您看見照片上卡通人物手上拿著的牌子嗎?如今,不僅渴了可以“請”互聯網幫忙,許多生活服務模式也都可以借助互聯網來改變。然而,互聯網在提供便利的同時,“大數據”環境支撐下的網絡信息安全形勢也日趨嚴峻。 佳 行攝
12月25日,烏云漏洞平臺顯示,大量12306用戶數據在互聯網上傳播售賣。盡管當晚中國鐵路官方就發布消息稱,兩名犯罪嫌疑人已被抓獲,但13萬用戶信息的泄露還是讓人心頭一驚。12月26日,反信息詐騙聯盟發布《反信息詐騙白皮書》,其中數據顯示,僅2013年,中國信息詐騙案件發案30余萬起,群眾損失100多億元。用戶數據泄露和販賣,正是這些信息詐騙案件發生的“源頭”。
賬戶名、密碼和與之關聯的身份證號、銀行卡號、住址等核心數據,正在越來越緊密地與消費者口袋里的“真金白銀”聯系在一起。這些海量數據如何被犯罪分子利用?作為普通消費者、安全企業和政府管理部門,又能做些什么?
用戶應有“分級意識”
按照警方的說法,本次12306網站用戶數據信息泄露,是犯罪嫌疑人通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息,嘗試登錄其他網站進行“撞庫”,非法獲取用戶其他信息導致的。所謂“撞庫”,其實就是黑客指利用已經泄露的用戶信息,批量登錄其他網站,從而得到一系列也可以登錄的用戶。其根本原因在于很多用戶在不同網站使用的是相同的賬號密碼。
不過,被“撞庫”的12306同樣在安全防范上負有責任。互聯網安全廠商360安全總監趙武認為,被黑客“撞庫”得手,根本原因是12306的賬號安全體系有缺陷,根據補天漏洞平臺白帽子發現,12306手機APP登錄接口存在漏洞,黑客可輕易繞過其賬號安全防護措施,無限次嘗試自動登錄。“一般情況下,如果出現連續試錯密碼、大規模登錄請求等異常情況,應對訪問IP進行一定時間的屏蔽封鎖。”
互聯網安全廠商瑞星安全專家唐威同樣表示,除了對“撞庫”缺少應對,瑞星在對12306網站安全監測時還發現,12306主網站下屬的南方貨物快運服務站、東北貨物快運服務站等6個子網站存在Struts2漏洞,利用這個漏洞,入侵者可以獲取子網站管理員權限,并可以通過惡意代碼控制子網站服務器對主站進行跳板入侵獲取信息。“這也折射出很多網站缺乏安全意識,平時的安全防范手段形同虛設。”
由于通過12306賬戶,黑客不但能看到用戶的手機號、身份證號等信息,甚至還能看到用戶曾幫助購票的其他人的核心信息,因此如何避免損失,就成了廣大用戶最關心的問題。事實上,目前各大互聯網安全廠商都推出了自己的12306用戶泄露信息查詢平臺,用戶只要輸入手機號、身份證號或者在12306的注冊賬戶名,就可以看到自己的信息是否在泄露范圍。“一旦發現在泄露范圍,要盡快重設登錄密碼,保護信息安全。”唐威表示。
此外,趙武還建議,普通用戶應有賬戶密碼分級設定和使用的意識。“對于涉及用戶重要隱私的賬號,一定要單獨設定,不與其他網站賬號相一致。防止一個賬號密碼泄露,影響所有賬號安全;對重要賬號定期修改密碼,每半年或者每個季度至少換一次,保證賬號安全;除了銀行網站,著名的電子商務網站之外,其他網站都不要提交自己的真實信息;切勿輕信陌生人來電和短信,對信息泄露引發的釣魚詐騙保持高度警惕。”
企業警方安全共建
從當年的攜程、天涯到今天的12306,網民個人信息為何頻頻泄露?騰訊副總裁羅道鋒表示,這是因為信息詐騙已形成整條“黑色產業鏈”,“有些犯罪分子專門傳播病毒和木馬,有些專門販賣信息,甚至連提款和收買贓物都有專門的人來實施”。
《反信息詐騙白皮書》也顯示,個人信息泄露導致信息詐騙趨向精準化。個人信息泄露導致詐騙分子掌握了受害人的詳細資料,包括姓名、身份證號、電話、消費記錄等,這也衍生出各種有故事、有場景的“精準詐騙”,讓很多群眾防不勝防。比如,網購了某商品后,遭遇淘寶退款詐騙;收到包裹后,接著就遭遇郵包藏毒詐騙;購買機票后,很快遭遇了“航班取消”詐騙等等。“詐騙分子也學會了運用大數據提高‘生產效率’。”羅道鋒表示,“詐騙分子會根據購買到的用戶個人信息數據進行詳細分析,并根據用戶信息的特點設計詐騙環節和故事。比如,當詐騙分子發現數據是購買機票的人群,并詳細獲知航班號、出發時間、姓名后,會編造‘航班取消’或者‘機票改簽’的短信群發給這一人群。”
“由此可見,反信息詐騙是一個系統的社會工程。”中國互聯網協會秘書長盧衛如是說,他表示,需要全社會行動起來,打通信息障礙,建立一個互聯互通的全國信息數據平臺,促進信息詐騙全社會防控體系建設。
反信息詐騙聯盟首創的“警企民”聯合防騙新模式正在打通信息障礙,在促進數據安全共享上進行嘗試。聯盟開通了反信息詐騙咨詢專線,并基于騰訊安全云庫建立互聯網安全開放平臺,將運營的全球最大風險網址數據庫、過億活躍號碼庫、惡意詐騙銀行號碼黑名單分享給聯盟成員,共同打擊信息詐騙。目前,聯盟成員已有包括金山、搜狗、京東等互聯網廠商,工商銀行、建設銀行、農業銀行、中國銀行等金融機構和十余家覆蓋全國的商用WiFi廠商參與。
深圳網警支隊副支隊長薛克勛介紹說:“利用這一模式,一年來已直接勸阻1.84萬人避免轉款達1.56億元,為9776名受害人快速攔截被騙資金1.09億元,避免、挽回損失合計近2.65億元;‘呼死’涉案詐騙電話51641個、賬號25287個,通報運營商關停及技術封堵違法電話5017個;處置違法網站1390個。各機構的通力合作,為反信息詐騙的社會治理提供了一條解決之道。”
京公網安備 11010502049343號