曾敏用力掐了一下自己大腿,有痛感,一切都是真的。这天是她被网络诈骗的第三天,但她一直像停留在一个可怕的梦里,走不出来。
2月14日凌晨,有人申请添加曾敏的QQ好友,她没多想,以为是可能认识的人,就通过了对方的申请。对方随即发给她几个文件夹,她打开一看,里面全是她的个人信息,有通讯录、私密照片、手机里的工作文件等重要内容。
“就像衣服被扒光了一样。”曾敏说,她想不明白哪个环节出了错,自己的信息会被这样泄露。在对方的威胁之下,她在半小时内给对方转了十几万块钱。
在曾敏被诈骗的两天前,2月12日晚上,45亿条个人信息泄露的消息在网络上流传。这些数据主要为网购用户的个人快递信息,包括真实姓名、电话与住址等信息,并且出现公开查询渠道。
刘前伟是数据安全专家,从事信息安全二十多年,每个月,他要帮公司的客户处理五六件重大数据泄露事件,查找泄露的原因以及给出保障系统安全的建议。在他看来,国内数据安全仍然面临着合规落地滞后、重要数据针对性防护缺失、缺乏全方位风险感知等严重问题。
一次淘宝消费记录、一张快递外卖订单、一次招聘网站登记,一场校园招聘公司信息统计……在每一个动向的终端,也许都有一张看不见的网在围猎个人隐私。这些个人信息流向网络世界的每个角落,最后可能变成一把刺向自己的利剑。
“为什么是我”
“为什么是我?”
这是曾敏几天来不断问自己的问题,她睡不着吃不下,“难受得恶心想吐”,每天浑浑噩噩,满脑子都是骗子和被骗的钱。23岁的曾敏在政府单位工作,这被骗走的十几万元里,有一部分是她三年来省吃俭用存下来的钱,“就这样突然没了”。
那天凌晨,还没来得及反应,对方直接通过QQ打语音电话给她,她接了。对面是一个男人的声音,说着一口不标准的普通话。男人直接表明来意,自己只想要钱。如果给他转钱,他就把这些东西删干净;如果不转,他就把曾敏的信息全部泄露出去。
曾敏大脑一片空白,心里很害怕。她的第一反应是报警求助,但是对方能实时监控她的手机,并威胁她说如果报警,他就马上给她的家人和领导打电话。“他真的马上拨通了我领导的电话。”
在QQ语音通话里,曾敏记得男人说出了这个领导的名字,并听出是领导的声音。她当时就慌了,很害怕他把手机里面的信息泄露出去。
对面的人开始引导她转账过去,等她把自己的几万积蓄转过去后,又让她找家人朋友借钱和贷款。“我就真的全按照他说的做了。像是有什么魔力一直牵引着我的恐惧。”
转完这些钱后,对方还让她想办法再给他转五千,“我实在拿不出来了就把电话挂了,但是又害怕他再给我打过来,就把他QQ删了。”曾敏回忆。
曾敏留下了转账记录和借款记录,有收款人的姓名,她报了警,以为凭借这些信息就能找到人。但警察告诉她,身份证和银行卡很可能是骗子买来的,就算找到用户本人也没用,“而且看他们那么专业,估计人不在国内”。
绝望之下,曾敏把被骗的事情告诉了父母,“他们这个年纪的人对网络诈骗的高级骗术根本没有概念,也不理解为什么我会被骗,更不能接受这个钱找不回来了。”一个人的时候,曾敏躲在房间里哭。她每天刷着各种和她有相似经历的网络文章,从里面获得“一丝丝安慰和找寻一点点希望。”
信息安全专家高雪峰的客户中也有曾敏这样的情况。违法者发过来的文件或者链接,一般带有木马病毒,只要点开就会中毒,电脑或者手机便被远程控制。对方通过这种方式,盗走手机和电脑里的私密信息,再骗取财物。
高雪峰在个人信息安全领域做了11年,他现在是一家网络安全科技公司的创始人,主要负责政企方面的信息安全。在他看来,移动互联网时代,人们基本上支付、购物、沟通聊天都是通过移动设备,个人信息的泄露风险和应对的挑战越来越大。虽然相关的法律陆续出台,“但是使用网络的很多人安全意识不强”。
高雪峰说的相关法律是,近年来国家相继出台的《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》等。
但是对于曾敏来说,这些法律是陌生的。她听说过有保护个人信息相关的法律,但总觉得离自己很遥远,更没有想过自己会被个人信息反噬。
明码标价的买卖
和曾敏一样,很多人不知道,在一些网络平台上,原本是隐私的个人信息成了明码标价的商品。
在一些社交软件群里,包括户籍、手机号、定位、查人查档、财产调查、开房记录、流水等在内的用户信息被公开售卖。
澎湃新闻潜入的一个售卖群中,如果只查询个人基本信息,包括身份证,姓名和地址,价格700元/次,并称这个价格是最低的代理价。如果想要成为他的代理,需要转给他5000元的代理费。
一位信息售卖者说,他们在微信或者QQ等国内平台上没有个人信息交易的业务,业务目前全部都在海外的社交软件上进行,但是转账主要通过支付宝账户。
“由于目前泄露信息的量比较多,不法分子将各种数据做了大数据集合。在其中输入相应的需求,系统会自动将相关信息搜索出来。”从事信息安全工作的王泽说。
不仅仅是一些海外的社交软件,暗网中的个人数据交易量更是不计其数。暗网又被称为隐藏网(Hidden Web),普通用户无法通过常规互联网手段搜索和访问,它的设计让用户身份高度隐密,暗网社群之间也不能互通。这些泄露出来公开出售的信息,包括政府机构公民信息;银行、证券等金融机构的客户信息;各大电信运营商的机主以及互联网、快递、酒店、房地产、航空、医院、学校等各行各业的客户信息。
暗网上的信息交易2月18日,当记者追踪暗网相关讨论帖,进入以某海外社交软件为主的信息查询和交易群组时,发现此类群组每个群里都有上万人参与,24小时内持续活跃人数在一千左右。
信息售卖群组人工付费查询价格主页在这些信息交易的群里,平均每十秒就有一个新用户进群,其中不仅有查询信息者,还有意欲批量提供隐私信息,寻求长期合作的从业者。一些群组提供地址找人、关联人物、身份户籍、手机机主、开房记录、快递地址、贷款记录、车牌车主、个人常用密码、手游及社交网络账号密码,同名联系方式等服务,凡是实名制登记过的个人隐私,只要付费,都能在一定时限内,把需要的信息查找出来。甚至有售卖者表示可以通过手机号定位机主行踪,而此类条目在群组中被标记为“娱乐用”。