学籍信息也会被泄露吗？ - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
已注册用户请 &
学籍信息也会被泄露吗？
09:31:09 +08:00 · 4805 次点击
高中的时候没手机，联系方式填的母上的号。 7 月暑假回来已经接到 13 次野鸡大学的骚扰电话，开口就问是不是高三考生。然而我已经大三了啊。
学籍信息当时不都是密封在档案袋里的吗？
38 回复 &| &直到
22:26:11 +08:00
& & 09:33:38 +08:00
学信网， 30G 资料，楼主 google 一下就知道了
& & 09:36:08 +08:00
@ 沃德天。。。
& & 09:36:24 +08:00
正常阿.. 这种信息是最不值钱的..
& & 09:36:28 +08:00
艾滋病实名信息都被泄露，还有什么不会被泄露？中国除了领导人和国家机密没什么不会被泄露的。
& & 09:43:13 +08:00
有很多个途径可能会泄露~
0.你的信息在高考报名的时候是会统一做一个 Excel 文件的，每个班的班主任都有，我当时就有我们这届所有人的信息，包括住址和电话；
1.所有的考生信息都是要报到考试院的，这时候就有更多的信息可能会泄露；
2.大学开学新生报到的时候会有花名册，这个时候每个专业的导员也能有每个人的信息；
3.学信网之前有漏洞……非常简单的一个漏洞……以至于任何一个人利用公开的信息就可以获取到学信网上一部分学生的信息，包括手机号和邮箱，甚至 QQ 号（因为很多人用 QQ 邮箱）。
& & 10:27:21 +08:00
这个泄漏很正常啊，感觉中国对于信息方面保护的太弱了。各种漏洞。
& & 10:28:38 +08:00 via Android
& & 10:31:41 +08:00
我们 SB 高中，个人信息 EXCEL 直接学校网站可以下载
& & 10:39:36 +08:00
不知道被学校卖多少遍了
& & 11:02:59 +08:00
泄露是正常的，在国内不泄露才是异常。当年高考完成绩还没出来 就 已经有 录取通知书了。
& & 11:34:17 +08:00
学校教务系统漏洞相当多，基本处于随便爬的状态，有的学校还非常贴心地附带照片
& & 12:04:41 +08:00
& & 12:07:43 +08:00
这算什么，长沙高考完那时候还有各种诈骗的，复读的，烦死了。
& & 12:10:04 +08:00 via iPhone
基本上每个学校的教务系统都是属于被艹烂的状态…数据嘛…
& & 12:40:08 +08:00
前面说的都对，在国内，国人哪有不被泄露的信息可言的。要是安全点的网站都要求你装个后门。
& & 13:43:55 +08:00
然后根本没有 什么 「学信 30 G 资料」之类的泄漏
& & 13:50:32 +08:00
学籍信息本来就是公开的
& & 13:51:32 +08:00
在幸福的天朝，屁民不配拥有个人隐私。只有体制内和领导才有个人隐私：
一方面，一旦要求公开财产、福利，马上就说；侵犯危害个人隐私；
另一方面，衙门规定实名制，阿猫阿狗都可以扯着实名制的破旗，要你的手机号等个人信息。
“老乡，请问你幸福吗？”
& & 14:03:59 +08:00
@ 很多大学也是，还有一些公示的个人资料基本没有隐私可言
& & 14:49:57 +08:00
& & 14:56:26 +08:00
我们本科毕业证才拿到几天，就在网上搜到 2016 届 xx 系学生工作方向，很多人去了哪里上班都实名列出来了，可怕
& & 15:22:52 +08:00 via Android
平心而论，政府部门 IT 人才少是事实，技术栅都是现成的，漏洞难免多。
像银行想要泄露就难得多。
& & 15:46:37 +08:00
site:edu.cn filetype:xlsx 身份证
& & 15:47:46 +08:00 via Android
曾经在百度文库下载过学生获奖列表
& & 15:56:39 +08:00 via Android
前不久学校的应该是全部师生包括一些毕业的信息泄露了，都遭电话骚扰，有人问了那边打骚扰电话的人，回答是他们买的！买的！买的！可怕啊！
& & 17:00:01 +08:00 via Android
@ 老乡，我们很心服
& & 17:29:12 +08:00
学信网资料早已泄露
而这家盈利目的的机构从来没有人为此担责
& & 18:13:05 +08:00
@ 不是你们 SB 高中，这很普遍
& & 21:34:28 +08:00
楼主，你的头像发生了什么，下午看的时候还是好的，被删除了么
& & 21:58:52 +08:00
有些学校很 sb 根本不考虑保护学生的隐私
当然也不懂得保护。。
& & 22:06:31 +08:00
我是违反什么规定了？
& & 22:18:06 +08:00
@ 应该是违反了不能使用非本人的三次元女性头像的规定
& & 00:07:03 +08:00 via Android
信息泄露很正常，当年阳光长跑计划把学生指纹信息都卖了
& & 04:32:06 +08:00
@ 一针见血
& & 08:21:53 +08:00
临毕业的时候不是要毕业生信息采集吗、、、后来还要求校对吗。。。然后校对所用到的信息直接就可以在教务处网站下载，这个教务处网站还是外网可访问的。
& & 09:15:36 +08:00
学籍信息是最容易泄露的，各个环节都有泄露的可能。
& & 10:33:08 +08:00
我初中和高中的老师因为感觉我打字快（外加会用 Excel 的一些奇技淫巧），每次有需要录入学籍的时候都会找我，
所谓“学籍”也不光包括学籍。除了正常的学籍之外，还有诸如学生会报名表、文理倾向调查表、健康体质档案、一寸照片电子版之类的，
当然，每次录完我都会留一份备份。除此之外，我还能接触到的信息还包括每次考试成绩单的电子版。
学校有个老师负责学籍工作。有一次他人不在，我就从他的电脑上顺便铐走了全学校其他班级学生的信息。
所以，千万不要低估自己个人信息泄露的渠道。我可以轻松地把手头的信息卖给补课机构（我有成绩单还有家长信息甚至还有精确到门牌号的家庭住址，很适合补课机构针对性地推广）之类的，估摸着最少也能捞出来小一年的翻墙梯子钱。除了像我这种人之外，举个例子，我要是把我的 U 盘借给了别的同学铐东西，结果该同学随便乱翻我的 U 盘时顺手铐了学籍怎么办？尽管我自己是能做到这些信息（连同小黄本）都加密了再存在 U 盘里防止别人随便乱铐，但是别的老师呢？
上述还只是我知道的、从个人手中泄露出来的。像是学信网 30GB 那种事情就另说了。
毫不意外地，放假之前我家长收到了一个补课班的电话，甚至还 TM 知道我数学不好。班上除我之外还有数名同学遇到了同样情况，推广非常具有针对性。
& & 22:26:11 +08:00
现在阿猫阿狗的动不动要信息的确真心烦，给了又不放心安全性。特别是事业单位的那些系统，安全性不敢看
& · & 2755 人在线 & 最高记录 3541 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 32ms · UTC 04:01 · PVG 12:01 · LAX 21:01 · JFK 00:01? Do have faith in what you're doing.删除历史记录
　----
相关平台红包
精准诈骗背后 谁泄露了我们的个人信息？
作者：之家哥
摘要：网贷之家小编根据舆情频道的相关数据，精心整理的关于《精准诈骗背后 谁泄露了我们的个人信息？》的精选文章10篇，希望对您的投资理财能有帮助。
《精准诈骗背后 谁泄露了我们的个人信息？》 精选一用户数据遭泄露，网络订单被修改，场景化诈骗令人防不胜防，个人数据“黑市”交易猖獗，“裸奔”的信息该如何安放？，解码新，为您解读。本期嘉宾：葛健： 360手机卫士安全专家李继泉：北京市君邦律师事务所创始以下为文字实录：网络交易平台的数据是怎么被泄露出去的？葛健：个人信息泄露已经成为诈骗的重要利用手段之一，这种诈骗的途径有以下几点。第一，所有可能跟用户信息相关的公司对数据的监管不严，通过所谓的公司内部人员随意把数据拷贝出来进行贩卖。第二，很多网站对用户信息进行保护时，技术方面没有做到对数据的加密，网站存在漏洞，被专门做网站攻击的黑客利用。黑客攻击这些网站后，可以拿到网站所有的用户信息然后贩卖。第三，木马窃取隐私。现在不论是在电脑还是手机上，很多木马恶意程序盯着用户的个人隐私，比如有些木马专门窃取用户的短信或者通讯录，称为短信窃取码；还有一种木马专门窃取账号，比如它会模仿银行或第三方交易支付平台，在用户打开时让用户填写登录的账户信息，比如账号密码，甚至是虚假账号的填写交易。第四，与用户的日常使用习惯相关。例如，在公众场合出现模仿公众WiFi的恶意WiFi，用户连接后，用户在网络的访问、进行的交易、账户信息都会被窃取。用户在参加一些活动时，下载或者是注册的时候，都会需要填写个人信息，比如账户、手机号，甚至有些要求更多，在数据时代诈骗人员只要获取了这些信息就可以追踪到用户的其他相关信息。这其实是用户在平时容易疏忽的一点。骗子是怎么进入到电商平台主页修改订单信息的？葛健：骗子利用官网，诱导用户到他专门修改的页面里去看。修改页面就是个人编辑，只要登录用户的账户任何人都可以进行编辑。在编辑过程中，页面中原来是地址内容的部分，骗子填上其他的信息让用户看到。在诈骗过程中，用户看到的联系客服，订单存在的问题，客服号、手机号，需要访问的网页，转账等信息都在这里生成，由骗子填写。当用户点入骗子提供的网页就进入了钓鱼网站，钓鱼网站要求用户填写、支付密码、预留手机号，骗子掌握这些信息后就可以任意修改。随后，骗子会让用户填写随机数，也就是用户需要输入的短信验证码，这是诈骗里的一个重要环节，当随机数填写上去后这个交易就完成了。网络交易平台是否该担责？李继泉：判断电商是否有责任，首先要判断平台在用户数据的泄露，被侵入订单和修改客户，客服的信息是否存在着过错，或者是不当的行为。