起底《孤注一掷》背后的网络安全犯罪
最近,电影《孤注一掷》火了,上映一个月来,已经取得了34.48亿的票房成就。
《孤注一掷》取材自真实案例,全景式呈现了境外电信网络诈骗产业的黑幕,生动地刻画了电信网络诈骗团伙的凶残、狡诈。
电影《孤注一掷》剧照
其实,《孤注一掷》所呈现的只是境外电信网络诈骗犯罪的“冰山一角”,是这个犯罪链条的“下游”。
而这个犯罪链条的“上游”则是网络安全犯罪,具体地说,就是侵犯公民个人信息犯罪。
本周是“网络安全宣传周”,今天,我就来起底《孤注一掷》背后的网络安全犯罪。
1
近年来,伴随着智能手机、平板电脑等移动终端的普及,以及“物联网”“云计算”等移动互联网技术的成熟,“大数据”技术成为企业精准投放广告、精准实施营销、精准提供服务的一件“利器”,也为我们在线社交、协同办公、休闲购物提供了极大的便利,深刻地改变了企业的商业模式和我们的生活方式。
上海迪士尼乐园的大数据系统,园区精细化管理的“利器”
在这个过程中,我们无时无刻不在生成、上传包括身份信息、位置信息、财产信息、通讯信息、健康信息、工作信息在内的公民个人信息。
企业则对这些公民个人信息进行挖掘、筛选、整合、分析,将其作为“养分”,持续推动“大数据”模型的进化。
企业坐拥如此海量的公民个人信息,一旦缺乏有效的技术防范手段和完善的监督制度,就会造成公民个人信息的泄漏。
例如,2011年,某房屋中介企业员工李某违规从公司业务系统中导出某小区1700余位业主的详细住址、联系方式、工作单位等公民个人信息,售卖给某保险中介企业员工金某,金某又将这些公民个人信息上传至百度文库以获取积分,最终导致这1700余位业主饱受推销电话之苦。其中,还有几位业主遭遇电信网络诈骗。
是的,公民个人信息是推动“大数据”模型进化的“养分”,也是实施电信网络诈骗犯罪的“原料”。
2
那么,电信网络诈骗团伙是如何非法获取这些公民个人信息的呢?主要是两个途径。
一是通过部分企业、单位的“内鬼”。商业银行、保险公司、移动运营商、快递公司、电商平台、医院、人力资源和社会保障部门、民政部门等企业、单位往往掌握着海量的公民个人信息。
电信网络诈骗团伙在网上高价求购公民个人信息,这些企业、单位一些负责信息系统的员工禁不住高价诱惑,将之打包出售。
例如,2020年1月,某快递公司员工余某利用负责将流水线上的快递装车的便利,通过手机拍照的方式,非法收集快递面单上的客户姓名、联系方式、收货地址等客户交易信息1900条,在网上进行出售,非法牟利1900元。
最终,因侵犯公民个人信息犯罪被判处有期徒刑一年十个月,并处罚金。
不要小看这小小的快递面单,上面的个人信息可是非常丰富
二是通过网络安全犯罪手段。电信网络诈骗团伙通过开发、散布恶意软件,进行网络钓鱼,组织域名系统(DNS)攻击、分布式拒绝服务(DDoS)攻击、SQL注入(SQLi)攻击,借助“爬虫”技术,从商业银行、保险公司、移动运营商、快递公司、电商平台、医院、人力资源和社会保障部门、民政部门等企业、单位的业务系统中窃取公民个人信息。
例如,2022年9月,某电信网络诈骗团伙成员刘某通过组织SQL注入(SQLi)攻击,借助“爬虫”技术,从某教育培训机构网站抓取学生姓名、联系方式、家庭住址等公民个人信息20余万条。
最终,因侵犯公民个人信息犯罪被判处有期徒刑一年零三个月,并处罚金。
“爬虫”技术的基本原理
3
在通过立法途径防范和打击侵犯公民个人信息犯罪方面,我们国家做了大量的努力。
2009年2月、2015年8月,先后通过《中华人民共和国刑法修正案(七)》《中华人民共和国刑法修正案(九)》,设立“侵犯公民个人信息罪”,明确规定“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚”。
侵犯公民个人信息?你可真“刑”
2016年11月,通过《中华人民共和国网络安全法》,明确规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”
2021年8月,通过《中华人民共和国个人信息保护法》,明确规定“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动”。
4
9月3日,在公安部和云南省公安厅的组织部署下,西双版纳公安机关与缅甸相关地方执法部门开展联合打击行动,一举打掉盘踞在缅北的电信网络诈骗窝点11个,抓获电信网络诈骗犯罪嫌疑人269名。
9月8日,普洱公安机关又与缅甸相关地方执法部门开展边境警务合作,1207名电信网络诈骗犯罪嫌疑人移交我方,再次取得重大战果。
联合行动,重拳出击
打击电信网络诈骗犯罪,既要靠国家的立法完善和重拳出击,也要靠民众防诈反诈意识的提升和网络安全知识的充实。
那么,在日常生活中,我们如何通过“人防”“技防”的方式,守护我们的公民个人信息安全呢?我总结了以下小tips:
1.安全使用智能手机
(1)要从官方应用商城下载APP,切勿下载不明来源的APP;
(2)给APP授予权限时要谨慎,特别是谨慎授予与录音、摄像、位置有关的权限;
(3)不要随意连接来历不明的免费Wi-Fi;
(4)不要随意扫描来历不明的二维码;
(5)不要随意打开陌生人发来的链接、文件;
(6)不向任何人透露或转发短信验证码或其它任何形式的动态密码;
(7)不要随意与他人共享屏幕。
2.安全使用电子邮箱
(1)要将公私邮箱分开,不要轻易泄露邮箱地址;
(2)不要随意点击来历不明电子邮件中的链接、文件;
(3)不要设置过于简单的登录密码和密码找回提示问题;
(4)不要轻信任何与金钱相关(如中奖、众筹等)的电子邮件。
3.安全使用社交网络
(1)不要在社交网络上“晒”车票、机票、证件、快递面单;
(2)不要在社交网络上“晒”孩子的照片、详细的住址。
亲爱的读者朋友,希望这篇文章能为您打造守护公民个人信息安全的“金钟罩”“铁布衫”,我们一起携手,提升防诈反诈意识,切实守护网络安全。
打造守护公民个人信息安全的“金钟罩”“铁布衫”