信息化觀察網(wǎng)

這幾天聽到一個新聞，鄭州西亞斯學院近兩萬名學生個人信息被泄露，信息具體到名字、身份證號、年齡、專業(yè)及宿舍門牌號。

該學院在6月4日的一條微博評論中回復網(wǎng)友稱，關(guān)于文件信息，已經(jīng)報備國家公安機關(guān)，正在調(diào)查當中。

我有個同事，最近就因為信息泄露被騙了10000多元。

騙子一開始就是打電話給他，所有的信息準確完整無誤

家庭住址，工作單位等等，最后說他剛剛買了機票，需要辦理改簽。

然后就發(fā)了一個網(wǎng)站，朋友一看就是前幾天買的廉價機票的地址，也就沒想這么多點了進去。

然后客服索要驗證碼，然后朋友卡里的10000元就這么不見了。

有人說現(xiàn)在的人怎么這么容易騙？

其實不是，真實的是現(xiàn)在的騙子都是和“黑客”聯(lián)手，黑客盜取信息，做假網(wǎng)站，然后由騙子冒充客服，就這樣搭配起來帶人入坑。

近年來，公民信息被泄露成為嚴重社會問題。個人信息被泄露，不僅給當事人的生活帶來困擾，也可能成為電信詐騙等犯罪行為的“幫兇”。遇到泄露公民個人信息的事件，尤其是泄露近兩萬名學生個人信息的事件，一想到那天他們家里也收到類似這種詐騙電話，想想都后怕。試想問問你，怕不怕突然某天就有個銀行發(fā)正規(guī)的律師函來，你因某年某月某日貸款了5萬，利息3萬，而你一臉茫然，自己什么都沒做。這就是信息安全的重要性。

據(jù)中國互聯(lián)網(wǎng)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告，截至2020年3月底，網(wǎng)民規(guī)模為9.04億。

可以說每個人的日常生活，已經(jīng)與互聯(lián)網(wǎng)密不可分。

手機支付、人臉識別、定位分享……

但是事物都是有兩面性的。

你可曾想過，每一個人在享受互聯(lián)網(wǎng)便利時，同樣也面臨著一場大大的隱私危機。

根據(jù)2019年12月，CNCERT收到網(wǎng)絡(luò)安全事件報告109801件，達到有史以來的最高峰。

8.7億條個人信息在暗網(wǎng)上出售，7.73億個郵件地址及密碼被竊，5.9億中國人的簡歷被泄露！

很多人被公開的不僅僅是姓名、電話，還有身份證號、戶籍、婚姻狀況、家庭住址、工作單位……

1分錢就可以買到一條個人數(shù)據(jù)，39元可以黑進WiFi，獲取你的個人信息。

詐騙電話打進來時，對方似乎比你自己還要清楚你的履歷！

個人隱私被明碼標價，而我們被出賣了還毫不知情。

有個北京藝術(shù)家從黑市買下來了武漢34.6萬條武漢市民的個人信息然后在美術(shù)館展出！

買到的數(shù)據(jù)包括他們的姓名、電話、身份證號、家庭住址，甚至還包含了買車記錄。

很多人看到后反應(yīng)非常激烈，甚至有人立馬報警！

交易是現(xiàn)金轉(zhuǎn)賬，34.6萬條個人信息放在幾個Excel文件里，總共花費是5000元，平均下來1分錢就可以買到一個人的信息。

在這個大數(shù)據(jù)的時代之下我們該如何自保？

—1—

大部分“黑客”攻擊的根本原理就是社會工程學

社會工程學（Social Engineering，又被翻譯為：社交工程學）在上世紀60年代左右作為正式的學科出現(xiàn)。

廣義社會工程學的定義是：

建立理論并通過利用自然的、社會的和制度上的途徑來逐步地解決各種復雜的社會問題。

經(jīng)過多年的應(yīng)用發(fā)展，社會工程學逐漸產(chǎn)生出了分支學科，如 公安社會工程學（簡稱 公安社工學）和網(wǎng)絡(luò)社會工程學。

