【摘 要】 在當(dāng)下的網(wǎng)絡(luò)化生活中,個人信息幾乎遍布交易支付、娛樂、社交等生活的每一個場景,其背后的經(jīng)濟(jì)價值日益顯著,也成為網(wǎng)絡(luò)攻擊、電信網(wǎng)絡(luò)詐騙、敲詐勒索等網(wǎng)絡(luò)違法犯罪的目標(biāo)之一。本文主要介紹了移動互聯(lián)網(wǎng)使用個人信息存在的安全隱患,分析了黑灰產(chǎn)業(yè)常見個人信息竊取手段,并據(jù)此提出了個人信息安全防范建議。
【關(guān)鍵詞】 個人信息 信息泄露
1 引言
經(jīng)濟(jì)的快速發(fā)展和信息網(wǎng)絡(luò)的廣泛普及,使大眾對互聯(lián)網(wǎng)的依賴性越來越強(qiáng),個人信息在互聯(lián)網(wǎng)上的留存量越來越多。與此同時,個人信息經(jīng)濟(jì)價值日益顯著,導(dǎo)致侵犯公民個人信息的犯罪屢禁不絕,且成為滋生網(wǎng)絡(luò)攻擊、電信網(wǎng)絡(luò)詐騙、敲詐勒索等下游違法犯罪的源頭,社會危害日益突出。
2018年,歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)發(fā)布,引領(lǐng)全球個人信息保護(hù)監(jiān)管趨勢。近年來,我國也高度重視個人信息保護(hù)工作,從法規(guī)、治理、企業(yè)自律等方面多管齊下,捍衛(wèi)網(wǎng)絡(luò)安全、個人信息安全等,相繼頒布了數(shù)據(jù)安全法、個人信息保護(hù)法,標(biāo)志著我國在數(shù)據(jù)安全、個人信息保護(hù)等領(lǐng)域迎來了有法可依、有章可循的新時代。
2 移動互聯(lián)網(wǎng)使用的各類信息存在安全隱患
2.1 手機(jī)驗證碼信息安全需注意
為保障用戶信息安全,目前市面上的App在開發(fā)初期已設(shè)定好相關(guān)驗證機(jī)制,涉及用戶使用安全的場景均需向用戶發(fā)送短信驗證碼進(jìn)行操作驗證,小到賬號登錄,大到賬戶消費。日常中的網(wǎng)站注冊、網(wǎng)絡(luò)購物、金額消費、轉(zhuǎn)賬匯款等場景,都需要利用到手機(jī)短信驗證碼。一旦手機(jī)遺失、號碼易主或遭遇不法分子欺詐,驗證碼信息被竊取,個人信息、賬戶信息的安全將直接面臨威脅。
2.2 在第三方平臺的賬號安全難保障
用戶在第三方平臺瀏覽資訊、購物或發(fā)表觀點時,一般會被要求進(jìn)行賬號注冊并登錄,部分平臺還會要求填寫個人信息。雖然在平臺注冊頁面都附有隱私保護(hù)協(xié)議,但部分平臺未向用戶詳細(xì)說明信息收集的范圍、用途、使用權(quán)限等。與此同時,大部分用戶在注冊及后續(xù)登錄時,對于隱私保護(hù)協(xié)議內(nèi)容未能做到逐條確認(rèn);诖爽F(xiàn)狀,平臺服務(wù)商在對用戶的信息收集、存儲和利用等方面都處于有利地位。在平臺服務(wù)商數(shù)據(jù)安全防護(hù)能力薄弱并成為不法分子攻擊目標(biāo)時,大量平臺用戶賬號數(shù)據(jù)安全無法得到保障。
2.3 應(yīng)用程序過度索取用戶隱私信息
移動終端操作系統(tǒng)權(quán)限是系統(tǒng)中建立的訪問與控制的機(jī)制。用戶作為移動終端的所有者,根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或安全策略,對安裝應(yīng)用進(jìn)行授權(quán)資源的限制,包括功能級與數(shù)據(jù)級,通過權(quán)限管理,達(dá)到日常使用移動設(shè)備的最佳體驗。
