这几天听到一个新闻,郑州西亚斯学院近两万名学生个人信息被泄露,信息具体到名字、身份证号、年龄、专业及宿舍门牌号。
该学院在6月4日的一条微博评论中回复网友称,关于文件信息,已经报备国家公安机关,正在调查当中。
我有个同事,最近就因为信息泄露被骗了10000多元。
骗子一开始就是打电话给他,所有的信息准确完整无误
家庭住址,工作单位等等,最后说他刚刚买了机票,需要办理改签。
然后就发了一个网站,朋友一看就是前几天买的廉价机票的地址,也就没想这么多点了进去。
然后客服索要验证码,然后朋友卡里的10000元就这么不见了。
有人说现在的人怎么这么容易骗?
其实不是,真实的是现在的骗子都是和“黑客”联手,黑客盗取信息,做假网站,然后由骗子冒充客服,就这样搭配起来带人入坑。
近年来,公民信息被泄露成为严重社会问题。个人信息被泄露,不仅给当事人的生活带来困扰,也可能成为电信诈骗等犯罪行为的“帮凶”。遇到泄露公民个人信息的事件,尤其是泄露近两万名学生个人信息的事件,一想到那天他们家里也收到类似这种诈骗电话,想想都后怕。试想问问你,怕不怕突然某天就有个银行发正规的律师函来,你因某年某月某日贷款了5万,利息3万,而你一脸茫然,自己什么都没做。这就是信息安全的重要性。
据中国互联网网络发展状况统计报告,截至2020年3月底,网民规模为9.04亿。
可以说每个人的日常生活,已经与互联网密不可分。
手机支付、人脸识别、定位分享……
但是事物都是有两面性的。
你可曾想过,每一个人在享受互联网便利时,同样也面临着一场大大的隐私危机。
根据2019年12月,CNCERT收到网络安全事件报告109801件,达到有史以来的最高峰。
8.7亿条个人信息在暗网上出售,7.73亿个邮件地址及密码被窃,5.9亿中国人的简历被泄露!
很多人被公开的不仅仅是姓名、电话,还有身份证号、户籍、婚姻状况、家庭住址、工作单位……
1分钱就可以买到一条个人数据,39元可以黑进WiFi,获取你的个人信息。
诈骗电话打进来时,对方似乎比你自己还要清楚你的履历!
个人隐私被明码标价,而我们被出卖了还毫不知情。
有个北京艺术家从黑市买下来了武汉34.6万条武汉市民的个人信息然后在美术馆展出!
买到的数据包括他们的姓名、电话、身份证号、家庭住址,甚至还包含了买车记录。
很多人看到后反应非常激烈,甚至有人立马报警!
交易是现金转账,34.6万条个人信息放在几个Excel文件里,总共花费是5000元,平均下来1分钱就可以买到一个人的信息。
在这个大数据的时代之下我们该如何自保?
—1—
大部分“黑客”攻击的根本原理就是社会工程学
社会工程学(Social Engineering,又被翻译为:社交工程学)在上世纪60年代左右作为正式的学科出现。
广义社会工程学的定义是:
建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。
经过多年的应用发展,社会工程学逐渐产生出了分支学科,如 公安社会工程学(简称 公安社工学)和网络社会工程学。
而也有人这样定义:社会工程学是通过对社会人的心里弱点、习惯弱点的分析,通过手段达到目的的过程。
很多社会工程学高手可以仅仅通过一个名字就可以查到你的详细信息,我举个例子。
很多人有所不知,自己的信息已经变成产品在无数个平台,贩卖。交易时间越近价格越高,准确率越高。
一个社会工程学高手接到一个任务,就是调查某人的真实地址。
于是将某人的电话和名字在有的三个数据库中匹配,找到了房子、车辆信息。
但是找不到工作单位呢?
很简单
高手:喂!EMS,麻烦你到很骚大厦楼下取一下你的快递?
某人:撒子快递哦?哪个寄的?
高手:爱存不存(ICBC)寄的挂号信,好像是信用卡。
某人:我不在那里,地址是不是错了哦。
高手:那你的地址在哪里嘛?那今天拿不到了哦,哎呀下次地址麻烦些准确些嘛。
某人:。。。。。(沉默三秒),是某某某大厦13楼2号
高手:慢点,我记一下。
案例分析:
关键词:钓鱼、身份伪造、社工库。
解决方法:
警惕寄错的快递,没有必要留真实电话的地方不要留真实电话。
这只是第一步,接下来就可以开展利用你的信息进行网络贷款,或者开始卖你的信息给电信诈骗公司获利等等。
遇事情千万不要想当然,要尝试着从这件事情的本身跳出来。
思考对方为何要这么做,特别是异常的事情。
—2—
“黑客”是如何黑掉你的钱的?
“黑客”的最终目的就是获得资金。
获得资金手段可以归结为四步:
1、获得精确信息:
黑客主要通过非法窃取或者购买社会上各行各业泄漏的个人信息,包括身份证信息、电话号码、家庭住址、工作单位、网络账号和密码、银行账号和密码等关键信息。如何获取的渠道我在上一节已经说得比较清楚了。这个只是第一步!