具体来讲，侵权的网络用户在利用网络服务实施侵权行为的时候，被侵权人是否把这个消息通知到了网络服务的提供者，作为网络提供人是否采取了删除、屏蔽、或者断开连接等必要的措施。如果网络服务提供人接到通知后没有采取必要的措施，造成扩大部分的损失，这时网络服务提供人和侵权者就扩大的这部分损失有一个承担连带责任的风险。网络服务提供人如果采取了必要的措施，是不需承担责任的。在这种情况下，网络提供人其实还有一种责任，侵权人在利用其网络实施侵害他人的财产权、名誉权、隐私权等民事权益行为时，网络提供人知晓但没有采取措施，则需要和侵权人承担一个连带责任。那怎么来确定？就存在着举证责任的划分问题，如何来划分这个举证责任，作为网络交易平台来讲，要对个人的信息采取一种严格的保密，不得篡改，不得泄露，不得毁损，不得出售，不得非法向他人提供。消费者权益保护法也有明文规定，经营者和他的工作人员在搜集到消费者信息的时候要做到严格保密，不得泄露。在这件事情上就要断定是否是由网络提供人泄露用户信息，或者他提供了用户信息给他人。关于删除用户操作日志的问题，首先作为平台的用户本身来讲，他们之间要形成一个相对的纠纷机制，他是否能够证明这个平台删除了他的日志。如果用户证明不了，根据现在法律上的民事责任原则——举证倒置，由对方提交证据，证明其是否有侵权行为存在。个人信息“黑市”交易为什么猖獗？葛健：“黑市”交易有多个环节，有专门的洗料人，也就是去窃取信息的人，然后再过手到中间商环节，再从中间商过手，环节涉及很多。这些环节互相没有交集，参与人员并不认识，都是在互联网上进行。这些产业链，在流通环节抓获很难，获取到信息后，追查其账户也非常难，多数是虚假信息，造成其身份隐藏很好不易暴露，所以造成现在“黑市”交易非常猖獗。李继泉：其实现在最重要一个原因是网络发展非常迅速，作为立法或者是执法层面来讲，第一个就牵涉到监管主match体，谁来去具体做这个事情，谁有执法权，包括办案权由谁去做，同样还是缺乏一些操match作的细节，应该从行政法规还是行政法的角度，还是民事的角度分析，具体措施有点相对滞后，导致现在个人信息的交易虽然非常猖獗，却有点束手无策。如何甄别“钓鱼网站”？葛健：做假的网站，比如钓鱼网站，首先从网址域名识别，比如亚马逊这个域名，一般假的网站尤其这个事件里假网站的域名非常明显，链接不一样，这是非常直接的。但是现在骗子也会在链接上做手脚，比如冒充银行或者运营商，通过伪基站发送短信；或者在购物的网站域名上做一些手脚，比如10086的网站，可能在“1“”改成大写的“L”，“0”改成“O”，这些不仔细看识别不出来。页面同样也会被做手脚，骗子做假网站都有模板，从外面看这些假的退款网站或直接网购交易的网站和真的差不多，做的越来越细，其实是在页面中加了一段代码，用这段代码套取用户的账户信息。识别网站时不要只看网站的整体布局，还要看它需要获取的信息。钓鱼网站一般通过让用户填写账号、密码套取信息，我们知道真正的官方网站不会支付时需要用户支付密码，因此，如果遇到退款或者其他相关的，需要用户登录账号，包括相关信息的时候，一定是有问题的，因为这些信息都是官方网站知道而骗子不知道的。另外，交易时，判断是否为“钓鱼网站”，注意是不是官方收款的账户，如果跳转到个人账户，这种来源的网址一定要注意。如何把握个人信息公开的度？葛健：首先要看提供这个信息在用户的使用上是不是必要的。比如说参加一个活动，可能只要填写姓名、手机号就可以了。但是如果还要让用户提供身份证号，甚至下载应用绑定银行卡号，这时就要谨慎。在个人公开权限的时候，有些信息可能真的是在使用时必须提供的，但我们要把这个度把握好。在钓鱼网站里，它就是会需要我提供帐号、密码，有些比较小的网站不安全，可能就明文保存，在用户提供了之后，这些信息全都会给泄露出去，这时用户可以找一些不常用的号码，把个人信息做一个等级划分，例如金融交易，涉及到钱的，不管帐号或者密码，设置称高级别。如何防止个人信息泄露？李继泉：飞速发展，法律相对滞后，而且它总是归纳出一些规律后形成规则。一方面，其实作为商业数据的用户数据获取者其实主要是平台，作为平台来讲要提高对于数据的安全性和使用性的审慎性。新的网络安全法有规定，比如基础数据、金融数据、国家安全数据，牵扯到国际民生的数据，这些数据都不能轻易地作迁移、扩散，或者是允许别人使用。另一方面，作为用户在数据的被获取或者有偿使用，无偿使用数据的时候，也要考虑到牵扯别人隐私，或者单位生死攸关的数据，在运用数据的时候，要保持现有的法律框架体系内的服从和遵守。《精准诈骗背后 谁泄露了我们的个人信息？》 精选二温馨提示全文共3031个字，阅读大约需要9分钟~用户数据遭泄露 网络订单被修改场景化诈骗令人防不胜防个人数据“黑市”交易猖獗“裸奔”的信息该如何安放？解码新金融为您解读听完整节目，方便快捷省流量~阅读摘要个人信息如何被窃取？网络交易平台是否该担责？如何甄别“钓鱼网站”？如何防止个人信息泄露？本期嘉宾葛健：360手机卫士安全专家李继泉：北京市君邦律师事务所创始合伙人主持人：裴蕾文字实录网路交易平台的数据是怎么被泄露出去的？葛健：个人信息泄露已经成为诈骗的重要利用手段之一，这种诈骗的途径有以下几点。第一，所有可能跟用户信息相关的公司对数据的监管不严，通过所谓的公司内部人员随意把数据拷贝出来进行贩卖。第二，很多网站对用户信息进行保护时，技术方面没有做到对数据的加密，网站存在漏洞，被专门做网站攻击的黑客利用。黑客攻击这些网站后，可以拿到网站所有的用户信息然后贩卖。第三，木马窃取隐私。现在不论是在电脑还是手机上，很多木马恶意程序盯着用户的个人隐私，比如有些木马专门窃取用户的短信或者通讯录，称为短信窃取码；还有一种木马专门窃取账号，比如它会模仿银行或第三方交易支付平台，在用户打开时让用户填写登录的账户信息，比如账号密码，甚至是虚假账号的填写交易。第四，与用户的日常使用习惯相关。例如，在公众场合出现模仿公众WiFi的恶意WiFi，用户连接后，用户在网络的访问、进行的交易、账户信息都会被窃取。用户在参加一些活动时，下载或者是注册的时候，都会需要填写个人信息，比如账户、手机号，甚至有些要求更多，在数据时代诈骗人员只要获取了这些信息就可以追踪到用户的其他相关信息。这其实是用户在平时容易疏忽的一点。骗子是怎么进入到电商平台主页修改订单信息的？葛健：骗子利用官网，诱导用户到他专门修改的页面里去看。修改页面就是个人编辑，只要登录用户的账户任何人都可以进行编辑。在编辑过程中，页面中原来是地址内容的部分，骗子填上其他的信息让用户看到。在诈骗过程中，用户看到的联系客服，订单存在的问题，客服号、手机号，需要访问的网页，转账等信息都在这里生成，由骗子填写。当用户点入骗子提供的网页就进入了钓鱼网站，钓鱼网站要求用户填写银行卡号、支付密码、预留手机号，骗子掌握这些信息后就可以任意修改。随后，骗子会让用户填写随机数，也就是用户需要输入的短信验证码，这是诈骗里的一个重要环节，当随机数填写上去后这个交易就完成了。网络交易平台是否该担责？李继泉：判断电商是否有责任，首先要判断平台在用户数据的泄露，被侵入订单和修改客户，客服的信息是否存在着过错，或者是不当的行为。具体来讲，侵权的网络用户在利用网络服务实施侵权行为的时候，被侵权人是否把这个消息通知到了网络服务的提供者，作为网络提供人是否采取了删除、屏蔽、或者断开连接等必要的措施。如果网络服务提供人接到通知后没有采取必要的措施，造成扩大部分的损失，这时网络服务提供人和侵权者就扩大的这部分损失有一个承担连带责任的风险。网络服务提供人如果采取了必要的措施，是不需承担责任的。在这种情况下，网络提供人其实还有一种责任，侵权人在利用其网络实施侵害他人的财产权、名誉权、隐私权等民事权益行为时，网络提供人知晓但没有采取措施，则需要和侵权人承担一个连带责任。那怎么来确定？就存在着举证责任的划分问题，如何来划分这个举证责任，作为网络交易平台来讲，要对个人的信息采取一种严格的保密，不得篡改，不得泄露，不得毁损，不得出售，不得非法向他人提供。消费者权益保护法也有明文规定，经营者和他的工作人员在搜集到消费者信息的时候要做到严格保密，不得泄露。在这件事情上就要断定是否是由网络提供人泄露用户信息，或者他提供了用户信息给他人。关于删除用户操作日志的问题，首先作为平台的用户本身来讲，他们之间要形成一个相对的纠纷机制，他是否能够证明这个平台删除了他的日志。如果用户证明不了，根据现在法律上的民事责任原则——举证倒置，由对方提交证据，证明其是否有侵权行为存在。个人信息“黑市”交易为什么猖獗？葛健：“黑市”交易有多个环节，有专门的洗料人，也就是去窃取信息的人，然后再过手到中间商环节，再从中间商过手，环节涉及很多。这些环节互相没有交集，参与人员并不认识，都是在互联网上进行。这些产业链，在流通环节抓获很难，获取到信息后，追查其账户也非常难，多数是虚假信息，造成其身份隐藏很好不易暴露，所以造成现在“黑市”交易非常猖獗。李继泉：其实现在最重要一个原因是网络发展非常迅速，作为立法或者是执法层面来讲，第一个就牵涉到监管主match体，谁来去具体做这个事情，谁有执法权，包括办案权由谁去做，同样还是缺乏一些操match作的细节，应该从行政法规还是行政法的角度，还是民事的角度分析，具体措施有点相对滞后，导致现在个人信息的交易虽然非常猖獗，却有点束手无策。如何甄别“钓鱼网站”？葛健：做假的网站，比如钓鱼网站，首先从网址域名识别，比如亚马逊这个域名，一般假的网站尤其这个事件里假网站的域名非常明显，链接不一样，这是非常直接的。但是现在骗子也会在链接上做手脚，比如冒充银行或者运营商，通过伪基站发送短信；或者在购物的网站域名上做一些手脚，比如10086的网站，可能在“1“”改成大写的“L”，“0”改成“O”，这些不仔细看识别不出来。页面同样也会被做手脚，骗子做假网站都有模板，从外面看这些假的退款网站或直接网购交易的网站和真的差不多，做的越来越细，其实是在页面中加了一段代码，用这段代码套取用户的账户信息。识别网站时不要只看网站的整体布局，还要看它需要获取的信息。