今年在中央广播电视总台央视财经频道现场直播的“3·15”晚会是第33届,晚会聚焦“用诚信之光照亮消费信心”的主题,分别关注食品安全、公共安全、数字经济、“银发”经济等消费维权领域的新热点和新现象。
本届晚会上,3·15信息安全实验室曝光了网络钓鱼诈骗、恢复出厂设置并非彻底清除、破解版APP竟成跟踪器三大骗局事件。
3·15信息安全实验室,是中央广播电视总台3·15晚会节目于2022年1月成立的实验室,主要职责是针对消费者日常生活中那些容易忽视的信息安全隐患,进行专业测试,及时发出风险预警。
其中,3·15信息安全实验室曝光的“不能点击的短信”,是一种典型的网络钓鱼诈骗,消费者按照钓鱼网站的要求,每填写一项,系统就会自动记录下来。姓名、身份证号、手机号、银行账户信息甚至余额都会被不法分子掌握。
#不能点击的短信#
近年来消费者的网络购物等需求越来越多,很多不法分子通过“ETC卡禁用”“快递丢失理赔”等骗局,诱骗消费者登录钓鱼网站对其进行诈骗。
陈女士曾收到了一条提示她的ETC卡已禁用的短信,需登录网页进行签办。陈女士点击链接后发现,打开的页面看上去没什么问题,于是她跟着提示输入了自己的手机号、银行卡号等个人信息。但接下来陈女士三秒钟内接连收到六条扣款短信。
网络钓鱼,是指不法分子通过多种手段,试图引诱网民透漏重要信息的一种网络攻击方式。网络钓鱼攻击占所有数据泄露的90%以上,远远超过恶意软件和勒索软件攻击,每年影响数千万用户。
网络钓鱼攻击种类多样,最常见的攻击类型包括:电子邮件网络钓鱼、鱼叉式网络钓鱼、鲸钓、商业电子邮件欺诈、 语音网络钓鱼、HTTPS钓鱼、克隆钓鱼、短信钓鱼、弹出网络钓鱼(Pop-Up Phishing)、 社交媒体网络钓鱼、灯笼式钓鱼、双面魔童网络钓鱼、网站欺骗、电子邮件域名欺骗、DNS欺骗、基于图像的网络钓鱼、搜索引擎网络钓鱼、水坑攻击、中间人(MITM)网络钓鱼等等。
本届3·15晚会曝光的就是典型的网站钓鱼和短信钓鱼攻击手法,当不明真相的消费者点击短信链接后,系统后台就开始悄悄的同步接收信息,身份证号、手机号、银行账户信息甚至余额,都被不法分子掌握。此外,用诈骗手机诱骗消费者点击共享屏幕之后,消费者手机或网站上的一举一动都会实时传递给诈骗分子,通过诈骗手机和短信验证码,从而登录消费者的支付平台进行消费。
由于这些策略简单到通过电话或短信跟踪网络钓鱼电子邮件,直接进行诈骗。不法分子通过心理操纵和技术型社会工程学,提高了网络钓鱼攻击的成功率。网络钓鱼是威胁行为者访问受害者网络的最常见方式之一,在远程和混合工作时代,邮件钓鱼亦是当下有效的诈骗方式,一旦进入,威胁参与者就会部署下一阶段的攻击。
邮件钓鱼的受害者往往更多的是企业员工,从而威胁到企业数据安全。一旦企业员工点击、打开钓鱼邮件,攻击者就会随着受害者访问、攻击企业数据,从而获取企业客户信息数据或其他数据以此来勒索企业获利,或者直接将数据放在暗网上进行售卖、或者在企业内部系统植入勒索软件,等等。
那么,网络钓鱼的受害者信息都是如何流出的?换句话说,攻击者一般都是如何获取受害者联系信息,从而给他们钓鱼短信、钓鱼邮件或链接的?
在钓鱼网络攻击中,攻击者一般会搜集用户的个人信息来炮制一封精心设计的钓鱼邮件或短信,诱使用户透露更多的个人信息。而在这之前,攻击者会从社交网络上搜集特定组织的人员信息。这很简单,因为很多人都会在社交媒体上贴上相应标签,标识出自己是哪个公司的雇员。LinkedIn和Quora就是两个这样比较典型的社交网站。
另外一种则是更“普遍”的方式,就是攻击者从黑灰产业链直接购买个人的隐私信息,从而无差别地发送钓鱼邮件或短信。
黑灰产业链,也称黑色产业链、黑产,是指利用互联网技术实施网络攻击、窃取信息、勒索诈骗、盗窃钱财、推广黄赌毒等网络违法行为,以及为这些行为提供工具、资源、平台等准备和非法获利变现的渠道与环节。
黑灰产业链的上游是个人信息非法提供者。这些人的信息不仅来自网络攻击者,还有行业、企业“内鬼”,或是来自“专业”的个人信息贩卖团伙,等等。黑灰产业链的非法信息来源可以说是“多种多样”。
例如,浙江某地犯罪嫌疑人邱某利用职务之便,使用技术手段非法获取某支付软件用户信息,并伙同他人在境外网上出售,非法获利20余万元;
河北某地犯罪嫌疑人刘某作为某金融公司负责人,为开展贷款业务,非法向物业公司、银行、保险公司、电信运营商等行业内部人员购买大量有贷款需求人员个人信息,组织员工假冒银行工作人员推销贷款服务,并将公民个人信息转卖,非法获利630余万元;
江苏某地犯罪嫌疑人石某等人勾结某电力企业外包服务公司工作人员孙某等人,窃取用电居民房产信息,并出售给房屋中介、装修公司人员,非法获利30余万元。
上述案例都来源于近期公安部公布的打击侵犯公民个人信息犯罪的典型案例。手机定位信息、物流信息、机主信息、电话查询、学籍档案、征信信息等六大类,是常见的网络个人信息买卖的黑灰产业链。
一些个人信息贩卖团伙,还会“特意”研发搭建含有10亿余条公民个人信息的数据库、开发导航机器人实现引流置顶、配置担保系统保障交易安全……犯罪团伙利用如此“高端配置”,通过某匿名聊天软件组建“信息查档”聊天群,明码标价贩卖公民个人信息。
而这些被贩卖、倒卖的个人信息会被诈骗团伙、网络攻击者以低廉的价格购入,用作电信诈骗、网络钓鱼诈骗,以获取更高的利益。
至于如何防范这些网络钓鱼短信或邮件,以下这些防护建议,不妨可以看看:
千万不要轻易相信陌生短信链接,不要随意点开,远程连线要谨慎,要时刻警醒,守护我们的信息财产安全;
慎重点击“可疑”链接。如今很多钓鱼邮件为了看起来合法,会进行非常精细的伪装。如果其中包含链接,这些链接可能会将人们定向到与原要打开的网站完全相同的界面从而实现网络钓鱼;
网络钓鱼会运用各种社会工程技巧,最常见的就是利用人员的情绪冲动和应激反应。用户必须了解网络钓鱼电子邮件背后的心理游戏规则,才能真正抵制它们。
以上防护建议适用于每个人,但作为企业员工,企业还是有必要经常对员工进行网络安全意识,或是采购安全办公产品,以避免员工点击网络钓鱼邮件、造成企业数据资产、现金财产等损失。