但隨著移動互聯(lián)網(wǎng)的普及,移動終端的激增,滿足大眾日常使用所需的應(yīng)用類別不斷擴(kuò)增,一些App會通過借助操作系統(tǒng)向用戶申請開啟權(quán)限來收集相應(yīng)的個人信息。App在挖掘用戶需求的同時,可利用大數(shù)據(jù)的獨特優(yōu)勢,對用戶提供更加精準(zhǔn)的服務(wù),獲取更多的商業(yè)利益,也使過度索取權(quán)限成為行業(yè)的“潛規(guī)則”。反觀用戶角度,大多數(shù)人在面對App的權(quán)限授權(quán)提示時,并未深究其授權(quán)目的,也較難判斷必要權(quán)限與過度索取權(quán)限,導(dǎo)致個人信息被過度收集,對個人信息安全與數(shù)據(jù)安全造成潛在威脅。
2020年,央視3·15晚會曝光了一批向用戶手機(jī)內(nèi)植入軟件開發(fā)工具包(SDK)插件并實施竊取信息的違規(guī)應(yīng)用。具體行為是在用戶不知情狀態(tài)下,涉嫌竊取用戶隱私,涉及的App達(dá)50多款。
3 黑灰產(chǎn)業(yè)竊取個人信息技術(shù)手段多樣
當(dāng)前處于大數(shù)據(jù)紅利期,用戶信息在某種意義上等于金錢,身處移動互聯(lián)網(wǎng)時代,個人隱私似乎不再是“隱私”。在“無感知”狀態(tài)下,用戶的敏感信息有可能就已經(jīng)遭到泄露,當(dāng)各類騷擾、詐騙接踵而至?xí)r,用戶才有可能意識到,自己的敏感信息已然遭到泄露,但對于何時、何地、何種情景下事件發(fā)生,用戶卻不得而知。隨著社會各界對個人隱私保護(hù)關(guān)注度的提高,信息泄露背后的黑灰產(chǎn)業(yè)鏈條慢慢浮出水面,人們發(fā)現(xiàn)其背后的運作模式與技術(shù)手段已經(jīng)十分成熟。以下針對黑灰產(chǎn)業(yè)中典型隱私竊取手段進(jìn)行解析。
3.1 GSM劫持+短信嗅探技術(shù),無聲無息中實現(xiàn)賬戶盜刷
短信驗證碼的廣泛應(yīng)用使其安全性已經(jīng)直接影響用戶個人信息安全及賬戶財產(chǎn)安全,“GSM劫持+短信嗅探技術(shù)”正是通過盜取驗證碼短信以實現(xiàn)賬戶盜刷。
這項技術(shù)的實現(xiàn)原理實際與偽基站極為相似!癎SM劫持”可以理解為“偽基站2.0版本”,屬于偽基站的技術(shù)再升級,不法分子通過偽基站劫持的方式將用戶的手機(jī)信號降為2G,然后利用技術(shù)手段獲取到一定范圍內(nèi)的手機(jī)號碼后,再利用“GSM嗅探”技術(shù)窺探用戶短信中的驗證碼信息,以便完成密碼重置、身份驗證等步驟。借此可以實現(xiàn)實時獲取用戶手機(jī)短信內(nèi)容,從而利用銀行、網(wǎng)站、移動支付App的技術(shù)漏洞和缺陷,最終實現(xiàn)信息盜取、錢財盜刷、私自借貸等詐騙犯罪目的。整個過程中,不法分子無需直接與用戶接觸,只需利用“GSM劫持+短信嗅探技術(shù)”就可以完成竊取信息與錢財,而用戶毫無察覺。它就像一條經(jīng)過專業(yè)訓(xùn)練的獵犬,無聲無息地辨別事物,所以被專業(yè)人士叫做“短信嗅探”技術(shù)。
3.2 高仿App傳播量廣,惡意獲取權(quán)限,非法竊取大量個人信息
