中国网络电视台 > 经济频道 > 经济台滚动新闻

《经济半小时》 20141124 警惕身边的网络安全

发布时间:2014年11月24日 22:31 | 进入复兴论坛 | 来源:央视网 | 手机看新闻 | 手机看视频


评分
意见反馈 意见反馈 顶 踩
channelId 1 1


  由中央网信办会同中央机构编制委员会办公室、教育部、工业和信息化部、公安部、中国人民银行、新闻出版广电总局等部门主办的首届国家网络安全宣传周,于11月24日至30日在北京举行,这是中国第一次举办全国范围的国家级网络安全主题宣传活动。首届国家网络安全宣传周以“共建网络安全,共享网络文明”为主题,围绕金融、电信、电子政务、电子商务等重点领域和行业网络安全,针对社会公众关注的热点问题,举办网络安全体验展等系列主题宣传活动。

  首届国家网络安全宣传周在京举行 网络安全问题日益严峻

  央视财经《经济半小时》记者王星灿:首届国家网络安全宣传周即将拉开帷幕。这次的活动不但是规格高,范围广,而且也非常的接地气。大家可以看到,我身后就是一个网络安全的公众体验展厅。

  记者看到,为了帮助公众更好地了解、感知身边的网络安全风险,增强网络安全意识,提高网络安全防护技能,成为这一次参展机构的重点展示内容。在360公司的展区,总裁齐向东向我们演示了所谓的黑WIFI如何窃取用户个人信息。

  360公司总裁齐向东:现在我们登录一个电商的网站,(用户名)xiaohong,然后密码随便设一个1234,然后点登录。这里(手机上)看不到,你在这个荧屏上你能看到,这是我们的用户名,是xiaohong,然后密码1234,是1234 对吧,然后它的状态。所以这个就把你在一个电商的网站的登录过程就记录下来了,那你的用户名和密码的里面是有钱的,所以那你在网上的财产就没保障了,就已经被偷走了。

  在腾讯的展区,最打眼的就是一个强大的全景防卫系统,通过大数据来识别恶意网址和诈骗电话。

  腾讯安全市场总监王成:那通过这套系统支撑我们腾讯的一个天下无贼反信息诈骗联盟,然后让更多的网民来受益,通过腾讯的这个全景防卫系统每天进行查杀的恶意网址是300多亿,其中的挽回经济损失800多亿(元)。

  此外,记者了解到,除了体验展同期还将举办网络安全公益短片征集展播、网络安全专家访谈、网络安全知识进万家、网络安全知识讲座等系列主题活动。

  中兴通讯股份有限公司终端事业部副总经理谢伟:到时候我们会做一个演讲,那么演讲的内容主要是关于一个是,互联网时代到来之后,信息安全存在哪些问题,特别是对于消费者。那么在这些问题之后,我们也会就是,有哪些应对措施。

  国家互联网信息办公室副主任王秀军:从目前我们国家的网络安全现状来讲,还是不容乐观的,我们面临的威胁和挑战日益增加,今年举办首届安全周,主要是从老百姓这个层面,就是让老百姓增强安全意识,然后提高安全防范能力,给老百姓树立一个网络安全人人有责,大家都共同参与,那么这样呢,整体来跟政府,跟社会,跟企业共同来提升我们国家的网络安全水平。

  网络安全问题随着网络应用的深入而发展演变,对国家安全、经济发展、社会稳定和公众利益构成日益严峻的威胁。国家互联网应急中心监测发现,仅2014年上半年,中国境内就有625万余台主机被黑客利用作木马或僵尸网络受控端,1.5万个网站链接被用于传播恶意代码,2.5万余个网站被植入后门程序,捕获移动互联网恶意程序3.6万余个,新出现信息系统高危漏洞1243个。

  木马软件 病毒 恶意程序 网络安全“步步惊心”

