网剧《你安全吗?》拆解网络安全事件,很多情形可能你还没意识到
扫二维码被冒用身份贷款、充电宝暗藏木马、比剪刀手泄露指纹…国内首部网络安全题材剧《你安全吗?》热映,一起学习信息安全技巧。
撰文/记者 赵天宇 图文编辑/陈永杰
▲《你安全吗?》海报(图片来源/豆瓣网)
一个毫不起眼的充电宝,竟藏着超小型计算机,只要和手机连接,就可以窃取所有信息,包括手机里的个人数据、照片视频等信息……这是热播悬疑剧《你安全吗?》中的剧情,但也是真实发生在生活当中的桥段:以互联网信息安全为切入点,国内首部以网络安全为题材的作品《你安全吗?》近日正在热映,聚焦婚恋、教育、养老、职场等社会热点和民生话题, 普及网络安全知识同时又融入悬疑、喜剧的成分,让人乐在其中。
互联网与用户生活联系紧密,科技服务与用户数据相连,个人数据搜集和应用更加广泛,“双刃剑”带来了更智能便捷的科技创新,也带来用户隐私保护新命题。在个人信息保护上,普通公众如何才能做到“有所为”也“有所不为”呢?
◈ ◈ ◈
小心三方软件 系统更新及时
在互联网时代,尽管隐私和个人信息泄露风险增大,但良好的个人习惯始终是安全的第一道防线,也是最后一道防线。可很多普通公众在这方面的表现并不尽如人意,甚至出现“低级失误”,给不法分子以可乘之机。
中国互联网络信息中心《第50次中国互联网络发展状况统计报告》显示,截至2022年6月,有21.8%的网民遭遇个人信息泄露。
很多病毒、木马程序都隐藏在第三方软件和程序当中,通过一个吸引人的链接或文案诱导下载。下载后可以轻松读取用户手机当中的各种信息,给用户带来金钱损失、手机损害等直接的伤害。
《你安全吗?》中的丁阿姨,就因扫码领取免费鸡蛋,导致个人信息泄露,被坏人冒用了身份贷款。虽然影视作品中,没有说明坏人是如何获取信息的,但从扫码的行为不难推测,这与非法App密不可分。
目前正规手机厂商生产的手机,大都针对原生系统进行了深度优化和定制,从应用商店下载的程序可以保证安全。杜绝从第三方平台下载软件,是防范木马中毒的最有效办法。
▲《你安全吗?》中的丁阿姨因为扫描领鸡蛋,个人信息泄漏被骗20万(图片来源/豆瓣网)
移动互联网时代,手机系统或应用商店,平均十天到半个月就会进行一次升级更新,目的就是不断优化、查缺补漏,漏洞越多的手机或智能设备被攻击的可能性就越大。对于公众而言,也要养成定期升级(手机)软件版本的习惯,打开自动更新开关,基本可以在夜间完成。
真实案例
据3.15晚会报道,315信息安全实验室对某些购物平台上有着10万+惊人销售记录的一款儿童智能手表展开了专门的测试。测试人员将一个假扮抽奖游戏的恶意二维码发送到这款手表上以后,儿童通过这款手表扫码之后,恶意程序就可以轻松进入到这款手表中,可以实现对这款手表的远程控制,采集位置信息、监听通话记录、偷窥视频等操作。
技术的进步,公共设备成为不法分子实施信息犯罪的新途径之一:《你安全吗?》第一集中一位帅哥在热闹的KTV里手机没电了,就找了身旁一位有充电宝的美女充电。没有想到的是充电宝里安装了芯片,手机里的一切信息被自动拷贝,并通过无线网络神不知鬼不觉地传给网络另一端。最后,这个犯罪团伙被网安专家秦淮抓个正着。
▲《你安全吗?》第一集,因在KTV借用陌生人的充电宝,个人信息被不法分子盗取(图片来源/豆瓣网)
如今,市场上充电宝良莠不齐,经过特殊改造的充电宝,在给手机补充电量的同时,也会神不知鬼不觉地读取并复制手机里的照片、视频和银行账户信息,甚至是监听和定位。同样危机四伏的还有公共WiFi,这类钓鱼WiFi大多出现在酒店、商场等公共场所,会自动安装应用程序到手机当中,并在后台大量收集用户信息,甚至可以自启动运行,进入网银、支付宝等涉密系统造成资产损失。
警惕公共场所智能设备,不连接除家庭、办公场所以外的公共WiFi,是有效防范这类风险的有效途径。
真实案例
