國家保密局網(wǎng)站>>保密科技

個人信息安全日常防護常識

2024年09月19日    來源:國家保密科技測評中心【字體: 打印

【摘 要】 在當(dāng)下的網(wǎng)絡(luò)化生活中,個人信息幾乎遍布交易支付、娛樂、社交等生活的每一個場景,其背后的經(jīng)濟價值日益顯著,也成為網(wǎng)絡(luò)攻擊、電信網(wǎng)絡(luò)詐騙、敲詐勒索等網(wǎng)絡(luò)違法犯罪的目標(biāo)之一。本文主要介紹了移動互聯(lián)網(wǎng)使用個人信息存在的安全隱患,分析了黑灰產(chǎn)業(yè)常見個人信息竊取手段,并據(jù)此提出了個人信息安全防范建議。

【關(guān)鍵詞】 個人信息   信息泄露

1 引言

經(jīng)濟的快速發(fā)展和信息網(wǎng)絡(luò)的廣泛普及,使大眾對互聯(lián)網(wǎng)的依賴性越來越強,個人信息在互聯(lián)網(wǎng)上的留存量越來越多。與此同時,個人信息經(jīng)濟價值日益顯著,導(dǎo)致侵犯公民個人信息的犯罪屢禁不絕,且成為滋生網(wǎng)絡(luò)攻擊、電信網(wǎng)絡(luò)詐騙、敲詐勒索等下游違法犯罪的源頭,社會危害日益突出。

2018年,歐盟《通用數(shù)據(jù)保護條例》(GDPR)發(fā)布,引領(lǐng)全球個人信息保護監(jiān)管趨勢。近年來,我國也高度重視個人信息保護工作,從法規(guī)、治理、企業(yè)自律等方面多管齊下,捍衛(wèi)網(wǎng)絡(luò)安全、個人信息安全等,相繼頒布了數(shù)據(jù)安全法、個人信息保護法,標(biāo)志著我國在數(shù)據(jù)安全、個人信息保護等領(lǐng)域迎來了有法可依、有章可循的新時代。

2 移動互聯(lián)網(wǎng)使用的各類信息存在安全隱患

2.1 手機驗證碼信息安全需注意

為保障用戶信息安全,目前市面上的App在開發(fā)初期已設(shè)定好相關(guān)驗證機制,涉及用戶使用安全的場景均需向用戶發(fā)送短信驗證碼進行操作驗證,小到賬號登錄,大到賬戶消費。日常中的網(wǎng)站注冊、網(wǎng)絡(luò)購物、金額消費、轉(zhuǎn)賬匯款等場景,都需要利用到手機短信驗證碼。一旦手機遺失、號碼易主或遭遇不法分子欺詐,驗證碼信息被竊取,個人信息、賬戶信息的安全將直接面臨威脅。

2.2 在第三方平臺的賬號安全難保障

用戶在第三方平臺瀏覽資訊、購物或發(fā)表觀點時,一般會被要求進行賬號注冊并登錄,部分平臺還會要求填寫個人信息。雖然在平臺注冊頁面都附有隱私保護協(xié)議,但部分平臺未向用戶詳細說明信息收集的范圍、用途、使用權(quán)限等。與此同時,大部分用戶在注冊及后續(xù)登錄時,對于隱私保護協(xié)議內(nèi)容未能做到逐條確認;诖爽F(xiàn)狀,平臺服務(wù)商在對用戶的信息收集、存儲和利用等方面都處于有利地位。在平臺服務(wù)商數(shù)據(jù)安全防護能力薄弱并成為不法分子攻擊目標(biāo)時,大量平臺用戶賬號數(shù)據(jù)安全無法得到保障。

2.3 應(yīng)用程序過度索取用戶隱私信息

移動終端操作系統(tǒng)權(quán)限是系統(tǒng)中建立的訪問與控制的機制。用戶作為移動終端的所有者,根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或安全策略,對安裝應(yīng)用進行授權(quán)資源的限制,包括功能級與數(shù)據(jù)級,通過權(quán)限管理,達到日常使用移動設(shè)備的最佳體驗。