而也有人這樣定義：社會工程學是通過對社會人的心里弱點、習慣弱點的分析，通過手段達到目的的過程。

很多社會工程學高手可以僅僅通過一個名字就可以查到你的詳細信息，我舉個例子。

很多人有所不知，自己的信息已經(jīng)變成產(chǎn)品在無數(shù)個平臺，販賣。交易時間越近價格越高，準確率越高。

一個社會工程學高手接到一個任務(wù)，就是調(diào)查某人的真實地址。

于是將某人的電話和名字在有的三個數(shù)據(jù)庫中匹配，找到了房子、車輛信息。

但是找不到工作單位呢？

很簡單

高手：喂！EMS，麻煩你到很騷大廈樓下取一下你的快遞？

某人：撒子快遞哦？哪個寄的？

高手：愛存不存（ICBC)寄的掛號信，好像是信用卡。

某人：我不在那里，地址是不是錯了哦。

高手：那你的地址在哪里嘛？那今天拿不到了哦，哎呀下次地址麻煩些準確些嘛。

某人：。。。。。（沉默三秒），是某某某大廈13樓2號

高手：慢點，我記一下。

案例分析：

關(guān)鍵詞：釣魚、身份偽造、社工庫。

解決方法：

警惕寄錯的快遞，沒有必要留真實電話的地方不要留真實電話。

這只是第一步，接下來就可以開展利用你的信息進行網(wǎng)絡(luò)貸款，或者開始賣你的信息給電信詐騙公司獲利等等。

遇事情千萬不要想當然，要嘗試著從這件事情的本身跳出來。

思考對方為何要這么做，特別是異常的事情。

—2—

“黑客”是如何黑掉你的錢的？

“黑客”的最終目的就是獲得資金。

獲得資金手段可以歸結(jié)為四步：

1、獲得精確信息：

黑客主要通過非法竊取或者購買社會上各行各業(yè)泄漏的個人信息，包括身份證信息、電話號碼、家庭住址、工作單位、網(wǎng)絡(luò)賬號和密碼、銀行賬號和密碼等關(guān)鍵信息。如何獲取的渠道我在上一節(jié)已經(jīng)說得比較清楚了。這個只是第一步！

2、腳本設(shè)計：

“黑客”通過你的個人信息模擬出一個真實的經(jīng)濟社會活動場景，精心設(shè)計各種腳本，例如近期的兼職刷單、或者美院學生教畫畫、代辦信用卡、冒充公檢法等?？梢钥纯从龅?020年第一季度受到的攻擊類型統(tǒng)計。

其中虛假中獎信息仍然是最常遭遇的攻擊，占比為52.6%，冒充好友攻擊的占比為41.2%，網(wǎng)絡(luò)兼職攻擊的占比為33.5%。

3、 通訊聯(lián)絡(luò)誘導：

“黑客”通過電話、短信、互聯(lián)網(wǎng)等通訊渠道聯(lián)絡(luò)受攻擊者，利用設(shè)計好的腳本結(jié)合獲取到的個人信息，通過獲得被攻擊者信任。

4、資金支付轉(zhuǎn)移：

“黑客”引導被攻擊者進行銀行轉(zhuǎn)賬、網(wǎng)上支付、獲取驗證碼等方式向指定賬戶轉(zhuǎn)款，再經(jīng)預先設(shè)計的渠道轉(zhuǎn)移受攻擊者的資金。

而最令人恐懼的事情發(fā)生了，近段時間發(fā)現(xiàn)，“黑客”還將人工智能應(yīng)用到這些攻擊手段之中：

在通訊聯(lián)絡(luò)誘導環(huán)節(jié)，“黑客”利用人工智能去打電話！

以前一個人平均可以打300—500個，而一個機器人每天最多可以打5000個電話！

攻擊效率提升200%,一個8人的“黑客”團隊能發(fā)貨8000人的水平！

2018年底，河北就發(fā)生過人工智能技術(shù)通過提前與源文件，然后騙取被攻擊者的信任。

在今年的3月份，據(jù)外媒報道，網(wǎng)絡(luò)“黑客”利用人工智能（AI）和語音技術(shù)冒充一名英國企業(yè)主，騙取了24.3萬美元（約人民幣196萬元）。

據(jù)《華爾街日報》報道，今年3月，據(jù)信是一個不知名的黑客組織利用人工智能軟件模仿一家能源企業(yè)德國母公司CEO的聲音，來欺騙該企業(yè)英國子公司CEO，以致于英國子公司CEO被誘騙通過匈牙利供應(yīng)商向德國母公司CEO轉(zhuǎn)賬了大筆資金。

當這筆錢一直沒有到賬后，英國子公司CEO開始懷疑，并意識到有些事情不太對勁。

但這位他轉(zhuǎn)賬給匈牙利的資金，實際上已經(jīng)轉(zhuǎn)移到了墨西哥和其他地方，而德國母公司CEO并沒有像他想象的那樣提出轉(zhuǎn)賬要求。

