犯人每天写日报告吗?
近年来,随着互联网的高速发展,公民个人信息和数据日趋成为社会发展的关键资源。在利益驱使下,侵犯公民个人信息、危害信息数据安全的行为与日俱增,如淘宝12亿个人数据泄露案件、“暗网”兜售个人信息案件等等,其造成的后果也是十分严重。
基于此,我们应当重新审视刑事救济手段在惩治侵犯公民个人信息过程中的重要性,并结合典型的案件,对相关罪名所涉及的手段和争议焦点展开讨论。本文对2016年以来,涉及侵犯公民个人信息相关犯罪的司法大数据进行分析和整理,梳理出围绕公民个人信息的刑事犯罪案件数量、涉及罪名、典型案例及主要争议焦点。一方面为行政机关开展“两法衔接”工作提供指引,对于涉刑案件及时移送司法机关处理,另一方面也是向企业机构合规建设提供指引,避免陷入刑事风险。
11月,我国《个人信息保护法》正式实施,现在我国在公民个人信息数据保护方面已基本形成了“民、行、刑”三位一体的新时代安全防护网。当前,在我国的刑事司法以国家公权力保障社会公共利益和公民利益不受侵害,对个人信息的保护相较于行政、民事立法可以说是走在前列。笔者对近10年来,关于侵犯个人信息相关刑事犯罪的一审判决进行了汇总研究,用数字来展示我国个人信息刑事犯罪保护的发展趋势,并结合典型案例对焦点问题进行总结。
个人信息立法不断完善
为刑事司法救济提供制度保障
(一)我国个人信息保护刑事立法的演变
我国个人信息的法律保护经历了从以公法保护为主到日益重视私法保护的发展历程。
2005年,第十届全国人民代表大会常务委员会第十四次会议通过的《刑法修正案(五)》中増设的“窃取、收买、非法提供信用卡信息罪”(第177条之一第2款)是我国首个关于侵犯公民个人信息犯罪的法律规定。
2009年,第十一届全国人民代表大会常务委员会第七次会议通过的《刑法修正案(七)》在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为情节严重的规定为犯罪行为,从而纳入刑事打击的范围。
2015年,《刑法修正案(九)》对第253条之一作了修改:将“违反国家规定”修改为“违反国家有关规定”,同时对犯罪主体的不同身份作出区分,对于特殊身份主体,规定了从重处罚的原则。对处理个人信息中履行相关职责的人员提出了更高的要求。
2017年5月,针对近年来侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,为加大对公民个人信息的保护力度,最高人民法院会同最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。该司法解释根据法律规定和立法精神,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作出了全面、系统的规定。
(二)我国信息保护的法律法规相继出台
2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》对网络服务提供者和其他企业事业单位、国家机关及其工作人员在收集、使用、保管公民个人电子信息中应当遵循的原则、承担的义务及法律责任作出了具体的规定。
2015年7月,《国家安全法》颁布实施,将数据安全保障提高到国家安全层面。强调国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
2017年6月,《网络安全法》正式实施,其在第四章“网络信息安全”中对个人信息的收集、存储、保管和使用进行了更全面的规范。对于侵犯个人信息的责任承担问题,虽然该法主要还是规定了网络运营者违反各种保护个人信息的法定义务的行政法律责任。
2021年1月,《民法典》正式实施,民法典明确了个人信息的定义和范围;明确了个人信息的处理范围、要求及原则,以及免责情形;明确了个人信息主体权利,规定信息处理者义务;完善对患者的隐私及个人信息保密责任等等。
2021年9月,《数据安全法》生效实施,《数据安全法》是我国第一部有关数据安全的专门法律,首次将数据安全全局决策统筹工作升格至中央国家安全领导机构,其上位法是《国家安全法》,这一法规确立了“国家核心数据”的概念,与“重要数据”“其他数据”形成责任界定,并且优化了数据出境的规则。
2021年11月,《个人信息保护法》正式实施,个人信息保护法首次在我国确立一整套系统的个人信息保护法律制度,弥补以前立法的缺陷。既从我国实际出发,将实践中行之有效的做法和措施上升为法律规范;又充分借鉴有关国际组织和国家、地区的有益做法,体现立法的前瞻性和完整性。
