从盲骗到“精准”诈骗

2016-11-21 19:27靖力
方圆 2016年20期
关键词:徐玉玉个人信息诈骗

靖力

相较于以往的“盲骗”,精准诈骗的最大特征便是掌握了目标对象的大量个人信息,诈骗剧本都是契合诈骗对象设定的

日前,一段视频在网上迅速走红,视频记录了某高校一名教授在“新生防骗培训”上讲课的片段:“中国四大表演院校知道吗?北影、中戏、上戏、南未。南未就是南方口音未知号码骗子学院。”学生哗然。教授又说:“你们也许会说,老师你讲防骗没用,我连大学都考上了,骗子小学都没毕业,能骗得了我吗?你要这么想,就离上新闻不远了。”

一段时间以来,各类政府工作计划里、各地学术研讨会议上、各家闲谈议论中,“精准诈骗”成为高频词汇,反复被讨论着。

引发各界对“精准诈骗”强烈关注的重要节点是山东徐玉玉案的曝光。8月21日,山东省临沂市罗庄区女孩徐玉玉被诈骗电话骗走上大学的全部学费后,难过不已,导致心脏骤停离世。事件揭开了“精准诈骗”的冰山一角:山东警方将诈骗徐玉玉的犯罪团伙抓捕归案后发现,正是因为徐玉玉申请助学金的信息被泄露,诈骗团伙才得以知道徐玉玉的姓名、住址和学校,因此徐玉玉才完全相信了对方的虚假身份,进而被骗。

无独有偶,8月下旬,清华大学一名教授被骗走1760万元。据悉,这名教授当天上午刚刚卖了一套房子,房款刚刚到账,回家就接到诈骗电话,称其在买卖房产过程中漏缴税款。诈骗团伙甚至说出了该教授卖房网签合同的编号,这些信息让该教授相信了对方。

在众多的电信网络诈骗犯罪中,“精准”诈骗被视为成功率最高、最令人无法防范的诈骗犯罪。360首席反诈骗专家裴智勇将“精准诈骗”定义为通过深入利用用户个人信息实施的诈骗。这类以掌握准确的个人信息为基础、编织合乎目标对象的情节的骗术让人防不胜防。“从过去的‘盲骗,到现在的‘精准诈骗,诈骗成功率越来越高,也越来越令人难以防范。”

一骗一个准的“精准”诈骗

从8月下旬至今,徐玉玉案引发的持续喧嚣仍未停歇。中央以及各地政府持续开展着严打电信诈骗的行动,揭开了电信诈骗手法变迁的新趋势。

10月17日,公安部召开打击电信网络诈骗犯罪电视电话会议,据了解,今年1月到9月,全国共破获电信网络诈骗案件7.7万起,查处违法犯罪人员4.3万名,打掉各类诈骗团伙6200余个,捣毁诈骗窝点6900余个。

裴智勇表示,这种诈骗与前些年流行的“盲骗”不同的是,“盲骗”并不掌握或者少量掌握目标对象的个人信息,仅用某种固定的骗局进行“广撒网”式的诈骗,某个目标对象恰好契合骗局的设定,便容易被骗,而对于多数人,“盲骗”起不到任何作用;而“精准诈骗”则是充分掌握了目标对象的个人信息,根据个人信息拟定骗局进行诈骗,几乎所有目标对象都是契合骗局设定的,这种方式的诈骗效率很高。

“盲骗”的效率有多低?10月11日,河南省博爱县法院公开判决了一起诈骗案,两名江西籍被告人利用伪基站设备群发诈骗短信,从3月6日开始,开车从福建到甘肃,又从甘肃到陕西、河南,耗时半年前后共计发送诈骗短信48.8万条,直至被警方抓获,没有一个人受骗。

而“精准”诈骗的成功率就高多了。仅在徐玉玉案被曝光的不到一周的时间里,临沂市便又有两起性质相同的大学生被骗案被报道,其中一名临沭县的大二学生宋振宁也与徐玉玉一样心脏骤停,不幸离世。宋振宁接到的电话是来自“公安”的,称其银行卡被人透支了6万多元。一开始宋振宁还有点怀疑,但随后对方说出了他的银行卡信息和身份信息,最终给对方汇去了2000元。另一名被骗大一女生则先后接到“快递公司”、“银行客服”、“公安局办案人员”的电话,称其涉嫌洗钱,需要往指定账户汇款证明收入来源合法,还准确说出了她的身份证号码、银行账户等个人信息,最终被骗。