很明顯，這家能源公司被“黑客”級攻擊了。

黑客攻擊無所不在，只是你沒遇到而已，不要存在“幸存者偏差”，要時刻提醒自己注意。

—3—

中國的互聯(lián)網(wǎng)私隱現(xiàn)狀如何？

預計到2025年，中國將成為全球最大的數(shù)據(jù)產(chǎn)出國。

根據(jù)國家網(wǎng)信辦《數(shù)字中國建設(shè)發(fā)展報告（2018年）》發(fā)布的一項報告顯示，2018年我國數(shù)字經(jīng)濟規(guī)模達31.3萬億元，占據(jù)GDP的比重是34.8%。

如今，整個社會的數(shù)字化程度也越來越高，常用設(shè)備包括電子探頭、人臉識別、車載設(shè)備等等。

直接的體現(xiàn)就在，現(xiàn)在出門帶錢的人越來越少。

與此同時，數(shù)據(jù)泄露的事故也層出不窮：

2018年4月，某外賣平臺被曝用戶信息泄露，每條信息賣價最低不到一毛錢，精確到具體點的什么餐、用餐地點等私密信息。

2018年8月， 某快遞公司被曝泄露了3億條用戶數(shù)據(jù)，售價為2比特幣，數(shù)據(jù)內(nèi)容包括寄件人、收件人的姓名、地址、電話等個人信息。

2018年9月，某酒店集團被曝其住店客戶數(shù)據(jù)在暗網(wǎng)售賣，泄露數(shù)據(jù)包括1.23億條官網(wǎng)用戶注冊數(shù)據(jù)，1.3億條旅客身份信息以及2.4億條詳細開房記錄，全部數(shù)據(jù)共計約五億條，售價約為37萬人民幣。

中國消費者協(xié)會的一項調(diào)查報告顯示，中國85.2%的app用戶曾遭遇數(shù)據(jù)泄露。

常見現(xiàn)象為：推銷電話、信息騷擾、垃圾郵件、非法鏈接、賬號密碼被盜等。

最常見的事情就是當你打開過購物軟件查看某樣東西的時候，你就會發(fā)現(xiàn)下次你再打開，它會把類似的東西全部都放置在你的首頁。

這叫做精準營銷！

說到這大家可以看看這個專欄，學習體會一下互聯(lián)網(wǎng)安全是如何實現(xiàn)的，有興趣的人可以購買學習。

—4—

我們普通人要如何防止被“黑客”攻擊？

既然各種黑客攻擊手段層出不窮，我們要如何防范呢？

1、提升個人的風險防范意識。

在人工智能技術(shù)的不斷發(fā)展和推動下，“黑客”攻擊手段呈現(xiàn)了成本低、花樣新、覆蓋廣、迷惑性大燈特點，所以每個人的識別攻擊、防止攻擊意識和能力變得十分重要！

正如文章開頭說得，現(xiàn)在攻擊的主要重點地區(qū)、易受害人群，轉(zhuǎn)移到了校園。

在北京、上海、廣東等很多校園都引發(fā)了關(guān)注，年輕人應(yīng)該極大的提高自己的防范意識。

在接到很多類型的攻擊電話的時候要多思考，多想想，學會判斷什么才是真實的信息。

2、注意保護個人信息。

在辦理很多網(wǎng)上業(yè)務(wù)，或者其他任何業(yè)務(wù)的時候要注意保護好個人的信息。

在留下信息前一定要小心謹慎，避免釣魚網(wǎng)站或者個人信息落入別有用心的人手中。

不在公開網(wǎng)站和軟件發(fā)自己的照片和現(xiàn)實信息；不參與網(wǎng)絡(luò)暴力和爭論罵人；不定期清理自己的上網(wǎng)痕跡；

不使用超出正常權(quán)限的app……

個人在安裝app的時候一定要留意權(quán)限設(shè)置，比如不輕易授權(quán)通訊錄、定位、攝像頭、麥克風等等。

3、切勿貪小便宜

很多“黑客”進行攻擊的第一步都是先設(shè)置一些小誘餌，或者引導受攻擊者信任。

所以我們不要貪小便宜，不要相信任何陌生網(wǎng)友、電話、微信和QQ。

4、受到攻擊要立即報警

一旦遇到類視情況，或者收到類似的攻擊要立即去報警處理。不要幻想著能通過渠道要回資金。

隨著時代的進步，很多科技手段都在日益更新，包括人工智能等等，但大家不要忘記一點，再密不透風的防御體系的背后，使用者本身還是——人。

在這樣混亂的互聯(lián)網(wǎng)上，你根本身不由己，當你接入互聯(lián)網(wǎng)或陌生人的那一刻，你的隱私就失控了。

拿到你隱私的壞蛋，他們可以偷窺你，可以詐騙你或你身邊的人，可以利用你的隱私做出下三濫的事。

在身處大數(shù)據(jù)的時代，人人都是透明人，我們需要重新建立一套隱私保護的平衡機制。