至此,我国个人信息保护形成以《刑法》《国家安全法》《网络安全法》《数据安全法》《民法典》《个人信息保护法》为主导的,全领域、多层次的保护体系,构建中国信息及数据安全领域的法律框架。
样本情况及数据分析
(一)从2017年开始爆发式增长
本次检索在Alpha数据库中,以“侵犯公民个人信息”“数据“为关键词,获取了自2011年至今的一审刑事裁判文书,共计5624篇裁判文书。以此作为我们本次分析的样本数据,并重点分析自2016年以来,我国个人信息刑事司法保护的发展和趋势。
图表 1涉个人信息类刑事案件数量趋势
通过图表1我们可以看出,侵犯个人信息类刑事犯罪案件数量呈现爆发式增长。特别是在2017年,成为了我国个人信息刑事保护的关键起点。
因为在这一年,最高法、最高检发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,开启了我国涉个人信息刑事保护新时代。因此从2017年开始,案件增幅速度明显呈现爆发式增长。同时,这也体现出了立法者和司法机关通过司法解释避免法的滞后性,紧追大数据、互联网时代的大趋势,坚决打击侵犯公民个人信息的态度和决心。
(二)案涉地域以沿海发达城市为主
(本次统计将案件涉及的全部犯罪实施地和犯罪结果发生地区均统计为犯罪地,因此犯罪地数据可能大于案件样本总数)
通过对犯罪地统计可以看出,在涉及侵犯公民个人信息的刑事类案件中,案发地所涉省市前五名,有四个省市位于我国南方的沿海城市,并且是经济大省江浙沪以及广东省,而另外一个河南省则是我国的人口大省。其中有4223件次涉及到江浙沪地区,可以说,江浙沪会成为个人信息刑事保护的前沿阵地。
该项数据更多的反映出了在侵犯公民个人信息的刑事类案件中,人口密集、经济发达的地区案发概率更高。同时对于该类案件的刑事侦查手段和司法裁判也相较于其他地区走在前列,刑事打击力度也相对较大,司法保护力度也会更有成效。
接下来,其他地区将会借鉴江浙沪粤等地区的工作经验,逐渐追赶上来,掀起个人信息刑事保护的新增长趋势。
(三)侵犯公民个人信息手段多样,涉及罪名广泛
在侵犯公民个人信息案件中,被告人实施侵犯个人信息的手段是多种形式的。
一种是以获取公民个人信息为犯罪客体。其目的就是为了获取公民的个人信息,从而转卖、转售获得非法利益。如侵犯公民个人信息罪,以4476件占据了此类案件的决对多数。
随着信息存储的数字化、数据化以及网络化,更多的被告人采取非法侵入计算机系统程序、破坏计算机信息系统、非法获取计算机信息系统数据的方式实施侵犯公民个人信息的犯罪,不仅触犯侵犯公民个人信息罪,同时也会触犯非法侵入计算机系统程序罪等罪名。
另一种是以获取公民个人信息为犯罪工具。其目的是利用个人信息实施具体的违法犯罪活动。如典型的电信诈骗、信用卡诈骗等。我们可以看出采用违法收集的公民个人信息的行为实施诈骗的案件数量有560件。特别是在跨境网络电信诈骗过程中,采用非法获取、购买的个人信息实施诈骗近年来不断攀升。为此,2021年10月19日《中华人民共和国反电信网络诈骗法(草案)》提请十三届全国人大常委会初次审议。这说明我国已经将打击电信网络诈骗提高到了空前的高度。
(四)个罪趋势及典型案例分析
侵犯公民个人信息罪
2017年《解释》的发布实施,以侵犯公民个人信息罪定罪处罚的案件数量大幅提升,2019年达到了峰值,2021年由于大部分案件尚未审结,但是随着当下《个人信息保护法》的正式实施以及数据安全提升到国家安全的程度上来,未来一段时间内,侵犯公民个人信息罪的案件数量仍会持续在较高的水平,但是新增犯罪数量必然会随着监管的加强而逐渐减少,待两三年内存量犯罪案件查办处理后,该案涉案数量将会回落至常态。
典型案例
王某侵犯公民个人信息案
“私家侦探”非法获取并出售特定自然人个人信息
构成侵犯公民个人信息罪
基本案情
2019年3月,吕某找到“私家侦探”王某,雇佣王某调查自己的丈夫。在五个月里,王某通过跟踪拍照、查询开房记录、定位手机等方式,获取了吕某丈夫的行踪轨迹、住宿信息等公民个人信息。凭借这些信息,王某从吕女士处先后收取酬金共计6.4万元。
2019年9月,王某被警方抓获,经查,王某在此次案发前,就在从事类似的违法活动。
最终法院以侵犯公民个人信息罪,判处王某有期徒刑2年6个月,罚金10万元,并继续追缴其6.4万元违法所得。
典型意义