钓鱼网站一般通过让用户填写账号、密码套取信息，我们知道真正的官方网站不会支付时需要用户支付密码，因此，如果遇到退款或者其他相关的，需要用户登录账号，包括银行卡相关信息的时候，一定是有问题的，因为这些信息都是官方网站知道而骗子不知道的。另外，交易时，判断是否为“钓鱼网站”，注意是不是官方收款的账户，如果跳转到个人账户，这种来源的网址一定要注意。如何把握个人信息公开的度？葛健：首先要看提供这个信息在用户的使用上是不是必要的。比如说参加一个活动，可能只要填写姓名、手机号就可以了。但是如果还要让用户提供身份证号，甚至下载应用绑定银行卡号，这时就要谨慎。在个人公开权限的时候，有些信息可能真的是在使用时必须提供的，但我们要把这个度把握好。在钓鱼网站里，它就是会需要我提供帐号、密码，有些比较小的网站不安全，可能就明文保存，在用户提供了之后，这些信息全都会给泄露出去，这时用户可以找一些不常用的号码，把个人信息做一个等级划分，例如金融交易，涉及到钱的，不管帐号或者密码，设置称高级别。如何防止个人信息泄露？李继泉：大数据飞速发展，法律相对滞后，而且它总是归纳出一些规律后形成规则。一方面，其实作为商业数据的用户数据获取者其实主要是平台，作为平台来讲要提高对于数据的安全性和使用性的审慎性。新的网络安全法有规定，比如基础数据、金融数据、国家安全数据，牵扯到国际民生的数据，这些数据都不能轻易地作迁移、扩散，或者是允许别人使用。另一方面，作为用户在数据的被获取或者有偿使用，无偿使用数据的时候，也要考虑到牵扯别人隐私，或者单位生死攸关的数据，在运用数据的时候，要保持现有的法律框架体系内的服从和遵守。完整节目建议在WiFi环境下收看，土豪请随意~播出时间首播：周一23:30
香港NOWTV新加坡StarhubTV周一21:40 -浦东频道（歌华有线136频道）重播：周二12:35 第解码小福利第一财经《解码新金融》是国内首档专注新金融领域的高端访谈节目。节目以权威的嘉宾阵容，深入剖析新金融热点，探讨行业发展趋势，提供实用的指南。了解更多＂解码新金融＂活动精彩内容，欢迎添加解码新金融小秘书，备注“姓名+单位+职务”，加入行业交流群，吐槽与分享节目建议或行业信息。解码新金融小秘书添加请备注“姓名+单位+职务”解码新金融第一财经《解码新金融》是国内首档专注新金融领域的高端访谈节目。节目以权威的嘉宾阵容，深入剖析新金融热点，探讨行业发展趋势，提供实用的投资指南。《精准诈骗背后 谁泄露了我们的个人信息？》 精选三用户数据遭泄露，网络订单被修改，场景化诈骗令人防不胜防，个人数据“黑市”交易猖獗，“裸奔”的信息该如何安放？，解码新金融，为您解读。本期嘉宾：葛健： 360手机卫士安全专家李继泉：北京市君邦律师事务所创始合伙人以下为文字实录：网络交易平台的数据是怎么被泄露出去的？葛健：个人信息泄露已经成为诈骗的重要利用手段之一，这种诈骗的途径有以下几点。第一，所有可能跟用户信息相关的公司对数据的监管不严，通过所谓的公司内部人员随意把数据拷贝出来进行贩卖。第二，很多网站对用户信息进行保护时，技术方面没有做到对数据的加密，网站存在漏洞，被专门做网站攻击的黑客利用。黑客攻击这些网站后，可以拿到网站所有的用户信息然后贩卖。第三，木马窃取隐私。现在不论是在电脑还是手机上，很多木马恶意程序盯着用户的个人隐私，比如有些木马专门窃取用户的短信或者通讯录，称为短信窃取码；还有一种木马专门窃取账号，比如它会模仿银行或第三方交易支付平台，在用户打开时让用户填写登录的账户信息，比如账号密码，甚至是虚假账号的填写交易。第四，与用户的日常使用习惯相关。例如，在公众场合出现模仿公众WiFi的恶意WiFi，用户连接后，用户在网络的访问、进行的交易、账户信息都会被窃取。用户在参加一些活动时，下载或者是注册的时候，都会需要填写个人信息，比如账户、手机号，甚至有些要求更多，在数据时代诈骗人员只要获取了这些信息就可以追踪到用户的其他相关信息。这其实是用户在平时容易疏忽的一点。骗子是怎么进入到电商平台主页修改订单信息的？葛健：骗子利用官网，诱导用户到他专门修改的页面里去看。修改页面就是个人编辑，只要登录用户的账户任何人都可以进行编辑。在编辑过程中，页面中原来是地址内容的部分，骗子填上其他的信息让用户看到。在诈骗过程中，用户看到的联系客服，订单存在的问题，客服号、手机号，需要访问的网页，转账等信息都在这里生成，由骗子填写。当用户点入骗子提供的网页就进入了钓鱼网站，钓鱼网站要求用户填写银行卡号、支付密码、预留手机号，骗子掌握这些信息后就可以任意修改。随后，骗子会让用户填写随机数，也就是用户需要输入的短信验证码，这是诈骗里的一个重要环节，当随机数填写上去后这个交易就完成了。网络交易平台是否该担责？李继泉：判断电商是否有责任，首先要判断平台在用户数据的泄露，被侵入订单和修改客户，客服的信息是否存在着过错，或者是不当的行为。具体来讲，侵权的网络用户在利用网络服务实施侵权行为的时候，被侵权人是否把这个消息通知到了网络服务的提供者，作为网络提供人是否采取了删除、屏蔽、或者断开连接等必要的措施。如果网络服务提供人接到通知后没有采取必要的措施，造成扩大部分的损失，这时网络服务提供人和侵权者就扩大的这部分损失有一个承担连带责任的风险。网络服务提供人如果采取了必要的措施，是不需承担责任的。在这种情况下，网络提供人其实还有一种责任，侵权人在利用其网络实施侵害他人的财产权、名誉权、隐私权等民事权益行为时，网络提供人知晓但没有采取措施，则需要和侵权人承担一个连带责任。那怎么来确定？就存在着举证责任的划分问题，如何来划分这个举证责任，作为网络交易平台来讲，要对个人的信息采取一种严格的保密，不得篡改，不得泄露，不得毁损，不得出售，不得非法向他人提供。消费者权益保护法也有明文规定，经营者和他的工作人员在搜集到消费者信息的时候要做到严格保密，不得泄露。在这件事情上就要断定是否是由网络提供人泄露用户信息，或者他提供了用户信息给他人。关于删除用户操作日志的问题，首先作为平台的用户本身来讲，他们之间要形成一个相对的纠纷机制，他是否能够证明这个平台删除了他的日志。如果用户证明不了，根据现在法律上的民事责任原则——举证倒置，由对方提交证据，证明其是否有侵权行为存在。个人信息“黑市”交易为什么猖獗？葛健：“黑市”交易有多个环节，有专门的洗料人，也就是去窃取信息的人，然后再过手到中间商环节，再从中间商过手，环节涉及很多。这些环节互相没有交集，参与人员并不认识，都是在互联网上进行。这些产业链，在流通环节抓获很难，获取到信息后，追查其账户也非常难，多数是虚假信息，造成其身份隐藏很好不易暴露，所以造成现在“黑市”交易非常猖獗。李继泉：其实现在最重要一个原因是网络发展非常迅速，作为立法或者是执法层面来讲，第一个就牵涉到监管主match体，谁来去具体做这个事情，谁有执法权，包括办案权由谁去做，同样还是缺乏一些操match作的细节，应该从行政法规还是行政法的角度，还是民事的角度分析，具体措施有点相对滞后，导致现在个人信息的交易虽然非常猖獗，却有点束手无策。如何甄别“钓鱼网站”？葛健：做假的网站，比如钓鱼网站，首先从网址域名识别，比如亚马逊这个域名，一般假的网站尤其这个事件里假网站的域名非常明显，链接不一样，这是非常直接的。但是现在骗子也会在链接上做手脚，比如冒充银行或者运营商，通过伪基站发送短信；或者在购物的网站域名上做一些手脚，比如10086的网站，可能在“1“”改成大写的“L”，“0”改成“O”，这些不仔细看识别不出来。页面同样也会被做手脚，骗子做假网站都有模板，从外面看这些假的退款网站或直接网购交易的网站和真的差不多，做的越来越细，其实是在页面中加了一段代码，用这段代码套取用户的账户信息。识别网站时不要只看网站的整体布局，还要看它需要获取的信息。钓鱼网站一般通过让用户填写账号、密码套取信息，我们知道真正的官方网站不会支付时需要用户支付密码，因此，如果遇到退款或者其他相关的，需要用户登录账号，包括银行卡相关信息的时候，一定是有问题的，因为这些信息都是官方网站知道而骗子不知道的。另外，交易时，判断是否为“钓鱼网站”，注意是不是官方收款的账户，如果跳转到个人账户，这种来源的网址一定要注意。如何把握个人信息公开的度？葛健：首先要看提供这个信息在用户的使用上是不是必要的。比如说参加一个活动，可能只要填写姓名、手机号就可以了。但是如果还要让用户提供身份证号，甚至下载应用绑定银行卡号，这时就要谨慎。在个人公开权限的时候，有些信息可能真的是在使用时必须提供的，但我们要把这个度把握好。在钓鱼网站里，它就是会需要我提供帐号、密码，有些比较小的网站不安全，可能就明文保存，在用户提供了之后，这些信息全都会给泄露出去，这时用户可以找一些不常用的号码，把个人信息做一个等级划分，例如金融交易，涉及到钱的，不管帐号或者密码，设置称高级别。如何防止个人信息泄露？李继泉：大数据飞速发展，法律相对滞后，而且它总是归纳出一些规律后形成规则。一方面，其实作为商业数据的用户数据获取者其实主要是平台，作为平台来讲要提高对于数据的安全性和使用性的审慎性。新的网络安全法有规定，比如基础数据、金融数据、国家安全数据，牵扯到国际民生的数据，这些数据都不能轻易地作迁移、扩散，或者是允许别人使用。另一方面，作为用户在数据的被获取或者有偿使用，无偿使用数据的时候，也要考虑到牵扯别人隐私，或者单位生死攸关的数据，在运用数据的时候，要保持现有的法律框架体系内的服从和遵守。《精准诈骗背后 谁泄露了我们的个人信息？》 精选四企业信息泄露是防不住的，因为错的人不在你，而是那些别有用心、虎视眈眈的窥视者。在互联网江湖上，每天都在上演一场场无形的攻防战，那里是互联网企业与黑客们的角斗场。黑客们，像一只非洲草丛中的猎豹，隐匿而嗜血，靠着金钱的诱惑，他们疯狂的向互联网企业发动一次次撞库、拖库，为雇主窃取信息。而进攻的策动者，则是利益熏陶的金主—竞争对手、广告主、诈骗集团，黑客在他们眼中，是撞开库大门的攻城重器，用完即扔。曾经，盗取企业用户信息，是一个一本万利、无需担当风险的掘金地。但随着法律量刑出台，畅通无阻的舞台，变得满地荆棘。互联网企业、黑客、雇主，这场没有炮火声的战争还将持续，只是天枰略有倾斜。