连以互联网安全见长的互联网公司大佬们也未能幸免。9月20日,360公司董事长周鸿祎在2016网络安全技术高峰论坛上也表示,自己曾经收到过精准诈骗的短信,例如“周鸿祎这是你孩子的成绩单”,并加上一个链接,或者“周鸿祎这是我们一块出去玩的照片,请看一看”等。

信息泄露:一靠内鬼 二靠黑客

精准诈骗的猖獗,使人们将目光投向了个人信息的保护问题上。裴智勇认为,个人信息的大量泄露,是精准诈骗得以成功的基础。而个人信息的源头,则是国家机关或者金融、电信、交通、教育、医疗等单位的相关岗位。

“一些组织和个人,违反职业道德和保密义务,将这些消费者信息数据窃取后出售牟利。”江苏省南京市玄武区检察院侦监科科长周颖表示,在警方查获的个人信息泄露源头中,有电信公司、快递公司、银行等企业工作人员,也有医院、学校、工商部门人员。

10月初,北京市丰台区法院公布了一起中国联通公司员工肖某利用工作便利,非法获取并出卖公民个人信息的案件,涉案个人信息多达12.9万条。肖某在联通公司负责数据挖掘方面的工作,有机会接触到大量用户的个人信息。通过网络,肖某将包含姓名、手机号码、家庭住址、身份证号码在内的个人信息共12.9万条卖给别人,同时还有“裸号”,即只有姓名和电话号码的个人信息十万余条,也卖给了别人,获利近10万元。

一般来说,能够掌握大量个人信息的相关岗位在招聘时,都会与员工签订保密协议,协议中也会明确写明信息泄露的违法犯罪后果,但在巨大的经济利益的诱惑下,许多员工仍然会选择铤而走险。

10月16日,四川省绵阳市警方破获了一起公安部挂牌督办的“5·26侵犯公民个人信息案”,案件中,竟然还有一名银行行长参与了个人信息交易。5月下旬,绵阳市警方发现有人在网上非法获取公民个人征信报告,并出卖牟利。调查后发现,犯罪嫌疑人邓某以每条信息80元至200元不等的价格贩卖公民个人征信信息,但他只是一名中间商。随后,邓某的上家胡某、吴某等人也被警方抓获。警方继续追查,发现信息泄露的源头在银行内部,有人将银行征信系统的查询账号以8万元的价格对外出售。7月,警方查明源头后,将出售查询账号的湖南省邵阳市某县农商银行一支行行长夏某抓获。

除了靠内鬼买个人资料,通过技术手段窃取个人信息也是诈骗收购信息的一大源头。

一名不愿意透露姓名的乌云网网络安全专家告诉记者,从平台上近几年发布的各种漏洞信息来看,只要你在使用电脑和手机,个人信息的泄露几乎不可避免。“信息泄露比较严重的,包括金融、保险、房地产企业的系统后台,还有许多实名注册的购物、交友网站。一些网站站源代码泄露,黑客便能够直接访问数据库,想要什么样的数据可以直接拣取;还有一些存在命令执行漏洞,也可能泄露大量个人信息;此外,还有通过木马植入等方法破坏保密系统,窃取个人信息的。”这名网络安全专家告诉记者。

裴智勇接受记者采访时表示,网络漏洞是不可避免的,安全修复只能大大降低漏洞发生的几率,但漏洞一直都会在。“但是据我们统计,95%以上的网站一年以上都不进行修复。”裴智勇认为,国内许多企业仍然缺乏对网络安全运营的重视。而就目前的立法来看,法律只规定了非法出售、非法获取个人信息的惩处,对于“不尽职”的企业并没有相关规制,例如对网站的修复周期并没有明确规定。这些情况使得企业有一种心理,一旦个人信息泄露被用于诈骗,也并非自己直接损害用户,用户也无法取证状告网站或进行理赔。

