個(gè)人信息安全日常防護(hù)常識

【摘 要】 在當(dāng)下的網(wǎng)絡(luò)化生活中，個(gè)人信息幾乎遍布交易支付、娛樂、社交等生活的每一個(gè)場景，其背后的經(jīng)濟(jì)價(jià)值日益顯著，也成為網(wǎng)絡(luò)攻擊、電信網(wǎng)絡(luò)詐騙、敲詐勒索等網(wǎng)絡(luò)違法犯罪的目標(biāo)之一。本文主要介紹了移動互聯(lián)網(wǎng)使用個(gè)人信息存在的安全隱患，分析了黑灰產(chǎn)業(yè)常見個(gè)人信息竊取手段，并據(jù)此提出了個(gè)人信息安全防范建議。

【關(guān)鍵詞】 個(gè)人信息   信息泄露

1 引言

經(jīng)濟(jì)的快速發(fā)展和信息網(wǎng)絡(luò)的廣泛普及，使大眾對互聯(lián)網(wǎng)的依賴性越來越強(qiáng)，個(gè)人信息在互聯(lián)網(wǎng)上的留存量越來越多。與此同時(shí)，個(gè)人信息經(jīng)濟(jì)價(jià)值日益顯著，導(dǎo)致侵犯公民個(gè)人信息的犯罪屢禁不絕，且成為滋生網(wǎng)絡(luò)攻擊、電信網(wǎng)絡(luò)詐騙、敲詐勒索等下游違法犯罪的源頭，社會危害日益突出。

2018年，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）發(fā)布，引領(lǐng)全球個(gè)人信息保護(hù)監(jiān)管趨勢。近年來，我國也高度重視個(gè)人信息保護(hù)工作，從法規(guī)、治理、企業(yè)自律等方面多管齊下，捍衛(wèi)網(wǎng)絡(luò)安全、個(gè)人信息安全等，相繼頒布了數(shù)據(jù)安全法、個(gè)人信息保護(hù)法，標(biāo)志著我國在數(shù)據(jù)安全、個(gè)人信息保護(hù)等領(lǐng)域迎來了有法可依、有章可循的新時(shí)代。

2 移動互聯(lián)網(wǎng)使用的各類信息存在安全隱患

2.1 手機(jī)驗(yàn)證碼信息安全需注意

為保障用戶信息安全，目前市面上的App在開發(fā)初期已設(shè)定好相關(guān)驗(yàn)證機(jī)制，涉及用戶使用安全的場景均需向用戶發(fā)送短信驗(yàn)證碼進(jìn)行操作驗(yàn)證，小到賬號登錄，大到賬戶消費(fèi)。日常中的網(wǎng)站注冊、網(wǎng)絡(luò)購物、金額消費(fèi)、轉(zhuǎn)賬匯款等場景，都需要利用到手機(jī)短信驗(yàn)證碼。一旦手機(jī)遺失、號碼易主或遭遇不法分子欺詐，驗(yàn)證碼信息被竊取，個(gè)人信息、賬戶信息的安全將直接面臨威脅。

2.2 在第三方平臺的賬號安全難保障

用戶在第三方平臺瀏覽資訊、購物或發(fā)表觀點(diǎn)時(shí)，一般會被要求進(jìn)行賬號注冊并登錄，部分平臺還會要求填寫個(gè)人信息。雖然在平臺注冊頁面都附有隱私保護(hù)協(xié)議，但部分平臺未向用戶詳細(xì)說明信息收集的范圍、用途、使用權(quán)限等。與此同時(shí)，大部分用戶在注冊及后續(xù)登錄時(shí)，對于隱私保護(hù)協(xié)議內(nèi)容未能做到逐條確認(rèn)�；�于此現(xiàn)狀，平臺服務(wù)商在對用戶的信息收集、存儲和利用等方面都處于有利地位。在平臺服務(wù)商數(shù)據(jù)安全防護(hù)能力薄弱并成為不法分子攻擊目標(biāo)時(shí)，大量平臺用戶賬號數(shù)據(jù)安全無法得到保障。

2.3 應(yīng)用程序過度索取用戶隱私信息

移動終端操作系統(tǒng)權(quán)限是系統(tǒng)中建立的訪問與控制的機(jī)制。用戶作為移動終端的所有者，根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或安全策略，對安裝應(yīng)用進(jìn)行授權(quán)資源的限制，包括功能級與數(shù)據(jù)級，通過權(quán)限管理，達(dá)到日常使用移動設(shè)備的最佳體驗(yàn)。