2、脚本设计:
“黑客”通过你的个人信息模拟出一个真实的经济社会活动场景,精心设计各种脚本,例如近期的兼职刷单、或者美院学生教画画、代办信用卡、冒充公检法等。可以看看遇到2020年第一季度受到的攻击类型统计。
其中虚假中奖信息仍然是最常遭遇的攻击,占比为52.6%,冒充好友攻击的占比为41.2%,网络兼职攻击的占比为33.5%。
3、 通讯联络诱导:
“黑客”通过电话、短信、互联网等通讯渠道联络受攻击者,利用设计好的脚本结合获取到的个人信息,通过获得被攻击者信任。
4、资金支付转移:
“黑客”引导被攻击者进行银行转账、网上支付、获取验证码等方式向指定账户转款,再经预先设计的渠道转移受攻击者的资金。
而最令人恐惧的事情发生了,近段时间发现,“黑客”还将人工智能应用到这些攻击手段之中:
在通讯联络诱导环节,“黑客”利用人工智能去打电话!
以前一个人平均可以打300—500个,而一个机器人每天最多可以打5000个电话!
攻击效率提升200%,一个8人的“黑客”团队能发货8000人的水平!
2018年底,河北就发生过人工智能技术通过提前与源文件,然后骗取被攻击者的信任。
在今年的3月份,据外媒报道,网络“黑客”利用人工智能(AI)和语音技术冒充一名英国企业主,骗取了24.3万美元(约人民币196万元)。
据《华尔街日报》报道,今年3月,据信是一个不知名的黑客组织利用人工智能软件模仿一家能源企业德国母公司CEO的声音,来欺骗该企业英国子公司CEO,以致于英国子公司CEO被诱骗通过匈牙利供应商向德国母公司CEO转账了大笔资金。
当这笔钱一直没有到账后,英国子公司CEO开始怀疑,并意识到有些事情不太对劲。
但这位他转账给匈牙利的资金,实际上已经转移到了墨西哥和其他地方,而德国母公司CEO并没有像他想象的那样提出转账要求。
很明显,这家能源公司被“黑客”级攻击了。
黑客攻击无所不在,只是你没遇到而已,不要存在“幸存者偏差”,要时刻提醒自己注意。
—3—
中国的互联网私隐现状如何?
预计到2025年,中国将成为全球最大的数据产出国。
根据国家网信办《数字中国建设发展报告(2018年)》发布的一项报告显示,2018年我国数字经济规模达31.3万亿元,占据GDP的比重是34.8%。
如今,整个社会的数字化程度也越来越高,常用设备包括电子探头、人脸识别、车载设备等等。
直接的体现就在,现在出门带钱的人越来越少。
与此同时,数据泄露的事故也层出不穷:
2018年4月,某外卖平台被曝用户信息泄露,每条信息卖价最低不到一毛钱,精确到具体点的什么餐、用餐地点等私密信息。
2018年8月, 某快递公司被曝泄露了3亿条用户数据,售价为2比特币,数据内容包括寄件人、收件人的姓名、地址、电话等个人信息。
2018年9月,某酒店集团被曝其住店客户数据在暗网售卖,泄露数据包括1.23亿条官网用户注册数据,1.3亿条旅客身份信息以及2.4亿条详细开房记录,全部数据共计约五亿条,售价约为37万人民币。
中国消费者协会的一项调查报告显示,中国85.2%的app用户曾遭遇数据泄露。
常见现象为:推销电话、信息骚扰、垃圾邮件、非法链接、账号密码被盗等。
最常见的事情就是当你打开过购物软件查看某样东西的时候,你就会发现下次你再打开,它会把类似的东西全部都放置在你的首页。
这叫做精准营销!
说到这大家可以看看这个专栏,学习体会一下互联网安全是如何实现的,有兴趣的人可以购买学习。
—4—
我们普通人要如何防止被“黑客”攻击?
既然各种黑客攻击手段层出不穷,我们要如何防范呢?
1、提升个人的风险防范意识。
在人工智能技术的不断发展和推动下,“黑客”攻击手段呈现了成本低、花样新、覆盖广、迷惑性大灯特点,所以每个人的识别攻击、防止攻击意识和能力变得十分重要!
正如文章开头说得,现在攻击的主要重点地区、易受害人群,转移到了校园。
在北京、上海、广东等很多校园都引发了关注,年轻人应该极大的提高自己的防范意识。
在接到很多类型的攻击电话的时候要多思考,多想想,学会判断什么才是真实的信息。
2、注意保护个人信息。
在办理很多网上业务,或者其他任何业务的时候要注意保护好个人的信息。
在留下信息前一定要小心谨慎,避免钓鱼网站或者个人信息落入别有用心的人手中。
不在公开网站和软件发自己的照片和现实信息;不参与网络暴力和争论骂人;不定期清理自己的上网痕迹;
不使用超出正常权限的app……
个人在安装app的时候一定要留意权限设置,比如不轻易授权通讯录、定位、摄像头、麦克风等等。
3、切勿贪小便宜
很多“黑客”进行攻击的第一步都是先设置一些小诱饵,或者引导受攻击者信任。
所以我们不要贪小便宜,不要相信任何陌生网友、电话、微信和QQ。
4、受到攻击要立即报警
一旦遇到类视情况,或者收到类似的攻击要立即去报警处理。不要幻想着能通过渠道要回资金。
随着时代的进步,很多科技手段都在日益更新,包括人工智能等等,但大家不要忘记一点,再密不透风的防御体系的背后,使用者本身还是——人。
在这样混乱的互联网上,你根本身不由己,当你接入互联网或陌生人的那一刻,你的隐私就失控了。
拿到你隐私的坏蛋,他们可以偷窥你,可以诈骗你或你身边的人,可以利用你的隐私做出下三滥的事。
在身处大数据的时代,人人都是透明人,我们需要重新建立一套隐私保护的平衡机制。