7月中旬,票务网站大麦网遭“撞库”事件引起了许多人的关注。大麦网遭“撞库”后,部分用户个人信息被窃取,导致全国多地39名用户被骗,损失金额达147.42万元,单人受骗金额最高近10万元。

有受骗者称,她先是接到大麦网客服号码打来的电话,对方称由于误操作,不慎给她的账户升级了VIP,如果不取消,当晚就会从银行卡中扣款。随后该“客服”准确说出了她的身份证号码、手机号码、所购演出票的信息等,打消了她的疑虑,最终被骗数千元。

精准诈骗利益链

10月初,重庆市巴南区警方部署行动,千里迢迢从北京将一名涉嫌侵犯公民个人信息罪的网站负责人梅家栋抓获归案。据巴南区检察院侦监科检察官唐佩玉介绍,该案涉及个人信息买卖的至少5个层级,涉案嫌疑人多达53人。

该案的核心人物李诗是一名买卖个人信息的二道贩子,他从上家陆海龙、鲁飞等人手中购买个人信息,绝大多数转卖给了最末端的销售员,也有少部分卖给其他二道贩子继续流转。而鲁飞的个人信息都来源于梅家栋开办的“酷我信息网”。梅家栋在“酷我信息网”中设计了一套信息流转的规矩:网友通过购买网站虚拟货币“巴豆”来支付下载信息的费用,发布信息可以获得“巴豆”,每一次交易,梅家栋要提成10%的“巴豆”作为服务费。

接受记者采访时,李诗坦白,个人信息按详细与否、崭新与否价格不一,最贵的能卖到几元一条,最便宜的一分不到,一手信息最贵,而2010年以前的信息一般就只能捆绑当添头了。QQ群、微信群,目前是个人信息最主要的交易市场。李诗坦白,谁需要哪个行业、哪个地域的个人信息,只需要在群里吼一嗓子,自然有人搭腔,随后便转入私聊,完成交易。

在个人信息的黑市里,那些关乎每个人隐私的个人信息,就像流水线上出来的产品,通过层层转手,最后落到销售人员手中,落到诈骗人员手中。

个人信息流转到诈骗团伙手中,是信息泄露最为严重的后果之一。比如在徐玉玉案等精准诈骗的案件中,个人信息的泄露成了诈骗团伙成功施骗的关键。徐玉玉案中,犯罪嫌疑人杜天禹窃取、售卖个人信息,郑贤聪负责扮演教育局工作人员,陈文辉则负责冒充财政局工作人员,郑金峰负责提取诈骗款。整个流程一气呵成。

“一条条信息的泄露,一道道防线的失守,一次比一次更严重的伤害,整个社会都在追问:是谁让骗子可以按图索骥,实现精准诈骗?”信息管理专家、《数据之巅》作者涂子沛撰文感叹。

虽然有大量个人信息的助推,但诈骗团伙自身的精细化、专业化发展也是防诈骗越来越难的原因。

比如湖州市吴兴区检察院查办的7起电信诈骗案件中。有负责整个犯罪团伙的运作、购买客户资料和诈骗技巧、统计业绩的团伙头目。还有客服对购买的客户资料进行分类,将“潜在客户”分流至业务组,业务员则负责具体打电话进行诈骗。还有审单人员负责核对快递单号,与被害人确认收货地址和联系方式,通过快递物流公司和“关联账户”将诈骗款流入自己账户。

个人信息立法是防骗关键

采访中,许多专家不约而同地表示,相较于以往的“盲骗”,精准诈骗的最大特征便是掌握了目标对象的大量个人信息。

北京大学电子商务法律发展研究基地主任、法学教授刘凯湘表示,需从立法上认可“个人数据信息权”,保护公民的人格权,才能有效保护公共利益。

中国人民大学副校长、法学院教授王利明也表示,当务之急是应当在正在制定的民法典中明确规定个人信息权,任何人不得非法获取个人信息,更不得非法出售或者提供个人信息,对信息泄露者应当视其情节轻重,追究其法律责任。王利明建议,应当以个人信息权为基础,应当制定专门的个人信息保护法,解决个人信息保护的多个问题。

