杜躍進
這兩天,“徐玉玉事件”引起全社會的廣泛關注,大家對受害人的不幸非常痛心,對騙子十分痛恨,對虛擬電話號碼的管理、用戶資訊洩露和電信詐騙等問題展開了激烈討論。雖然經過公安專案組連續奮戰,6名犯罪嫌疑人已全部落網,但是我們要充分認識到,這場與電信詐騙等黑色産業的鬥爭還遠沒有結束,需要全社會持續的共同努力才能得到改善。
1、我們面對的是一個龐大的黑灰産業鏈
《史記》雲:“天下熙熙皆為利來,天下攘攘皆為利往。”網路應用的蓬勃發展吸引了犯罪分子的目光,據估計中國每年的網路黑灰産規模達到一千億人民幣左右。這個巨大的利益背後,已經是一個規模十分龐大的黑灰産業鏈,實施電信詐騙只是其中一個環節,在此之前還包括惡意軟體編寫、漏洞販賣、實施數據竊取、個人資訊倒賣等。要想從根本上扭轉今天這種電信詐騙猖獗的態勢,需要從多個環節入手,需要各界共同努力。
2、實人認證是第一道關口
這次事件大家首先關注的是170虛擬運營商號段不實名的問題,認為這是導致騙子無法追溯的罪魁禍首。實際上虛擬運營商並不是關鍵。據工信部公佈的數據,2015年11月至2016年4月底,工信部組織電信企業關停了14萬多涉嫌電話詐騙的號碼。在這14萬多個號碼中,虛擬運營商的號碼為6萬多個,只佔總數的43%。也就是説騙子使用的電話多數還不是虛擬運營商的號碼。當然,一些虛擬運營商管理不善導致騙子扎堆,確實需要整改。
因此,問題的本質不在於是不是虛擬運營商,而在於是不是實名。我們發現徐玉玉案中騙子的號碼是通過了實名認證的,這説明簡單的“實名”是沒用的,因為有些“實名”是假的:身份證明都是真的,但並不是本人。網路黑灰産早就通過各種手段收集了大量真實身份材料,然後有組織地用這些材料通過實名認證。生活中遇到那些免費領取各種東西但是要你提供身份證明的活動,基本就是這樣的例子,可是貪小便宜參加的人很多。
解決這個問題需要做到“實人認證”,就是真實的身份資訊對應到真實的人。這項工作不能僅僅依靠全國各地每個營業點的每個工作人員。面對龐大的黑灰産利益,我們甚至無法保證每個工作人員都是絕對可信的。這需要充分利用各種新的技術手段,例如動態的人臉和動作識別、多維度的大數據打通和應用進行核驗等技術。這樣才能讓騙子很難使用別人的實名資訊矇混過關。
3、公共網路環境和技術對抗
實人認證只是第一道關口,網路環境治理和技術對抗同樣關鍵。
一個例子是犯罪團夥使用“改號軟體”可以實現任何主叫號碼顯示,也就是説你接到的電話的來電號碼是被騙子偽造過的。來自一個“沒問題”的號碼的來電,容易讓很多人上當。網際網路技術和傳統電信領域的結合,導致這個問題比過去更嚴重,網路運營商要加強對這類偽造主叫號碼功能的遏制,為大家營造一個更加可信的網路環境。網際網路領域也有很多類似的公共網路環境安全的問題需要解決。
網路黑灰産有很多環節可以竊取用戶個人資訊,進而實施非常精準的詐騙活動(這些精準詐騙其實是非常難以防範的)。例如在用戶的手機或電腦上植入惡意軟體實施竊聽、通過網路釣魚誘騙用戶提供個人資訊、在網路上實施竊聽、從提供服務或者擁有數據的部門竊取數據等。所以,不能指望用戶自己具備和專業攻擊者進行技術對抗的能力。因此需要安全産業為用戶提供更多的專業支援,也需要所有擁有數據的企業或單位大力提升自己的安全能力。
4、行業安全能力和社會責任
我們已經進入到了大數據時代,生活中每個環節、每時每刻都在産生數據;一些看上去很小或者很簡單的應用或者網站,也在産生大量的重要數據;人們生活中很多習以為常的事情,背後的數據都要經過一個長長的産業鏈條。每個環節都可能成為黑灰産竊取數據的“黃金寶地”,黑灰産甚至會直接到一些地方應聘,然後植入竊聽程式或者直接導出數據。
所以,全行業都需要提升自己的安全能力和社會責任感,需要履行保護用戶數據的社會責任,不但要防止自己成為竊取數據的目標,也要防止自己的員工對外倒賣數據。而對於非法獲取或倒賣數據的企業,政府要堅決打擊。能力領先的企業,要通過各種形式積極推廣自己的經驗或者提供幫助。
5、司法環境的改善
電信詐騙具有網際網路特點,經常單筆金額不大但是加在一起數額巨大。按照過去的法律條文,受害人經常連報案的條件都達不到,從而讓犯罪分子逃避制裁。現在公安部宣佈進行調整,未來都可以立案,這是一個很好的消息。但是電信詐騙還有跨地域犯案等很多新特點,挑戰還是很大的。
惡意註冊、身份倣冒等看上去“沒什麼”的網路灰色産業,實際上也是被網路黑灰産充分利用,為最終的詐騙活動提供幫助的重要領地;甚至虛假交易、信用炒作等亂象,也在使整個環境惡化。那些售賣專門軟體幫助黑灰産的行為,同樣需要加以遏制。這些新問題,需要司法層面的調整,跟上新的變化,剷除黑灰産的土壤。
個人資訊保護是一個重點工作。據了解,有關部門也在抓緊研究和推動。但是出臺一部法律需要非常嚴謹的工作,尤其是如今全世界進入向數據技術轉化的變革時代,過去的很多情況發生了重大變化,很多基本概念在全球都陷入爭議和探索狀態,而中國又處於高速發展甚至在一些領域開始實現引領全球的階段,因此很多國外的經驗不能照搬,大量産業界的實際情況需要結合,否則不但不能實現保護用戶隱私的目的,反而被犯罪分子用來隱藏痕跡逃避打擊。
6、安全意識教育
安全意識教育是個永恒的和非常重要的事情,需要大力去做。很多案例中,如果受害人安全意識再提高一些的話,就可以避免上當受騙。網路黑灰産的騙術在不斷變化和升級,安全意識教育的內容也需要不斷更新。尤其是安全意識教育的對象,需要延伸到青少年,這一點過去大家的認識還不是很到位。
7、各方面力量需要聯合起來
網路黑灰産會充分利用各種方法隱蔽自己,例如在甲公司的平臺上實施詐騙的話,中間要把客戶騙到乙公司的平臺上,其原因就是利用大家互相不通、沒有合作的缺點,讓各種保護用戶的機制失靈。
政府部門之間、多個行業之間、政府和企業之間的合作,也有很多需要改進的地方。只有這樣,才能實現身份校驗、賬戶核對、黑産追溯、資金阻截、取證打擊等一系列的配合,從根本上改善網路安全生態,讓用戶得到最大的保護,使産業得到健康發展。(作者為中國網路空間安全協會副理事長)
[責任編輯:郭碧娟]
The requested resource has been assigned a new permanent URI.