我没有填报这所大学,为什么能收到它的录取通知书? – 作者:安恒风暴中心

本文由安恒风暴中心发布,风暴中心将会陆续在freebuf媒体平台上,发布各类专题技术报告、年度安全报告及最新技术研究,欢迎各位关注我们,参与交流和讨论。

智慧城市安全风暴中心是杭州安恒信息技术股份有限公司顺应当前信息化发展中云计算化、大数据化、SaaS化的大趋势,专门设立的网络安全态势监测、感知、防护、分析及预警部门。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续四届世界互联网大会、G20杭州峰会、厦门金砖峰会、上合峰会、进博会、联合国世界信息地理大会等众多重大活动提供网络信息安全保障。


按照惯例,7月中旬左右,考生们会陆续收到大学录取通知书,也是在这个时候,各种野鸡大学的招生办和黑中介开始躁动起来了。

640?wx_fmt.jpeg

近日,新华社官微通报一则“江苏某公安局查处一例假大学通知书”的案件。

某快递公司收了14份装有上海某技术大学录取通知书的快递,且需要签收人“到付”6元,这一异常行为引起了快递公司的注意。

640?wx_fmt.gif

快递公司迅速报警,警方介入初步判断该录取通知书系伪造,很快抓捕嫌疑人朱某,一并查获数十份伪造的尚未寄出的大学录取通知书。

进一步调查得知,朱某还打算继续在网上购买10w条考生信息,大干一场…

快递“到付”6元,如果制作10w份,朱某在这方面就将牟利数10w元,而考生一旦真实入学,朱某还将得到6000-8000元/人的中介费…

640?wx_fmt.gif

到此,广大网友纷纷表示:

640?wx_fmt.png

考生的个人信息是如何泄露的?

考生的个人信息泄露,我们分析主要分为两大类:

一类是诱导式泄露,主要表现为学生及家长无意识地使用装有盗窃个人信息的电子设备,如安装具有木马的浏览器插件、连接被非法分子攻破的公共WiFi、使用被植入木马的公共移动电源桩给手机充电,以及点击一些钓鱼诈骗式链接,扫描一些不安全的二维码参加线上线下活动。

另一类是直接式泄露,主要表现为APP擅自收集个人信息;内鬼出卖学生信息;黑客有目的有组织性地攻击学校教务系统、教育系统、社区系统和银行系统等,通过脱库撞库,形成庞大的黑产社工库,用于非法的个人信息数据买卖活动。

1. 诱导式泄露 

 1.1 安装具有木马的插件 

插件是一种遵循一定规范的应用程序接口编写出来的程序,在浏览器中安装相关的插件后,WEB浏览器能够直接调用插件程序,用于处理特定类型的文件。

如今,很多人喜欢在电脑或手机中安装一些插件来方便某些需求,如Flash插件、RealPlayer插件、某网盘的限速绕过插件、抢红包插件等。

640?wx_fmt.gif

这些插件功能实用,使用简单,因此需求量大。

也因如此,很多不法分子会在插件中植入木马,上传到网络下载平台/网页,从而守株待兔。一旦用户下载或安装该插件,木马激活,自动收集用户信息,并传递到不法分子的服务器或终端处理器上。

 1.2 被植入木马的公共设备 

随着共享经济的发展,共享电子设备、公共WiFi、共享移动电源等迅速崛起,而此类经济现象的出现,也为不法分子提供了新的商机。

因设备对外提供公共服务,出现在公共场合,而其运营机构本身对网络安全的防范意识或防范技术不够,导致这些公共设备很容易被破坏,成为网络攻击和信息窃取的傀儡。

640?wx_fmt.jpeg

△ 安恒大厦创新体验中心的手机充电桩劫持和WiFi劫持演示区

如出现在机场、商场等的公共手机充电桩和WiFi,一旦被不法分子篡改破坏,当用户使用时,不法分子将利用恶意程序操控用户手机,盗取照片、通讯录、备忘录等,控制用户手机向他人发送钓鱼诈骗短信,使用用户的账号进行资金交易等。

很多用户在使用带木马的公共设备后,手机里会被莫名安装一些APP;而更高级一点的手段,是界面上看不到任何APP或异常状态显示,只是在手机里植入一段隐藏的代码,从而长时间监控、操作用户的手机。

 1.3 非正规的电子设备及配件 

我们发现,现在很多社区、街道、学校、商场等公众场所,会有免费参与游戏送电子设备的活动,一般赠送的电子设备有U盘、充电线、充电头、移动充电宝等。

这其中,就会有一些问题。

商家为了降低成本,网购一些低廉的电子设备参与活动赠送,而这些低廉的电子设备,很有可能早就被恶意植入芯片的;或者某些恶意商家自身就有信息窃取的取向。

640?wx_fmt.gif

那么自行购买的电子设备,会不会存在这种问题呢?

