分割线
教育系统成黑客攻击目标 考生个人信息被打包出售
来源:新闻晨报 2016/08/26 10:08:42
字号:AA+

导读: 在这个群观察两天后发现,这里几乎包含着整个围绕个人隐私信息的收购、出售、提供群发服务的灰色产业链。”  在分析山东女生受骗的这起事件时,杨蔚称徐玉玉的个人信息一般有两种情况可能被诈骗集团掌握。

黑色链上分工特别明确

北京众安天下负责人、知名白帽子“301”杨蔚对于考生个人信息安全曾做过专门的研究。他讲诉了这些泄露的数据是如何一步步汇入黑色产业链的。“这些信息非常有价值,有人买就有人卖。既然下游有人愿意花钱,那自然就会有黑客去攻击这些目标。黑客非法获取这些信息,拿到数据以后,就会有人接手。这里面还有大量二道贩子的存在,在中间赚差价。”杨蔚说,这个链条上的人分工特别明确,而且都是“专业”级别的团队操作。“有些人会专门去联系相关的培训机构或诈骗团伙,从而把手上的数据卖到下游。而下游这些团队,有专人负责诈骗的话术编写培训、线上通过第三方支付平台洗钱、线下ATM机提款等,分工非常明确。”

在分析山东女生受骗的这起事件时,杨蔚称徐玉玉的个人信息一般有两种情况可能被诈骗集团掌握。一种是教育机构环节中某个人主动向外售卖,另一种则是黑客从系统中盗取了她的个人信息。不管是哪种方式,这条信息最终都被下游的诈骗团伙拿去利用了。

这些考生的个人信息在地下流通时能获取多大的利润呢?杨蔚表示,地下产业链里的数据跟市面上做代理一样,每个人拿的市场价格不一样,没有一个非常标准的价格。“一些未成年的黑客往往对金钱没有概念,最低几百元可能就会卖到中间商手中,然后有一些中间商会以几万元的价格卖到下游。有些职业的黑产团队,拿到一些信息可能会卖到几十万甚至上百万。”杨蔚说,有些时候这些信息也可能会按条算钱,例如一名考生信息定价为“一分”。

“有的数据是第一手的,没有人碰过的,价格就会非常高;如果数据已经被利用过很多次,就会变得非常廉价,因为在诈骗团伙看来,经手太多就意味着价值缩水。”

教育系统成攻击目标之一

在杨蔚看来,一些黑客哪怕只是掌握了这一领域的皮毛,想去攻击一些地方政府机构、教育机构的网站就已经很容易了。

杨蔚发现,近年来针对考生的个人信息安全事件层出不穷,每年都会发生类似的情况。“这从侧面说明,教育系统已经成为黑客攻击的目标之一。”在杨蔚看来,一方面政府系统、教育机构还有一些公司网站,安全系统非常薄弱,本身就存在很多漏洞,攻击难度低,这样的情况下黑客获取信息会比较容易。另一方面,绝大多数这类网站,没有专人去负责信息安全,甚至在被黑客攻击后也察觉不到。“级别越低的单位,因为在信息安全上的投入也相对较低,其安全性就更差,更易被黑客攻击。”

山东又一学生疑被骗离世

就在徐玉玉受骗事件备受关注之时,同样来自山东临沂的大二学生宋振宁,在8月18日接到诈骗电话被骗之后,于8月23日凌晨心脏骤停,离开人世。

据澎湃新闻报道,临沭县的大二学生宋振宁,在8月18日接到一个来自济南的陌生电话,被告知自己的银行卡号因被人购买珠宝透支了六万多元。据宋振宁的家人回忆,骗子能够清楚的报出宋振宁的银行卡和身份信息,这成为宋振宁上当受骗的关键。最终宋振宁在银行给对方转去了2000元。回家路上跟亲戚聊起这件事,才意识到自己上当受骗。而后宋振宁选择了报警。但在此之后的8月22日,那个陌生电话再次联系宋振宁让其还款,宋的老师和同学称,宋振宁不知何故将自己的生活费及家中现金存入了银行卡,当天下午发现卡内的金额都不见了。

懊悔不已的宋振宁在晚饭时跟父母说起了受骗的事,他的父亲还宽慰他钱没了可以再赚,别太难过。然而在8月23日凌晨,宋振宁的家人却发现他躺在沙发上一动不动,走近才发现他已经停止了呼吸。后经医生确认,宋振宁死于心脏骤停。

【相关新闻】

上海曾有学生被骗70余万

记者邬林桦

晨报讯今年1月18日,同济大学2013级中法工商管理女大学生小王,在莘庄地铁站去实习单位浦东振华重工的路上失联。第二天,松江警方在浙江绍兴找到小王,并证实小王系遭遇电信诈骗。

据悉,小王接到一名自称是联通的“客服来电”,说她的个人信息被不法分子利用,涉嫌一宗巨额信用卡诈骗,她和家人都有生命危险。随后骗子同伙又冒充警方将其诱导至所谓“安全基地”绍兴,又以将资金转移到安全账户的名义,共被骗取70余万。

【新闻链接】

刑法修正案解决打击信息泄露两大难题

记者邬林桦

晨报讯针对公民信息泄露,《刑法修正案(九)》进一步加强对公民个人信息安全的保护,第二百五十三条规定:

违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三项罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照该款的规定处罚。

在业内人士看来,从“非法获取公民信息罪”到如今“侵犯公民个人信息罪”,在两方面改变了过去法律法规中对于解决信息泄露的难点问题:“这一法律条文没有特定的对象,这意味着不仅是政府部门、金融机构、通讯部门、教育医疗机构,也包括中介企业、物流快递、网站等各行各业,只要存在符合条款所描述行为的主体都要受到制约。”此外,这是一项独立罪名,即无需真正造成被害人损失,只要犯罪事实存在即可认定。

原标题:教育系统成黑客攻击目标 考生个人信息被打包出售

责编:海时孝 (如需版权合作请联系 hezuo@haijiangzx.com 转载请注明来源海疆在线)

网友评论

评论内容
分享