  上海市民王金龙:他一打电话第一句就是,你猜一下我是谁?他就非常清楚的,报出了我的姓名,你之前是在哪个学校毕业的,你在哪个单位上过班的。

  2013年10月的一天,王金龙突然接到一通神秘的电话,对方自报是他的某位朋友,对王金龙的很多个人信息了如指掌,但是,他却不肯主动透露自己的身份。

  王金龙:(他说)你怎么把我忘了,我就说,你到底是谁,你怎么不记得了,我就说,你怎么知道我的信息,后来他就没有告诉我就挂掉了。

  很明显,这是一个不怀好意的骚扰电话,但是对方到底是谁?为什么会掌握自己的个人信息?他的企图到底是什么?这一连串的问号还没来得及解开,王金龙就接二连三地接到了类似的电话。

  王金龙:反反复复基本上每一周都会接到一到两个。一般的这种电话都是晚上的时候接到,甚至很多的时候他在半夜的时候都会打,都是为了骗取你的信任,来诈骗你的钱财。

  当时的王金龙正好从事是关于网络安全方面的工作,职业的敏感让他意识到,自己的个人信息很可能被泄露了。

  王金龙:在这个事情之前,可能会收到骚扰短信,也会收到一些诈骗电话,但是不会对我个人信息了解的这么具体。

  那么,这些信息是通过什么渠道泄露出去的?又已经扩散到什么样的程度?王金龙报着试一试的心情在网上进行搜索,结果让他大吃一惊。一个叫做2000万酒店数据的数据库在网上比比皆是,有的甚至就直接叫2000万开房信息。

  王金龙:有大量的2000万的个人信息数据库,在网上被大量的下,每天的下载量非常,打开你只要这个链接就可以下载,不需要什么技术含量就可以下载。这里不止两千万条个人信息。我们打开一个,只要用文本的格式就可以查看到具体的个人信息。

  记者:您自己的信息也在里边吗?

  王金龙:我自己的信息也在里头。

  

王金龙在2000万酒店数据的数据库找到了自己的个人信息

王金龙在2000万酒店数据的数据库找到了自己的个人信息

  通过这个大小为1.7的数据库,要获取包括自己在内的2000万人的个人信息已是轻而易举,而且这些信息的详细程度也让王金龙始料不及。

  王金龙:包括个人的基本的一些信息,比如说像姓名,出生日,家庭住址,同时还包括一些联系方式,手机号码,和你的一些入住酒店的时候,具体的一个时间点,包括我那个2012年12月6日办理酒店的信息和相关的一些记录。

  360互联网安全中心提供的数据显示:2014年上半年360互联网安全中心共截获新增恶意程序样本15.5亿个,较2013年上半年新增样本量 8.09亿个,同比增长91.6%,平均每天截获新增恶意程序样本856万个。

  

360互联网安全中心提供的数据

360互联网安全中心提供的数据

  2014上半年360互联网安全中心统计的恶意程序云查询拦截量为139.7亿次,较2013年上半年的167.1亿次同比下降16.4%,平均每天为用户拦截恶意程序攻击约7718万次。

  2014年上半年国内木马病毒疫情的风险人群比例约为30.15%,高危人群比例则约为1.15%。根据中国网民总数为6.32亿计算,约有1.91亿网民在90天内至少会曾遭到一次木马病毒攻击。

  

360互联网安全中心提供的数据

360互联网安全中心提供的数据

  2014年上半年360互联网安全中心共截获新增钓鱼网站154.6万个,较2013年上半年钓鱼网站新增量130.1万个同比增长18.8%,平均每天截获新增钓鱼网站约8541个。

 

360互联网安全中心提供的数据

360互联网安全中心提供的数据

  网络上,大量的木马软件、病毒、恶意程序,时时刻刻侵害着消费者的权益。今年双十一期间,很多网友上了钓鱼网站的当。

  央视财经《经济半小时》记者:当时的怎么就看上这个了?

  钓鱼网站受害者小晏:他的销量第一,我就选了这个。

  记者:9.9包邮吗?

