身份證號、手機號、信用卡號雖都只是一些簡單的數字,但這些個人信息一旦泄露,就能被不法分子當成圖謀不軌的工具,讓記者驚訝的是,不僅可以盜賣形形色色的個人信息,而且還公然出售各種各樣的信息盜竊工具和假冒偽造的個人信息,而且這種中介公司也隨處可見,在網上個人信息的買賣已經形成了一個非法的產業鏈條。
身份證號、手機號、信用卡號,雖然都只是一些簡單的數字,但這些個人信息一旦泄露出去,就能被不法分子當成圖謀不軌的工具,今年的中央電視臺3.15晚會為我們揭開了一個灰色地帶,在這里不僅可以盜賣形形色色的個人信息,而且還公然出售各種各樣的信息盜竊工具和假冒偽造的個人信息,讓人眼花繚亂,先一起來看看。
個人信息泄露全流程,讓人防不勝防
一個公開叫賣個人信息的網站叫海量信息科技網,全國各地的車主信息,各大銀行用戶數據,甚至股民信息等等,這個網站一應俱全,而且價格也極其低廉,我們僅僅花了100元就買到了1000條各種各樣的信息,上面詳細記錄了姓名、手機號碼、身份證號碼等等,應有盡有,如果說上面這些信息你覺得還不夠全面,接下來的這個木馬程序一定會讓你心驚肉跳,種了這種木馬后,電腦會在你毫不知情的情況下在網上隨意任人擺布。
警察:“上面所有的信息他都能看到,他都能用。”
記者發現只要在百度等搜索網站里輸入“肉雞3389”,就可以發現一個驚人的信息,為了驗證他出售的信息的真實性,他給記者發來了一個文件,接收后不到5秒鐘,電腦里的鼠標自己在屏幕上移動起來,并點擊打開了電腦中的各個文件夾,直到自動關機。
警察:“通過他的軟件,他想什么時候用,就什么時候用。”
而這種可以完全控制別人電腦的信息,價格也極為低廉,每條售價僅僅5毛錢,甚至還有人在非法買賣身份證,一位聲稱他這里出售各種身份證原件,并且信誓旦旦地表示這些身份證都是真實的,當記者試探性地提出想購買一些身份證后,他立刻給記者發送來了兩個文件,證件上的人來自全國各地,記者隨即挑選了一些信息,通過公安部門的戶籍系統查詢,發現這些信息完全是真實的,而這家網上商店表面上賣的是各種各樣不同的手機,實際上店主告訴記者,他是出售全國各地的身份證原件和配套的銀行卡,為了驗證店主的說法,記者做了進一步調查,店主爽快地答應賣給記者一套身份證和銀行卡,價格300元,記者首先在他的網店里申請購買任何一款手機,他立刻把手機的標價調整為300元,這樣交易記錄上顯示記者購買的是價格300元的手機,就這樣交易就完成了,第二天,記者果然收到了店主寄過來的一套身份證和銀行卡,記者發現它可以在柜員機上隨意操作,店主告訴記者這些銀行卡可以用來洗錢,記者驚奇地發現,就是這樣一家網上黑店,它的生意還真不錯,短短半年時間,僅僅網上公布的交易就有330多例,更可怕的是,網上這種身份證件的買賣讓一些圖謀不軌的人看到了生財之道,從2007年底開始,短短四個月時間,福建龍巖的一個人就從網上購買的50多個信息,騙取銀行的信任,從銀行辦理出各種各樣信用卡,惡意透支消費14萬現金,他正是利用了網上隨意買賣的身份證信息,輕而易舉從銀行辦理了信用卡,這樣銀行發現了也找不到他。讓記者驚訝的是,這種中介公司也隨處可見,在網上個人信息的買賣已經形成了一個非法的產業鏈條。
用木馬軟件操控別人電腦的資料,在互聯網上叫賣假身份證、銀行卡,竊取偽造個人信息,如今不僅形成了完整的產業鏈,而且還披上了高科技外衣,變得更加隱蔽、更加快速,讓人防不勝防,那么,金融機構到底能不能應對這種新的犯罪形式?今天也采訪了相關人士。
對于網絡黑客利用假身份證變可以申請到銀行卡的現象,記者今天專訪到了中國銀行業協會常務副會長楊再平。
記者:“他我們現在銀行的話,如果說我將一張假的身份證去銀行的柜臺,辦理一張辦理一張銀行卡或者信用卡,這塊它能識別嗎?在我們的柜臺上,銀行能識別嗎?”
中國銀行業協會常務副會長楊再平:“柜臺上這個,現在應該能夠識別,能夠識別。”
記者:“通過什么樣的方式來識別這個假身份證?”
