【赛迪网讯】近期,互联网上发生多起盗号事件。3月1日,有网友通过微博爆料称,京东商城用户数据库资料疑似遭到泄露;3月9日,当当网被爆出多起盗号事件,涉及113位用户12.3万元资金被盗;2月28日,北京警方破获盗刷支付宝账户案件,“洗宝”产业链曝光。
为何网络盗号事件频发?该用何种思路重构互联网安全?在3月13日举办的“打击网络盗号,保护网民财产”网络安全专项研讨会上,来自工信部、公安部、中国互联网协会、腾讯公司、金山公司的代表及法律专家认为,打击网络盗号,联合行动必不可少。
黑色产业链威胁网络安全
互联网盗号、网络钓鱼、盗取资金已经形成地下网络黑色产业链,作案组织严密、手法纯熟,令互联网用户防不胜防。这个黑色产业链的上游是木马程序和钓鱼网站的制作、捆绑和分发销售,中游和下游是作案团伙,他们从上游购买这些软件和链接并实施盗号诈骗,随之还有负责洗号、转账、提现等人员。
据中国互联网络信息中心的最新数据,74.1%的网民在过去半年内遇到过信息安全问题,总人数达4.38亿。另据腾讯统计,仅在2013年,腾讯电脑管家就为用户清除2.4亿次盗号木马,拦截了121亿次恶意网站,其中与盗号相关的就有 18.15亿次,配合各地网监成功捣毁网络诈骗团伙150余个,总涉案金额超过千万元。
犯罪分子屡屡得手,有多方面的原因。第一,新的犯罪技术、网络技术不断涌现。比如,犯罪贩子将木马植入美女视频、二维码、中奖弹窗中,骗取账号及密码进行资料售卖,或是通过非法入侵,进入第三方支付软件获取用户数据卖给诈骗分子以牟取利益。眼下,网络钓鱼、盗号欺诈已经超过网络病毒,成为当前网民上网安全的最大威胁。
第二,网络自身的漏洞也相对严重。联想集团主席杨元庆在今年两会上指出,根据中国互联网协会统计消息,65.5%的网站存在安全漏洞,过去一年中国网民在网上的损失接近1500亿元。
第三,个人信息泄露。据工信部“公众个人信息保护意识调研”显示,个人信息泄露已成为社会公害,超过60%的调查对象遇到过个人信息泄露、被盗用等问题,90%的人收到过垃圾短信或电话推销,13%以上的人遭遇过个人信息被冒用或公开。而这一数字,还在持续增长。在中国,个人信息如此容易泄露,使得犯罪分子更加方便获取个人信息,伺机作案。
互联网集中的趋势使得一个账号遍行天下。例如用户的QQ账号,就好比是互联网上的身份证号,一旦用户的QQ账号被盗,其在微博、微信、游戏网站、团购网站等很多消费娱乐网站上的账号也容易被一一攻破,连带挂钩的银行卡、手机号等,也可能一一暴露。
“互联网已经融入人民生活的方方面面,在给人民生活、社会经济发展带来便利的同时,也正遭受来自钓鱼盗号利益集团的安全威胁。”中国互联网协会秘书长卢卫表示。打击钓鱼盗号是各个国家共同面临的重要课题,而当前中国互联网安全形势并不乐观。
从组织机制立法入手
面对当今复杂的网络安全威胁,我们应当如何应对?
当前,网络钓鱼、盗号欺诈已经形成一个完整的黑色产业链,并且现在重点盯着移动端、支付安全、账号安全,这使得安全防御技术难度进一步提升。在工信部通信保障局网安处的祝卓看来,单纯依靠单个部门、单个企业、单个软件,已不可能完全保护网民安全上网,这就需要政府组织和安全企业联合起来,多方合作,才能营造健康的网络环境,保障网民利益。
祝卓表示,在源头上打击网络盗号需要公安部门的加入,因此工信部准备推动跟公安部建立一个联动的查处机制,将行政处罚和刑事处罚结合进行,主要目的是打击网络盗号的主体。另外,让运营商建立木马监测机制,以及让腾讯、百度等大型的互联网企业参与进来,在其中发挥作用,提高网民的安全意识。他还透露今年3月中下旬,工信部将要开展移动互联网恶意程序治理专项行动,加大对移动互联网的治理。
12321举报中心副主任郝智超认为,互联网公司、银行、运营商应该在网民举报信息时加大对不法分子的处罚力度。“运营商应该把实施诈骗的手机号在几分钟之内就关掉;银监会应该把被举报的银行账号在几分钟之内关掉;腾讯应该在几分钟之内就把干坏事的QQ号关掉。但是这些,现在还做不到。”他说。
针对个人信息常被泄露和盗用的问题,法律专家胡钢表示,在当前个人信息保护法律缺失的情况下,可以将现有法律制度的潜力挖掘出来,充分利用现有法律资源,例如消费者权益保护法,对于虚假信息或垃圾广告,最高可处违法所得10倍的罚款,如果没有最高所得,最高可处50万元的罚款。再例如广告法,对于类似垃圾广告的惩罚,力度也比较大。这些法律的惩处力度,相对现在对互联网泄露个人信息最高3万元额度的罚款,要大得多。
安全界倡导开放共享强强联合
公安部部署开展集中打击整治网络违法犯罪专项行动以来,全国公安机关先后查破涉网违法犯罪案件4100余起,抓获犯罪嫌疑人8700余名,打掉犯罪团伙210余个,为群众挽回经济损失1.5亿元。尽管如此,网络钓鱼盗号活动依然猖獗。针对这一问题,腾讯安全实验室负责人马劲松提出了“技术开放、资源共享、强强联合”的安全理念。
马劲松认为,需要走一条开放共享的道路。互联网是由无数个有血有肉的网民组成的,不是硬梆梆的实体,不是简单的服务器、网线的连接体,这里面既有百度的用户,也有阿里的用户,还有腾讯的用户,每个网民在网上都有各自的使用习惯、消费需求,相应的,就要对他们提供全方位、立体式的保护,让他们更好地使用互联网、放心地使用互联网。单靠一家公司某一款软件实际上是不足以解决这些问题的,需要大家联合起来共同满足这个需求。
对此,郝智超深表赞同。他说:“共享是打击盗号的一个非常重要的手段。12321举报中心前身是邮件举报中心,邮件举报中心在治理垃圾邮件的时候,最核心的方式就是黑名单的共享,大家都把你各自公司监测到的黑名单汇总到我们这儿,然后我们再把大家都汇总过来的黑名单向大家公开,大家都来阻止这个黑名单,所以当时垃圾邮件治理的效果是非常明显的,这种思路其实就是一个最原始的、最有效的一种开放共享的思路。”
在实践中,腾讯是中国互联网安全开放平台的积极推动者,通过多年积累,腾讯建立了全球最大的风险网址数据库“安全云库”;通过开放,对内为QQ、搜索等业务平台提供云安全监测数据及技术支持;对外与百度、金山、知道创宇、乌云平台、 Discuz!、天猫、搜狗、海联达等企业合作,将安全能力不断开放共享。
工信部安全中心网安处副处长贺敏也认为,维护网络安全确实需要共享,工信部安全中心负责监测网络上的恶意信息和事件信息,将这些信息与业界共享,能够及时预警,提醒安全软件和杀毒软件及时完善漏洞库和病毒库,制止一些盗号事件发生。