  钓鱼网站受害者小晏:对。

  90后的小晏没有想到,在双十一这天,为了购买这双不到十元的棉拖鞋,自己花了将近5000元钱。

  钓鱼网站受害者小晏:(付款后)过了大概有半个小时,就有一个人打电话过来,说这个订单有异常,就退款给我。

  小晏说,他当时在网上购物时,,从登录网站、购物、交易、付款,所有的步骤并没有感到有任何异常。再查看订单状态,也并未显示异常。
  钓鱼网站受害者小晏:我看了,都是正常的。他说那天是高峰,我理解,我就点进去了。

  经过电话确认后,对方给小晏讲了一个网址,小晏没有多想,就把它输进了电脑的地址栏里,网页打开之后,显示的是一个异常订单处理中心。这时,这个所谓的卖家告诉小宴,按照提示的操作,就可以把付出的钱退回银行卡。

  钓鱼网站受害者小晏:点进去是选择银行卡他有证件号的号码填上去。还有密码,网银密码也填上去,还有一个验证码验证一下就可以选了。

  但是小晏的手机上收到的并不是网页上要求填的校验码,而是动态密码。小晏觉得有些奇怪,打电话问对方,对方于是要走了他的动态密码。

  钓鱼网站受害者小晏:最后他们是套取那个动态密码,那个验证码一直都获取不到。

  正在小晏觉得自己被困在校验码这一关的时候,手机里却收到了两条短消息,显示自己的银行卡分两笔消费了4000元钱。

  记者:收到这个的时候你没引起到注意吗?

  钓鱼网站受害者小晏:没注意。他刚才发了一个虚拟金额。

  原来,在这个看上去很正规的页面底部,有这样两行红色的温馨提示:系统将发出1-99999元随机虚拟交易金额验证码,如有显示金额请放心输入,本次不收任何费用。正是这两行字,让小晏放松了警惕,误以为刚才的扣款短信是所谓的随机虚拟交易。但是很快,手机又收到了第三条短信,显示这张银行卡又消费了954元,这让小晏感觉有些有不对劲了。

  钓鱼网站受害者小晏:我打开这个网上银行,(钱)就没有了。

  记者:还剩多少了?

  钓鱼网站受害者小晏:还剩下几十(元)。

  

小晏手机收到了短信 显示银行卡消费了954元

小晏手机收到了短信 显示银行卡消费了954元

  短短几分钟的时间,银行卡上就被扣了4954元钱,而此时,这个自称是卖家的人就再也联系不上了。

  小晏的妈妈是到第二天才知道儿子被骗了钱,这让她又心疼又气恼。这5000元钱,在小晏妈妈看来,就是家里保障两个孙子安全的栏杆,是女儿一年的学费。

  到底是谁偷走了小晏的这将近5000元钱?小晏曾经怀疑是卖家有问题,但是这家店铺的信誉等级已经是三颗皇冠,而且最终他也收到了自己购买的货物。那这个骗子到底会是谁呢?他是如何下手的呢?在360公司,工程师给我们摸拟演示了操作流程。

  央视财经《经济半小时》记者:这就是那个大家都经常说异常订单处理中心?

  网络安全工程师刘福军:对。

  记者:其实有这个中心存在吗?

  刘福军:这个是不存在的

  刘福军说,很多大型的购物网站和专用的聊天工具往往都具有一定的防钓鱼诈骗的功能,所以骗子一般都会要求用户退出之后再按他们的指示操作,引导受害者一步一步上钩。

  刘福军:然后点击开始操作之后,它这块会有一个用户名登录和密码,还有一个支付密码。然后这个用户名很容易去测试,我直接输一个,全都输入是2,没有任何一个规律,然后这个密码我也输入的是1,支付密码我也输入1就行了,它是不做任何验证的,我直接点击登录,它一样是可以登录进来。

  记者:随机的是吧?

  刘福军:对。你随便输入都可以。

  记者:我来随便输一个。

  刘福军:它不做任何的验证,它一样是可以登录进来的。

  刘福军说,按照骗子提供的步骤,受害人登录之后,便会进入一个收银平台的页面,这个网页看起来和正规的支付网站并没有什么太大的区别。用户在自己的电脑上填写这些个人和银行卡信息时,骗子在后台就能将这些信息全部窃取。

  刘福军:他就会让你输入持卡人的姓名,持卡人的身份证号,还有银行卡信息,包括取款密码,网银的登录密码,然后还包括你当时预留手机号,以及你当时获取的短信验证。其实骗子在这块获取用户这些信息,就是为了开通一个快捷支付的功能,然后可以在他那个,在骗子那头直接进行支付的。

  那么,骗子是如何在小晏下单后半个小时左右的时间内得知他的电话和购物信息的呢?