但隨著移動互聯(lián)網(wǎng)的普及,移動終端的激增,滿足大眾日常使用所需的應(yīng)用類別不斷擴增,一些App會通過借助操作系統(tǒng)向用戶申請開啟權(quán)限來收集相應(yīng)的個人信息。App在挖掘用戶需求的同時,可利用大數(shù)據(jù)的獨特優(yōu)勢,對用戶提供更加精準(zhǔn)的服務(wù),獲取更多的商業(yè)利益,也使過度索取權(quán)限成為行業(yè)的“潛規(guī)則”。反觀用戶角度,大多數(shù)人在面對App的權(quán)限授權(quán)提示時,并未深究其授權(quán)目的,也較難判斷必要權(quán)限與過度索取權(quán)限,導(dǎo)致個人信息被過度收集,對個人信息安全與數(shù)據(jù)安全造成潛在威脅。

2020年,央視3·15晚會曝光了一批向用戶手機內(nèi)植入軟件開發(fā)工具包(SDK)插件并實施竊取信息的違規(guī)應(yīng)用。具體行為是在用戶不知情狀態(tài)下,涉嫌竊取用戶隱私,涉及的App達50多款。

3 黑灰產(chǎn)業(yè)竊取個人信息技術(shù)手段多樣

當(dāng)前處于大數(shù)據(jù)紅利期,用戶信息在某種意義上等于金錢,身處移動互聯(lián)網(wǎng)時代,個人隱私似乎不再是“隱私”。在“無感知”狀態(tài)下,用戶的敏感信息有可能就已經(jīng)遭到泄露,當(dāng)各類騷擾、詐騙接踵而至?xí)r,用戶才有可能意識到,自己的敏感信息已然遭到泄露,但對于何時、何地、何種情景下事件發(fā)生,用戶卻不得而知。隨著社會各界對個人隱私保護關(guān)注度的提高,信息泄露背后的黑灰產(chǎn)業(yè)鏈條慢慢浮出水面,人們發(fā)現(xiàn)其背后的運作模式與技術(shù)手段已經(jīng)十分成熟。以下針對黑灰產(chǎn)業(yè)中典型隱私竊取手段進行解析。

3.1 GSM劫持+短信嗅探技術(shù),無聲無息中實現(xiàn)賬戶盜刷

短信驗證碼的廣泛應(yīng)用使其安全性已經(jīng)直接影響用戶個人信息安全及賬戶財產(chǎn)安全,“GSM劫持+短信嗅探技術(shù)”正是通過盜取驗證碼短信以實現(xiàn)賬戶盜刷。

這項技術(shù)的實現(xiàn)原理實際與偽基站極為相似!癎SM劫持”可以理解為“偽基站2.0版本”,屬于偽基站的技術(shù)再升級,不法分子通過偽基站劫持的方式將用戶的手機信號降為2G,然后利用技術(shù)手段獲取到一定范圍內(nèi)的手機號碼后,再利用“GSM嗅探”技術(shù)窺探用戶短信中的驗證碼信息,以便完成密碼重置、身份驗證等步驟。借此可以實現(xiàn)實時獲取用戶手機短信內(nèi)容,從而利用銀行、網(wǎng)站、移動支付App的技術(shù)漏洞和缺陷,最終實現(xiàn)信息盜取、錢財盜刷、私自借貸等詐騙犯罪目的。整個過程中,不法分子無需直接與用戶接觸,只需利用“GSM劫持+短信嗅探技術(shù)”就可以完成竊取信息與錢財,而用戶毫無察覺。它就像一條經(jīng)過專業(yè)訓(xùn)練的獵犬,無聲無息地辨別事物,所以被專業(yè)人士叫做“短信嗅探”技術(shù)。