用户被骗33万，互联网企业城池频频陷落“我现在一分钱都没有，生活开销都是跟朋友借的”，石女士，北交硕士、管理咨询顾问、某公司战略部高级研究员、金融从业多年，光鲜的标签支撑着她的北漂梦，“生活是美好的，有奔头。”然而十月初，一个自称京东客服的电话，把石女士小确幸的生活撕得稀巴烂。“被骗了33万，骗子到底怎么知道我在京东上的订单信息”，电话沟通的那一头，石女士言语沮丧，充满着阵阵愠怒。毫无疑问，京东订单信息的泄露，是撞开她警惕线的一记重锤，“以后不敢在在京东买东西了。”其实企业信息泄露，早已老生常谈，并不稀奇。2017年月8日，美国三大局艾可菲，被黑客盗走1.43亿美国消费者的个人信息；同年3月，京东因内鬼监守自盗，50亿条个人信息流向黑产；2016年12月，京东被曝12G的用户数据包在黑产市场买卖；2015年，网易 163、126邮箱被曝漏洞，近5亿邮箱账号、密码数据泄露；2014年12月， 超过13万条的12306网站用户信息在互联网上疯传；同年年，小米遭黑客拖库，800万用户注册信息遭泄露……互联网公司阵地频频失手，个人用户信息大量外泄。而攻城拔寨、功绩彪炳的则是活跃在无形战场上的黑客，“安全工程师的薪酬待遇比较高，做内鬼不值当”，百度安全负责人黄正表示，互联网企业真正的威胁来自外部的黑客进攻。在网络世界里，他们是草原霸主，无所忌惮、无孔不入，大肆攻击互联网企业，盗取用户信息。即便是网络安全专家也未能幸免。“有一次我去国外，连接过公共WIFI，结果被别人克隆出跟我一摸一样的QQ号，冒充我向我的朋友借钱”，回忆时，资深安全专家大Z不免寒栗。拖库、撞库，黑客獠牙黑客的武器库中，十八般兵器，但撞库与拖库是黑客攻陷企业城防的两大攻坚利器。拖库简单粗暴，入侵网站后，直接获取数据库中用户的全部数据，在黑客面前，企业的城防如此薄弱。“只要我在里面的厕所蹲上一个礼拜，我就能把这些格子间的信息全部拿到”，谈到网络入侵，某互联网企业技术负责人指着SOHO办公楼，不无得意，“有点像狙击手，要潜伏等待，扣动扳机，一击致命。”攻破城防的核心在于获取获取管理员权限，因此多数黑客寻找漏洞，植入病毒、建立伪基站等方式，取得管理员权限，查看源码。“黑客们只需建造伪基站，挟持流量，从流量中就能分析出用户的账号、密码”，黄正指出拖库的进攻线路，只要获取管理员权限就能看到整个网站的密码，企业用户信息就这样被黑客玩弄于鼓掌。拖库看似直插企业命门、深不可测，其实并非顶级黑客的独门秘籍。“拖一个数据库，只需要几万块钱，不论数据库的规模”，黑客爱好者小M介绍到。对信息安全防护不重视，系统老旧，为黑客攻击大开城门。据了解，艾可菲数据库被黑客攻破，主要是因为系统老旧，黑客从网上找到相应拖库工具，“很多系统都用通用拖库工具，拖库没有想象的那么富有技术。”如果说拖库是一剑封口的精准点杀，那么撞库则黑客们的地毯轰炸，利用用户在其他网站上已经泄露的账号密码，去各个网站上登陆验证。“黑客从其他渠道获取信息，比如之前已经泄露的信息，或是小网站的账号密码，在利用这些数据去撞库”，黄正指出。2017年7月，百度网盘遭受黑客撞库攻击，部分用户网盘数据被清空，用户账号、密码信息泄露；2016年7月，黑客用撞库方法在大麦网上购买商品，试试欺诈，39名用户被骗近150万；2015年3月，黑客实施撞库，窃取用户信息，用户被骗……“多数用户比较懒，账号密码都是同一个，成功率相当大”，对于撞库，小M颇为自信，屡试不爽，原因是多数用户对个人信息不重视。为此，为加固城防，防止黑客大规模撞库，互联网公司纷纷加入验证码，识别网络请求的发起方是人类，而不是机器。“验证码是对机器访问，撞库攻击，暴力破解非常好的一种抵御方式”，某安全专家表示。但魔高一丈，黑客们要么利用系统漏洞，绕开验证码校验，要么和打码平台合作，黑客将账号密码信息输入撞库软件，发动登录请求，撞库软件将受到验证码图片发送给打码平台，并将图片信息转化为文字信息。目前部分黑客已经为撞库进攻加入AI技术，今年9月，浙江警方查封打码平台“快啊”，“快啊”是黑市市场上最大的打码平台，能够识别市面上98%的验证码，在查封时，警方截获了 10 亿余组公民个人信息。其实，与黑客的搏斗，并非想象中的你死我活、炮火连天，而是悄然无声的暗夜杀人。黑客，就像狩猎前的猎豹，隐匿于无形，寻找企业服务器漏洞，“根本没有惊心动魄的攻防战，他要攻击你，你都不知道什么时候”，看着手头的工作，黄正感叹。发现漏洞、利用漏洞，是黑客信息盗取的前提，就像古代武林高手对决，心有杂念、稍不留神的一方必败无疑。企业、广告、诈骗，利益熏陶，黑产罪源黑客虽然无影无踪，但他仅仅是攻破企业城防的重锤，真正可怕的购买用户数据的买家。竞争对手、广告主、诈骗集团组成的买家，它才是数据黑市的始作俑者：提供需求、支付费用，而黑客、交易商，游戏的所有参与者都为其服务。在这里，买家是一切非法行为的源头，任何的黑客行为都会被贴上价格，只要有钱，就可以做任何事情。为了干掉竞争对手，企业无所不用其极，利用黑客进攻对手，赢得战争屡见不鲜。2016年2月，拉勾网员工通过黑客技术破解BOSS直聘所使用的企业邮箱管理员密码，该员工在腾讯企业邮箱后台、苹果App开发者后台，申请App store官方删除了Boss直聘APP，恶意操作导致产品下架。金三银四，月，在App Store搜索“Boss直聘”时，索结果却为“Boss在线”，而“BOSS在线”为拉勾网开发，与“Boss直聘”无任何关系。在黑客的进攻导致BOSS招聘损失惨重，“重建了家园，努力降低损失，努力服务好正处于招聘求职旺季的用户”，BOSS招聘官方回应。而对互联网创业公司来说，信息安全更为重要，不但关系输赢，更关乎生死。与大企业相比，创业者更愿意把钱花在营销和研发上，而不愿再安全上过多投入，但安全上的抠门，也可能成为创业公司的死穴。“某个创业公司老板，雇佣黑客，把竞争对手的数据库删得一干二净，原本势均力敌的关系瞬间打破”，某公司创始人透露。搞掉对手仅是买家意图的一角，有盗取的资料信息快速变现，催生买家的欲望，就像寻着血腥味而来的野狼。“外泄的个人用户数据，主要用于广告推送和电信诈骗”，火绒合创始人马刚表示。而BAT因信息量大、价值高，成为黑客重点“照顾对象”。7月，百度网盘遭受黑客频繁撞库攻击，战斗在一线的黄正承受外界攻击的压力，“百度每天都会面对黑客的攻击。”百度账号只能捆绑一个手机号，靠大量注册百度账号刷量，提高贴吧、百科等级成本太高，为此，犯罪团伙雇佣黑客，通过其他渠道收集到的信息频繁撞击百度网盘数据库。一旦成功，这些账号会被犯罪团伙用于刷帖等，从中牟利。“个人信息保护最核心的是要弄清楚，黑客侵入的真正目的是什么”，与黑客反复的较量博弈，黄正有着自己的心得体会，在他看来网络安全，不是软件与软件的战争，背后的主导则是人与人的打斗。据中国互联网协会发布的《中国网名权益保护调查报告2016》显示：2016 年，数据黑市交易的个人信息达到65亿条次，因诈骗短信、信息泄露等受害者达6.88 亿，造成的经济损失约为915 亿元。网络威胁面前没有幸存者，饱受黑客攻击的互联网企业，纷纷成立行业组织，抱团取暖。今年云栖大会上，阿里联合17家企业，共同推动“数据安全合作伙伴计划”；9月24日，网信办、工信部等部委发起，阿里巴巴、腾讯、百度等互联网企业签订《个人信息保护倡议书》；360推出威胁情报共享工程，开放自己的数据和能力……量刑出台，战争仍将继续黑客与数据买主的肆意妄为，则是之前法律监管的缺失。“以前信息安全犯罪，只要不出人命，通常是缓刑”，对于盗窃用户信息量刑过小，网络安全从业者小G愤愤不平。高收益、低风险，利益诱惑，诈骗团伙等买家，寻着血腥而来，雇佣黑客，一次又一次发动高频进攻。但随着开房记录数据泄露、徐玉玉因欺诈身亡、裸照外流……公众将矛头直指个人信息安全。2016年11月，《中华人民共和国网络安全法》发布；2017年3月，最高人民法院审判委员会全体会议通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对非法买卖个人信息做出量刑处罚。同时，公安部重拳出击，对数据公司、黑产交易方严查死打：出售行踪轨迹、通信、财产、征信等信息五十条以上，处以三年以下有期徒刑；因个人信息泄露，造成被害人死亡、重伤、精神失常或者被绑架等严重后果，处以三年以上，七年以下有期徒刑。在这场攻击与防守的较量中，信息泄露量刑出台，胜负的天枰修正了轨迹，偏向了互联网企业。天气虽已变，黑客将不再像以往那样无所忌惮，但两者买主、黑客与互联网企业的角斗仍将持续。靠谱众投 kp899.com：您放心的，即将起航！《精准诈骗背后 谁泄露了我们的个人信息？》 精选五警方提醒：正规微信不支持输入银行账号，这是诈骗新手段接到微信好友红包，太原市民李女士满心欢喜点开并输入相关信息，不想，自己微信钱包内所有钱款瞬间不翼而飞。近日，全国多地市民接连遭遇“伪微信红包”骗局。对此，8月11日，太原市公安局反诈骗中心发布安全提醒，不法分子利用“伪微信红包”的名头实施诈骗，手法不断翻新，大家务必要提高警惕。案例点击伪红包输入个人信息微信钱包和银行卡的钱不翼而飞7月底，太原市民李女士收到一个微信“红包”，其外观与正常的微信红包十分相似，点开后却发现，这个“红包”变成了一个页面，还要求填写个人信息。“领红包过程中，要填一些个人信息，我当时也觉得有些奇怪，但考虑是朋友发来的，也就没多想。”李女士回忆，在按照页面的要求填写个人信息并输入微信钱包的支付密码后，她接收了朋友发来的红包。但很快，她就收到了一条转账信息，提醒她微信钱包中的钱已全部被转走，“数额有近千元吧。我怎么也没有想到，收个红包竟让自己损失这么大。”太原李女士的事件并非个例。近日，家住海南的周女士，接到微信好友给她发来的一个红包链接，没有仔细查看就点击进去抢红包。打开红包后，吴女士发现中了600元化妆品的代金券，当她准备领取的时候，对方却需要她输入身份证、手机号等个人信息。等她按照要求输完信息，对方还要求她扫描一个二维码，才能完成领奖。想到之前领取红包从来没有出过事，这次周女士也放心扫描。几分钟后，周女士手机收到了一条短信，只是这条短信不是红包的礼券信息，而是周女士的银行卡被转走30000元的提示信息。