本案中,对于接受个人委托,获取并出售特定自然人个人信息给单一委托人、数据未向不特定群体披露的情形,是否属于侵犯公民个人信息罪进行了确认。两级法院经审理认为,王某的行为具有严重的社会危害性,其接受吕某的委托实施本案行为,并不能排除其行为的违法性,因此对于此类“私家侦探”的非法调查个人信息的行为,已经纳入刑事打击的范围之内。
典型案例
张某某侵犯公民个人信息案
依法公开的企业法定代表人、
相关负责人信息不属于公民个人信息
基本案情
2016年9月至2017年4月期间,被告人张某某在重庆市融信天下信息技术有限公司(以下简称融信天下公司)担任业务员。为了拓展贷款业务,其通过QQ从他人处非法获取信息79921条,其中包括姓名、业主楼号、住宅套内面积、联系方式等内容的财产信息1940条;包括姓名、身份证号码、贷款记录、联系方式等内容的交易信息588条;包括企业及法人、相关负责人信息73244条;一般公民个人信息4149条。通过QQ提供给他人包括姓名、电话号码等内容的信息278324条,其中包含车主姓名、身份证号码、上户日期、车型、车牌号、车架号、住址、联系方式等内容的财产信息1318条;包括姓名、业主楼号、住宅建筑面积、联系方式等内容的财产信息37条;包括企业及法人、相关负责人信息267580条;一般公民个人信息9389条。2017年4月11日,被告人张某某被公安机关抓获,其到案后如实供述了上述事实。
重庆市渝中区人民法院经审理认为,以被告人张某某犯侵犯公民个人信息罪,判处有期徒刑3年,缓刑4年,并处罚金5000元。
典型意义
认定企业法定代表人信息是否属于公民个人信息,应先对公民个人信息的入罪范围进行实质界定。
首先,从保护法益角度出发,公民个人信息被侵犯后将给公民的人身财产安全带来重大风险。而对外公开的企业法定代表人相关信息属于向社会公示范围,并没有违背其本人不予公开的真实意思表示。这类信息的对外公开表明企业法定代表人让渡出部分个人权益,概括同意该信息自由流通,保护价值降低。因此,从保护法益角度来讲,企业法定代表人信息不属于公民个人信息。
其次,从公民个人信息的类型划分来探究不同类型信息的内在属性。在公示的企业法定代表人信息中有相当部分仅为法定代表人的姓名和手机号码,它既不同于财产信息、交易信息等敏感信息,又不同于一般公民个人信息,无法识别特定自然人身份或反映特定自然人活动情况,故不应认定为刑法规范中的公民个人信息。
诈骗罪
近年来,电信网络诈骗案件高发,特别是通过非法获取公民个人信息之后,再冒充公检法向其本人、亲友实施诈骗活动,既包括侵犯公民个人信息的行为,同时又触犯了诈骗罪,应当数罪并罚。此类案件随着我国打击电信网络诈骗力度加强,严格互联网运营商、服务商监管义务,并且随着个人信息保护的加强,对个人信息泄露的渠道封堵,该类案件在未来将会在一定程度上减少。但是鉴于跨境互联网犯罪打击难度较大,很难在短时间内快速显现成效。
典型案例
章某某等诈骗、侵犯公民个人信息案
非法获取公民个人信息后,实施电信网络诈骗等犯罪
构成数罪的,依法予以并罚
基本案情
2016年初,被告人章某某到广东省河源市租住源城区建设大道德欣豪庭C2栋1201室,准备手机等作案工具并通过互联网非法购买公民个人信息12555条。
2016年3月至4月间,被告人章某某先后雇佣被告人汪某某等三人在该租房内,通过拨打章某某事先从网上购买的学生个人信息上的家长联系电话,冒充“学校教务处”、“教育局”工作人员,以获取国家教育补贴款为由,诱骗学生家长持银行卡到ATM机上转账至章某某掌控的银行账户,从中获取钱财。至被查获时,共拨打诈骗电话4392人次,骗取116200元。
2016年4月期间,被告人章某某还伙同他人利用同样的手段实施诈骗行为,至被查获时,共拨打诈骗电话807人次,骗取他人钱财近3000元。
2016年12月14日,安溪县人民法院作出一审判决,以诈骗罪、侵犯公民个人信息罪判处被告人章某某有期徒刑五年,并处罚金人民币三万八千元;其他3名被告人以诈骗罪分别被判处一年至二年九个月不等有期徒刑,并处罚金。
典型意义
打击利用互联网出售、提供、非法获取公民个人信息等侵犯公民个人信息犯罪,切断其与电信网络诈骗等犯罪的犯罪链条,从源头上预防和减少犯罪发生,具有重要意义。
本案中章某某等人通过百度及QQ向他人购买学生个人信息,拨打学生家长电话,先后冒充学校及教育局工作人员,以领取学生助学补助金为幌子,骗取钱财,不仅侵犯了学生及学生家长的个人信息和财产安全,还破坏了学校的正常教学秩序和教育系统声誉,社会危害极大。随着《反电信网络诈骗法》草案的征求意见,此类案件将会持续纳入司法机关重点打击的对象。
