我是你兒子,綁匪現在在我手上

有一個段子是這樣的:「自擁有手機以來,簡訊一直沒刪,昨晚閑著沒事得出不完全統計:累計中獎137次,資金共計7260萬元,另有各種iphone手機68部,筆記本電腦36台,轎車27輛,中過芒果衛視2等獎56次,奔跑吧兄弟達42次之多,被大學錄取15次,兒子被拐賣23次,被法庭傳喚31次,銀行卡有異常31次,兒子女票女昌在外地被抓103次。請告訴我,我這一生是否是傳奇!。」

這個段子的背後是一種深深的無奈感,我們每個人都收到了大量的詐騙簡訊和電話,專家們告訴你解決辦法是提高警惕,使用安全軟體來提示和攔截。這種只攔不抓人的處理方法導致了電信欺詐日益猖獗,攔一批出十批,攔十批出一百批,那些犯罪分子並沒有得到有效地打擊,或者說打擊的還不足以震撼到這批雙手沾滿鮮血的罪人。立法和執法有時存在滯後性,無論是從拐賣兒童,還是電信犯罪,以及網路犯罪,這種滯後性通常都會通過某種典型的導火索的事件來刺激和推進。很不幸,這些導火索事件一般都是悲劇。

早上看到了「女大學生遭遇電信詐騙猝死」的新聞,臨沂市一名家境貧寒的准大學生徐玉玉因接到騙子關於助學金的詐騙電話,被騙走9900元學費,心理遭受了極大的刺激,因心臟驟停離世。我關注到有人討論說徐玉玉的心理承受能力太差,還有人說這是典型的中國式教育導致的悲劇,當然大部分人還是對打電話的那個人表示了強烈地譴責。

因為我是從事信息安全工作的,所以,我嘗試從另外一個角度來看待這次問題。

首先,徐玉玉的身份信息怎麼出去的?詐騙分子怎麼知道她的姓名,她的考試信息以及她的助學金情況?這是典型的信息泄露,為了更有效地實施詐騙,犯罪分子會利用真實的信息進行針對性的釣魚。我本人收到過偽造校訊通發的簡訊,能準確說出我的名字和我小孩的名字;我也收到過關於車險,買賣房的簡訊,知道我叫什麼,住哪。因為我只在給小孩報學校的時候填寫過,只在買房買車的時候填寫過,所以基本可以肯定是其中一個環節被泄漏了。泄露這批數據的人是犯罪的源頭,擁有數據的實體責任不可推卸;

其次,當這批數據出去了以後,犯罪分子會鑽電信的一些空子,比如通過偽基站的方式偽造簡訊,更高層次的會利用一些運營商的技術漏洞偽造號碼發簡訊或者語音,這次事件中,犯罪分子利用的是虛擬運營商的17x號段進行的詐騙電話。虛擬運營商從一開始就被質疑,最大的問題在於如何做好監管。我不妨腹黑一點去推測本次171的號碼登記的是假的身份信息。我們小時候看黑幫電影,經常能看到一個黑社會成員到街邊報刊亭買一張卡,用完後把手機一扔的場景。那時的運營商是不做身份認定的,有錢就能買,後來逐步落地到需要綁定真實的身份信息。這又說到另外一個話題了,普通老闆姓留的確實都是真實的,他們就沒有想過要去犯罪,而犯罪分子一開始就是有目的的,所以我們經常能看到追查到的登記信息是假的。所以這裡,我認為做管道的運營商的責任不可推卸,犯罪分子在你的地盤放肆胡來,你沒管好就是失職;

最後,這批最後一個電話實施詐騙的人,這批打碎了老百姓可憐的精神寄託的罪犯,背負了最直接的責任。他們會研究各種詐騙的場景,比如運營商積分到期,比如中獎信息,甚至是假冒王寶強的離婚熱點進行詐騙。利用普通大眾「貪財」,「怕事」,「八卦」等弱點,肆意折磨大家的心理。

在我從事信息安全的這些年,我見過了太多的惡,太多的無奈和悲傷。有些詐騙我能快速識別,而有些連我也要思考半天,比如說又一次我在開車,接到一個電話說「你得罪了人,人家花錢買你一條腿」之類的,我第一反應是哪個黑產要整我(360當年收到子彈這事也不是什麼秘密了),幾分鐘之後我才整明白這就是一個詐騙。還比如我接到第一個偽造校訊通的簡訊的時候,我真信了,我兒子剛登記入學,時間很巧合,沒時間讓你懷疑,要不是在下載apk的時候我職業性的看了一下,可能我也就中招了。從這個角度來看,詐騙的成功率真的很高。

無論是賣數據的,還是運營商,甚至是最終實施詐騙的人員,他們都不會認為自己是在做什麼傷天害理的事情。「我只不過賣了一份數據,我從沒有做傷害人錢財的事情」 「我們只不過是一個管道,上面的用戶做什麼我們管不了」 「沒有人賣數據沒有人給我們這些偽造的技術,我們什麼也做不了,再說了騙這點錢也不至於多大事,你看我有一家老小要養活」。多麼可悲,於是終於發生了徐玉玉的事件,她只不過是海量犧牲品中的一個典型,還有多少悲劇我們並不知道。

如果老百姓要靠民間的安全公司來保護,我並不會去感謝這些安全公司,而是去問到底什麼原因導致了今天的這種局面?我們的解決方法和建議是不是有點本末倒置?我看到越來越多的手機安全軟體加入了識別偽基站功能,加入識別欺詐簡訊的功能,加入標記惡意鏈接的功能,但是同時我看到他們的惡意庫越來越多,以至於我們的手機都快存不下來。我們該要解決的不是最後受害的那一刻,而是找到犯罪的源頭,就像對待恐怖分子那樣,打,打,打。

哦,標題也是一個段子,它是真實的:剛剛接到一個未知號碼打來電話,我「喂!你好!」 詐騙分子 「喂!我是你兒子,綁匪現在在我手上」 雙方尷尬了幾秒,然後對方把電話掛了。

推薦閱讀:

黎巴嫩國家APT組織「黑山貓Dark Caracal」浮出水面
Apache Tomcat RCE(CVE-2017-12615 )漏洞測試
通過DNS控制主機以及執行命令
如何看待 2017 年 5 月 12 日中國大量高校及公共設備發生電腦中毒,勒索比特幣的事件?
刺風有道,吳翰清的雲端飛揚

TAG:用户数据泄露 | 信息安全 | 诈骗电话 |