使用手機(jī)App處理各項生活事務(wù)已漸漸成為現(xiàn)代人的日常所需,各企業(yè)順勢推出官方業(yè)務(wù)App,將更多需要線下處理的業(yè)務(wù)搬至移動互聯(lián)網(wǎng),向用戶提供更加便利的服務(wù)。但在各大應(yīng)用市場中,出現(xiàn)不少“高仿”App,圖標(biāo)及頁面與官方App極為相似,下載量甚至高達(dá)幾十萬次。這些高仿App多為生活類應(yīng)用,具備收錄用戶各項個人信息的功能。在用戶安裝后,App會獲取用戶各項敏感信息權(quán)限,但并不具備實際業(yè)務(wù)功能,甚至還包含不少廣告。當(dāng)用戶無法在App正常辦理生活業(yè)務(wù)時,才發(fā)覺下載的不是官方App,但個人信息已遭到泄露。
3.3 通過移動端漏洞攻擊竊取用戶個人信息并販賣獲利
漏洞的存在,很容易吸引不法分子的侵入及病毒的駐留,導(dǎo)致數(shù)據(jù)丟失、被篡改,隱私泄露,乃至金錢上的損失。移動智能設(shè)備的爆發(fā)式增長使漏洞從過去以電腦為載體延伸至移動端,而安卓系統(tǒng)由于具備開放性特點,其信息安全問題尤為突出。一些不法分子受利益驅(qū)使,利用系統(tǒng)或應(yīng)用程序漏洞,使惡意軟件可以偽裝成任何安卓應(yīng)用程序,從而使攻擊者在用戶不知情的情況下運行惡意進(jìn)程,獲得相機(jī)、短信等權(quán)限,竊取用戶的相冊、位置等隱私信息,甚至是劫持手機(jī)中其他應(yīng)用,向用戶顯示一個虛假應(yīng)用界面,盜取用戶輸入的賬號、密碼等敏感信息。
4 個人信息安全防范建議
近年來我國從立法、執(zhí)法、普法等多個方面加強(qiáng)對個人信息的保護(hù)力度,但部分黑灰產(chǎn)業(yè)人員仍頂風(fēng)作案,違法獲取、非法買賣個人信息,給人們正常工作生活造成惡劣影響。個人信息的黑灰產(chǎn)業(yè)鏈路主要經(jīng)歷非法獲取、加工處理販賣、變現(xiàn)3個階段,本文針對上述3個階段提出個人信息保護(hù)建議。
4.1 防止個人終端設(shè)備隱私被竊取
黑灰產(chǎn)竊取個人信息的手段多種多樣,主要是利用病毒、漏洞攻擊個人終端設(shè)備,或是通過釣魚網(wǎng)址、惡意App竊取私密信息。針對這一問題,用戶需及時更新升級終端操作系統(tǒng),安裝完善系統(tǒng)補(bǔ)丁,防止因系統(tǒng)漏洞問題,產(chǎn)生信息泄露、終端入侵風(fēng)險。
對于Windows系統(tǒng),可在“更新和安全”功能處進(jìn)行系統(tǒng)、補(bǔ)丁升級,也可使用相關(guān)殺毒軟件進(jìn)行系統(tǒng)補(bǔ)丁升級。
對于安卓系統(tǒng),由于其開源特征,存在各種發(fā)行版本,早期舊版本的安卓系統(tǒng)應(yīng)用管理權(quán)限機(jī)制不完善,加上部分手機(jī)系統(tǒng)更新生命周期較短,安卓系統(tǒng)的補(bǔ)丁安裝不及時,在日常使用手機(jī)時需特別注意要安裝殺毒軟件,及時通過“關(guān)于手機(jī)”板塊或“安全中心”功能更新系統(tǒng)和病毒庫,保障終端的安全。
4.2 警惕應(yīng)用程序的過度索權(quán)
(1)加強(qiáng)對正規(guī)應(yīng)用的權(quán)限和隱私管理
應(yīng)用程序App為保障功能的正常運行需收集個人信息,部分程序在運行時會調(diào)用大量系統(tǒng)的權(quán)限維持運行,調(diào)用的部分權(quán)限比較敏感,會涉及用戶的個人信息數(shù)據(jù),如通訊錄權(quán)限、短信權(quán)限、定位權(quán)限。因此,用戶在注冊、使用App時,必須仔細(xì)查看相關(guān)用戶協(xié)議、隱私聲明,也可結(jié)合App中的個人信息收集清單、第三方信息共享清單功能,了解該App收集的信息內(nèi)容、對應(yīng)的業(yè)務(wù)場景,防止超權(quán)收集行為。定期對這些應(yīng)用權(quán)限的調(diào)用情況做好管理,一定程度上可以避免個人信息被濫用。