帮助信息网络犯罪活动罪
2015年《刑法修正案(九)》新增“帮助信息网络犯罪活动罪”,该罪名被普遍认为是帮助犯的正犯化,新增该法条目的是单独对帮助信息网络犯罪活动进行确认和定性,加强对帮助行为的打击力度。在样本数据中,共有47件案件涉及到公民个人信息问题。
在对该类犯罪行为定罪定性的过程中,需要重点考虑两个方面:一方面要考虑法条竞合的问题,即根据刑法第二百八十七条之二第三款(帮助信息网络犯罪活动罪):“同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”另一方面,案件涉及到的“信息”是否属于法律所保护的公民个人信息的范畴。
典型案例
王某某犯帮助信息网络犯罪活动罪案
出售公民自愿提供的公民个人信息
不属于侵犯公民个人信息
基本案情
2020年4月份,被告人王某某明知他人收购电话卡用于信息网络犯罪,通过“蓝牙工作室”网络招聘成为一名“开卡代理”,其以每张60元的价格让其亲朋好友及他人开通了164张手机卡,后再以每张100元至140元不等的价格将164张手机卡卖给“蓝牙工作室”“卓越”“撸撸移动联盟”等微信用户,违法所得共计14430元,其中非法获利4590元。王某某所售手机卡之一被用于诈骗被害人翟某所用。案发后,王某某退出非法获利4590元。
濮阳市华龙区人民法院于2020年11月30日,以被告人王某某犯帮助信息网络犯罪活动罪,判处有期徒刑八个月,缓刑一年,并处罚金人民币一万元。
典型意义
濮阳市华龙区人民法院认为,公诉机关指控王某某犯侵犯公民个人信息罪的罪名不当,本院认为王某某对外提供的手机卡号均系卡主自愿、真实开通,其并没有侵犯到卡主的个人信息,但其将开通的手机卡号提供给他人用于实施网络犯罪,其行为侵犯的客体符合帮助信息网络犯罪活动罪的构成要件,而非侵犯公民个人信息罪的构成要件,应认定王某某犯有帮助信息网络犯罪活动罪。
利用计算机信息技术相关犯罪
近年来,随着python等计算机语言的快速普及,利用爬虫技术等简单的技术手段便可以通过互联网获取大量数据,并且随着个人信息数据的价值不断增加,铤而走险采用侵入计算机系统、获取计算机信息系统数据的违法犯罪行为的数量在2017年以后也呈现不断增长的趋势。在涉及个人信息数据犯罪方面,以非法侵入、非法控制计算机信息系统的行为案件数量增长趋势最为明显。
典型案例
解某某侵犯公民个人信息、
非法获取计算机信息系统数据案
非法获取计算机信息系统数据罪
与侵犯公民个人信息罪辨析
基本案情
2017年7月至10月,被告人解某某使用“灭天战神”“远程爆破”等黑客软件攻击他人计算机信息系统,并将破解的计算机IP地址、账号、密码及公民个人信息向他人出售。
2017年7月,在天津市东丽区一无名网吧,被告人解大伟使用上述方法攻击他人计算机信息系统,侵入贵州省贵阳市云岩区周某某经营的中国移动代办点的计算机信息系统及王某经营的通讯经营部的计算机信息系统,非法获取他人身份证照片、电话号码等公民个人信息510条,并存储于其百度云网盘中,后将上述个人信息向他人贩卖。
2017年7、8月,在天津市北辰区小淀镇某网吧,被告人解大伟在QQ群内下载“公安数据库”“公安局的裤子”“教育局”“学生数据”等共享文件,并储存于其腾讯微云网盘中。其中“公安局数据库”及“公安局的裤子”文件共含有公民个人信息2342条、“教育局”文件含有公民个人信息1339条、“学生数据”文件含有公民个人信息12154条。
2017年7月,在天津市东丽区一无名网吧,被告人解大伟使用上述方法侵入他人计算机信息系统,非法获取12306网站登录账号、密码等身份认证信息及姓名、居民身份证号码、联系电话、电子邮箱等公民个人信息共计131653组,并储存于其腾讯微云网盘中。2017年10月18日,被告人被公安机关抓获归案。
天津市北辰区人民法院于2018年9月20日作出天津市北辰区人民法院(2018)津0113刑初156号刑事判决:被告人解大伟犯侵犯公民个人信息罪,判处有期徒刑一年,并处罚金5000元;犯非法获取计算机信息系统数据罪,判处有期徒刑四年六个月,并处罚金20000元,数罪并罚,决定执行有期徒刑五年,并处罚金25000元。
典型意义
