不能都怪别人 你的个人信息可能是这么泄露的

简介:

个人信息小偷“内鬼”多,“家贼”难防怎么办?惩罚加重!侵犯公民个人信息犯罪是近年来政法机关打击的重点,近日,广东省东莞市、中山市检察机关分析通报了侵犯公民个人信息犯罪的特点和警示案例。据不完全统计,2014年以来,东莞市检察机关批捕涉及侵犯公民个人信息案件802件1412人,起诉662件1187人;而中山市检察机关2016年以来则办理了涉及侵犯公民个人信息案件13件37人。

改造POS机 疯狂窃取公民信息

通过办案分析,检察官发现该类案件犯罪手法的特点:首先,即时通讯平台成为犯罪“主车道”。如东莞市第二市区检察院办理的19件案件,QQ平台在其中90%的案件中扮演着重要角色。“身份证信息群”“银行卡信息群”成为非法出售公民信息的“聚集地”;“出售赚2000元的技术群”“ APK反编译群”成为病毒软件等非法设备的“交易市场”;QQ邮箱成为信息传递的“快递员”;学校、培训机构等QQ群成为犯罪主体的“捕猎器”。

此外,微信、淘宝、“钓鱼网站”、伪基站、改造后的POS机等也都成为犯罪分子窃取公民信息的重要途径。如周某洋侵犯公民个人信息案中,犯罪嫌疑人周某洋在QQ群上寻找公民个人信息的买家和卖家,并通过QQ及对应的QQ邮箱、微信等方式交易公民个人信息近70万条,从中获利约16万元。

点击中招 加密木马病毒避过查杀

“APK反编译”工具成为“神助攻”。不法分子可通过自己制作的工具加密安卓系统的任何APK文件,文件加密后可防止他人反编译,顺利绕过360杀毒软件10~15分钟,再以短信息形式成功抵达受害人手机进一步窃取信息。如陆某广3人信用卡诈骗案,陆某广、刘某旺先从“反编译”QQ群购买木马病毒,后把木马病毒APK档转发给同伙陈某涛加密,陆某广再通过自己手机编写带有病毒链接的短信诸如“这是我们聚会留下的照片链接+拦截马病毒”“你的车辆有违章记录请查询+木马病毒链接”等发送到受害人的手机号码,受害人点击了病毒链接,中毒的手机自动在后台将受害人手机的IMEI码以及所有的信息资料通过短信的方式发送到犯罪嫌疑人负责拦截接收短信的手机上。窃取到受害人的银行卡账号、密码、手机号码等信息后,再提供给专门负责取钱的其他同伙进行盗刷银行存款。

“家贼”难防 辞职后泄露内部信息

如陈某球、周某2人侵犯公民个人信息案,陈、周2人均是东莞某派出所的警务辅助人员,因为工作需要经常要用到民警的数字证书对派出所内的犯罪嫌疑人、三无人员和归档案件中的人员信息进行核对,遂盗用民警的数字证书,登录公安内部信息系统和查询系统等多个平台查询公民相关个人信息达44808次,并将信息下载后多次以每条信息10~20元不等的价格在网上销售牟利。又如侵犯公民个人信息案中,严某周在某快递公司厚街营业部任职期间,私自保存8910张公司登记有客户个人信息的快递单存根联,辞职后将该存根联提供给他人用以经营微商生意。

个人信息包含什么?

2017年6月1日起,最高人民法院、最高人民检察院共同颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(简称《解释》)开始施行。《解释》明确定义,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等。

“神助攻”

“APK反编译”工具

1.从“反编译”群购买木马病毒,把木马病毒APK档转发给同伙

2.编写带有病毒链接的短信,发送到受害人的手机号码上

3.受害人点击病毒链接,中毒手机自动在后台将信息资料通过短信发送到犯罪嫌疑人手机上

窃取途径有哪些?

外泄的公民个人信息中,银行卡账号、密码是犯罪嫌疑人重要目标,一是直接通过网络购买;二是利用伪基站设备等发送病毒链接窃取。如犯罪嫌疑人陈某才借助伪基站以10086名义发送带有病毒链接的短信,被害人点击后根据网站提示输入身份证号码、银行卡号码、电话号码等个人信息进行注册,启动后自动将木马程序下载安装到被害人的手机上,其同伙向某强即可套取被害人的个人银行信息,通过开通被害人银行卡快捷支付功能进行盗刷,并使用木马病毒拦截被害人的银行验证信息,盗刷15名被害人合计存款20万余元;三是利用改造POS机套取。

检察官建议

公安机关与相关部门密切配合,对涉嫌销售、传播公民个人信息、病毒软件、伪基站的网络平台,资源信息QQ群等定期开展清理整治工作,实时审查与屏蔽,坚决堵住传播渠道。银行、教育、卫生、人社、网络支付平台、房产和物流公司等,应提高防范意识和安全防范等级,建立自查、督察和责任制度,堵塞监管漏洞。

公民在日常生活中要增强信息安全保护意识,养成良好上网习惯,不轻易提供个人信息,不点击陌生链接,不扫描陌生二维码,不轻信陌生电话。

典型案例

“内鬼”作案 惩罚加重

2016年1月开始,犯罪嫌疑人徐某利用其在中山市某派出所工作职务的便利,通过公安网违规查询他人户籍信息、车辆档案及轨迹等公民个人信息,通过微信等方式发送上述信息给同伙王某出售,二人共获利13万余元。

经查,犯罪嫌疑人徐某使用其公安数据证书违规查询公民身份资料共计1万余条。今年7月底,犯罪嫌疑人徐某、王某因涉嫌侵犯公民个人信息罪被移送法院提起公诉。

检察官提示,公民个人信息泄露案件不少系内部人员作案,为切实加大惩治力度,《解释》明确,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的,认定“情节严重”的数量、数额标准减半计算。针对银行、保险、证券、电信、快递等行业以及各行政部门内部人员泄露数据的违法犯罪源头,剑指侵害公民个人信息的“内鬼”,降低了入罪门槛,具有极强的针对性。

本文转自d1net(转载)

相关文章
|
存储 安全 网络安全
利用隐私法规的漏洞窃取用户身份
欧盟的通用数据保护条例 (GDPR) 已成为现代隐私法律的试金石,部分原因是它赋予消费者前所未有的对其个人信息使用的控制权。然而,同样的权力可能容易被恶意攻击者滥用。在本文中考虑了社会工程师如何滥用围绕“访问权”(Right of Access)过程的法律歧义。这一假设通过对 150 多家企业的对抗性案例研究进行了验证。发现许多组织未能采取足够的保护措施来防止滥用访问权,从而有可能将敏感信息暴露给未经授权的第三方。这些信息的敏感性各不相同,从简单的公共记录到社会安全号码和帐户密码。这些发现表明,迫切需要改进主体访问请求流程的实施。为此本文提出可能的补救措施,以供政府、行业和个人进一步考虑。
65 2
|
存储 安全 前端开发
《个人信息保护法》解读
在2021年8月20日,全国人大正式通过《个人信息保护法》,标志着中国个人信息保护立法由“分散”进入“统一”的新阶段,也为企业的合规经营提出了更加清晰且严格的要求。个保法涉及到的内容很多,涉及到个人信息处理者、个人信息主体、政府机关等多个主体,对个人数据的采集、使用、存储、跨境等都做了详细的法律规定。
《个人信息保护法》解读
|
Web App开发 存储 安全
|
安全 网络安全 数据安全/隐私保护
|
安全 数据安全/隐私保护