请看视频

用非正规手机配件充电,自动下单订万元总统套房

 1.4 朋友圈扫码授权的裂变游戏 

隔三差五,总是能看到朋友圈里分享的各种各样的性格测试、变装/变脸游戏、AI算命、投票获奖、拼团购物、转发领红包、帮忙砍价…

640?wx_fmt.jpeg

△性格测试系列熟悉的界面

各类朋友圈活动,有的需要授权微信头像及昵称,有的会诱导你填写真实姓名、生日、电话号码,甚至获取通讯录或摄像头的权限。

  • 性格测试/变装变脸/AI算命:APP开发商获取用户信息;

  • 投票获奖/刷单好评:花钱刷票刷单,找客服退款却被拉黑;

  • 拼团购物/转发领红包/帮忙砍价:兑现时仍有各类消费,还可能泄露个人信息、买到假货,导致用户的银行卡可能会被不法分子套取。

 1.5 在社交平台晒各类证件 

虚拟交友平台上,充斥着各种职业的人员,很多陌生人成为网络中的好友,一些非法分子或网络机器人潜伏在别人的好友列表里,不动神色…

640?wx_fmt.png

有很多人,喜欢在社交平台晒出自己的真实照片和证件,如所获的学籍学位/职业证书、家里的老人和小孩、所在的小区照片、车牌车位或出差中的火车票或登记牌等。

学籍学位/职业证书,通过技术手段可以查证个人身份信息、成长中的教育信息、身边的好友群体等;火车票、登机牌的条形码和二维码中,含有乘客的个人信息,包括身份证号等。

护照、小区、车牌、定位等照片,都可能泄露个人生活轨迹。

曾经某小花晒出其穿着鞋坐在飘窗上的照片、楼下的植被绿化照片和几句唠叨,而被网友用40分钟时间,分析出其具体家庭住址。

1.6 在网吧查分/填志愿

针对高考这个主题,最近也有些朋友回忆,自己当年高考的时候收到过非常精准信息的电话诈骗,对方甚至能说出自己的QQ号、班主任姓名、家长联系方式、高考分数和具体填写的志愿。

是不是很魔幻?

640?wx_fmt.jpeg

通过进一步交流,我们发现这些朋友基本上属于电竞boys,高中压力大、学业苦,加上学校和家长管理严格,根本碰不了游戏。

所以一旦高考结束,第一时间就会“网吧十连坐、一坐坐十天”。

高考查分系统一般在午夜开放,这正处于电竞boys在网吧愉快玩耍的时间段,他们就会随手用网吧电脑登陆查分系统…

640?wx_fmt.jpeg

而网吧里的电脑,相当于养蛊器皿,很多木马、病毒相互残杀,兼容病变,盗取各类信息,热闹非凡。

在一些偏远地区,由于经济条件有限,很多学生会选择网吧查分数和填志愿,而在高考相关的诈骗案件中,这类学生也是受害主体。

2. 直接式泄露 

2.1 某些APP窃取个人隐私 

根据中国消费者协会发布的《App个人信息泄露情况调查报告》,目前个人信息泄露总体情况比较严重,在共计5458份有效问卷中,有此遭遇的受访者占比达85.2%。

640

今年的央视3·15晚会上,主持人现场使用一款名为“社保掌上通”的APP查询个人社保信息,一旁的网络安全专家通过抓取分析数据包发现,用户的信息已被发送至一家大数据公司的服务器。

APP过度索要授权,也是个人信息泄露的途径之一,主要表现为APP所需的功能和它所要请求的权限不匹配,如视频播放类软件,索要摄像头或者通讯录权限。

2.2 内鬼倒卖学生信息

上面我们讲到的精准诈骗,除了电脑设备被植入木马病毒盗取个人信息外,还有一种途径那就是内鬼倒卖学生信息。

640?wx_fmt.jpeg

高考分数一出,某些地区低分数段的学生,会收到精准的招生黑中介诈骗,这些骗子抓住了学生和家长急切想要上大学但又苦恼于分数太低没有学校可填报的困顿,

声称自己在某些较好的学校里有关系,只要家长给一定的好处费,他就会帮忙牵线搭桥,让学生进校上学。

一旦家长轻信并转账,他们会瞬间消失…

 2.3 黑客攻击窃取信息 

信息时代,最值钱的是信息。

有利益的地方,就有了江湖。

针对亿万级的数据市场,自然少不了黑客的身影,他们有组织、有计划、有目的性的针对某些系统进行持续性的网络攻击,不达目的不罢休。

640?wx_fmt.gif

近年来,我国也发生了包括十几亿条快递公司的用户信息、2.4亿条某连锁酒店入住信息、900万条某网站用户数据信息、某求职网站用户个人求职简历等数据泄露事件。

根据脱库撞库得来的个人信息和重要数据,不法分子利用大数据等技术手段,整合各类数据,可形成对用户的多维度精准画像。

如何保护自己,避免上当受骗?

1. 提高信息保护意识 

我们总结,日常生活中将会有以下四类诈骗方式,电话冒充类、电商诈骗类、网络交友类和虚拟游戏类。

640?wx_fmt.png

在提高防范意识上,我们倡导:

 链接不乱点  

 WiFi慎重连 

自备充电宝

 正规店配件 

 授权要斟酌 

  打码晒照片  

 转账需核实 

 凡事留心眼 

2. 不轻易相信陌生人 

On the Internet, nobody knows you’re a dog!

(在互联网上,没人知道你是一条狗)

——Peter Steiner

《爷爷炒的茶》——广州公安防诈骗宣传片

3. 不要贪图小便宜 

“她那时太年轻,不知道命中所馈赠的礼物,早已在暗中标好了价格。”

——《断头王后》

世界上没有免费的午餐


“免费的”才是最贵的

总之

天上不会掉馅儿饼,不贪不信不转账。


– End –

640?wx_fmt.gif

 更多精彩内容 

640?wx_fmt.png

640?wx_fmt.png

 点击图片获取 

640?wx_fmt.gif



640

今日互动

 关于和人信息泄露,你身边发生过哪些奇妙的事?

640

640?wx_fmt.gif

来源:freebuf.com 2019-07-12 14:44:51 by: 安恒风暴中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论