但隨著移動互聯(lián)網(wǎng)的普及，移動終端的激增，滿足大眾日常使用所需的應(yīng)用類別不斷擴(kuò)增，一些App會通過借助操作系統(tǒng)向用戶申請開啟權(quán)限來收集相應(yīng)的個(gè)人信息。App在挖掘用戶需求的同時(shí)，可利用大數(shù)據(jù)的獨(dú)特優(yōu)勢，對用戶提供更加精準(zhǔn)的服務(wù)，獲取更多的商業(yè)利益，也使過度索取權(quán)限成為行業(yè)的“潛規(guī)則”。反觀用戶角度，大多數(shù)人在面對App的權(quán)限授權(quán)提示時(shí)，并未深究其授權(quán)目的，也較難判斷必要權(quán)限與過度索取權(quán)限，導(dǎo)致個(gè)人信息被過度收集，對個(gè)人信息安全與數(shù)據(jù)安全造成潛在威脅。

2020年，央視3·15晚會曝光了一批向用戶手機(jī)內(nèi)植入軟件開發(fā)工具包（SDK）插件并實(shí)施竊取信息的違規(guī)應(yīng)用。具體行為是在用戶不知情狀態(tài)下，涉嫌竊取用戶隱私，涉及的App達(dá)50多款。

3 黑灰產(chǎn)業(yè)竊取個(gè)人信息技術(shù)手段多樣

當(dāng)前處于大數(shù)據(jù)紅利期，用戶信息在某種意義上等于金錢，身處移動互聯(lián)網(wǎng)時(shí)代，個(gè)人隱私似乎不再是“隱私”。在“無感知”狀態(tài)下，用戶的敏感信息有可能就已經(jīng)遭到泄露，當(dāng)各類騷擾、詐騙接踵而至?xí)r，用戶才有可能意識到，自己的敏感信息已然遭到泄露，但對于何時(shí)、何地、何種情景下事件發(fā)生，用戶卻不得而知。隨著社會各界對個(gè)人隱私保護(hù)關(guān)注度的提高，信息泄露背后的黑灰產(chǎn)業(yè)鏈條慢慢浮出水面，人們發(fā)現(xiàn)其背后的運(yùn)作模式與技術(shù)手段已經(jīng)十分成熟。以下針對黑灰產(chǎn)業(yè)中典型隱私竊取手段進(jìn)行解析。

3.1 GSM劫持+短信嗅探技術(shù)，無聲無息中實(shí)現(xiàn)賬戶盜刷

短信驗(yàn)證碼的廣泛應(yīng)用使其安全性已經(jīng)直接影響用戶個(gè)人信息安全及賬戶財(cái)產(chǎn)安全，“GSM劫持+短信嗅探技術(shù)”正是通過盜取驗(yàn)證碼短信以實(shí)現(xiàn)賬戶盜刷。

這項(xiàng)技術(shù)的實(shí)現(xiàn)原理實(shí)際與偽基站極為相似。“GSM劫持”可以理解為“偽基站2.0版本”，屬于偽基站的技術(shù)再升級，不法分子通過偽基站劫持的方式將用戶的手機(jī)信號降為2G，然后利用技術(shù)手段獲取到一定范圍內(nèi)的手機(jī)號碼后，再利用“GSM嗅探”技術(shù)窺探用戶短信中的驗(yàn)證碼信息，以便完成密碼重置、身份驗(yàn)證等步驟。借此可以實(shí)現(xiàn)實(shí)時(shí)獲取用戶手機(jī)短信內(nèi)容，從而利用銀行、網(wǎng)站、移動支付App的技術(shù)漏洞和缺陷，最終實(shí)現(xiàn)信息盜取、錢財(cái)盜刷、私自借貸等詐騙犯罪目的。整個(gè)過程中，不法分子無需直接與用戶接觸，只需利用“GSM劫持+短信嗅探技術(shù)”就可以完成竊取信息與錢財(cái)，而用戶毫無察覺。它就像一條經(jīng)過專業(yè)訓(xùn)練的獵犬，無聲無息地辨別事物，所以被專業(yè)人士叫做“短信嗅探”技術(shù)。