楊再平:“它一般這個是它有一套驗證系統,就是對這個身份證,就像假幣一樣的,它有一套驗證,如果有疑問的,它馬上可以來驗證。”
我國自1986年發現首例利用計算機網絡犯罪以來,案件數量迅猛增加,1986年我國網絡犯罪發案僅9起,到2000年即劇增到2700余起,去年全年突破4500起,詐騙、敲詐、竊取等形式的網絡犯罪涉案金額從數萬元發展到數百萬元,其造成的巨額經濟損失難以估量,其中計算機網絡犯罪在金融行業尤為突出,金融行業計算機網絡犯罪案件發案比例占整個計算機犯罪比例高達61%。
如何動用法律手段來保證個人信息的安全?
一年一度的315晚會再次把個人信息安全問題推上了風口浪尖,晚會重點曝光了個人信息泄露的流程,以及由此繁衍開來的一條黑色產業鏈,現在看來,僅僅靠殺毒軟件和防火墻等技術手段,并不能擋住無處不在的陷阱,越來越多的人們開始關注如何動用法律手段來保證個人信息的安全。
邱寶昌:“這就是一個加大監管的問題,如何有效監管C2C(消費者對消費者)這種銷售方式,一般是個人對個人,但是現在很多通過網上開店,網上交易,第一他有的可能沒有在工信部有(備案)號,有的可能還沒有到工商部門去登記,那么,所以他網上的店和個人真實的,誰,什么人開的,沒有任何資料,一旦他從事非法交易,在查處上難度很大,當然可以通過技術手段也能查到,但是這種難度是非常的大,所以這些情況的出現就是網絡安全如何有效地監管,如果對C2C監管過嚴,可能不利于網絡(購物)的普及和發展,必須要進行相應的登記、監管的手續,這樣確保交易人的安全。”
過去很多人都以為信息安全是個技術問題,只要魔高一尺道高一丈,就能高枕無憂。但是,現在網上各種黑客軟件泛濫,技術門檻越來越低,有專家說,一個稍微懂計算機技術的人,只要心術不正,很容易利用這些工具危害別人。而在3.15晚會上,就讓我們看到了這樣的黑客高手。
2007年1月福建泉州的蔡先生突然發現自己的一筆存款不翼而飛,2007年5月,江蘇省無錫市溫女士的信用卡被人分四次消費了2000元,緊接著,江西省一位姓陶的女士也向警方報案,究竟是什么人盜取了這些人的錢呢?
但是要從網上銀行盜走這些錢,盜賊要知道儲戶的詳細信息,很快一個網名叫“螞蟻”的人進入了江蘇省無錫市警方的視線。
警察:“他就通過這種方式賣點卡。”
如果小額賬戶上的錢是被螞蟻盜取的,那那些金額大的錢又去了哪里呢?警方在螞蟻與一個網民的聊天中發現一個細節。
警察:“我們發現一個帳號是福建泉州那邊被盜21萬的。”
這個發現讓警察眼前一亮,他們很可能是主要的犯罪嫌疑人,警方立刻對他們實施了抓捕,這就是螞蟻的電腦,警方很快從這臺電腦里發現了多達一萬多個用戶的網上銀行信息,還有用戶的身份證號碼、手機號碼等等,幾乎無所不有。
據螞蟻交代,他掌握的信息都是從“頂狐”那買的,關系到無數家庭財產安全的個人信息,就這樣在網上以如此低廉的價格被隨意買賣,那么“頂狐”又是個什么樣的人?他又怎么得到這些用戶的信息的?根據螞蟻提供的線索,警方在北京將頂狐抓獲。
這個就是頂狐,是一名黑客高手,2006年他編寫了木馬程序,從此開始了盜取個人信息的行當,頂狐還以免費下載的方式任由人下載和傳播,頂狐偷偷給自己留了一手,黑客們盜取的所有信息都會自動回復到他的手中。
頂狐對盜取回來的信息分類整理,將密碼等信息廉價出售,而網上銀行用戶信息則以400元每G的價格打包售出。
警察:“我們受害者往往在不知不覺中突然發現你的帳號已經被盜。”
黑客的手法令人震驚,相信很多人看了這個節目之后,都在擔心,我們還能用網上銀行嗎?我們的賬戶安全嗎?我們的存款會有一天不翼而飛嗎?再來聽聽中國銀行業協會副會長楊再平的說法。
根據中國銀行業協會統計,截至2008年末,全國銀行業金融機構網上銀行個人客戶達到14814.63萬戶,較年初增加5119.74萬戶,增速達到52.81%;網上銀行企業客戶達到414.36萬戶,較年初增加223.63萬戶,增長117.25%;電子銀行2008年度交易金額為301.80萬億元,包括年費收入、手續費收入在內的業務收入達到22.91萬億元。