惊慌失措的吴女士立即向发红包的微信好友打电话核实，对方这才发现微信号被盗。民警揭秘“伪微信红包”怎样盗取钱财“一般正常的微信红包中是不会携带木马病毒的，而多数人所遇到的带木马病毒的红包都是‘伪红包’，是不法分子伪造的红包。”警方介绍，这种“伪红包”其实就是一个超链接木马病毒，当微信用户点开红包后，系统就默认下载安装了这个木马病毒，这个木马病毒在收集用户的个人信息后，将信息传送至后台，不法分子利用这些信息盗取用户的钱财。据警方介绍，木马病毒是这样盗取钱财的。首先，木马病毒有服务端和控制端两个部分，用户点击伪红包，就将服务端植入了自己的手机。其次，服务端在用户的手机里运行收集用户信息，比如移动、复制、删除文件，修改注册表，更改配置等，同时与控制端建立连接，将收集到的数据通过链接发送给控制端。最后，骗子在控制端拿到用户信息后，就可以通过账号密码登录微信，盗取微信钱包余额，甚至盗取银行卡中的现金。此外，根据警方掌握的相关情况，这种病毒不仅仅以微信红包的形式存在，还有“语音”、朋友圈文章、游戏链接等方式。而这种病毒之所以如此泛滥，是因为它的制作十分简单。民警介绍，目前此类病毒大多只对安卓系统的手机生效，苹果ios系统的手机基本不会被侵害。为了避免个人财产不遭受到损失，市民最好不要点开陌生人所发的语音、红包、链接等。如何识别“伪微信红包”怎样辨别微信红包的真假，一直是人们关心的问题。其实，真微信红包大家都认识——点击拆包就直接进入个人零钱中。那些和真红包有区别的，比如需要达到一定数额才能提现的，就要多留心了。一般情况下，“假红包”通过木马链接或其他方式骗取人们的资金或个人信息。大多数“分享链接抢红包”，666元、888元、999元这样的高额红包，拆红包需输密码等有可能是骗取个人资金和信息的“假红包”。所以，要辨别“假红包”还是比较容易的，最简单的方法就是看拆包之后是否直接收到现金，如果拆开后不是跳转到微信红包的金额显示界面，而是其他界面，用户就要提高警惕了，这类红包往往就是“假红包”。但是，一些企业在通过微信搞促销活动的时候，也可能采用“”的方法。所以，要想避免被骗，保护好个人财产和隐私的安全，不贪图来路不明的“红包”是不会错的。需要强调的是，正规微信红包是不支持输入银行账号直接提现的，所有红包金额会直接存入微信钱包，用户需要通过绑定银行卡，再把微信钱包中的红包金额提现。对于含有木马链接的“假红包”，用户点击后，手机系统通常会提示需要下载才可以使用，待用户确认后，木马病毒就会直接下载到用户手机并自动安装。为此，拒绝下载、安装此类软件，也是避免落入“红包陷阱”的有效手段。来源：山西晚报；本文不代表本平台观点，版权归原作者所有，如涉及版权问题请联系后台删除。对文中观点保持中立，仅供参考！关于一个神奇的互联网金融：1.全国首家所有业务有律师见证的P2P平台。2.律师运用专业知识和经验参与业务全程的P2P平台。3.平台无，所有资金交由第三方机构全面。4.所有律师审核，真实可靠，无虚标。《精准诈骗背后 谁泄露了我们的个人信息？》 精选六整理：墨菲来源：一本财经其实每时每刻都在对战黑灰产。黑客、、刷客和者，都紧盯互联网金融这个多金的领域。在一本员的闭门训练营中，中国传奇黑客风宁，讲述了面对庞大的黑灰产，平台的应对之策。1网络安全法对风控的影响6月1号，国家颁布实施了网络安全法，其中第40条、第41条，对互金业务风控影响非常大。附则解释了几个名词：第一，网络运营者的概念，有提供APP、提供网站、提供网络服务的统称为网络运营者。第二，网络数据的概念，手机号，快递地址，名字，邮箱，只要能跟本人形成一个关联，只要跟你的服务端有交互，甚至是淘宝的一个订单信息，都属于网络数据。第三，个人信息的概念，有个“包括不限于”的字样，只要能反向追溯到一个人的信息都属于个人信息。网络运营者收集信息也受到限制。第一，合法正当，你得解释为什么要存储、收集。第二，公开收集，以前互，安卓端APP直接就收集信息，用户完全不知情，但是现在必须要明示出来。第三，不得收集与自身服务无关的信息，现在很多APP打开就会有定位要求，为什么要定我的GPS位置？解释不清的时候也属于违反法律。安全法出台后，在互金领域影响最大的就是支付宝关停风波。马云说他能知道全国哪一个省的女性买的内衣是最大号的。用户点了同意协议，但可能根本不知道自己的隐私信息被收来了，不知道被拿来做了什么。安全法实施后，花呗新的合同被公示出来，导致用户有了一个危机意识。花呗也在官微上解释了收集用户的信息原因。今年6月份，广东省警方开展了“飓风1号”专案行动，摧毁侵犯公民个人信息犯罪团伙6个，捣毁犯罪窝点14个，抓获犯罪嫌疑人138名，缴获涉及全国公民个人信息近1亿条，查扣银行卡2000余张和电脑、手机、存储设备一批。还有一个重要影响，8月1号重庆网警在公众号发布：重庆公安局网安总队成功查处了一起案件：网络运营者，提供网络服务过程当中未依法留存用户登录网络日志。这意味着，网络运营得要留存用户访问日志半年信息，方便执法机关审计，没有存储日志的，直接就被依法查处。我们可以总结一下，网络安全法对网站的影响：第一，用户信息收集要经过用户同意；第二，做好日志存储，数据保全，保证信息不被泄露。2业务身份欺诈骗贷群体是怎么诞生的？这个群体并不神秘，他们从时代过来。2013年诞生后，中国的时代到来了，他们也看到了这个风口。他们会通过一些论坛（比如我爱卡），贴吧（比如戒赌吧），微信公众账号，微信群、QQ群聚集，顺便获客。他们攻击逻辑：1 集群攻击。他们的技术迭代非常快，一旦有人发现一个技术，就会开始招代理，将技术扩大。如果在早期没有遏制，很快就开始席卷整个互联网圈。2 反复测试，拿着用户的资料，反复试各个平台的风控规则。有一批人是专门靠骗贷教学为生。他们发现了平台风控漏洞后，自己先撸，之后马上把这个技术二次传达，建立收费群，招收学员。3 包装资料，以假乱真。不管平台风控制定了什么规则，他会相应地去包装一些资料出来。比如在黑市上购买身份证、银行卡、手机号“三件套”，之前是30块钱，现在已经涨到了1500。或者用“海马玩”模拟器修改自己的定位，伪造银行账单等。4 卧底，为了拿到一手的资料，他们会试图混进公司。某家就曾被卧底打入过，男的用假学历做了主管，他的媳妇是地下中介，两个人内外勾结放钱。对于骗贷中介的防守要点：1 平台对于骗贷群体的监控远远不够，需要花时间精力监控他们的动作，关注论坛，打入QQ和微信群，了解他们最近有什么技术，哪些风控规则已经被突破了。2 做好内控，对于新招进来的信审员工做一些背景的调查，不能让中介混进来。3 及时修改风控规则。骗贷技术迭代速度非常快，甚至可以保证三天一迭代。4 资料联网查询。5 设置套现门槛，比如，医美这个场景中，需要首付30%等。3常见黑客攻击常用手法黑客主要会在三个体系中攻击：第一是账户体系。最直接的业务体现为注册、登录、找密三个主要入口。而黑产、灰产、“羊毛党”会有撞库攻击、盗号洗号、验证码安全等攻击行为。第二是交易体系。交易体系安全主要在电商、金融类发生实际交易的场景下出现。“羊毛党”或者问题商家在交易体系中，存在大量虚拟交易，信息作弊及各类针对活动场景的攻击，手段包括刷库存、、活动作弊等。活动做弊是最严峻的一块，觉察到后，一批中介会蜂拥而至。第三是支付体系，在整个交易过程中，支付体系视为业务安全里最重要的环节，也是各类风控体系发挥巨大功效的地方。登陆攻击是最严重的，最常见的方式是撞库攻击，简单来说，就是使用他人在A网站的账号密码，去B网站尝试登陆。撞库攻击有多严峻？有报道称，黑客获取的9900万条淘宝账户信息，其中2059万条存在并且密码吻合。还有一个报道，支付宝账号密码2元／个就能购买，花几百块买一两百个，最后盗刷，获得了32万收益。即使被吐槽最难的12306验证码，我们尝试的识别率是98.7%，虽然达不到100%，但基本上能一次通过。验证码，也存在几种绕过的手段。第一是设备伪造。6月份，一个游戏工作室，用100台越狱的iPhone5C，登录王者荣耀，挂机游戏，导致腾讯损失了1000万。第二是身份伪造，身份证、手机卡、银行卡等伪造。第三是行为特征伪造。行为特征就是我的工作单位，日常的活动范围，日常消费习惯等，这都属于一个人的消费行为，但是这些都是可以伪造的。第四是虚假手机号伪造，我们检测到，羊毛党批量手机号有两三千万左右。第五是银行卡号、CVV、金融账户伪造，如果严格按照支付标准，CVV只能由银行存储的，但有些、比较大的旅游公司也在存储CVV账号，很容易被黑客攻击。俗语常说的“四大件”，是指U盾、手机卡、银行卡，身份证，这些也在涨价，两年前一套价格650块钱，现在涨到了1500左右。有一帮人专门会去偏远山区收身份证，20块钱一张，拿到银行办理银行卡。偏远山区开卡、存款等业务量很低，为了多办卡提升业绩，审核也不会太严格。另外一批人，清洁工、营业员，甚至扒手，也会搜集手机号、身份证来进行买卖。现在国家实名制要求严格了，有些人会200块钱雇一大批民工，等在银行去办卡。他们没有隐私意识，办好拿钱就走人。对于一个操作者身份真实性、有效性、一致性的验证，有不少确认手段，但也存在漏洞。传统验证方式，比如密码、邮箱等，信息泄漏严重，声纹、指纹、九宫格等，无法确定是本人；人工电话审核，成本太高。现在比较流行的活体识别，也存在漏洞。315晚会上已经曝光了，借助人脸关键点定位和自动化人脸动效技术，可以将自拍照由静态改为动态。破解方法不止这一种，最简单的是在淘宝上，花50块钱买一个人头模型，将正脸照片贴在模型前面，将侧脸照片贴在模型两边，在活体检测提示摇头时转动模型可通过部分活体检测。有一批人，会拿一堆洗衣粉、充电宝等小礼物，去偏远地区找人录制验证视频。4结合网络安全技术做好风控乌云网数量统计显示，2014年至2015年8月份，高危漏洞占56%，已经成为网络安全的重灾区。我们曾经随机下载APP，测试发现：75%无任何加固，代码直接可以拿到；40% 任意用户密码修改，修改发送4位验证码，1分40秒就能破解，而改掉密码可以直接登录，手机号等信息可以直接拿到；50%任意手机号注册；50%用户信息可以直接遍历，包括手机号、微信、QQ号等。如何做好技术风控？