“不是所有的个人和机构都可以收集个人信息,特别是大规模地收集个人信息。任何机关和个人在收集他人个人信息时,都应当遵循合法性原则,保证收集的主体和手段必须合法。同时,个人信息收集必须要符合特定目的,例如,银行收集的个人信息只能限于银行内部使用,房屋中介收集的个人信息只应在交易过程中收集,交易后应当销毁,而不能在此目的之外使用相关信息。”王利明表示。

此外,王利明认为,还应当保证个人信息所有人的知情同意原则,对一些重要信息的收集,特别是关系个人核心隐私信息的收集,必须取得本人的同意,并且应当向被收集者告知信息的收集目的、用途和使用期限等。同时,应当明确个人信息收集的范围以及个人信息收集后的妥善保管责任。在个人信息的查询规则方面,一旦有关机关收集个人信息后,并不意味着任何人都有权查询,因为有些个人信息属于个人的私密信息,应当受到法律保护。最后,是要明确侵害个人信息权利的责任。“目前,有的机构大面积收集个人的信息,导致个人信息的大面积泄露,这些主体的责任并不明确。立法应当明确侵害个人信息权利的责任,如果确实是机构的原因导致信息大面积泄露,则机构应当依法承担相应的责任;如果是机构的工作人员私自泄露了个人信息,除该个人应当承担责任外,机构视具体情节也可能需要依法承担责任。”王利明建议。

事实上,王利明所呼吁的《个人信息保护法》,从2003年开始,国务院就委托有关专家开始起草了,2005年,《个人信息保护法》专家建议稿完成并提交了国务院审议。但时至今日,该法始终未能出台。

国外有首席隐私官

因为缺乏专门法律,目前我国与个人信息保护相关的法律规定便只能散见于各类法律之中。例如在我国的《民法通则》、《民事诉讼法》、《保险法》、《行政诉讼法》中都有对个人隐私予以保护的法律规定,而直接规定对个人信息的保护的,却只有刑法中的规定。刚刚施行的刑法修正案(九)第253条规定,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”

对于立法上存在的问题,北京大学法学院教授梁根林认为,从刑法角度看,立法其实已经作了非常严格的规定,目前执法中出现了立案难、取证难、管辖难等问题,在等待进一步立法的同时,应让法律真正有效地得到实施。

执法体系薄弱的问题也是精准诈骗难以防范的原因。通信业专家项立刚表示,打击精准诈骗目前面临的最大问题是执法体系比较薄弱:“犯罪分子已经是网络化、高效率、低成本、精细分工,而执法系统还是属地管理、网格化、低效率、高成本。所以许多诈骗数额并不巨大的诈骗案基本无法解决。面对低成本、高收入的诈骗诱惑,骗子们怎能放弃这块肥肉呢?”

采访中,一些专家介绍,在对公民个人信息保护这方面,欧盟、美国的一些做法值得借鉴。早在1995年,欧盟就制定了世界上最严格的个人数据保护规定,欧盟法院确认公民享有一项新的权利——遗忘权。公民在网络上留下的痕迹,有权要求网站将其删除。而美国跟欧盟的个人信息保护模式不同,美国强调的是违法成本。据相关机构的统计,在美国,只要泄露信息的事件发生一次,企业就会有15%左右的客户流失,违法成本代价极高,也约束企业不敢违法。

涂子沛表示,美国联邦政府下辖有70多个部委直属机构,绝大多数不仅设立了首席数据官,还设立了首席隐私官。“建议工信部成立一个专门的个人隐私保护局,职责就是制定相关个人信息保护的政策,打击因为个人信息泄露导致的诈骗行为,未来的各级政府,都应当有个人信息保护的工作部门。”涂子沛建议。

猜你喜欢
徐玉玉个人信息诈骗
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
警惕个人信息泄露
合同诈骗
电信诈骗
徐玉玉之死中的平庸之恶
擦亮双眼,谨防招生诈骗
个人信息保护等6项通信行业标准征求意见