如何辨析非法获取计算机信息系统数据罪与侵犯公民个人信息罪?通过网络非法获取的信息中有可能包含公民个人信息,也就是说非法获取计算机信息系统数据的行为在一些情况下是侵犯公民个人信息罪的手段行为,所以两罪之间存在一定的竞合关系。而这种竞合是因“一行为侵害数个独立之法益,致触犯数个罪名,同时具有数罪之性质”。也就是说,两罪之间的竞合由于一个犯罪行为侵害多个法益所在,是想象竞合关系。
但两罪之间又存在诸多不同点,存在实质性差别,成为司法实践中构成不同罪名进行处断的依据。如何根据获取的“个人信息”性质不同,区分侵入他人计算机信息系统非法获取他人身份信息的行为应如何定罪?合议庭经合议后认为,被告人解大伟侵入他人计算机信息系统,非法获取12306网站登录账号、密码等身份认证信息共计131653组的行为,同时符合非法获取计算机信息系统数据罪与侵犯公民个人信息罪的犯罪构成,应按照想象竞合从一重规则进行处理;其实施的侵入他人计算机信息系统,非法获取他人身份证照片、电话号码等公民个人信息510条及在QQ群内下载“公安数据库”等文件获取公民信息15835条的行为,与上述犯罪行为在犯罪性质上有所区分,仅侵犯了公民个人信息隐私权,应认定为侵犯公民个人信息罪一罪。
特殊主体侵犯公民个人信息相关犯罪
2015年《刑法修正案(九)》新增了对于侵犯公民个人信息罪中特殊主体的规定:“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。”
这里的“履行职责或者提供服务”的人员不仅限于公职人员,对于酒店从业人员、互联网运营管理人员等均属于该特殊主体的范畴之内。当前,各监管机构对于互联网APP的治理是一项急切的工作。对于互联网企业而言,作为个人信息收集、处理、使用的第一责任人,如果在强监管之下仍然抱着侥幸心理,不切实履行自身的法律义务,放任侵犯公民个人信息事件的发生,届时受到追诉的不仅仅是具体工作人员,整个企业都有可能陷入刑事风险。
在国家机关的数据保护义务方面,《数据安全法》《个人信息保护法》也都分别作出了相应的规定。
典型案例
冯某某受贿案
公职人员利用职务便利侵犯公民个人信息权的
罪名适用
基本案情
2017年6月至8月间,冯某某利用担任某法院执行三庭法官助理的职务便利,接受社会人员曹某请托,违规使用法院协助查询存款通知书及工作证件等,多次在中国工商银行知春路支行等多家银行查询与案件无关的公民个人银行账户信息共计300余条,将200余条银行查询结果非法提供给曹某,并因此收受曹某给予的好处费共计人民币8.35万元。
2018年7月3日,北京市第二中级法院作出维持原判裁定,即判处冯某某有期徒刑一年六个月,罚金人民币十万元;犯滥用职权罪,判处有期徒刑一年,决定执行有期徒刑二年,罚金人民币十万元。二、在案之人民币十一万三千五百元,予以没收。
典型意义
一是侵犯公民个人信息的行为与滥用职权的行为的罪名适用问题。冯某某的行为不仅触犯了滥用职权罪,同时还符合了侵犯公民个人信息罪的构成要件,属于犯罪行为的想象竞合。滥用职权罪、侵犯公民个人信息罪主刑的法定刑幅度相同,尽管侵犯公民个人信息罪规定附加判处罚金刑,但考虑到冯力文身份的特殊性,其犯罪行为具有突出的职权属性,因此以滥用职权罪择一重罪处罚。
二是受贿罪与滥用职权罪数罪并罚是否属于重复评价?受贿罪和滥用职权罪均与国家工作人员的职务行为密切相关。然而,受贿罪重在惩罚被告人收受财物的行为对国家工作人员职务行为廉洁性的损害,滥用职权罪则重在惩处被告人不正当行使职权对公共财产、国家和人民利益造成了重大损失。故两罪虽相互关联,又具有独立性,数罪并罚不存在重复评价的问题。
当前,数据已经成为重要的生产要素之一。我国数据及公民个人信息保护经过多年的沉淀和积累,正处于质变的过程,并且随着互联网技术的不断发展以及元宇宙等依靠数据支撑的产业的持续爆火,各领域围绕个人信息数据争夺的热情在短时间内不会消减。因此,我们认为涉及公民个人信息的刑事犯罪案件数量在未来几年内仍然会保持较高的水平。无论是对于个人还是企业而言,仍然要持续关注个人信息刑事保护的法律适用与政策研究,紧紧跟随这个大变革、大发展的时代潮流。
·律师介绍
庞理鹏
北京策略律师事务所 党支部书记、执行主任、合伙人
数据合规项目组负责人
策略区块链与数字经济争议调解中心负责人
EXIN数据保护官(DPO)信息安全官(ISO)双认证律师、授权讲师
田浩男
北京策略律师事务所 执业律师
拥有多年检察机关、纪检监察机关工作经验
特别 声明: 以上 仅代表笔者个人观点,不 代表 策略 律师 及策略律师事务所 出具的 任何形式之 法律意见。 如有意向就相关议题进一步交流 探讨,欢迎与本所 联系!