第一，在设计开发时，就要做好架构规划，包括逻辑流程和系统的安全性等。网站规划最重要的是信息存储的机密性，比如日志信息、用户信息、网站代码等。比如，之前红岭官网被黑的事件，如果做好了结构优化，可以起一个副站，再做一个二次跳转，就不会对业务构成非常大的影响。还有一个，要冗余备份，勒索病毒把加密，给钱才能打开。如果没有备份，这笔钱是给还是不给呢？第二，在业务上线之前，做好防D准备，比如服务器高防、冗余切换，多线路分流；做好安全检测，渗透测试、移动端加壳加固、数据泄漏等。有统计数据显示， 80%左右的现金贷、P2P曾被敲诈勒索过，小到700块，大到几百万都有。第三，是运营推广环节：域名：相似度域名钓鱼；关键字劫持：百度关键字购买（竞争对手购买品牌关键字）；舆情：微博、网络论坛、自媒体等负面信息应对；注册环节：职业羊毛党刷注册（号安手机号角度专注解决羊毛党SecID人机识别角度）；活动推广：推广业务逻辑、流量劫持应对、重放劫持。未央精选行业时事发文提示风险 广州P2P收到“双降”口头通知美团支付违规又遭举报 上海集中宣判四起涉“”案传证监会就ICO征询意见 母公司暂免退市案例分析十一贝：驱动下的整体解决方案Varo Money：与传统银行直接竞争的移动银行Upgrade：贷款平台再升级OpenInvest：基于个人价值观的监管动态ICO或已纳入 地方着手清理整顿“10大要点”：余额宝补缴近60亿美国证监会针对上市公司ICO投资向发出警告银监会发布网贷信披指引 定义相关数据深度观察巴曙松：长期来看，余额宝和业务的变化有着怎样的关联？互联网金融“加盟模式”还有多少坑？P2P转战现金贷，交易模式和法律风险几何？观察之互金平台活动荐书《全球互联网金融商业模式：格局与发展》，你拿到手了吗？：全阵容45位嘉宾观点集锦未央海外游学计划启动！之旅等你报名【GELP荐书】这是属于父辈的故事清华大学五道口金融学院互联网实验室成立于2012年4月，是中国第一家专注于互联网金融领域研究的科研机构。专业研究 |商业模式 o 政策研究 o 行业分析内容平台 |未央网o互联网金融微信公众号iefinance创业教育|清华大学中国创业者训练营 o全球创业领袖项目（报名中！点击查看详情）网站：未央网http://www.weiyangx.com免责声明：转载内容仅供读者参考。如您认为本公众号的内容对您的知识产权造成了侵权，请立即告知，我们将在第一时间核实并处理。WeMedia（自媒体联盟）成员，其联盟关注人群超千万《精准诈骗背后 谁泄露了我们的个人信息？》 精选七整理 | 墨菲互金平台其实每时每刻都在对战黑灰产。黑客、羊毛党、刷客和骗贷者，都紧盯互联网金融这个多金的领域。在一本财经学员的风控闭门训练营中，中国传奇黑客风宁，讲述了面对庞大的黑灰产，平台的应对之策。01网络安全法对风控的影响6月1号，国家颁布实施了网络安全法，其中第40条、第41条，对互金业务风控影响非常大。附则解释了几个名词：第一，网络运营者的概念，有提供APP、提供网站、提供网络服务的统称为网络运营者。第二，网络数据的概念，手机号，快递地址，名字，邮箱，只要能跟本人形成一个关联，只要跟你的服务端有交互，甚至是淘宝的一个订单信息，都属于网络数据。第三，个人信息的概念，有个“包括不限于”的字样，只要能反向追溯到一个人的信息都属于个人信息。网络运营者收集信息也受到限制。第一，合法正当，你得解释为什么要存储、收集。第二，公开收集，以前互金网贷，安卓端APP直接就收集信息，用户完全不知情，但是现在必须要明示出来。第三，不得收集与自身服务无关的信息，现在很多APP打开就会有定位要求，为什么要定我的GPS位置？解释不清的时候也属于违反法律。安全法出台后，在互金领域影响最大的就是支付宝花呗关停风波。马云说他能知道全国哪一个省的女性买的内衣是最大号的。用户点了同意协议，但可能根本不知道自己的隐私信息被收来了，不知道被拿来做了什么。安全法实施后，花呗新的合同被公示出来，导致用户有了一个危机意识。花呗也在官微上解释了收集用户的信息原因。今年6月份，广东省警方开展了“飓风1号”专案行动，摧毁侵犯公民个人信息犯罪团伙6个，捣毁犯罪窝点14个，抓获犯罪嫌疑人138名，缴获涉及全国公民个人信息近1亿条，查扣银行卡2000余张和电脑、手机、存储设备一批。还有一个重要影响，8月1号重庆网警在公众号发布：重庆公安局网安总队成功查处了一起案件：网络运营者，提供网络服务过程当中未依法留存用户登录网络日志。这意味着，网络运营得要留存用户访问日志半年信息，方便执法机关审计，没有存储日志的，直接就被依法查处。我们可以总结一下，网络安全法对网站的影响：第一，用户信息收集要经过用户同意；第二，做好日志存储，数据保全，保证信息不被泄露。02现金贷业务身份欺诈骗贷群体是怎么诞生的？这个群体并不神秘，他们从信用卡时代过来。2013年余额宝诞生后，中国的网贷时代到来了，他们也看到了这个风口。他们会通过一些论坛（比如我爱卡），贴吧（比如戒赌吧），微信公众账号，微信群、QQ群聚集，顺便获客。他们攻击逻辑：1 集群攻击。他们的技术迭代非常快，一旦有人发现一个技术，就会开始招代理，将技术扩大。如果在早期没有遏制，很快就开始席卷整个互联网圈。2 反复测试，拿着用户的资料，反复试各个平台的风控规则。有一批人是专门靠骗贷教学为生。他们发现了平台风控漏洞后，自己先撸，之后马上把这个技术二次传达，建立收费群，招收学员。3 包装资料，以假乱真。不管平台风控制定了什么规则，他会相应地去包装一些资料出来。比如在黑市上购买身份证、银行卡、手机号“三件套”，之前是30块钱，现在已经涨到了1500。或者用“海马玩”模拟器修改自己的定位，伪造银行账单等。4 卧底，为了拿到一手的资料，他们会试图混进公司。某家现金贷公司就曾被卧底打入过，男的用假学历做了信审主管，他的媳妇是地下中介，两个人内外勾结放钱。对于骗贷中介的防守要点：1 平台对于骗贷群体的监控远远不够，需要花时间精力监控他们的动作，关注论坛，打入QQ和微信群，了解他们最近有什么技术，哪些风控规则已经被突破了。2 做好内控，对于新招进来的信审员工做一些背景的调查，不能让中介混进来。3 及时修改风控规则。骗贷技术迭代速度非常快，甚至可以保证三天一迭代。4 资料联网查询。5 设置套现门槛，比如，医美这个场景中，需要首付30%等。03常见黑客攻击常用手法黑客主要会在三个体系中攻击：第一是账户体系。最直接的业务体现为注册、登录、找密三个主要入口。而黑产、灰产、“羊毛党”会有撞库攻击、盗号洗号、验证码安全等攻击行为。第二是交易体系。交易体系安全主要在电商、金融类发生实际交易的场景下出现。“羊毛党”或者问题商家在交易体系中，存在大量虚拟交易，信息作弊及各类针对活动场景的攻击，手段包括刷库存、刷单、活动作弊等。活动做弊是最严峻的一块，觉察到平台活动后，一批中介会蜂拥而至。第三是支付体系，在整个交易过程中，支付体系视为业务安全里最重要的环节，也是各类风控体系发挥巨大功效的地方。登陆攻击是最严重的，最常见的方式是撞库攻击，简单来说，就是使用他人在A网站的账号密码，去B网站尝试登陆。撞库攻击有多严峻？有报道称，黑客获取的9900万条淘宝账户信息，其中2059万条存在并且密码吻合。还有一个报道，支付宝账号密码2元／个就能购买，花几百块买一两百个，最后盗刷，获得了32万收益。即使被吐槽最难的12306验证码，我们尝试的识别率是98.7%，虽然达不到100%，但基本上能一次通过。验证码，也存在几种绕过的手段。第一是设备伪造。6月份，一个游戏工作室，用100台越狱的iPhone5C，登录王者荣耀，挂机游戏，导致腾讯损失了1000万。第二是身份伪造，身份证、手机卡、银行卡等伪造。第三是行为特征伪造。行为特征就是我的工作单位，日常的活动范围，日常消费习惯等，这都属于一个人的消费行为，但是这些都是可以伪造的。第四是虚假手机号伪造，我们检测到，羊毛党批量手机号有两三千万左右。第五是银行卡号、CVV、金融账户伪造，如果严格按照支付标准，CVV只能由银行存储的，但有些平台、比较大的旅游公司也在存储CVV账号，很容易被黑客攻击。俗语常说的“四大件”，是指U盾、手机卡、银行卡，身份证，这些也在涨价，两年前一套价格650块钱，现在涨到了1500左右。有一帮人专门会去偏远山区收身份证，20块钱一张，拿到银行办理银行卡。偏远山区开卡、存款等业务量很低，为了多办卡提升业绩，审核也不会太严格。另外一批人，清洁工、营业员，甚至扒手，也会搜集手机号、身份证来进行买卖。现在国家实名制要求严格了，有些人会200块钱雇一大批民工，等在银行去办卡。他们没有隐私意识，办好拿钱就走人。对于一个操作者身份真实性、有效性、一致性的验证，有不少确认手段，但也存在漏洞。传统验证方式，比如密码、邮箱等，信息泄漏严重，声纹、指纹、九宫格等，无法确定是本人；人工电话审核，成本太高。现在比较流行的活体识别，也存在漏洞。315晚会上已经曝光了，借助人脸关键点定位和自动化人脸动效技术，可以将自拍照由静态改为动态。破解方法不止这一种，最简单的是在淘宝上，花50块钱买一个人头模型，将正脸照片贴在模型前面，将侧脸照片贴在模型两边，在活体检测提示摇头时转动模型可通过部分活体检测。有一批人，会拿一堆洗衣粉、充电宝等小礼物，去偏远地区找人录制验证视频。04结合网络安全技术做好风控乌云网数量统计显示，2014年至2015年8月份，P2P行业高危漏洞占56%，已经成为网络安全的重灾区。我们曾经随机下载网贷平台APP，测试发现：75%无任何加固，代码直接可以拿到；40% 任意用户密码修改，修改发送4位验证码，1分40秒就能破解，而改掉密码可以直接登录，手机号等信息可以直接拿到；50%任意手机号注册；50%用户信息可以直接遍历，包括手机号、微信、QQ号等。如何做好技术风控？第一，在设计开发时，就要做好架构规划，包括逻辑流程和系统的安全性等。网站规划最重要的是信息存储的机密性，比如日志信息、用户信息、网站代码等。比如，之前红岭官网被黑的事件，如果做好了结构优化，可以起一个副站，再做一个二次跳转，就不会对业务构成非常大的影响。还有一个，要冗余备份，勒索病毒把网贷平台数据加密，给钱才能打开。