官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
互联网金融时代,精准的电话营销、短信推送,邀请您加入“炒股培训QQ群”“VIP实战Q群”入群,牛市?熊市?专业荐股,使用这款“APP”下一个财富神话就是你!
然而,当你下载这个APP开始投资,你的钱就会慢慢消失...
一份来自融360维度的调查结果显示,30.22%的受访者遭遇过理财投资陷阱或骗局,53.61%的受访者在社交媒体遭遇过理财骗局,社交媒体App和短视频直播平台成重灾区;在遭遇投资理财骗局的受访者中,能够完全追回损失的仅占比11.34%, 46.39%的受访者没有追回任何损失。
2021年9月,磁县磁州镇南开河的王某,在家休息的时候接到一通自称为“华泰证券”客服的电话,并表示可以向王某推荐股票,跃跃欲试的王某添加了对方微信。添加微信后,王某被拉入了对方建立的股票群,群内有助理,有股民,群内每日都有人发转款截图,并汇报自己炒股赚了多少钱。王某观察了几天,发现群里的股票预测很准,于是王某便联系群内助理,表示自己想进行投资。后王某通过对方发送的二维码下载“玖富证券”APP,陆续向APP充值3万余元。近日,王某想将APP账户的余额进行提现,发现已被对方客服、助理拉黑,自己也被群聊踢出。意识到不对的王某赶紧报警,共计被骗34100。
而这样的金融诈骗却层出不穷。
2021年5月17日,眉山市公安局破获一起大型“炒股”“投资”“理财”金融诈骗案。此次行动共抓获犯罪嫌疑人104人,采取刑事强制措施60人,扣押涉案电脑193台,手机227部、电话卡若干,涉及公民个人信息6亿余条,涉案资金3000余万元!
2021年3月,四川眉山丹棱县公安局接到一事主报警,称自己被网友哄骗加入炒股群,在对方的指引下购买了十余万元股票。结果,等到她想提款的时候,却发现那个炒股APP关闭,“炒股”导师不知所踪。
2021年以来,四川眉山丹棱县警方已经陆续接到多起类似报案,都是受害人被人诱骗到某些特定的群组实施投资诈骗,损失惨重。丹棱县公安局马上成立专案组,对相同诈骗手法的案件并案侦查,一个专门为境外诈骗团伙提供前端服务的犯罪团伙渐渐浮出水面。
图片来源:公安局网安部
民警解密“金融诈骗套路”
该犯罪团伙的主犯胡某某初中文化,2019年,他结识了肖某某等人后,便在成都某写字楼挂牌多家空壳公司,招募大量员工一起实施“吸粉”活动。
这些员工根据胡某某提供的话术剧本和电话号码,冒充证券等公司工作人员拨打电话,邀约他人添加QQ好友,这就是传说中的“吸粉”。吸到“粉儿”后,他们再以150元至200元不等的价格将其拉入境外诈骗团伙建立的“炒股培训QQ群”“VIP实战Q群”等群组,由境外不法分子对受害人实施精准诈骗。
海量个人信息从何而来?可犯罪分子又怎么知道谁是股票客户,海量个人信息从哪儿来呢?警方又开展了深入的调查。
源头1:撞库
经过警方调查,胡某某的上线之一是申某某,他利用黑客技术,开发撞库软件,针对目标网站漏洞提取有效用户手机号,非法获取公民个人信息进行售卖,同时也售卖撞库软件。
2020年至今,其开发撞库软件10余个,通过撞库非法获取大量公民个人信息。目前,申某某已被移送起诉。
源头2:内鬼
通过该案的侦查发现,一些相关公司内部工作人员手中掌握着大量该行业的公民个人信息。
个别人为了非法获取利益,不仅不履行保护公民个人信息安全的义务,反而沦为“内鬼”,将手中的公民个人信息进行盗卖。
比如曾在某证券公司工作的杨某、李某、陈某等人利用工作之便,将公司客户信息导出售卖。目前相关人员也已被移送起诉。
源头3:暗网
经查,胡某某上线之一张某宝,2019年起便开始大量贩卖公民个人信息,至今共买卖公民个人信息数百万条,目前已被移送起诉。
《中华人民共和国个人信息保护法》正式实施
2021年11月1日,我国首部专门针对个人信息保护的综合性法律——《中华人民共和国个人信息保护法》正式实施,明确将个人信息保护纳入公益诉讼范畴。该法明确了 个人信息和敏感个人信息的处理规则,完善了个人信息保护投诉、举报工作机制,从严惩治违法行为,全方位保护公民的个人信息安全。
个人信息保护法共八章七十四条,明确了个人信息和敏感个人信息的处理规则,完善个人信息保护投诉、举报工作机制,从严惩治违法行为,全方位保护你的信息安全。任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇;提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
公民个人信息受法律保护,任何侵犯公民个人信息的违法犯罪行为,必将受到法律的制裁。相关单位要加强内部人员管理,防止公民信息从内部泄露;加强系统安全和维护,安装IP画像,从源头预防撞库,防止黑客入侵造成信息泄露。