钓鱼短信再次升级,面对用户流失风险,银行金融机构该如何应对
一、钓鱼短信盯上银行用户
据美国网络安全公司proofpoint《2020 State of the Phish Report》数据显示,受疫情全球大流行影响,2020年全球钓鱼短信攻击的增长率超过300%。而其中,针对金融机构的网络钓鱼攻击占比最大,占所有攻击的22.5%。而在国内,这一比例更是高达26.88%:
近期「假冒银行短信钓鱼」案件频发,中国银保监会也紧急发文,就近期假冒多家银行名义发送服务信息的短信钓鱼诈骗行为进行风险提示:
种种迹象表明,黑产团伙已经盯上各家银行的用户,这将严重威胁到用户的财产安全,并对各大银行的品牌形象造成极为恶劣的影响。
早在2012年,全球每天有将近19亿条文字讯息通过WhatsApp等实时通讯软件传送,而传统短信则仅有17.6亿条。从那时起,每年都会有人喊出「短信已死」,结果人家非但没死,每天还变着花样,轮番轰炸你的手机:
营销泛滥的当下,流量转化成本越来越高,以槽点最多的开屏广告为例:
这种误点率极高的设计,就是为了让点击率能突破行业12%的上限。而短信则不同:
Mobile Squared的数据称,在所有营销渠道中,近九成的短信会在被收到后的三分钟之内被打开阅读,这一点是其他任何直接营销渠道所无法比拟的。
在独有的紧迫感下,短信催生了新的商机。除常规的短信验证码、服务类短信通知外,越来越多的银行使用文本消息进行新客营销,老客促活。越来越多的银行用户开始习惯,以短信文本消息与银行进行交互。而在不经意间,银行也帮助黑产团伙培养了用户习惯:
完美的钓鱼攻击环境,黑产团伙只需要模仿各大银行定期通过短信与用户互动,便可实施钓鱼短信诈骗。
根据FBI旗下互联网犯罪投诉中心(IC 3)的一份调查报告显示,在过去的三年里,全美因钓鱼攻击所造成的损失,超过260亿美元。而在我国,2020年以来,仅凭拦截下来的钓鱼诈骗信息,就为群众直接避免了将近1200亿元的经济损失。
在美国,摩根大通银行作为金融领域代表,与Netflix、苹果公司入选最受「钓鱼短信」模仿的热门品牌。而「假冒银行钓鱼短信」威胁,早已蔓延全球:
在国内,包括:民生银行、华夏银行、招商银行、众邦银行、贵州银行、嘉兴银行、湖州银行、昆仑银行、郑州银行等在内的多家银行纷纷通过官方渠道向用户推送风险提示,对冒充银行短信的新型诈骗手法进行预警:
三、钓鱼攻击背后的黑灰产
钓鱼式攻击(Phishing)作为最早的网络攻击类型之一,其 历史 可以追溯到上个世纪90年代。随着移动互联网的发展,传统钓鱼攻击下又演变出移动钓鱼攻击,其中短信钓鱼攻击(Smishing)就是传统钓鱼式攻击(Phishing)的变种:
作为移动威胁的一部分,「钓鱼短信」攻击已成为当下互联网的重要威胁。而随着各类信息及数据泄露事件的不断发生,包括:姓名、手机号、银行卡号与身份证信息等一套完整的公民隐私信息,对黑产而言,已触手可得。
随着 社会 对钓鱼攻击的关注,传统的攻击手段逐渐为用户所熟识,简单的信息诱骗和相似网站内容的欺骗已经很难成功实现钓鱼攻击:
成本低,风险小,广撒网,多敛鱼的模式已不具备优势,黑产转而向专业化、组织化以及分工细致化发展。一条由包网服务、短信通道、盗刷通道、 游戏 代充等多个黑灰产业链共同参与的钓鱼短信诈骗组织逐渐兴起。
1.钓鱼网站:
作为诈骗的关键环节,这块基本也是除了数据外,黑产另一项硬支出。包括:仿冒银行域名抢注、各大银行官网的模仿、到大量的适配手机界面的钓鱼网站以及购买美国或者香港免备案服务器进行搭建后制作拦截程序。搭建一个完整的钓鱼网站下来,五年前的价格大概在上千元。