如果没有备份，这笔钱是给还是不给呢？第二，在业务上线之前，做好防D准备，比如服务器高防、冗余切换，多线路分流；做好安全检测，渗透测试、移动端加壳加固、数据泄漏等。有统计数据显示， 80%左右的现金贷、P2P曾被敲诈勒索过，小到700块，大到几百万都有。第三，是运营推广环节：域名：相似度域名钓鱼；关键字劫持：百度关键字购买（竞争对手购买品牌关键字）；舆情：微博、网络论坛、自媒体等负面信息应对；注册环节：职业羊毛党刷注册（号安手机号角度专注解决羊毛党SecID人机识别角度）；活动推广：推广业务逻辑、流量劫持应对、重放劫持。一本财经闭门训练营《搭建营销、风控和产品结合的“三位一体”信贷系统》Capital One等全球最前沿的信贷系统是怎样的？他们会将风控前置，在获客的时候，就将危险用户筛除。他们会将客群分成千上万的组，进行数据测试，最终产品呈现不一样的额度设置和。他们会将营销、风控和产品完全合体，“三位一体”共同推进。我们邀请国内一线的信贷业务精英、产品大师、风控专家，手把手教大家如何搭建最前沿的信贷系统，并匹配Capital One的经典信贷产品案例，现场沙盘演练。长按图片识别二维码或点击阅读原文报名▼《精准诈骗背后 谁泄露了我们的个人信息？》 精选八昨天，小杉的同事接到一个“诈骗电话”，还是用个人手机号打来的，对方开口便说是公安局的，“那个谁，你过来北京顺义公安局一下，有人冒用你的身份信息开户涉嫌诈骗，请协助调查！”小杉的同事是何许人也，这样简单粗暴的诈骗手法，自然一眼就能看穿。但可气的是，这些人是如何得知我们个人信息的？随着互联网时代的到来，各种网上开户，各种手机验证，个人信息在流转中几乎成为真空。近日，个人信息泄露的重灾区快递业迎来改革，顺丰“丰密运单”正式上线，可以实现收寄件人姓名、手机、地址的全面隐藏或加密化，不仅可对姓名、电话等敏感字段进行隐藏，并且客户的地址信息也会由编码代替，从而在快递面单上实现个人信息加密化。圆通速递也研发出相应的“隐形”快递单。所谓隐形快递，即为不完整显示姓名、手机号和地址的全部信息，其中一部分内容用*号来代替。同时，其他一些快递方，例如申通、菜鸟、京东等在“隐形面单”方面都有相关举措。让我们来看看，小小的快递单可以做什么？1.通过你的手机号找到你绑定的微信，支付宝，qq等社交网站账号，了解你家庭信息的蛛丝马迹。2.了解你具体的工作单位或家庭住址。3.知道你常用的网购平台，推测你的网购习惯、经济能力。4.了解你网购的具体物品类型，从而推测你的生活习惯。5.通过揽收人签字一栏，得知你的真实姓名和签字笔迹；若为家人代收，还能知道你家人的姓名。6.通过快递单号了解整个网购过程的电子信息，送货流程。一张写有个人姓名、手机和住址信息的快递单竟可以泄露这么多隐私，是不是很吓人？不少不法分子正是通过这些信息去侵害我们的权益，更严重的是，部分快递员也参与到个人信息倒卖中去。据媒体报道，以一个快递员日均配送80个件儿计算，三个月下来，就能攒出6000多张快递单，这厚厚一沓纸如果处理不当，就会成为令人惶恐的“泄密单”。近年来，快递员倒卖快递单的报道屡见不鲜。在网上快递单被明码标价，两块钱买一张，成了公开叫卖的生意。2015年底，就有广东一家快递企业员工，在一个月内向他人出售客户运单信息约15000条，获利近2万元。当然，快递信息泄露只是个人信息泄露环节的冰山一角，据中国互联网协会发布的《中国网民权益保护调查报告(2015)》显示，63.4%的网民通话记录、网上购物记录等信息遭泄露；78.2%的网民个人身份信息曾被泄露，包括姓名、家庭住址、身份证号及工作单位等，网民因个人信息泄露、诈骗信息等现象导致总体损失约805亿元。这是一个信息时代，为了全方位保护我们的个人信息，下面这些事项你必须认真看：一、谨防钓鱼网站通过网络购买商品时，要仔细查看登录的网站域名是否正确，手机收到陌生链接不要随便点击。二、慎连免费WiFi目前，因免费WiFi而引发的账号被盗、个人信息泄露等案件呈逐年上涨趋势。国内80%的WiFi能在15分钟内被轻易破解，平均每天有约3.06%的WiFi会遭遇DNS劫持攻击，“蹭网”需谨慎，尤其是在公共场合。三、朋友圈晒图要留意在社交平台中，很多人都喜欢晒自己的生活日常。例如，有的家长喜欢在朋友圈晒孩子的照片，甚至会不小心泄露了孩子的姓名、学校等，所以晒照前一定要对核心信息马赛克处理。四、慎重参加网络抽奖活动网络上经常会碰到各种问卷调查、购物抽奖或申请免费试用等活动，这些活动一般都会要求网民填写详细联系方式和家庭住址等个人信息。大家在参与此类活动前，要选择信誉可靠的网站，不要贸然填写个人资料从而导致信息泄露。五、妥善处理快递单、车票等现在，收发快递已经成为了人们生活的日常，但有不少人收到快递后，就将快递单据随手扔进了垃圾桶。而快递上一般都记录着姓名、住址和联系方式等，随手丢弃后在不经意间就可能泄露了自己的个人信息。六、及时清除旧手机数据信息在处置不用的旧手机时，很多用户仅仅只是将手机恢复了出场设置，或者只是采取了简单的删除资料的方式。但这些被删除的信息完全可以通过数据恢复工具还原，使旧手机上个人信息存在泄露的隐患。七、保管好个人身份证件身份证、护照是个人隐私的直接载体，一定要妥善保管，如不慎遗失，请及时补办并注销原证件。八、线下开户注意隐私保护如今，不少人喜欢去，或者证券开户，房产过户等等，这些都需要个人身份证及其复印件，开户后请妥善保存资料，如需委他人或使用到身份证复印件，一定要备注用途。说了这么多，小杉要对杉友们拍怕胸脯：把用户信息安全放在重中之重，所用系统是应用银行体系架构，严格按照银行标准开发，三层防火墙隔离系统访问层、应用层和数据层集群，应用赛门铁克256位SSL网站安全加密，采用多因子认证等多种手段有效保护用户数据，您的个人信息将按照《杉易贷平台电子注册及服务协议》的规定得到强烈保护。精彩回顾（点击文字可跳转）重磅！杉易贷接入信披系统6月榜，杉易贷评分全国第四杉易贷入选网络蓝皮书典型案例杉易贷获评2016满意品牌百强P2P关门歇业潮，杉易贷如何做到逆风飞扬？上线半年，棒棒哒！杉易贷稳居全国前30，你想知道的都在这里杉易贷“双胞胎”哥哥上市，去！为了你的钱袋子更安全，他们真的拼了！正式签约，安全合规全面升级！杉易贷喜报频传，两天内摘获两项荣誉！【独家专访】**：风控不仅仅是靠专业【转载】杉易贷测评：可灵活债转的500强平台杉易贷排名继续提升，稳居全国30强！戳这里，领50元红包！?《精准诈骗背后 谁泄露了我们的个人信息？》 精选九“嘘寒问暖不如打笔巨款”没有什么事是一个红包不能解决的如果有，那就两个……但是小通提醒大家千万不能点来历不明的“微信红包”！近日，小通遭遇了疑似“微信红包”骗钱的事，点开“微信红包”后不但没有领到钱，手机反而中了“木马病毒”导致账户内的钱被转走。业内人士表示，这些被植入病毒进行骗钱的是“伪红包”，正常的微信红包不可能被植入“木马病毒”，所以在接收红包时要多加辨别。现象：“红包”、“语音”点开后被骗钱北京市民张先生称，自己曾在微信里收到过一个“红包”，其外观与正常的微信红包十分相似，点开后却发现，这个“红包”变成了一个页面，还要求填写个人信息。觉得情况不对，张先生就退出了页面。同样，市民程女士也遇到过类似的情况，不同的是，程女士按照页面的要求填写了个人信息，并输入了微信钱包的支付密码。接收完红包后，程女士接到一条转账信息，提醒她微信钱包中的钱已被转走。这种“骗钱红包”的形式除了常见的模拟成“微信红包”，还可能冒充“微信语音”。去年，一名网友曾发布消息称，自己收到了一条语音信息，点开之后，语音信息成了领取“红包”的链接，打开链接中的红包，也会让填写个人信息。业内人士： 伪红包实为木马病毒 存在形式多样业内人士称，一般正常的微信红包中是不会携带木马病毒的，而多数人所遇到的这些带木马病毒的红包都是不法分子伪造。这种“伪红包”其实就是一个超链接木马病毒，当微信用户点开这个红包，系统就默认下载安装了这个木马病毒，这个木马病毒在收集用户的个人信息后，不法分子利用这些信息盗取用户的钱财。这种病毒还以“语音”、朋友圈文章、游戏链接等方式存在。而这种病毒之所以如此泛滥，是因为它的制作十分简单，利用手机就能制作，十几分钟就能完成一个。提醒：这六种“红包”千万不要点利用微信红包实施诈骗的案例很多，大家一定要擦亮眼睛，识破骗子的诱人马甲，不要被红包冲昏了头脑哦！1要填个人信息的红包有的红包打开之后是一个链接，说只要填写了身份证号码等一系列个人信息之后，就可以领取一定金额的红包。这时候千万不要动心，因为这种“红包”很可能是骗局，会将微信里的零钱盗走，甚至连支付宝里的钱一并转走。骗局正规的微信红包，一般点击就能领取，自动存入微信钱包中，不需要填写个人信息。所以在抢红包时，一旦需要填写身份证号、银行卡号、手机号等个人信息，千万不要相信——这种红包是钓鱼网站的糖衣炮弹。2伪装的红包骗局有一种伪装的红包，写有“送钱”“现金礼包”“ＡＡ收款”等字样。骗子在收款留言处填写“送钱”的字样后，广泛向群聊中发送，让用户误以为是在领红包，并且需要用户输入密码，这实际上是在转钱给对方。3陌生人发错的红包如果接到陌生人给发来的微信红包，对方说他发错了，让接收红包后再原数还给他。这种红包千万不要领，领了手机就有可能中病毒。等再发红包时，微信支付密码就随之泄露了，骗子就有可能盗取你、支付宝等的密码。骗局绝对不要点开陌生人的红包。若不慎点击，应第一时间关闭手机网络，然后立刻修改网银、支付宝等密码，最后通过正规途径彻底删除木马病毒。4微信好友里的“李鬼”陌生人发的红包不能拆，好友发的也要谨慎哦！有的骗子伪装成“好友”发红包链接，打开后有指示在领奖网站中需输入自己的身份证号、手机号、微信账户等个人信息，甚至要求扫描二维码，如果照做了，您银行卡里钱就会被转走。骗局在添加微信好友时点击好友，选择“修改备注名”，进行实名备注，这样就能防止有人冒充朋友。另外，尽量不要注明父母、姐弟、同事等关系，避免被骗子利用。小通再次提醒不要看到红包就点这样不仅不能发财可能还会因此而得不偿失哟赚钱可通过正规的让自己的快快拿起手机，选择一个安全的平台选择，选择安全，选择收益！掌控财富，掌控自己的人生抢钱通助你走上人生巅峰！