  刘福军:从技术上其实是很难判断这种泄漏途径的。

  采访时记者了解到,小晏被骗并非个例,双十一的购物高峰也已经成钓鱼诈骗的高峰。据 360 互联网安全中心数据显示,自 2014 年 11 月 11 日 00:00 至 24:00,全天共截获新增钓鱼网站 6102 个,其中假冒知名电商网站 3288 个,占全天截获新增钓鱼网站总数的 53.9%。360 安全卫士、360 手机卫士和 360 安全浏览器等安全产品,共为全国用户拦截钓鱼网站攻击 1.97 亿次,相当于日均拦截量的 2.05 倍。 

  从新增钓鱼网站的类型分布上看,虚假购物是新增数量最多的钓鱼网站,占比高达63.7%。其次是被黑客攻破用于钓鱼欺诈(简称网站被黑)和虚假中奖,占比分别达10.9%、6.8%。不过,这些带有病毒的钓鱼网站,并不只在我们使用的电脑上存在,我们每天使用的手机同样也遭遇到病毒和诈骗短信的威胁。而向我们手机发送病毒的,就是一种叫做伪基站的设备。

  手机同样遭遇病毒威胁 伪基站成帮凶

  赵先生是北京一家合资企业的人力资源部门负责人。2014年7月底,他收到了招商银行客服给他发来的一条积分兑换信息。

  受骗事主赵先生:那时候正在处理邮件,办公,然后突然收到一条95555发过来的短信,那上面写就是可以兑换积分等等有些各种活动,然后有个链接。

  由于经常收到银行客服的短信,所以,这一次,赵先生没有多想就打开了信息上提供的网络连接。

  赵先生:那么登录以后呢,就是按页面的提醒,输入了这个卡号啊,密码啊等等这一系列信息。那输入完了以后呢,就是下一步,下一步这样去操作了,那点完以后没过一两分钟,我收到这个微信的提醒,说我有两笔一万块钱的消费,那是给了联众这家游戏公司做了这样的消费。

  

点击了假银行客服信息后 赵先生的卡被盗刷

点击了假银行客服信息后 赵先生的卡被盗刷

  觉得不对劲的赵先生拨打了银行的客服电话,这才知道,银行根本没有发送过任何信息给他,同时告诉他,他的确发生了两笔一万元的消费记录。此时,赵先生意识到自己的钱被盗刷。同样是在2014年7月,李女士接到了一条自称是工商银行发来的短信。

  受害事主李女士:因为平常我们工商银行的信用卡也是经常有积分兑换,那他就告诉我,我的积分已经达到了一个兑换的标准,可以兑换700多块钱的东西,然后让我点一个网址,那我当时点了网址之后,他又让我输入验证码,我输入过去之后就发现卡上的18000多块钱丢失了。

  李女士立即给工商银行客服打电话,得到的回答让李女士大吃一惊。

  李女士:银行跟我说好像是买了游戏装备了。

  实际上,赵先生和李女士都是伪基站的受害者。伪基站,是当前一种事实电信诈骗、非法广告、传播危害公共安全信息的高科技仪器。这类仪器设备通常安放在汽车或者一个比较隐蔽的地方发送诈骗短信。它的覆盖面积并不大,方圆可达几百米。但是它的功能却很强大,只要伪基站覆盖的地方,不需要用户的号码,就可以随意更改号码,强行向手机用户发送诈骗短信,诱使用户在手机上植入木马病毒或打开钓鱼网站,盗取个人信息,往往给用户造成直接的经济损失。那么这些伪基站到底在哪里?他们又是怎么发送诈骗信息的呢?


