推广业务。为提升营销业绩,2012年12月15日,该公司的总经理乔某某指令员工与“东航”营销部员工张某等人碰头,以人民币20万元的价格购买了张某等人私自下载的“东航”的“东方万里行”会员信息600余万条。随后,部分信息被用于联名信用卡的电话营销活动。

   卖家自称

  数据后台拿“绝对真实”

  8月23日,上述电商平台相关负责人在接受南都记者采访时表示,该平台重视用户信息安全,有着严格的加密与保密措施,绝不会泄露任何与用户相关的信息。

  对于这样的解释,吴双休表示存疑。因为他曾在一个名为“各类数据群”的QQ群里找到了专门出售该电商平台用户信息的卖家。卖家告诉他,数据是从该电商平台的后台收购而来,信息绝对真实。

我们尝试加入了“各种数据群”,目前该群成员接近200人,有人出售数据,有人回收数据,还有普通的买家。

  大多时候,群里都比较安静,除了几个活跃的成员偶尔发送信息买卖的广告,如“大量回收当天隔天的网购快递数据”、“诚信出售每天更新一手各类网购数据”等,供求双方的具体数据交易,则一般以私聊为主。

 我们发现,卖家不仅可提供当天各大网购平台的数据,还可以提供机票、快递、身份证详细信息、医院糖尿病患者、邮箱、银行、车主、保健等。据南都记者了解,所出售的数据也有详略之分。

  以网购信息为例,可详细至客户姓名、电话、地址、购买时间、产品名称、价格、买家信誉、买家ID、商品链接等。数据有按200元或500元1万条批发的,也有按单个3元或5元计价的,量大从优,款到发货。买家还可根据需求,购买任意时段的用户信息,最新的数据可更新到当天。

  一位名为“鑫鑫&工作室”的卖家告诉我们,自家数据是从后台拿的,“绝对真实,一般晚上拿,明天卖。”

  另一位名为“网络营销数据专家”的卖家则不愿透露来源,表示有固定可靠的渠道,为了证明货源真实,他还发来十几条交易截图,称“很多客户长期从我这里拿货”。据这位卖家介绍,向他买资源的多达千人,而提供资源的也有近两百人。

  一个ID名为“一如既往”的卖家则表示可出售新生儿数据,内容包括父母姓名、身份证号码、手机联系方式、居住地址,还有新生儿的出生时间、体重及出生医院等。这位卖家告诉记者,数据来自于医院内部,保证真实。

  此外,昨日我们以关键词“数据”搜索QQ群,出现淘宝数据、车主数据、股票数据等名目众多的数据群,我们进入一个名为“电话销售数据保健品”的QQ群,群名片介绍称“最新一手二手纯内部特供数据”,群主在群内上传了几份数据,包含姓名、电话、家庭住址、购买记录等,共200多条。

  值得注意的是,虽然同类型的QQ群众多,一个群的人数大多不超过200人,显得比较分散,但实际上头像、简介、群主或管理员一致的QQ群往往多达10个以上。并且,南都记者发现介绍显示头像、联系人等不同的两个QQ群组,经过“转联系”某QQ,最后都指向了同一个客服人员,该客服还自称“职业做这个的,很专业”。一家兼具多种类型的数据售卖者,甚至包揽QQ、微信、支付宝、淘宝数据等。

  专家解析

  “黑产业链”源头

  在于技术或流程漏洞

  从黑客盗取数据到专门的“信息贩子”,再到利用被盗信息变现的团队,一条黑色产业链显现,资深白帽黑客、众安天下负责人杨蔚告诉南都记者,“黑产”一直存在,“有人愿意花钱买信息,就会有人做相应‘黑客’。”

  杨蔚介绍,在这条产业链上,“黑客”在最上游,专门负责盗取信息,卖给“中间人”信息收购者,收购者将得到的信息分类贩卖,期间或有多重倒卖,最终,特定信息精确地落入最下游的团队,被用作“变现”。

  “这条链上,越往下产业越大,获利也越多。”杨蔚介绍,最上游的“黑客”可能就一人或数人,最下游分工明确的“变现团队”可达数百人甚至更多,其中,“黑客”大多以几千几万的价格卖出所盗数据,到信息贩卖者这里,可将信息以十倍以上价格倒卖出,而最下游的团队,其“变现手段”游走在法律边缘,甚至越过红线,盈利更多。