中國銀行業協會副會長楊再平:“從客戶端這一邊來說,一個是對他的這個USBKEY動態口令,然后就是對這個客戶的要求客戶要用真實的身份證,要用真實的卡去進行柜臺的這種就是登記,這是一個保護,然后就是包括短信的提示,如果發現有不良的這種情況,有侵入,馬上有或者說非常的情況出現,馬上提示,還有這個交易行為,如果這個交易行為消費者自己使用記錄如果超過,那么馬上有這個提示,還有其他的一些保護措施。”
楊再平告訴記者,目前中國的網上銀行硬件設備在世界上都是先進的,也制定了規章制度,但漏洞往往在于銀行不按規章操作。
楊再平:“我們的硬件,你也知道我們在國際上是,因為這個后發優勢嘛,比國外不差,而且還先進,那么我們的問題一個是我們的這種規制,就是合規性還要加強。”
面對越來越猖獗的網上銀行盜竊事件,楊再平認為除了消費者要提高自我保護意識,公安機關加大打擊力度之外,銀行也應該在客戶端和自身做好網絡安全防護。
楊再平:“然后就是銀行這一邊,它包括一些設備、系統,本身有一些完善,除了這個以外,這個銀行還會經常的請專業公司來對自己的系統進行評估,對這種集群的這種攻擊或者非法的入侵呢,會經常的進行評估,來保護這種系統的安全。”
證券賬戶的安全性是否有保障?
前面我們得到了這樣一個信息,國內銀行安全系統的硬件設備十分先進,但是在規章制度上還有很多需要強化的地方,如果我們真正地讓這些安全措施落到實處,那些黑客其實也很難得手,和網上銀行比起來,網上證券交易可能使用更加普遍廣泛,往來金額也更大,證券賬戶的安全性有沒有保障?記者也采訪了證券公司的技術人員。
在信達證券公司,總工程師王浩彬在電腦上向記者演示了網上交易客戶端的安全防護步驟,他告訴記者,在從網站下載網上交易客戶端的時候,會隨機產生一串MD5碼。
工程師王浩彬:“因為這個,你要是這個MD5不對的話,就被傳輸過程中被篡改或者是有病毒侵犯的,它這個就安裝不上的,這是保障這個,就從我公司網站下載一個東西是安全的。”
網上交易系統運行和維護的負責人郭嵩告訴記者,在客戶端完成安裝后,登陸的時候還有驗證碼進一步防護。
郭嵩:“這個就防止用戶頻繁的這種,用一些什么第三方軟件啊,去嘗試這種非法登陸這種,異常這種交易登陸。”
王浩彬告訴記者,在交易過程中,數據的傳輸也基本能夠保證安全,因為采用的是證監會安全機構驗證過的加密機制。
王浩彬:“下單的過程中,這個傳輸的數據,傳輸的數據通過這個加密協議,SSL安全加密這種協議,加密的協議來進行,保證這個傳輸中這個數據不能被篡改。”
網上交易系統負責人郭嵩告訴記者,在高級別的用戶中,還會進一步采用認證口令和CA安全證書等高強度的加密方式。
郭嵩:“不可篡改,不可抵賴,證書主要這個功能,再加上有個安全的有個通道加密措施。”
看來通過這些層層防護應該是沒有安全問題的,但是,依然可能發生網上交易賬號被盜的情況。
記者:“這個(證券)行業里面,有沒有發生過什么賬號被盜,然后在那非法經營?”
郭嵩:“有啊,肯定有,而且我們經常接到這些通知通告。”
兩位工程師告訴記者,只要被木馬、病毒盜取了賬號和密碼,就可以登陸客戶端,進行正常交易而難以被發覺。
“客戶密碼要丟失的話,這沒有,這沒辦法控制的。”
“客戶他,比方說他報警,他打電話,給我們打電話,告訴我們這個,被竊取了,賬號被竊取了,這樣的話,我們可以對他賬戶進行鎖定,這樣的話,其他客戶就不能進行登陸了,只能通過這個辦法。”
看來一旦賬號和密碼被盜,作為賬號的主人就會立刻失去對資金的控制權,那么證券公司在設計客戶端時,有沒有考慮到用戶的電腦中了木馬病毒之后,怎么防范賬號被盜呢?
“還沒有這么做。”
記者:“都沒有這么做?”