  画面上这个鞋盒大小的设备名叫无线电收发电台,只要它和一台专用的笔记本电脑相连,就可以完成无线电收发的功能。而发送诈骗短信的人就是利用了这样的一个设备,完成了发送诈骗信息。一旦这个设备开始发送,在它周围的手机,无需知道号码,都会被影响,都有可能接收到伪基站发送出来的信息。
   
  

这个设备名叫无线电收发电台 就是俗称的伪基站

这个设备名叫无线电收发电台 就是俗称的伪基站

  网络安全专家万仁国:在空旷的地方它可以达到1-2公里,像我们这个,因为功率设的比较低,那么它的影响范围会小一些,大概在500米左右。

  360大数据研究专家裴智勇:这是一个钓鱼网站的时时拦截地图。那么实际上近两年来,应该说由于这个安全软件的普及,木马病毒的成功攻击用户的比例越来越低。但是钓鱼网站越来越流行。那么钓鱼网站这个攻击量也是非常大,看今天已经9000多万次,拦截钓鱼网站的攻击已经达到9000多万次,接近1亿次了。实际上钓鱼网站也是目前来说,对中国网民最主要的一种网络危害。

  伪基站的功能到底有多强大吗?《经济半小时》记者现场做了实验。

  记者寇轩凯:我面前放了7部手机,这7部手机分别都是联通和移动的139、138、186、180等各大常用号段,现在是在我们10米外的地方有一个伪基站,现在我们让专家给我们演示一下,现在就发送这些诈骗的信息看看在10米外的手机是否能够接收的到。万工准备好了吗?

  万仁国:准备好了。

  记者:您现在可以向我们这个手机发送吗?

  万仁国:好。我现在已经把这个打开了,现在开始群发了。

  记者:已经发了吗?

  万仁国:已经在发送。

  记者:大概多久能过来。两部。大概没有超过5秒钟的时间,我们这边7部手机都接到了现在发过来的信息,我们看一下是什么。

  万仁国:我是用的一个10086的号码,然后那个发送是一个中奖的信息,但是后面我备注了是测试短信。恭喜您中奖一百万,请联系我们官方客服领奖,然后后面打了一个测试短信。

  360互联网安全中心今年发布了国内首份伪基站短信治理报告。报告显示,2014年第二季度,360手机卫士共为全国用户拦截各类伪基站短信(不含疑似伪基站)12.38亿条,平均每天拦截伪基站短信1360万条。

  伪基站设备冒用普通手机号占比为32.3%;冒充“10086”、“955”、“400”以及“106”系列官方号码总占比42.8%。

  在所有由伪基站发送的垃圾短信中,广告类短信数量最多,占比高达51.1%;其次为违法类、诈骗类的短信,占比分别为33.3%和15.6%。值得注意的是,诈骗类伪基站短信有七成都冒充运营商发送积分兑换、话费充值等诈骗短信,诱导手机用户点击钓鱼网站或回拨诈骗电话,以骗取钱财。而违法类伪基站短信中,近七成为代开发票类短信。
  
  钓鱼网站使用的病毒软件、伪基站发送的发送的诈骗短信,无疑对广大群众的财产安全造成了严重的威胁。虽然钓鱼网站花样翻新,伪基站诈骗短信层出不穷,但是消费者在网上购物时只要足够细心和谨慎,不贪图小便宜,就很容易识破骗子的花招。但是,如果我们遭遇到个人信息泄露,那么网络就没有安全可言了。就如同把自家的窗户和大门全部敞开,不怀好意的人进出自如。

  个人信息严重泄露 漏洞究竟在哪里

  王金龙注意到,就在2013年10月,有人在乌云网上发布了某些连锁酒店大量客户开房记录被第三方存储并因漏洞导致泄露的信息,这些酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wifi管理、认证管理系统。浙江慧达驿站网络有限公司在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号,开房日期,房间号等敏感、隐私信息。这些信息因为某种原因,可以被泄露。结合这一信息,王金龙认为,自己当时入住的这家酒店和提供Wifi管理服务的浙江慧达驿站网络有限公司应该对这次的信息泄漏负法律负责,于是,他将两者告上了法庭。

  王金龙:国内在信息安全的立法一方面,不完善,所以企业在这方面成本是非常低的,所以造成了个人信息,已经到了猖狂的这种地步,很多的老百姓,已经到了信息泄漏忍无可忍的阶段了。所以在这种背景下,我就提出了这种诉讼。

  但是,王金龙所起诉的酒店表示,它们并未使用过浙江慧达驿站网络公司的设备,而且,在乌云上发布该漏洞的网友也很快再次发布声明:网上传的“2000W记录”与此漏洞无关。而乌云网的联合创始人孟卓也坦承,这样大规模的数据泄漏,如果不是服务提供方有意为之,那就是因为系统因为黑客攻击而导致。而这样的泄漏事件一旦发生,如果不是所有的相关企业都积极配合,确定的泄漏源几乎是一个不可能的任务。

