個人信息安全日常防護常識

【摘 要】 在當下的網絡化生活中，個人信息幾乎遍布交易支付、娛樂、社交等生活的每一個場景，其背后的經濟價值日益顯著，也成為網絡攻擊、電信網絡詐騙、敲詐勒索等網絡違法犯罪的目標之一。本文主要介紹了移動互聯網使用個人信息存在的安全隱患，分析了黑灰產業常見個人信息竊取手段，并據此提出了個人信息安全防范建議。

【關鍵詞】 個人信息   信息泄露

1 引言

經濟的快速發展和信息網絡的廣泛普及，使大眾對互聯網的依賴性越來越強，個人信息在互聯網上的留存量越來越多。與此同時，個人信息經濟價值日益顯著，導致侵犯公民個人信息的犯罪屢禁不絕，且成為滋生網絡攻擊、電信網絡詐騙、敲詐勒索等下游違法犯罪的源頭，社會危害日益突出。

2018年，歐盟《通用數據保護條例》（GDPR）發布，引領全球個人信息保護監管趨勢。近年來，我國也高度重視個人信息保護工作，從法規、治理、企業自律等方面多管齊下，捍衛網絡安全、個人信息安全等，相繼頒布了數據安全法、個人信息保護法，標志著我國在數據安全、個人信息保護等領域迎來了有法可依、有章可循的新時代。

2 移動互聯網使用的各類信息存在安全隱患

2.1 手機驗證碼信息安全需注意

為保障用戶信息安全，目前市面上的App在開發初期已設定好相關驗證機制，涉及用戶使用安全的場景均需向用戶發送短信驗證碼進行操作驗證，小到賬號登錄，大到賬戶消費。日常中的網站注冊、網絡購物、金額消費、轉賬匯款等場景，都需要利用到手機短信驗證碼。一旦手機遺失、號碼易主或遭遇不法分子欺詐，驗證碼信息被竊取，個人信息、賬戶信息的安全將直接面臨威脅。

2.2 在第三方平臺的賬號安全難保障

用戶在第三方平臺瀏覽資訊、購物或發表觀點時，一般會被要求進行賬號注冊并登錄，部分平臺還會要求填寫個人信息。雖然在平臺注冊頁面都附有隱私保護協議，但部分平臺未向用戶詳細說明信息收集的范圍、用途、使用權限等。與此同時，大部分用戶在注冊及后續登錄時，對于隱私保護協議內容未能做到逐條確認。基于此現狀，平臺服務商在對用戶的信息收集、存儲和利用等方面都處于有利地位。在平臺服務商數據安全防護能力薄弱并成為不法分子攻擊目標時，大量平臺用戶賬號數據安全無法得到保障。

2.3 應用程序過度索取用戶隱私信息

移動終端操作系統權限是系統中建立的訪問與控制的機制。用戶作為移動終端的所有者，根據系統設置的安全規則或安全策略，對安裝應用進行授權資源的限制，包括功能級與數據級，通過權限管理，達到日常使用移動設備的最佳體驗。

但隨著移動互聯網的普及，移動終端的激增，滿足大眾日常使用所需的應用類別不斷擴增，一些App會通過借助操作系統向用戶申請開啟權限來收集相應的個人信息。App在挖掘用戶需求的同時，可利用大數據的獨特優勢，對用戶提供更加精準的服務，獲取更多的商業利益，也使過度索取權限成為行業的“潛規則”。反觀用戶角度，大多數人在面對App的權限授權提示時，并未深究其授權目的，也較難判斷必要權限與過度索取權限，導致個人信息被過度收集，對個人信息安全與數據安全造成潛在威脅。

2020年，央視3·15晚會曝光了一批向用戶手機內植入軟件開發工具包（SDK）插件并實施竊取信息的違規應用。具體行為是在用戶不知情狀態下，涉嫌竊取用戶隱私，涉及的App達50多款。