江苏南京市民张先生使用公共场所的WiFi后,电脑被黑客入侵,在U盾、银行卡都在的情况下,他网银上的6万多元被人在两天内盗刷69次,只剩下500元。而且他的手机还被黑客做了手脚,接收消费提醒短信的功能也被屏蔽,所以发生的69次交易他根本没收到任何短信提示,钱在不知不觉中就全被转走了。
◈ ◈ ◈
关闭冗余权限 杜绝不良网站
随着手机App的发展,软件功能日渐丰富,拥有越来越强大的收集数据的权限。这些权限包括但不限于使用手机配备的麦克风、摄像头、定位服务、电话权限、录音功能等等。
但到了现实生活中,很多应用程序又过分“聪明”,要求许多超出软件本身范围的权限,由此带来很多未知的安全风险。作为手机的拥有者和应用程序的使用者,合理调配软件权限,进行系统设置,是保护个人信息安全的重要手段。
比如关闭软件的个性化推荐、个性化广告和用户体验改进计划,可以避免在不知情的情况下被进行数据采集;再例如关闭软件的麦克风和相机权限,如果开启了自动调用,软件不经过用户同意,就能打开麦克风和摄像头,进行录音或者图像的采集,甚至是非法收集个人喜好、购物需求等大数据信息,导致有些App出现“刚聊完就推送”“说什么卖什么”的现象。
除了手机App,浏览器和不良网页也很容易被做手脚,像《你安全吗?》第十集中,丁丁注册了钓鱼网站和别人视频,结果他卡里的钱不仅被人转移了,连手机通讯录都被拿走了,自己的视频也被偷拍,最后人财两空后悔不已。
▲《你安全吗?》第十集中,丁丁注册了钓鱼网站和别人视频,个人信息被泄露(图片来源/豆瓣网)
在不良、不法网站中,经常有携带病毒的页面,它们会攻击浏览器,如果是手机浏览也容易导致手机中毒,导致用户手机死机、关机、删除资料、发送垃圾邮件等,甚至还会盗取个人信息和财产。
真实案例
国内某新三板上市企业及其关联公司,从2014年开始将自主编写的恶意程序放在运营商内部的服务器上,当用户的流量经过运营商的服务器时,该程序就自动采集用户cookie(cookie是用户在浏览网页时的信息缓存。一般用于保存用户的账号、密码等登录信息,包括浏览网页的记录)、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在境内外的多个服务器上,从而实现了从运营商处窃取用户隐私数据。
专家观点:
严控信息滥用 加强技术监管
随着互联网、大数据等信息技术的普及,个人信息泄露、公众隐私被侵犯让公众生活不胜其扰,个人信息可能在不知不觉中已遭泄露,正成为滋生犯罪的新“温床”。如何守护好公民个人信息?业内专家做出这样的建议:
北京中海义司法鉴定所实验室主任、手机数据专家李长龙认为,加装防火墙软件、设置代理服务器、定时更新防毒组件、养成资料备份等习惯,是防止黑客攻击、网络个人信息泄密的最基本方式。
北京师范大学法学院教授、亚太网络法律研究中心主任刘德良分析说《民法典》《个人信息保护法》的出台,对个人信息保护起到了促进作用,但也存在个人信息主体不明确、数据匿名化的现象,这是大数据时代需要关注的重点。
他呼吁分清“信息使用”和“信息滥用”的区别,合理目的的信息使用,有助于减少交易成本,促进经济社会发展,真正产生危害的是信息滥用。从规范目的、适用范围等基本原理出发,认真梳理这些权利及其法律规则之间的关系,有助于更好保护个人信息安全。
中国人民公安大学警务信息工程与网络安全学院教授袁得嵛认为,金融信息价值密度比较高,所以该领域一直是个人信息泄露的重灾区。黑客利用金融App的金融漏洞或者网站平台的漏洞窃取公民个人信息,不仅在银行、保险等金融行业存在,在会计行业、社区、机动车登记以及入住酒店时也存在。
“必须从相关法律法规、销售市场交易、技术性、企业经营管理等方面协作严厉打击、相互治理。” 袁得嵛说。
中国信息安全研究院副院长左晓栋建议通过技术手段加强个人信息安全,比如在建立信息系统或对数据进行开发利用共享时,应嵌入防火墙机制,进行个人信息安全影响评估,对个人信息进行分类分级管理,建立和规范系统代查的限度和留痕制度,对个人敏感信息进行加密存储,统一电子身份认证终端管理等等。