電信詐騙仍上演：教育機構和網購行業成資訊洩露重災區

　　8月28日，徐玉玉被騙猝死案中，最後一名嫌犯自首，至此，該案6名嫌犯全部落網。倒賣數據産業鏈、嫌疑犯所在的福建安溪被媒體一一起底。然而，對於一個隱藏多年的黑色産業，即使遭到了密集式的揭底曝光它仍然還在偷偷運作。

　　8月29日晚間，微網志網友@越來越老的來來(以下簡稱“來來”)，分享了自己近日遇到的一起電信詐騙案。

　　騙子的手法並不高明甚至也不新穎，但可怕的是騙子掌握著來來的建設銀行卡號、電話號碼、近期網購消費記錄。這些資訊串連起來，任何個人在騙子面前無異於裸奔。

　　個人資訊的洩露緣何到了如此可怕的境地？哪些環節的失守導致了今天這樣的局面？TechWeb整理了近幾年來，有關個人資訊洩露的報道，試圖梳理出容易洩露個人隱私的幾個關鍵點，希望能夠在這個不安全的資訊環境裏，多一點個人自我保護意識。

　　部分教育機構成駭客攻擊目標

　　山東大學新生徐玉玉之死激起軒然大波，人們在同情這個姑娘的同時也心生疑惑：徐玉玉的個人資訊緣何被洩露得如此徹底？

　　據澎湃新聞報道，駭客已經成為個人資訊地下交易産業鏈的關鍵部分。徐玉玉的資訊有可能是被駭客盜取後，賣給了詐騙人員。有駭客團隊曾試過“侵入”臨沂周邊多個市縣教育局的網站，發現幾分鐘就可以進入，相關資訊可以隨意瀏覽和下載。

　　北京眾安天下負責人、知名白帽子“301”楊蔚對於考生個人資訊安全曾做過專門的研究。他在接受新聞晨報採訪時，講訴了這些洩露的數據是如何一步步匯入黑色産業鏈的。

　　“這些資訊非常有價值，有人買就有人賣。既然下游有人願意花錢，那自然就會有駭客去攻擊這些目標。駭客非法獲取這些資訊，拿到數據以後，就會有人接手。這裡面還有大量二道販子的存在，在中間賺差價。”楊蔚説，這個鏈條上的人分工特別明確，而且都是“專業”級別的團隊操作。“有些人會專門去聯繫相關的培訓機構或詐騙團夥，從而把手上的數據賣到下游。而下游這些團隊，有專人負責詐騙的話術編寫培訓、線上通過第三方支付平臺洗錢、線下ATM機提款等，分工非常明確。”

　　除了駭客之外，一些教育培訓機構內部人員還會主動販賣考生資訊。

　　8月24日，北京市海淀法院宣判了一起培訓機構員工倒賣學生及家長資訊的案件。在培訓學校、教育公司工作的楊某、徐某等6人，非法獲取、購買200余萬條學生及家長資訊，除了定點向家長群發廣告，還在趕集網、58同城等網路平臺出售。最終，楊某、徐某等6人因犯非法獲取公民個人資訊罪，被海淀法院判處1年3個月、半年及緩刑一年等不同的有期徒刑。

　　網路購物成個人資訊洩露重災區

　　據CNNIC發佈的《中國網際網路絡發展狀況統計報告》顯示，截至2016年6月，我國網路購物用戶規模達到4.48 億。網路購物為快節奏的都市生活提供了極大的便捷，但人們在享受這種便捷生活的同時也承擔著個人資訊洩露的風險。

　　央視《新聞直播間》欄目曾詳細披露了一起網購詐騙案件的全過程，北京的李小姐在網上購買了一套嬰兒用品準備送給朋友，付款成功後的第二天，就接到自稱是這家網店客服的電話。

　　該“客服”稱由於淘寶系統正在升級導致訂單失效，需要先退款再購買，並準確説出了李小姐購買的商品名稱、收穫地址、電話以及所有訂單資訊。由於資訊完全相符，李小姐便沒有懷疑，並通過QQ打開對方發來的退款連結，並按提示輸入銀行卡號、密碼、手機號及短信驗證碼等資訊。直接導致李小姐的信用卡被盜刷1.3萬元。

　　據悉，不法分子之所以能獲得消費者交易記錄，主要是利用竊取快遞數據庫、破解賣家和買家常用密碼等方式。

　　中國網際網路協會《中國網民權益保護調查報告2016》顯示，近一年的時間，國內6.88億網民因垃圾短信、詐騙資訊、個人資訊洩露等造成的經濟損失估算達915億元。

　　運營商業務存在巨大漏洞

　　2016年4月，北京移動用戶許先生將自己親身經歷的一起電信詐騙案曝光在網路上。

　　4月8日下午，許先生先後收到“1065800”、“10086”短信提示訂閱某財經雜誌手機報，該訂閱直接導致許先生手機欠費。想退訂的許先生回復了6位數的校驗碼後，支付寶、三張銀行卡、百度錢包裏的所有財産全部被轉移走。

　　網友隨後復盤了整個詐騙案發生的全過程：犯罪分子在行動之前就獲取了許先生的身份證、手機號、銀行卡、移動網上營業廳登陸密碼。

　　拿到這些資訊後，借助10086網上營業廳，139郵箱的官方運營商渠道騙取了許先生的校驗碼，完成“自助換卡”，用自己手中的空白SIM卡替換了許先生的手機卡，並且使許先生SIM卡作廢。

　　此時犯罪分子已經完成了偷天換日，成為許先生支付寶、銀行卡的真正主人，通過改密碼等手段，輕鬆轉走許先生的錢。

　　4月12日，北京移動官方對此事做出回應，該手機號碼係通過海南海口IP、採用客戶自設密碼登陸營業廳，並通過客戶本機下發的驗證碼換卡成功，業務流程辦理正常。中國移動北京公司已暫停網站自助換卡業務，同時進一步完善臨時驗證碼下發以及門戶網站登陸等環節的用戶提示。

　　據21世紀經濟報道，自助換卡業務起源於4G時代。2014年，中國移動4G用戶高速增長，為了改善用戶體驗，中國移動推出“兩不一快”服務：客戶採用不登記、不換號的方式，用4G USIM卡替換原SIM卡。中國移動免費向用戶寄出空白SIM卡，用戶通過裝有原SIM卡的手機主動發出短信即可完成換卡操作。該操作需要機主本人持原始SIM卡發出換卡請求，安全性很高。

　　但需要指出，由於中國移動各省公司自主設計業務模式，北京、上海、廣東等數個省市移動公司在開通短信自助換卡的同時，還開通了網上營業廳自助換卡、手機APP自助換卡流程。同時，各省的空白SIM卡不僅掌握在移動手中，諸多社會渠道也擁有發放的權利，甚至淘寶上也可以搜索到這類SIM卡，風險由此而來。

　　儘管徐玉玉案的犯罪嫌疑人已經被抓獲，但我們的心裏並不輕鬆。因為她的死亡並沒有帶來這個電信詐騙這個黑色交易鏈的剷除。

　　正如晶報所説，沒有什麼比生命的消逝更令人痛惜，一些公共治理也往往因生命代價而得到推動。我們希望，一個花季少女的離去，能夠讓社會告別麻木與沉睡，成為治理個人資訊洩露及電信詐騙的分水嶺，使這一社會痼疾得到根治。