杜跃进
这两天,“徐玉玉事件”引起全社会的广泛关注,大家对受害人的不幸非常痛心,对骗子十分痛恨,对虚拟电话号码的管理、用户信息泄露和电信诈骗等问题展开了激烈讨论。虽然经过公安专案组连续奋战,6名犯罪嫌疑人已全部落网,但是我们要充分认识到,这场与电信诈骗等黑色产业的斗争还远没有结束,需要全社会持续的共同努力才能得到改善。
1、我们面对的是一个庞大的黑灰产业链
《史记》云:“天下熙熙皆为利来,天下攘攘皆为利往。”网络应用的蓬勃发展吸引了犯罪分子的目光,据估计中国每年的网络黑灰产规模达到一千亿人民币左右。这个巨大的利益背后,已经是一个规模十分庞大的黑灰产业链,实施电信诈骗只是其中一个环节,在此之前还包括恶意软件编写、漏洞贩卖、实施数据窃取、个人信息倒卖等。要想从根本上扭转今天这种电信诈骗猖獗的态势,需要从多个环节入手,需要各界共同努力。
2、实人认证是第一道关口
这次事件大家首先关注的是170虚拟运营商号段不实名的问题,认为这是导致骗子无法追溯的罪魁祸首。实际上虚拟运营商并不是关键。据工信部公布的数据,2015年11月至2016年4月底,工信部组织电信企业关停了14万多涉嫌电话诈骗的号码。在这14万多个号码中,虚拟运营商的号码为6万多个,只占总数的43%。也就是说骗子使用的电话多数还不是虚拟运营商的号码。当然,一些虚拟运营商管理不善导致骗子扎堆,确实需要整改。
因此,问题的本质不在于是不是虚拟运营商,而在于是不是实名。我们发现徐玉玉案中骗子的号码是通过了实名认证的,这说明简单的“实名”是没用的,因为有些“实名”是假的:身份证明都是真的,但并不是本人。网络黑灰产早就通过各种手段收集了大量真实身份材料,然后有组织地用这些材料通过实名认证。生活中遇到那些免费领取各种东西但是要你提供身份证明的活动,基本就是这样的例子,可是贪小便宜参加的人很多。
解决这个问题需要做到“实人认证”,就是真实的身份信息对应到真实的人。这项工作不能仅仅依靠全国各地每个营业点的每个工作人员。面对庞大的黑灰产利益,我们甚至无法保证每个工作人员都是绝对可信的。这需要充分利用各种新的技术手段,例如动态的人脸和动作识别、多维度的大数据打通和应用进行核验等技术。这样才能让骗子很难使用别人的实名信息蒙混过关。
3、公共网络环境和技术对抗
实人认证只是第一道关口,网络环境治理和技术对抗同样关键。
一个例子是犯罪团伙使用“改号软件”可以实现任何主叫号码显示,也就是说你接到的电话的来电号码是被骗子伪造过的。来自一个“没问题”的号码的来电,容易让很多人上当。互联网技术和传统电信领域的结合,导致这个问题比过去更严重,网络运营商要加强对这类伪造主叫号码功能的遏制,为大家营造一个更加可信的网络环境。互联网领域也有很多类似的公共网络环境安全的问题需要解决。
网络黑灰产有很多环节可以窃取用户个人信息,进而实施非常精准的诈骗活动(这些精准诈骗其实是非常难以防范的)。例如在用户的手机或计算机上植入恶意软件实施窃听、通过网络钓鱼诱骗用户提供个人信息、在网络上实施窃听、从提供服务或者拥有数据的部门窃取数据等。所以,不能指望用户自己具备和专业攻击者进行技术对抗的能力。因此需要安全产业为用户提供更多的专业支持,也需要所有拥有数据的企业或单位大力提升自己的安全能力。
4、行业安全能力和社会责任
我们已经进入到了大数据时代,生活中每个环节、每时每刻都在产生数据;一些看上去很小或者很简单的应用或者网站,也在产生大量的重要数据;人们生活中很多习以为常的事情,背后的数据都要经过一个长长的产业链条。每个环节都可能成为黑灰产窃取数据的“黄金宝地”,黑灰产甚至会直接到一些地方应聘,然后植入窃听程序或者直接导出数据。
所以,全行业都需要提升自己的安全能力和社会责任感,需要履行保护用户数据的社会责任,不但要防止自己成为窃取数据的目标,也要防止自己的员工对外倒卖数据。而对于非法获取或倒卖数据的企业,政府要坚决打击。能力领先的企业,要通过各种形式积极推广自己的经验或者提供帮助。
5、司法环境的改善
电信诈骗具有互联网特点,经常单笔金额不大但是加在一起数额巨大。按照过去的法律条文,受害人经常连报案的条件都达不到,从而让犯罪分子逃避制裁。现在公安部宣布进行调整,未来都可以立案,这是一个很好的消息。但是电信诈骗还有跨地域犯案等很多新特点,挑战还是很大的。
恶意注册、身份仿冒等看上去“没什么”的网络灰色产业,实际上也是被网络黑灰产充分利用,为最终的诈骗活动提供帮助的重要领地;甚至虚假交易、信用炒作等乱象,也在使整个环境恶化。那些售卖专门软件帮助黑灰产的行为,同样需要加以遏制。这些新问题,需要司法层面的调整,跟上新的变化,铲除黑灰产的土壤。
个人信息保护是一个重点工作。据了解,有关部门也在抓紧研究和推动。但是出台一部法律需要非常严谨的工作,尤其是如今全世界进入向数据技术转化的变革时代,过去的很多情况发生了重大变化,很多基本概念在全球都陷入争议和探索状态,而中国又处于高速发展甚至在一些领域开始实现引领全球的阶段,因此很多国外的经验不能照搬,大量产业界的实际情况需要结合,否则不但不能实现保护用户隐私的目的,反而被犯罪分子用来隐藏痕迹逃避打击。
6、安全意识教育
安全意识教育是个永恒的和非常重要的事情,需要大力去做。很多案例中,如果受害人安全意识再提高一些的话,就可以避免上当受骗。网络黑灰产的骗术在不断变化和升级,安全意识教育的内容也需要不断更新。尤其是安全意识教育的对象,需要延伸到青少年,这一点过去大家的认识还不是很到位。
7、各方面力量需要联合起来
网络黑灰产会充分利用各种方法隐蔽自己,例如在甲公司的平台上实施诈骗的话,中间要把客户骗到乙公司的平台上,其原因就是利用大家互相不通、没有合作的缺点,让各种保护用户的机制失灵。
政府部门之间、多个行业之间、政府和企业之间的合作,也有很多需要改进的地方。只有这样,才能实现身份校验、账户核对、黑产追溯、资金阻截、取证打击等一系列的配合,从根本上改善网络安全生态,让用户得到最大的保护,使产业得到健康发展。(作者为中国网络空间安全协会副理事长)