3.2 高仿App傳播量廣,惡意獲取權(quán)限,非法竊取大量個人信息

使用手機App處理各項生活事務(wù)已漸漸成為現(xiàn)代人的日常所需,各企業(yè)順勢推出官方業(yè)務(wù)App,將更多需要線下處理的業(yè)務(wù)搬至移動互聯(lián)網(wǎng),向用戶提供更加便利的服務(wù)。但在各大應(yīng)用市場中,出現(xiàn)不少“高仿”App,圖標(biāo)及頁面與官方App極為相似,下載量甚至高達幾十萬次。這些高仿App多為生活類應(yīng)用,具備收錄用戶各項個人信息的功能。在用戶安裝后,App會獲取用戶各項敏感信息權(quán)限,但并不具備實際業(yè)務(wù)功能,甚至還包含不少廣告。當(dāng)用戶無法在App正常辦理生活業(yè)務(wù)時,才發(fā)覺下載的不是官方App,但個人信息已遭到泄露。

3.3 通過移動端漏洞攻擊竊取用戶個人信息并販賣獲利

漏洞的存在,很容易吸引不法分子的侵入及病毒的駐留,導(dǎo)致數(shù)據(jù)丟失、被篡改,隱私泄露,乃至金錢上的損失。移動智能設(shè)備的爆發(fā)式增長使漏洞從過去以電腦為載體延伸至移動端,而安卓系統(tǒng)由于具備開放性特點,其信息安全問題尤為突出。一些不法分子受利益驅(qū)使,利用系統(tǒng)或應(yīng)用程序漏洞,使惡意軟件可以偽裝成任何安卓應(yīng)用程序,從而使攻擊者在用戶不知情的情況下運行惡意進程,獲得相機、短信等權(quán)限,竊取用戶的相冊、位置等隱私信息,甚至是劫持手機中其他應(yīng)用,向用戶顯示一個虛假應(yīng)用界面,盜取用戶輸入的賬號、密碼等敏感信息。

4 個人信息安全防范建議

近年來我國從立法、執(zhí)法、普法等多個方面加強對個人信息的保護力度,但部分黑灰產(chǎn)業(yè)人員仍頂風(fēng)作案,違法獲取、非法買賣個人信息,給人們正常工作生活造成惡劣影響。個人信息的黑灰產(chǎn)業(yè)鏈路主要經(jīng)歷非法獲取、加工處理販賣、變現(xiàn)3個階段,本文針對上述3個階段提出個人信息保護建議。

4.1 防止個人終端設(shè)備隱私被竊取

黑灰產(chǎn)竊取個人信息的手段多種多樣,主要是利用病毒、漏洞攻擊個人終端設(shè)備,或是通過釣魚網(wǎng)址、惡意App竊取私密信息。針對這一問題,用戶需及時更新升級終端操作系統(tǒng),安裝完善系統(tǒng)補丁,防止因系統(tǒng)漏洞問題,產(chǎn)生信息泄露、終端入侵風(fēng)險。

對于Windows系統(tǒng),可在“更新和安全”功能處進行系統(tǒng)、補丁升級,也可使用相關(guān)殺毒軟件進行系統(tǒng)補丁升級。

對于安卓系統(tǒng),由于其開源特征,存在各種發(fā)行版本,早期舊版本的安卓系統(tǒng)應(yīng)用管理權(quán)限機制不完善,加上部分手機系統(tǒng)更新生命周期較短,安卓系統(tǒng)的補丁安裝不及時,在日常使用手機時需特別注意要安裝殺毒軟件,及時通過“關(guān)于手機”板塊或“安全中心”功能更新系統(tǒng)和病毒庫,保障終端的安全。

4.2 警惕應(yīng)用程序的過度索權(quán)