3.2 高仿App傳播量廣，惡意獲取權(quán)限，非法竊取大量個(gè)人信息

使用手機(jī)App處理各項(xiàng)生活事務(wù)已漸漸成為現(xiàn)代人的日常所需，各企業(yè)順勢推出官方業(yè)務(wù)App，將更多需要線下處理的業(yè)務(wù)搬至移動互聯(lián)網(wǎng)，向用戶提供更加便利的服務(wù)。但在各大應(yīng)用市場中，出現(xiàn)不少“高仿”App，圖標(biāo)及頁面與官方App極為相似，下載量甚至高達(dá)幾十萬次。這些高仿App多為生活類應(yīng)用，具備收錄用戶各項(xiàng)個(gè)人信息的功能。在用戶安裝后，App會獲取用戶各項(xiàng)敏感信息權(quán)限，但并不具備實(shí)際業(yè)務(wù)功能，甚至還包含不少廣告。當(dāng)用戶無法在App正常辦理生活業(yè)務(wù)時(shí)，才發(fā)覺下載的不是官方App，但個(gè)人信息已遭到泄露。

3.3 通過移動端漏洞攻擊竊取用戶個(gè)人信息并販賣獲利

漏洞的存在，很容易吸引不法分子的侵入及病毒的駐留，導(dǎo)致數(shù)據(jù)丟失、被篡改，隱私泄露，乃至金錢上的損失。移動智能設(shè)備的爆發(fā)式增長使漏洞從過去以電腦為載體延伸至移動端，而安卓系統(tǒng)由于具備開放性特點(diǎn)，其信息安全問題尤為突出。一些不法分子受利益驅(qū)使，利用系統(tǒng)或應(yīng)用程序漏洞，使惡意軟件可以偽裝成任何安卓應(yīng)用程序，從而使攻擊者在用戶不知情的情況下運(yùn)行惡意進(jìn)程，獲得相機(jī)、短信等權(quán)限，竊取用戶的相冊、位置等隱私信息，甚至是劫持手機(jī)中其他應(yīng)用，向用戶顯示一個(gè)虛假應(yīng)用界面，盜取用戶輸入的賬號、密碼等敏感信息。

4 個(gè)人信息安全防范建議

近年來我國從立法、執(zhí)法、普法等多個(gè)方面加強(qiáng)對個(gè)人信息的保護(hù)力度，但部分黑灰產(chǎn)業(yè)人員仍頂風(fēng)作案，違法獲取、非法買賣個(gè)人信息，給人們正常工作生活造成惡劣影響。個(gè)人信息的黑灰產(chǎn)業(yè)鏈路主要經(jīng)歷非法獲取、加工處理販賣、變現(xiàn)3個(gè)階段，本文針對上述3個(gè)階段提出個(gè)人信息保護(hù)建議。

4.1 防止個(gè)人終端設(shè)備隱私被竊取

黑灰產(chǎn)竊取個(gè)人信息的手段多種多樣，主要是利用病毒、漏洞攻擊個(gè)人終端設(shè)備，或是通過釣魚網(wǎng)址、惡意App竊取私密信息。針對這一問題，用戶需及時(shí)更新升級終端操作系統(tǒng)，安裝完善系統(tǒng)補(bǔ)丁，防止因系統(tǒng)漏洞問題，產(chǎn)生信息泄露、終端入侵風(fēng)險(xiǎn)。

對于Windows系統(tǒng)，可在“更新和安全”功能處進(jìn)行系統(tǒng)、補(bǔ)丁升級，也可使用相關(guān)殺毒軟件進(jìn)行系統(tǒng)補(bǔ)丁升級。

對于安卓系統(tǒng)，由于其開源特征，存在各種發(fā)行版本，早期舊版本的安卓系統(tǒng)應(yīng)用管理權(quán)限機(jī)制不完善，加上部分手機(jī)系統(tǒng)更新生命周期較短，安卓系統(tǒng)的補(bǔ)丁安裝不及時(shí)，在日常使用手機(jī)時(shí)需特別注意要安裝殺毒軟件，及時(shí)通過“關(guān)于手機(jī)”板塊或“安全中心”功能更新系統(tǒng)和病毒庫，保障終端的安全。

4.2 警惕應(yīng)用程序的過度索權(quán)

（1）加強(qiáng)對正規(guī)應(yīng)用的權(quán)限和隱私管理

應(yīng)用程序App為保障功能的正常運(yùn)行需收集個(gè)人信息，部分程序在運(yùn)行時(shí)會調(diào)用大量系統(tǒng)的權(quán)限維持運(yùn)行，調(diào)用的部分權(quán)限比較敏感，會涉及用戶的個(gè)人信息數(shù)據(jù)，如通訊錄權(quán)限、短信權(quán)限、定位權(quán)限。因此，用戶在注冊、使用App時(shí)，必須仔細(xì)查看相關(guān)用戶協(xié)議、隱私聲明，也可結(jié)合App中的個(gè)人信息收集清單、第三方信息共享清單功能，了解該App收集的信息內(nèi)容、對應(yīng)的業(yè)務(wù)場景，防止超權(quán)收集行為。定期對這些應(yīng)用權(quán)限的調(diào)用情況做好管理，一定程度上可以避免個(gè)人信息被濫用。