“對,基本上查那個,我這個客戶端是否安全,而不是說查我這個操作系統是不是安全的,或者說我這些操作系統這些軟件是不是有病毒,沒有查這個。”
兩位工程師告訴記者,網上證券交易賬號安全性本身很高,但是行業內部管理漏洞仍然讓犯罪分子有機可乘。
“就是證券公司唄,內部協同作案,70%到80% 基本都是這種情況。”
無論是網絡銀行,還是網上證券交易,都難以保證百分之百的安全,從炮制黑客病毒,偽造身份證、信用卡,到竊取銀行和證券賬號,針對個人信息的高科技犯罪越來越猖獗,防范的技術難度也越來越大。
近年來,隨著互聯網的高速發展,網絡安全形勢也變得愈加嚴峻,各種病毒、木馬等惡意程序以爆發式的形態增長,泛濫于整個互聯網安全領域,據殺毒軟件公司最新的研究報告稱,2008年網絡犯罪分子竊取數據和安全突破使全球企業付出了1萬億美元的代價,而據不完全統計,全世界每年發生網絡侵入事件高達二三十萬起。
我國自1986年發現首例利用計算機網絡犯罪以來,案件數量迅猛增加,1986年我國網絡犯罪發案僅9起,到2000年即劇增到2700余起,去年全年突破4500起,詐騙、敲詐、竊取等形式的網絡犯罪涉案金額從數萬元發展到數百萬元,其造成的巨額經濟損失難以估量,其中計算機網絡犯罪在金融行業尤為突出,金融行業計算機網絡犯罪案件發案比例占整個計算機犯罪比例高達61%。
網絡安全已經引起了國家的高度重視,2009年2月28日,十一屆全國人大常委會第七次會議表決通過刑法修正案(七),對于懲治網絡“黑客”的違法犯罪行為,刑法加重了相關量刑條款,加大了對盜取帳號倒賣虛擬財產行為的打擊力度。
我們的生活越來越離不開互聯網,我們越來越頻繁地通過互聯網、銀行卡來消費,可能很多觀眾都有這樣一個疑問,如果有一天賬戶里的錢真的不翼而飛,這樣的損失到底該由誰來承擔?我們來聽聽法律專家的意見。
邱寶昌:“首先責任由犯罪嫌疑人承擔,如果是民事責任肯定應該由他來承擔,但是如果他找不到或者還沒有破案的情況下那誰來承擔,那就看你誰負有責任,如果說我有一個軟件可以殺很多很多的病毒,或者是他如果宣稱了能殺所有的病毒,那么你用了這種軟件,殺毒軟件,而像有些(病毒)是免殺的,而沒有殺死,那么你這種提供了虛假宣傳,承諾能殺死所有病毒的軟件,那這個公司的銷售者你要承擔相應的責任,另外還要分一個什么問題呢,就是從技術手段上應該劃分是個人信息泄露導致在銀行的存款被侵犯還是網絡銀行本身的缺陷所造成的,例如,如果是黑客侵入了銀行的網絡系統,然后去調閱了你的資料,那這個肯定銀行有責任,如果不是我們網絡本身的問題,而是黑客直接侵入了用戶的電腦,或者是用戶不小心把自己的信息泄露了,別的人上去交易的話,那么這個可能就是自己也有過失。”
半小時觀察:保護我們的帳戶安全
為什么我們的個人信息會變成幾分錢的商品?為什么我們在使用網上交易的時候,各色各樣的騙局和陷阱一個接著一個?為什么我們手里的銀行卡會無端變成別人的提款機?這些問題不能一一解決,我們的信息就得不到真正有效的安全保障。
導致個人信息泄露的原因有很多,監管不嚴、技術滯后,但實質還是利益驅動。當付出極低的成本,跨過不高的技術門檻,就能獲得極高回報的時候,敢于為之一搏的并不是個別人。如何才能打造一張個人信息的安全網?這是一個世界性的難題,即使很多發達國家也同樣被各種新的高科技犯罪所困擾。但是,對于我們來說,可能比技術手段更欠缺的是監管制度上的空白。只有讓現實世界中的監管和法律跟上虛擬世界的腳步,這些高科技犯罪才能變成一道沒人敢輕易觸碰的紅線。
尤其當中國經濟前所未有地需要消費來拉動的時候,我們更應該為互聯網、銀行卡消費提供一個良好的使用環境。有效地保護個人信息,現在不僅僅事關消費者的個人權益,甚至已經成為影響中國經濟的大事。 (主編:孟慶海、盧小波 記者:周弈翔、李錦、井天增、劉瑩、賈雨佳、殷莉、張自顯 攝像:白羽、張小明、貢存、張明)
|