随着分工越来越细, 包网服务商 出现,他们为黑产提供包括:搭建钓鱼网站、购买域名、服务器租赁甚至网站维护在内的全套服务。为提升竞争力,服务商还开通了各类后台管理系统,为黑产组织提供「一站式钓鱼攻击服务」:
2.精准数据采购
为了提升钓鱼短信转化率,降低运营成本,黑产会向「数据贩子」购买数据。而数据商通过各种渠道,能够拿到各种行业的用户数据,其中以金融行业数据最为热销。通过黑市、暗网论坛以及社交媒体进行交易,优质的一手数据,按照1万条算,单价一般能到上千元。一旦黑产掌握了银行用户的真实信息,如姓名、手机号、身份证、银行卡等重要隐私信息后,钓鱼短信的破坏性将得到质的提升。
3.伪基站发送钓鱼短信:
为了提升反侦察能力以及机动性,伪基站设备也在不断更新,由固定式变为移动式,由大功率变为小功率,由大体积变为小体积,使得违法犯罪分子携带更加轻便并实现移动攻击模式,比如,以每小时500元左右为酬劳或以合作分成的方式,让人带着设备穿梭于闹市区以及大型社区,「打一枪换一个地方」。
现在,国内各大运营商和短信平台的风控机制越来越严格,发送这些钓鱼网站被拦截的概率越来越大,于是有些黑产开始用国际短信通道来发送信息,规避审核。这些国际短信通道也有专门的公司提供,一般5000条起发,每条3-4毛钱。
4.出料
当用户上钩后,黑场会将钓鱼网站后台所收到的数据进行筛选整理,利用各个银行的在线快捷支付功能查询余额。然后,直接消费、进行转账或第三方支付消费,而针对无法将余额消费的,将会以余额的额度以不同的价格出售(大部分会打包起来以每条1元的价格进行多次叫卖),余额巨大的有时还会找人合作进行「洗料」。
5.洗料:
黑产通过多种方式将「料」进行变现,一般开通快捷支付充值水电、话费、 游戏 币或者利用其他存在第三方支付转账接口和银行快捷支付漏洞等,将「四大件」变成现金后,通过各种规避追查的手段与合伙人按比例进行分账,日均收入都在6位数以上。
与此同时,钓鱼短信仍保持着快速的技术迭代与策略更新:
利用移动通信、短视频平台、富媒体类等营销场景,钓鱼短信所承载的内容也将愈发丰富。这些消息,用于诱使用户下载欺诈性应用程序或打开指向密码窃取或欺诈性移动站点的链接;
更具欺骗性的文本使用以及短链,向银行用户隐藏实际的欺诈目的。黑产利用合法URL+字符形式+高防域名,让假冒域名在移动设备的小地址栏中仅显示该域的合法部分;
配合强调消息的紧迫性以及很难抗拒的诱惑,进一步提升钓鱼短信转化率;
频繁发生的钓鱼攻击案件,正在造成各大银行线上用户的流失。赛门铁克的一项研究表明,将近三分之一的银行用户表示,由于担心遭遇钓鱼攻击,而被迫放弃对网上银行的使用。
随着钓鱼短信攻击的手段日益复杂,事件持续高发,让银行以及用户蒙受巨大损失,严重影响用户财产安全,并逐渐失去对银行的信心。作为交互安全领域服务商,极验将从企业与用户的交互视角,审视钓鱼短信攻击:
早在5年前的 KCon 黑客大会上,网络安全专家Seeker在《伪基站高级利用技术——彻底攻破短信验证码》中曾明确表示,短信验证码这种安全认证机制可被轻易突破,理应尽快放弃并使用更安全的认证机制。
GSM 伪基站的搭建:硬件:普通 PC、USRP B2X0 + 天线(或Motorola C118/C139 + CP2102)。软件:Ubuntu Linux、OpenBSC。OpenBSC:由Osmocom发起并维护的一套高性能、接口开放的开源GSM/GPRS基站系统。
针对短信验证码存在的缺陷与安全隐患,具体表现为:
显然,如果仅仅是依靠短信验证码来确认用户身份,具有一定的安全隐患。对于平台而言,除了短信验证之外,在涉及大额支付及修改用户交易密码等业务场景,增加新的验证手段刻不容缓。