(2)規(guī)范個人網(wǎng)絡(luò)行為,避免被惡意應(yīng)用“感染”
在一些詐騙場景中,不法人員會使用話術(shù)誘導(dǎo)受害人,通過非應(yīng)用商店的方式安裝應(yīng)用,如訪問指定二維碼(下載鏈接)安裝應(yīng)用,此類非正規(guī)渠道的應(yīng)用多存在隱私竊取功能,非法竊取個人信息。如,敲詐類應(yīng)用會竊取通訊錄、短信,并上傳至詐騙人員服務(wù)器進(jìn)行后續(xù)敲詐勒索。除此之外,在日常生活中,一些盜版電影類應(yīng)用也可能含有隱私竊取行為。對此,用戶必須切實提升個人網(wǎng)絡(luò)行為的安全意識,對于來源渠道不明的應(yīng)用安裝包、網(wǎng)站、二維碼等,要謹(jǐn)慎點擊或掃描,建議通過正規(guī)渠道下載安裝應(yīng)用。
4.3 不要輕易泄露支付驗證信息
早期黑灰產(chǎn)業(yè)冒充電子停車收費系統(tǒng)(ETC)、銀行機(jī)構(gòu)向受害人發(fā)送含釣魚網(wǎng)址的短信,通過高仿的頁面,誘導(dǎo)受害人填寫銀行賬號信息、支付短信驗證碼等,進(jìn)而盜刷受害人的資金。隨著攻防對抗的升級,黑灰產(chǎn)業(yè)現(xiàn)在使用電話聯(lián)系上受害人后,以話術(shù)誘導(dǎo)受害人安裝含屏幕共享功能的會議App,再通過屏幕共享功能遠(yuǎn)程查看受害人收到的支付短信驗證碼完成資金盜刷操作。
面對此類針對短信驗證碼的“精準(zhǔn)詐騙”和“組合攻擊”,首先要對“運營商”“銀行”等與資金往來相關(guān)的短信和來電進(jìn)行認(rèn)真甄別,及時與官方人員取得聯(lián)系進(jìn)行二次確認(rèn),不輕易向?qū)Ψ教峁炞C碼。其次,由于短信驗證碼與手機(jī)卡直接關(guān)聯(lián),當(dāng)手機(jī)丟失或手機(jī)卡丟失時,極易被不法分子利用,因此建議用戶給手機(jī)SIM卡設(shè)置密碼,防止手機(jī)丟失后被盜用。最后,要給手機(jī)設(shè)置復(fù)雜的解鎖密碼(超過6位的數(shù)字+字母),防止手機(jī)鎖屏密碼短期內(nèi)被破解,同時給手機(jī)應(yīng)用設(shè)置安全鎖,防止他人獲得手機(jī)應(yīng)用內(nèi)的信息。
5 結(jié)語
在萬物互聯(lián)的大數(shù)據(jù)時代,碎片化的個人信息不斷涌入互聯(lián)網(wǎng)浪潮中,面對錯綜復(fù)雜的網(wǎng)絡(luò)環(huán)境,如何保障個人信息安全,是政府、企業(yè)、個人都要面臨及解決的問題。一方面執(zhí)法機(jī)關(guān)要從互聯(lián)網(wǎng)信息傳播源頭,加大對違法違規(guī)獲取個人信息行為的打擊治理;另一個方面,企業(yè)需提高社會責(zé)任感,提高對個人信息保護(hù)的重視程度,建立必要的個人信息存儲、使用以及發(fā)生信息泄露事件后的個人信息安全保護(hù)機(jī)制。同時,個人也需提升自身的信息防護(hù)意識,增強(qiáng)警惕心,積極學(xué)習(xí)并實踐各類信息保護(hù)手段。
(原載于《保密科學(xué)技術(shù)》雜志2023年4月刊)