  杨蔚认为,从徐玉玉案件目前披露的情况来看,考生的相关信息应该存储在相关监管部门的系统当中,但是在什么环节出现了泄露情况。

  杨蔚介绍,大体来说,泄露的可能性有两种:一是技术方面,相关系统有漏洞,“黑客”非法攻击获得了相关隐私信息,最终被恶意利用完成了整个诈骗流程;二是在准大学生申请助学金信息提交上报的流程中存在泄露,“其中每个环节都可能涉及人员私自卖掉或不经意泄露出去,这种可能性是很大的。但是,需要通过对相关信息源头做调查才能给出最终的结果。”

  除了上述安全问题外,还存在第三方的问题。“现在很多购物、医疗方面的公司,数据安全交给第三方服务厂商或研发人员,这些人也能接触到用户数据。”杨蔚介绍,比如消费者在电商购买商品时,会收到短信确认,短信运营商就是第三方,一旦其系统被“黑”,用户信息也就泄露了。

  据了解,去年一家知名电商平台曾爆发大范围用户信息泄露事件,后经证实,系3名内部员工所为。

  2014年底,铁路系统官方网上购票平台12306“13万用户信息泄露”事件的调查结果显示,系两名犯罪嫌疑人通过收集其他网站泄露出的用户名和密码,以此尝试登录12306,非法获取用户的其他信息,并牟取利益。

  “如果系统存在严重漏洞,黑客是可以拿到相应的数据库权限的。”杨蔚说,储存于互联网上的个人信息如“关在密室”,一旦有人掌握“钥匙”就麻烦了。有的内部人员安全意识薄弱,用户名和密码极其简单,而“黑客”攻克后,相当于有了“钥匙”。

  杨蔚介绍说,除了涉及金融等一些特殊领域,政府有关主管部门的系统由于安全级别相对偏低,而这些系统却承载着核心的用户数据,在安全上没有配备对应的资源。

  防范建议

  “400”、“170”

  电话诈骗可能性高

  “老百姓每个人都成为防范电信诈骗的专家是不可能的,对于诈骗的治理,关键要看运营商和银行两方面,必须要从源头治理、解决,他们要负起应该承担的社会责任和法律责任。”陈伟才对南都记者说。

  陈伟才建议,陌生电话一般不要接,接了也要保持警惕,涉及到资金转移的电话千万不要照做,尤其不要接400开头的电话,“400开头的号码作为企业号,是提供给老百姓打过去咨询的,是不会打出来的,打出来的都是骚扰的”;此外,陌生的170开头的号码也不要接,“170开头的诈骗号码比例最高,170开头的推销、广告、骚扰电话比例也是比较高的。”

 陈伟才称,凡是电信诈骗电话,最终一个环节都是要求转账,“要求转账的时候就要明白这是诈骗,千万要守住自己的银行卡。”

  国家网信办则提示,个人信息遭泄露后,公民可通过以下三种方式维权:—、按照全国人大常委会《关于加强网络信息保护的决定》,遭遇信息泄露的个人有权立即要求网络服务提供者删除有关信息或者采取其他必要措施予以制止;二、个人可向公安部门、互联网管理部门、工商部门、消协、行业管理部门和相关机构进行投诉举报。“国家网信办所属的中国互联网违法和不良信息举报中心将专职接受和处置社会公众对互联网违法和不良信息的举报。”中国互联网违法和不良信息举报中心的举报热线为“12377”,网址为www.12377.cn;三、消费者还可依据《侵权责任法》《消费者权益保护法》等,通过法律手段进一步维护自己的合法权益,如要求侵权人赔礼道歉、消除影响、恢复名誉、赔偿损失等。

 

地址:深圳市福田区梅华路105号多丽科技楼11层1105A房  本协会主管单位:中国互联网协会 深圳市科技工贸和信息化委员会

深圳市互联网技术应用协会 版权所有 技术支持:九曲网  电话:0755-83352158  QQ:2078864445 邮箱:2078864445@qq.com