替代方案:脱敏手机号+免短信登录
仔细研究黑产整个钓鱼短信攻击环节,短信是黑产突破银行防线的重要突破口。而在银行金融机构的关键业务关节,极验「无感本机认证」正在替代传统短信验证码:
作为身份校验的升级方案,极验牵手全国三大运营商推出「无感本机认证」。由运营商网关直接验证用户SIM卡中的手机号码,全程加密,替代短信验证码。从而让不法分子无短信可嗅探,从根源解决短信嗅探的风险。同时,也大大简化用户操作流程,用户体验更加顺畅,有效提高转化率,帮助银行金融机构优化认证流程,助力拉新、留存、促活。
而对于银行用户,提升隐私安全意识,就能抵御超过一半的安全风险:《2019年数据泄露成本报告》中有一组数据,49%的数据泄露是人为错误和系统故障造成的,而这都让他们成为网络钓鱼攻击的牺牲品。
幸运的是,短信网络钓鱼攻击相对容易防御。你会发现,只要什么都不做,通常可以确保自己的安全。所以当遭遇疑似钓鱼短信的时候,不妨冷静下来思考三个问题:
当然,如果遭遇短信嗅探,则要迅速做出响应,例如:
作为银行用户,提高对移动安全事件的关注度和敏感度,对与个人关联的事件进行紧急响应,做好事后止损的工作。一旦遭遇以上情况,提高警惕,必要时可采取关机、启动飞行模式等应对措施应对。
可以预见,在之后数年,移动网络安全依然不容乐观。隐私泄露和移动攻击的泛滥和融合还会进一步加深,并导致网络攻击威胁泛滥进一步加深。对抗还将继续,不论是企业还是消费者,唯有不断强化安全意识,提升自身对抗风险能力,并做到及时排除风险隐患,才是不变的真理,从而让自己远离风险。
有哪些舆情分析比较靠谱的公司?什么产品?
按照我的经验来说,我比较推荐蜜度旗下的新浪舆情通⌄首先毋庸置疑的就是除了覆盖全网数据,同时还拥有新浪微博官方数据,对于信息的覆盖性会做得比较好,另外它可以照顾到方方面面,无论是信息挖掘、跟踪溯源、情感分析还是自定义检索,都可以帮助我们在海量的信息里面精准定位有效信息,智能过滤垃圾信息。对于企业来说就可以更早一步了解事件发展动态,调整策略,挖掘背后潜在的商业价值;而对于政府来说,更是一个了解社情民意,正确引导舆论的好机会。而且操作也很便捷,只要按照步骤指示,点击需要的功能即可,多类维度详细的报告也可一键生成。
身份证正反面照片用微信发给别人了,有什么危险吗?
身份证正反面照片用微信发给别人了,存在的危险为盗用你的身份证办理网贷或者其他违法的事情,保留原始证据,尽快第一时间报警解决,免除自身的法律责任。
如果只要拿到了身份证,可以合法合规地变成企业的法人,然后该企业的各种责任都承担,并且这个身份所持有的股份,要承担有限责任。一种很常见的操作方法是:对方把公司的注册资本设置得很高,比如1000万,然后90%的股份低价转让给。
网贷的信息基础就是一张身份证,看似有手持身份证、人脸识别的限制,但这些从技术上是很好绕过的。网贷的流程简单,骗子在暗网买一套完整的身份信息才500~1000元,可以在几天时间里,从各个网贷平台贷到至少几万元。
扩展资料:
身份证正反面照片盗取的介绍如下:
某些审核不严仅需要身份证传真件就可开通的金融应用中被人冒用,然后被用于非法行为。某些仅提供身份证信息和联系号码,不用短信验证即可登录或重置密码的系统,可以通过非正当途径经身份证查出实名号码从而进去。
轻则泄露更多信息,重则被篡改信息导致不可预测后果。参照上条的,某些时期的网上金融系统,不过现在应该比较少存在了。不幸手机丢了,同时身份证号码被得知时或者知道身份证信息的人恶意借用手机。
参考资料来源:凤凰网-紧急提醒!你的身份证可能正在被别人使用
参考资料来源:新华网-解决“身份证被冒用”,难点在哪?
0条大神的评论