3 黑灰產業竊取個人信息技術手段多樣

當前處于大數據紅利期，用戶信息在某種意義上等于金錢，身處移動互聯網時代，個人隱私似乎不再是“隱私”。在“無感知”狀態下，用戶的敏感信息有可能就已經遭到泄露，當各類騷擾、詐騙接踵而至時，用戶才有可能意識到，自己的敏感信息已然遭到泄露，但對于何時、何地、何種情景下事件發生，用戶卻不得而知。隨著社會各界對個人隱私保護關注度的提高，信息泄露背后的黑灰產業鏈條慢慢浮出水面，人們發現其背后的運作模式與技術手段已經十分成熟。以下針對黑灰產業中典型隱私竊取手段進行解析。

3.1 GSM劫持+短信嗅探技術，無聲無息中實現賬戶盜刷

短信驗證碼的廣泛應用使其安全性已經直接影響用戶個人信息安全及賬戶財產安全，“GSM劫持+短信嗅探技術”正是通過盜取驗證碼短信以實現賬戶盜刷。

這項技術的實現原理實際與偽基站極為相似。“GSM劫持”可以理解為“偽基站2.0版本”，屬于偽基站的技術再升級，不法分子通過偽基站劫持的方式將用戶的手機信號降為2G，然后利用技術手段獲取到一定范圍內的手機號碼后，再利用“GSM嗅探”技術窺探用戶短信中的驗證碼信息，以便完成密碼重置、身份驗證等步驟。借此可以實現實時獲取用戶手機短信內容，從而利用銀行、網站、移動支付App的技術漏洞和缺陷，最終實現信息盜取、錢財盜刷、私自借貸等詐騙犯罪目的。整個過程中，不法分子無需直接與用戶接觸，只需利用“GSM劫持+短信嗅探技術”就可以完成竊取信息與錢財，而用戶毫無察覺。它就像一條經過專業訓練的獵犬，無聲無息地辨別事物，所以被專業人士叫做“短信嗅探”技術。

3.2 高仿App傳播量廣，惡意獲取權限，非法竊取大量個人信息

使用手機App處理各項生活事務已漸漸成為現代人的日常所需，各企業順勢推出官方業務App，將更多需要線下處理的業務搬至移動互聯網，向用戶提供更加便利的服務。但在各大應用市場中，出現不少“高仿”App，圖標及頁面與官方App極為相似，下載量甚至高達幾十萬次。這些高仿App多為生活類應用，具備收錄用戶各項個人信息的功能。在用戶安裝后，App會獲取用戶各項敏感信息權限，但并不具備實際業務功能，甚至還包含不少廣告。當用戶無法在App正常辦理生活業務時，才發覺下載的不是官方App，但個人信息已遭到泄露。

3.3 通過移動端漏洞攻擊竊取用戶個人信息并販賣獲利

漏洞的存在，很容易吸引不法分子的侵入及病毒的駐留，導致數據丟失、被篡改，隱私泄露，乃至金錢上的損失。移動智能設備的爆發式增長使漏洞從過去以電腦為載體延伸至移動端，而安卓系統由于具備開放性特點，其信息安全問題尤為突出。一些不法分子受利益驅使，利用系統或應用程序漏洞，使惡意軟件可以偽裝成任何安卓應用程序，從而使攻擊者在用戶不知情的情況下運行惡意進程，獲得相機、短信等權限，竊取用戶的相冊、位置等隱私信息，甚至是劫持手機中其他應用，向用戶顯示一個虛假應用界面，盜取用戶輸入的賬號、密碼等敏感信息。

4 個人信息安全防范建議

近年來我國從立法、執法、普法等多個方面加強對個人信息的保護力度，但部分黑灰產業人員仍頂風作案，違法獲取、非法買賣個人信息，給人們正常工作生活造成惡劣影響。個人信息的黑灰產業鏈路主要經歷非法獲取、加工處理販賣、變現3個階段，本文針對上述3個階段提出個人信息保護建議。

4.1 防止個人終端設備隱私被竊取

黑灰產竊取個人信息的手段多種多樣，主要是利用病毒、漏洞攻擊個人終端設備，或是通過釣魚網址、惡意App竊取私密信息。針對這一問題，用戶需及時更新升級終端操作系統，安裝完善系統補丁，防止因系統漏洞問題，產生信息泄露、終端入侵風險。