  乌云网联合创始人孟卓:因为想确定一个数据是从哪里泄漏的,这个首先就需要企业进行一个配合,进行数据的重合度进一个匹配。但其实这种事情发生之后,没有企业会说配合做这种事情,确定到底是谁家泄漏的。

  最终,王金龙因为证据不足而败诉。听到这个消息,沮丧的不仅有他,还有他所建的QQ群里600多名成员,他们大多是这次个人信息泄漏事件中的受害者。

  而更让这些受害者担心的是,现在这2000万条个人信息仍然在网上,随时可供查询。

  记者:它百度搜索显示这样的有多少条有一个搜索结果?

  王金龙:1640个。

  孟卓:其实在我们发现这个两千万的数据被曝光之后,一些公共的这种信息分享的平台也是很及时的把数据进行删除、屏蔽等等操作。但是互联网上,还是有很多技术可以让这个文件,这些数据一直的传递下去,这个是只要放到互联网上很难彻底的根除。

  在孟卓看来,由于互联网开放性和近年来的丰厚利润,一批被称为黑帽子的人通过黑客技术入侵服务器获取站点权限以及各类账户信息并从中谋取经济利益,已经对网络安全造成了巨大的威胁。

  作为互联网安全漏洞公布平台,近三年来乌云网发布的漏洞数量直接上升,从2011年10月至2014年10月,每12个月的数量分别为1.2万、2.8万和4.1万,增幅高达242%,它们中的大多数,都在得到企业确认以后得以修复。

  从乌云建站以来到目前,已经积累了8万余个安全漏洞。然后目前是以每天是数百个漏洞的提交量在增长。

  而对黑客攻击严加防范的,还有360。在360公司的这个多媒体展厅里,大屏幕上的各种数据飞速刷新,显示着互联网里危胁与防护的激烈博弈。

  裴智勇:那么现在我们看到的是一个全球网络的攻击的星球图,实际上我们看到图上不同颜色的竖线代表了不同网络攻击。而这个竖线的长短表示出来这个攻击的强度。那么实际上这个是我们360网站卫士所发布的,在全球发布的各种网站这样一个被攻击的情况。那么我们看到目前国内这种网络攻击还是非常多的,非常密集的。

  记者:这是相当于黑客发起攻击是吗?

  裴智勇:对。实际上这里面主要防范的是黑客对网站的攻击。主要我们是对网站防护进行一个数据的跟踪和统计。目前实际上每个竖线表示当地正在遭到当地的网站,或者说服务器那里的网站正在遭到黑客的入侵和攻击。

  半小时观察:

  今年2月27日,习近平总书记主持在中央网络安全和信息化领导小组第一次会议上发表重要讲话。他强调,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。我国是世界上互联网使用人口最多的国家。网络已经形成了一个名副其实的虚拟社会。治理社会,制度起根本性、全局性、长远性作用。同样,治理互联网,维护网络安全,不仅需要先进的技术和精良的装备作为重要物质基础,同时也需要法规体系作为其制度保障。网络安全不仅是网络本身的安全,也不仅是信息的安全,它关乎国家的安全。

《经济半小时》 20141124 警惕身边的网络安全 本期节目主要内容: 木马软件,恶意程序,网络病毒,稍不留神就会中招,个人信息严重泄露,漏洞到底在哪儿?由中央网信办会同中央机构编制委员会办公室、教育部、工业和信息化部、公安部、中国人民银行、新闻出版广电总局等部门共同举办的首届网络安全中于11月24号到30号在北京举行。首届国家网络安全宣传中以共建网络安全,共享网络文明为主题,围绕金融、电信、电子商务等重点领域和行业网络安全,针对社会公众关注的一些热点问题举办网络安全体验展等一系列主题宣传活动。(《经济半小时》 20141124 警惕身边的网络安全)
责任编辑:王玉飞

热词:

  • 首届
  • 国家
  • 网络
  • 安全
  • 宣传
  • channelId 1 1 2 e9194928ba2f4da98d99ef6117f824cc
    860010-1114010100