（2）規(guī)范個(gè)人網(wǎng)絡(luò)行為，避免被惡意應(yīng)用“感染”

在一些詐騙場景中，不法人員會使用話術(shù)誘導(dǎo)受害人，通過非應(yīng)用商店的方式安裝應(yīng)用，如訪問指定二維碼（下載鏈接）安裝應(yīng)用，此類非正規(guī)渠道的應(yīng)用多存在隱私竊取功能，非法竊取個(gè)人信息。如，敲詐類應(yīng)用會竊取通訊錄、短信，并上傳至詐騙人員服務(wù)器進(jìn)行后續(xù)敲詐勒索。除此之外，在日常生活中，一些盜版電影類應(yīng)用也可能含有隱私竊取行為。對此，用戶必須切實(shí)提升個(gè)人網(wǎng)絡(luò)行為的安全意識，對于來源渠道不明的應(yīng)用安裝包、網(wǎng)站、二維碼等，要謹(jǐn)慎點(diǎn)擊或掃描，建議通過正規(guī)渠道下載安裝應(yīng)用。

4.3 不要輕易泄露支付驗(yàn)證信息

早期黑灰產(chǎn)業(yè)冒充電子停車收費(fèi)系統(tǒng)（ETC）、銀行機(jī)構(gòu)向受害人發(fā)送含釣魚網(wǎng)址的短信，通過高仿的頁面，誘導(dǎo)受害人填寫銀行賬號信息、支付短信驗(yàn)證碼等，進(jìn)而盜刷受害人的資金。隨著攻防對抗的升級，黑灰產(chǎn)業(yè)現(xiàn)在使用電話聯(lián)系上受害人后，以話術(shù)誘導(dǎo)受害人安裝含屏幕共享功能的會議App，再通過屏幕共享功能遠(yuǎn)程查看受害人收到的支付短信驗(yàn)證碼完成資金盜刷操作。

面對此類針對短信驗(yàn)證碼的“精準(zhǔn)詐騙”和“組合攻擊”，首先要對“運(yùn)營商”“銀行”等與資金往來相關(guān)的短信和來電進(jìn)行認(rèn)真甄別，及時(shí)與官方人員取得聯(lián)系進(jìn)行二次確認(rèn)，不輕易向?qū)Ψ教峁��?yàn)證碼。其次，由于短信驗(yàn)證碼與手機(jī)卡直接關(guān)聯(lián)，當(dāng)手機(jī)丟失或手機(jī)卡丟失時(shí)，極易被不法分子利用，因此建議用戶給手機(jī)SIM卡設(shè)置密碼，防止手機(jī)丟失后被盜用。最后，要給手機(jī)設(shè)置復(fù)雜的解鎖密碼（超過6位的數(shù)字+字母），防止手機(jī)鎖屏密碼短期內(nèi)被破解，同時(shí)給手機(jī)應(yīng)用設(shè)置安全鎖，防止他人獲得手機(jī)應(yīng)用內(nèi)的信息。

5 結(jié)語

在萬物互聯(lián)的大數(shù)據(jù)時(shí)代，碎片化的個(gè)人信息不斷涌入互聯(lián)網(wǎng)浪潮中，面對錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)環(huán)境，如何保障個(gè)人信息安全，是政府、企業(yè)、個(gè)人都要面臨及解決的問題。一方面執(zhí)法機(jī)關(guān)要從互聯(lián)網(wǎng)信息傳播源頭，加大對違法違規(guī)獲取個(gè)人信息行為的打擊治理；另一個(gè)方面，企業(yè)需提高社會責(zé)任感，提高對個(gè)人信息保護(hù)的重視程度，建立必要的個(gè)人信息存儲、使用以及發(fā)生信息泄露事件后的個(gè)人信息安全保護(hù)機(jī)制。同時(shí)，個(gè)人也需提升自身的信息防護(hù)意識，增強(qiáng)警惕心，積極學(xué)習(xí)并實(shí)踐各類信息保護(hù)手段。

（原載于《保密科學(xué)技術(shù)》雜志2023年4月刊）