對于Windows系統，可在“更新和安全”功能處進行系統、補丁升級，也可使用相關殺毒軟件進行系統補丁升級。

對于安卓系統，由于其開源特征，存在各種發行版本，早期舊版本的安卓系統應用管理權限機制不完善，加上部分手機系統更新生命周期較短，安卓系統的補丁安裝不及時，在日常使用手機時需特別注意要安裝殺毒軟件，及時通過“關于手機”板塊或“安全中心”功能更新系統和病毒庫，保障終端的安全。

4.2 警惕應用程序的過度索權

（1）加強對正規應用的權限和隱私管理

應用程序App為保障功能的正常運行需收集個人信息，部分程序在運行時會調用大量系統的權限維持運行，調用的部分權限比較敏感，會涉及用戶的個人信息數據，如通訊錄權限、短信權限、定位權限。因此，用戶在注冊、使用App時，必須仔細查看相關用戶協議、隱私聲明，也可結合App中的個人信息收集清單、第三方信息共享清單功能，了解該App收集的信息內容、對應的業務場景，防止超權收集行為。定期對這些應用權限的調用情況做好管理，一定程度上可以避免個人信息被濫用。

（2）規范個人網絡行為，避免被惡意應用“感染”

在一些詐騙場景中，不法人員會使用話術誘導受害人，通過非應用商店的方式安裝應用，如訪問指定二維碼（下載鏈接）安裝應用，此類非正規渠道的應用多存在隱私竊取功能，非法竊取個人信息。如，敲詐類應用會竊取通訊錄、短信，并上傳至詐騙人員服務器進行后續敲詐勒索。除此之外，在日常生活中，一些盜版電影類應用也可能含有隱私竊取行為。對此，用戶必須切實提升個人網絡行為的安全意識，對于來源渠道不明的應用安裝包、網站、二維碼等，要謹慎點擊或掃描，建議通過正規渠道下載安裝應用。

4.3 不要輕易泄露支付驗證信息

早期黑灰產業冒充電子停車收費系統（ETC）、銀行機構向受害人發送含釣魚網址的短信，通過高仿的頁面，誘導受害人填寫銀行賬號信息、支付短信驗證碼等，進而盜刷受害人的資金。隨著攻防對抗的升級，黑灰產業現在使用電話聯系上受害人后，以話術誘導受害人安裝含屏幕共享功能的會議App，再通過屏幕共享功能遠程查看受害人收到的支付短信驗證碼完成資金盜刷操作。

面對此類針對短信驗證碼的“精準詐騙”和“組合攻擊”，首先要對“運營商”“銀行”等與資金往來相關的短信和來電進行認真甄別，及時與官方人員取得聯系進行二次確認，不輕易向對方提供驗證碼。其次，由于短信驗證碼與手機卡直接關聯，當手機丟失或手機卡丟失時，極易被不法分子利用，因此建議用戶給手機SIM卡設置密碼，防止手機丟失后被盜用。最后，要給手機設置復雜的解鎖密碼（超過6位的數字+字母），防止手機鎖屏密碼短期內被破解，同時給手機應用設置安全鎖，防止他人獲得手機應用內的信息。

5 結語

在萬物互聯的大數據時代，碎片化的個人信息不斷涌入互聯網浪潮中，面對錯綜復雜的網絡環境，如何保障個人信息安全，是政府、企業、個人都要面臨及解決的問題。一方面執法機關要從互聯網信息傳播源頭，加大對違法違規獲取個人信息行為的打擊治理；另一個方面，企業需提高社會責任感，提高對個人信息保護的重視程度，建立必要的個人信息存儲、使用以及發生信息泄露事件后的個人信息安全保護機制。同時，個人也需提升自身的信息防護意識，增強警惕心，積極學習并實踐各類信息保護手段。

（原載于《保密科學技術》雜志2023年4月刊）