这两天,一条名为“有哪些需要提高警觉的网络诈骗案例”的帖子刷爆朋友圈。其中的一个真实案例,值得拿出来细说。
遭遇这起网络电信诈骗案的当事人,看起来防骗经验丰富,以至于在接到操着“粤普腔”诈骗分子电话后的第一时间,他已经意识到这是骗局,还想着同样回以“粤普”,跟诈骗分子开玩笑。
然而之后当事人一步步陷入诈骗分子精心设计的圈套,直到最终在对方精心设置的、拟真度极高的冒牌电商网站页面,输入银行卡号和密码时,方才恍然大悟,在最后时刻阻止了骗局的发生。
这是一起由诈骗分子掌握了当事人某电商网站用户名和密码、订单信息和当事人电话号码后,进行的“个性化精准诈骗”。当事人在这个帖子里承认,此骗局“精妙”。
回顾这个案例,我们可以得到两个观察:其一,哪怕是自认为防骗意识很强、或者学历较高的当事人,最近也越来越容易被骗;其二,诈骗分子掌握的个人信息越来越多,越来越私密,因此设计的骗局也越来越“精妙”。
上海市反电信网络诈骗中心平台日前披露,自今年3月21日投入试运行以来,已经冻结被骗资金折合人民币超过8000万元。该中心平台工作人员还透露,“诈骗团伙的剧本都是花了很高的价格,请那些在心理学方面的专业人士编的,有的剧本价值十几万。”
上述两个观察和中心平台提供的两则信息,都指向同一个结论——加强网络安全意识和措施,已经迫在眉睫,而这应是网民、互联网企事业单位和行政立法等部门,共同承担的责任。
先说网民。正如上文援引的防诈骗案例中提到的,“勤换密码”应成为网民最基础的网络安全共识。除此以外,网络安全专家一直呼吁的防范措施,如使用不加密的开放式WiFi时尽量不要输入密码等隐私信息,不在不可靠的网站输入个人信息,不在手机上进行越狱、安装不可信的App等等,都应成为网民应知应会的网络安全必修课。
互联网企事业单位则该承担更多的网络安全责任。近年来,网络攻击手段翻新、隐蔽性强,令不具备、也不应强求具备网络安全技术的普通网民频频中招。而这些网络攻击事件的背后,往往是宽带接入服务商、互联网企事业单位的技术漏洞所导致。
相比于由网民自身范防意识不足引发的个别诈骗事件,由互联网企事业单位的技术漏洞引发的诈骗案,一般都是批量出现,且后果更严重。近期,接连有大学生遭遇网络电信诈骗,事后查明,黑客攻破相关学校数据库后,获取了大批在读学生个人信息,进而实施“个性化精准诈骗”。
一个值得警惕的现象是,目前国内互联网看不见的“地下市场”,存在一条从获取、分发、兜售网民个人隐私的黑色产业链。黑客利用电商、论坛乃至酒店数据库等网站的技术漏洞,大量获取用户的密码和个人信息,转而出售获利,而卖家则往往是诈骗分子,他们通过这些用户个人隐私信息,制订针对不同人群的“话术”和诈骗手段,而受害者因为诈骗分子掌握其个人信息多,往往会受骗上当,损失惨重。
存在严重网络安全漏洞的互联网企事业单位,就是诈骗分子获取“目标客户”的一条捷径,而且由于这些网站存有用户大量敏感的个人信息,因此给了诈骗分子实施“个性化精准诈骗”极大的便利,危害甚大。
光靠互联网企事业单位自寻漏洞,显然不够,这就需要行政和立法部门,通过强有力的立法和执法,进行监管。我国现行针对网络安全的法律法规,着重惩处网络攻击的实施方,亦即黑客,而被攻击的网站,往往以受害方的面目出现。但如今“大数据”思潮风起云涌,网站保存大量用户个人信息,已成为常态。这些数据和信息为网站带来了可观的收益或者在资本市场估值上的提升,网站也应该对用户信息和数据安全负责。
因此,笔者认为,怠于对网站进行技术检测和升级,以至于放任网站用户信息泄露的互联网企事业单位,亦应一并受到最严厉的法律制裁,而这需要立法部门进行修法,行政部门也应充分监督和执行。
网络安全应是一个由上述三方共同形成的闭环,任何一方的缺位,都将成为短板。也正因此,筑牢网络安全的“铁三角”,正当其时。
本文转自d1net(转载)