长按指纹一键关注《精准诈骗背后 谁泄露了我们的个人信息？》 精选十你或你公司的数据如何被泄露、被利用，谁因此发财致富？这个地下数据产业如何运转、进化，新出台的严刑峻法能否将其遏制？本文首发于「」（ID：i-caijing），记者 刘以秦 周源 谢丽容/文 谢丽容/编辑日之后，一群做大数据地下产业的数据采集者和数据掮客常常聚在一起讨论两条最新出台的法规，惶惶不可终日。6月1日，中国网络领域的基础性法律《中华人民共和国网络安全法》（下称《网安法》）和与之配套的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《两高个人信息司法解释》）开始生效实施。新法规卖个人信息数据的惩罚几乎已经达到了“一刀切”的程度，入罪门槛极低：非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的即入罪。“近期确实抓得很严，我周围不少人进去了，其中有一个人年收入十几个亿的。”一位数据掮客告诉《财经》记者。这名掮客曾在运营商和一家大型互联网公司从事数据相关工作，由于工作经历，他认识不少数据的买卖双方，经常攒局非法交易数据。在他组的各种局里，主要议题是如何换数据、洗数据、做数据补全。但明面上，他是一家创业公司的核心成员。另一位在地下数据产业周旋超过十年、目前是一家大数据公司创业者的人士对《财经》记者说，“我知道有一批数据公司要完蛋，包括上市公司，和一些地方**视为座上宾的公司，它们主要的数据渠道是黑色产业，一些高管已经进去了。”据不完全统计，国内个人信息泄露数达55.3亿条左右，平均每人就有四条相关的个人信息泄露，这些信息最终的命运，是在黑市中反复倒手，直至被榨干价值。其中，80％的数据泄露自企业内鬼，黑客仅占20％。一位大数据产业的企业家对《财经》记者说，从企业到方方面面，对大数据安全都有一个认识过程，这给了大数据地下产业滋生的空间。《网安法》颁布已有数月，相关细则也在陆续出台。7月下旬，中央网信办联合四部门开展互联网隐私条款专项工作。微信和微博作为首批测评对象，分别在9月中旬更新了用户隐私条款，规范了用户数据使用办法。监管的口子越收越紧，但大数据地下产业的冬天真的来了吗？内鬼猖獗《网安法》生效后，仍然有大量渠道可以进行地下数据交易。这个“地下黑网”日交易额可达上亿元，整体规模难以估测7月底，《网安法》颁布快两个月时，一家针对商务人士的培训公司市场负责人孟先生在几家面对高端读者的媒体上投放广告，但此后一个星期，没有接到一通打来咨询的电话。多方打听之后，他换了一种渠道，去购买一些目标用户的个人信息数据，尝试“精准营销”。7月24日晚，他在南京的一家网站上留言，希望购买一些个人信息数据，并留下了联系方式。第二天一早，电话就打过来了。这个电话将他一步步带入数据地下产业。打电话过来的人是该公司的销售人员，针对孟先生想要高净值人群信息的需求，他提出，可以提供经常出入别墅、高端酒店和高尔夫球场等场景的个人信息数据，包括手机Mac地址和Imei地址。Mac是Media Access Control的缩写,是手机网卡的身份证号，用来定义网络设备的位置，具有全球唯一性。Imei是International Mobile Equipment Identity的缩写，是由15位数字组成的电子串号，一个号码对应一台移动电话机，具有全球唯一性。通过Mac地址和Imei地址可以直接进行网络营销，被获取手机地址的人，只要打开网站，就能收到相关推送，而不是通过个人搜索行为来进行广告推送——这是目前多数大数据营销的正常手段。这家南京公司的报价是Mac地址0.2元一条，Imei地址0.25元一条。孟先生觉得这种方式效率还是太低。他询问对方能否直接提供目标人群的手机号，对方犹豫了，表示最近抓得很紧，手机号这类个人信息比较敏感，风险太高。不过，这位销售人员提供了另外一条路径。他说自己的公司与一家号称是上海联通呼叫平台的公司有合作。孟随即与之联系，呼叫平台相关人员告诉孟先生，他们可以通过南京公司提供的Imei地址定位到具体的手机号。呼叫平台工作人员告诉孟先生，由于近期风声紧，他们只接大单，目前上海本地的订单已经不接了，低于100万元的订单也不能接了，但是这类小订单还可以通过合作平台来接，一个号码收费10元。但他强调，如果订单量够大，可以把价格降到一半以下。用这样的方式进行电话营销，需要孟先生提供一个8位数的联通座机号码，信息被卖掉的手机号机主接到电话时均显示此号码。为了增加通话率，降低投诉率，他们还能提供闪信服务，在拨通电话前添加企业名片。闪信在十几年前就出现了，是一种免费的短信服务，发送给用户的信息可直接显示在其手机屏幕上，阅读后信息不自动保存。但是由于通过闪信发送的骚扰信息太多，不少手机厂商已经开启了闪信屏蔽功能。呼叫平台人员向孟先生强调，可以直接通过他们的标签来找目标人群，不需要先从南京公司那边购买Imei地址再给他们转成手机号，他们自己就可以通过联通用户的数据，比如地理位置、轨迹，以及通信费用占比，甚至包括交通工具等信息，来判断目标人群的收入和喜好来进行。仅靠联通的数据会相对单一，上述呼叫平台工作人员透露，他们也在做数据整合优化的工作，正在与银联、学信网（高校学生信息网站）进行数据整合，这样可以让用户画像更加精准。这意味着，银联、学信网也出现了“内鬼”，而且他们之间达成了合作。下了订单之后，前期流程包括审核客户的营业执照、预估项目大小、准备好确认的座机号码等工作，确认具体需求之后，只需要两天时间就能调出所有的数据和手机信息，通过他们提供的外呼平台就可以拨打电话。呼叫平台人员还向孟先生强调，他们也接过银行的订单，但是营销效果如何他并未跟进，也未透露具体的客户信息。《财经》记者联系了上海联通相关负责人，上海联通反馈，该公司呼叫中心的用工均为外包，招标入围后签订业务外包合同，坐席签订安全保密协议责任书。目前供应商有三家。上海联通相关负责人向《财经》记者强调，联通对倒买倒卖用户数据零容忍。另一位从事数据交易超过十年的从业者告诉《财经》记者，由于体量庞大，外包公司和经销商过于分散，大型企业这样的问题很难根治。浙江一位开发运营商核心软件的公司负责人告诉《财经》记者，《网安法》给他们带来了新的商机，南方一些运营商已经开始上马数据安全项目。“过去一些运营商的数据库内部人能直接一位圈内颇有名气的前黑客，现国内某安全公司负责人告诉《财经》记者，虽然黑客听上去“神奇又神秘”，但是80％的数据泄露是企业内鬼所为，黑客和其他方式仅占20％。黑客生态一线黑客多是学历低下、没有固定工作的年轻人，赚来的黑钱大半被“师父”拿走，而“师父”之上还有“师父”内鬼、黑客、爬虫以及手握数据的公司与个人之间的数据互换，是构成地下数据交易的主要来源，这些数据再经过清洗、分类，可以从不同的渠道销售出去。数据用途主要是精准营销，也包括身份认证和诈骗。除了公司内部和外包公司，另一个容易出问题的是经销商。今年6月，广东苍南警方称，他们在今年1月发现有苹果公司国内员工涉嫌以非法手段获取苹果手机关联的个人信息。涉案的22人中有20人在苹果国内直销公司及苹果外包公司工作。警方没有披露余下两人的相关信息。遭售卖的信息包括苹果手机关联的手机号码、姓名、Apple ID等，警方未提到这些信息中是否包含密码和这样的金融信息，如果此类信息也遭售卖，就表明这些犯罪嫌疑人能够获取苹果内部数据，后果也更加严重。分类信息网站58同城在今年3月遭遇的信息泄露事件，则是典型的爬虫问题。有需求的个人或公司，只需在淘宝上支付700元购买一种爬虫软件，用卖家提供的账号登录后就能不断采集应聘者的相关信息，该软件每小时可以采集数千份用户数据。事件曝光后，58集团立即回应，称将追查并加固信息安全系统，提升防爬虫技术手段，进一步区隔个人信息物理存档。但到了8月，《财经》记者发现，淘宝上仍在出售能够扒到58平台个人信息的爬虫服务。如果直接购买成型的信息数据，只需要提供一个分类网址，例如，北京地区提供家教服务的列表，短时间内就能提供所有发布信息用户的姓名和手机号码。具体的价格是，简单清洗去重的数据1000条售价50元，可议价，大量购买价格更优惠。58集团书面回复《财经》记者称，这属于恶意抓取，58已全面升级用户隐私保护，对用户的敏感信息进行加密处理，提供电话隐私能力。黑客窃取数据是传统方式。由于黑客行业的隐秘性质，国内的黑客多以口口相传的方式来发展新队伍。目前真正“奋战”在一线的黑客大多以学历低下，没有固定工作的年轻人为主，他们或经人介绍，或在逛论坛时偶然结识一个提供黑客软件的“师父”，简单学习之后，加入黑客队伍。“师父”之上还有“师父”，这样一条自上而下的体系直接导致了黑客体系里严重分赃不均，前述经验超过十年的地下数据从业者就曾是一个小黑客，起初他对自己的技能颇为自豪，慢慢他发现，“师父”通过给他的那个软件，完全掌控他获得的数据，再加上他没有成熟销售渠道，每个月能赚到的钱少得可怜。一开始，他会黑一些网站的信息数据，例如教育局内网里的学生信息数据，转手卖给需要这类数据的公司。随着技术越来越娴熟，业务越来越多，大学期间他开始连续创业，做了几个没什么收入的项目，他也多以“创业者”身份示人，但他的另一只手仍在操纵数据地下交易的生意。“创业公司不赚钱，只有一个员工的地下数据项目，就能养活有30多个人的创业团队。”他对《财经》记者说。从目前的行情来看，上述案例中，疑似联通呼叫平台有标签的用户信息10元一条，属于低价数据，这位资深人士手里的精准用户信息，可以卖到1000元一条。从黑客到中介，从数据挖掘到数据清洗，地下数据产业链条的每个环节，这位人士都熟知，据他透露，如果有运营商的内部关系，加上一定的渠道资源，赚钱并不难。但今年6月1日之前，他就嗅到了危险的气息，赶紧把风险较大的业务全部停掉，清除痕迹，戴上了“白帽子”。不过，他并未完全放弃这摊生意，而是将自己的数据交易公司用CRM的方式管理起来，保证每个数据源头都查不到任何破绽。现在，他只做大公司的生意，这些大客户要求严格，不会接受任何违法数据。但他没想到，有一天他会栽在“同行”手里。今年早些时候，通过客户反馈，他发现自己的公司也出现了“内鬼”，一名