(1)加強對正規(guī)應(yīng)用的權(quán)限和隱私管理

應(yīng)用程序App為保障功能的正常運行需收集個人信息,部分程序在運行時會調(diào)用大量系統(tǒng)的權(quán)限維持運行,調(diào)用的部分權(quán)限比較敏感,會涉及用戶的個人信息數(shù)據(jù),如通訊錄權(quán)限、短信權(quán)限、定位權(quán)限。因此,用戶在注冊、使用App時,必須仔細查看相關(guān)用戶協(xié)議、隱私聲明,也可結(jié)合App中的個人信息收集清單、第三方信息共享清單功能,了解該App收集的信息內(nèi)容、對應(yīng)的業(yè)務(wù)場景,防止超權(quán)收集行為。定期對這些應(yīng)用權(quán)限的調(diào)用情況做好管理,一定程度上可以避免個人信息被濫用。

(2)規(guī)范個人網(wǎng)絡(luò)行為,避免被惡意應(yīng)用“感染”

在一些詐騙場景中,不法人員會使用話術(shù)誘導(dǎo)受害人,通過非應(yīng)用商店的方式安裝應(yīng)用,如訪問指定二維碼(下載鏈接)安裝應(yīng)用,此類非正規(guī)渠道的應(yīng)用多存在隱私竊取功能,非法竊取個人信息。如,敲詐類應(yīng)用會竊取通訊錄、短信,并上傳至詐騙人員服務(wù)器進行后續(xù)敲詐勒索。除此之外,在日常生活中,一些盜版電影類應(yīng)用也可能含有隱私竊取行為。對此,用戶必須切實提升個人網(wǎng)絡(luò)行為的安全意識,對于來源渠道不明的應(yīng)用安裝包、網(wǎng)站、二維碼等,要謹慎點擊或掃描,建議通過正規(guī)渠道下載安裝應(yīng)用。

4.3 不要輕易泄露支付驗證信息

早期黑灰產(chǎn)業(yè)冒充電子停車收費系統(tǒng)(ETC)、銀行機構(gòu)向受害人發(fā)送含釣魚網(wǎng)址的短信,通過高仿的頁面,誘導(dǎo)受害人填寫銀行賬號信息、支付短信驗證碼等,進而盜刷受害人的資金。隨著攻防對抗的升級,黑灰產(chǎn)業(yè)現(xiàn)在使用電話聯(lián)系上受害人后,以話術(shù)誘導(dǎo)受害人安裝含屏幕共享功能的會議App,再通過屏幕共享功能遠程查看受害人收到的支付短信驗證碼完成資金盜刷操作。

面對此類針對短信驗證碼的“精準(zhǔn)詐騙”和“組合攻擊”,首先要對“運營商”“銀行”等與資金往來相關(guān)的短信和來電進行認真甄別,及時與官方人員取得聯(lián)系進行二次確認,不輕易向?qū)Ψ教峁炞C碼。其次,由于短信驗證碼與手機卡直接關(guān)聯(lián),當(dāng)手機丟失或手機卡丟失時,極易被不法分子利用,因此建議用戶給手機SIM卡設(shè)置密碼,防止手機丟失后被盜用。最后,要給手機設(shè)置復(fù)雜的解鎖密碼(超過6位的數(shù)字+字母),防止手機鎖屏密碼短期內(nèi)被破解,同時給手機應(yīng)用設(shè)置安全鎖,防止他人獲得手機應(yīng)用內(nèi)的信息。

5 結(jié)語

在萬物互聯(lián)的大數(shù)據(jù)時代,碎片化的個人信息不斷涌入互聯(lián)網(wǎng)浪潮中,面對錯綜復(fù)雜的網(wǎng)絡(luò)環(huán)境,如何保障個人信息安全,是政府、企業(yè)、個人都要面臨及解決的問題。一方面執(zhí)法機關(guān)要從互聯(lián)網(wǎng)信息傳播源頭,加大對違法違規(guī)獲取個人信息行為的打擊治理;另一個方面,企業(yè)需提高社會責(zé)任感,提高對個人信息保護的重視程度,建立必要的個人信息存儲、使用以及發(fā)生信息泄露事件后的個人信息安全保護機制。同時,個人也需提升自身的信息防護意識,增強警惕心,積極學(xué)習(xí)并實踐各類信息保護手段。

(原載于《保密科學(xué)技術(shù)》雜志2023年4月刊)