從盲騙到“精準”詐騙

靖力

相較于以往的“盲騙”，精準詐騙的最大特征便是掌握了目標對象的大量個人信息，詐騙劇本都是契合詐騙對象設定的

日前，一段視頻在網上迅速走紅，視頻記錄了某高校一名教授在“新生防騙培訓”上講課的片段：“中國四大表演院校知道嗎？北影、中戲、上戲、南未。南未就是南方口音未知號碼騙子學院。”學生嘩然。教授又說：“你們也許會說，老師你講防騙沒用，我連大學都考上了，騙子小學都沒畢業，能騙得了我嗎？你要這么想，就離上新聞不遠了?！?/p>

一段時間以來，各類政府工作計劃里、各地學術研討會議上、各家閑談議論中，“精準詐騙”成為高頻詞匯，反復被討論著。

引發各界對“精準詐騙”強烈關注的重要節點是山東徐玉玉案的曝光。8月21日，山東省臨沂市羅莊區女孩徐玉玉被詐騙電話騙走上大學的全部學費后，難過不已，導致心臟驟停離世。事件揭開了“精準詐騙”的冰山一角：山東警方將詐騙徐玉玉的犯罪團伙抓捕歸案后發現，正是因為徐玉玉申請助學金的信息被泄露，詐騙團伙才得以知道徐玉玉的姓名、住址和學校，因此徐玉玉才完全相信了對方的虛假身份，進而被騙。

無獨有偶，8月下旬，清華大學一名教授被騙走1760萬元。據悉，這名教授當天上午剛剛賣了一套房子，房款剛剛到賬，回家就接到詐騙電話，稱其在買賣房產過程中漏繳稅款。詐騙團伙甚至說出了該教授賣房網簽合同的編號，這些信息讓該教授相信了對方。

在眾多的電信網絡詐騙犯罪中，“精準”詐騙被視為成功率最高、最令人無法防范的詐騙犯罪。360首席反詐騙專家裴智勇將“精準詐騙”定義為通過深入利用用戶個人信息實施的詐騙。這類以掌握準確的個人信息為基礎、編織合乎目標對象的情節的騙術讓人防不勝防。“從過去的‘盲騙，到現在的‘精準詐騙，詐騙成功率越來越高，也越來越令人難以防范?！?/p>

一騙一個準的“精準”詐騙

從8月下旬至今，徐玉玉案引發的持續喧囂仍未停歇。中央以及各地政府持續開展著嚴打電信詐騙的行動，揭開了電信詐騙手法變遷的新趨勢。

10月17日，公安部召開打擊電信網絡詐騙犯罪電視電話會議，據了解，今年1月到9月，全國共破獲電信網絡詐騙案件7.7萬起，查處違法犯罪人員4.3萬名，打掉各類詐騙團伙6200余個，搗毀詐騙窩點6900余個。

裴智勇表示，這種詐騙與前些年流行的“盲騙”不同的是，“盲騙”并不掌握或者少量掌握目標對象的個人信息，僅用某種固定的騙局進行“廣撒網”式的詐騙，某個目標對象恰好契合騙局的設定，便容易被騙，而對于多數人，“盲騙”起不到任何作用；而“精準詐騙”則是充分掌握了目標對象的個人信息，根據個人信息擬定騙局進行詐騙，幾乎所有目標對象都是契合騙局設定的，這種方式的詐騙效率很高。

“盲騙”的效率有多低？10月11日，河南省博愛縣法院公開判決了一起詐騙案，兩名江西籍被告人利用偽基站設備群發詐騙短信，從3月6日開始，開車從福建到甘肅，又從甘肅到陜西、河南，耗時半年前后共計發送詐騙短信48.8萬條，直至被警方抓獲，沒有一個人受騙。

而“精準”詐騙的成功率就高多了。僅在徐玉玉案被曝光的不到一周的時間里，臨沂市便又有兩起性質相同的大學生被騙案被報道，其中一名臨沭縣的大二學生宋振寧也與徐玉玉一樣心臟驟停，不幸離世。宋振寧接到的電話是來自“公安”的，稱其銀行卡被人透支了6萬多元。一開始宋振寧還有點懷疑，但隨后對方說出了他的銀行卡信息和身份信息，最終給對方匯去了2000元。另一名被騙大一女生則先后接到“快遞公司”、“銀行客服”、“公安局辦案人員”的電話，稱其涉嫌洗錢，需要往指定賬戶匯款證明收入來源合法，還準確說出了她的身份證號碼、銀行賬戶等個人信息，最終被騙。

連以互聯網安全見長的互聯網公司大佬們也未能幸免。9月20日，360公司董事長周鴻祎在2016網絡安全技術高峰論壇上也表示，自己曾經收到過精準詐騙的短信，例如“周鴻祎這是你孩子的成績單”，并加上一個鏈接，或者“周鴻祎這是我們一塊出去玩的照片，請看一看”等。

信息泄露：一靠內鬼 二靠黑客

精準詐騙的猖獗，使人們將目光投向了個人信息的保護問題上。裴智勇認為，個人信息的大量泄露，是精準詐騙得以成功的基礎。而個人信息的源頭，則是國家機關或者金融、電信、交通、教育、醫療等單位的相關崗位。

“一些組織和個人，違反職業道德和保密義務，將這些消費者信息數據竊取后出售牟利。”江蘇省南京市玄武區檢察院偵監科科長周穎表示，在警方查獲的個人信息泄露源頭中，有電信公司、快遞公司、銀行等企業工作人員，也有醫院、學校、工商部門人員。

10月初，北京市豐臺區法院公布了一起中國聯通公司員工肖某利用工作便利，非法獲取并出賣公民個人信息的案件，涉案個人信息多達12.9萬條。肖某在聯通公司負責數據挖掘方面的工作，有機會接觸到大量用戶的個人信息。通過網絡，肖某將包含姓名、手機號碼、家庭住址、身份證號碼在內的個人信息共12.9萬條賣給別人，同時還有“裸號”，即只有姓名和電話號碼的個人信息十萬余條，也賣給了別人，獲利近10萬元。

一般來說，能夠掌握大量個人信息的相關崗位在招聘時，都會與員工簽訂保密協議，協議中也會明確寫明信息泄露的違法犯罪后果，但在巨大的經濟利益的誘惑下，許多員工仍然會選擇鋌而走險。

10月16日，四川省綿陽市警方破獲了一起公安部掛牌督辦的“5·26侵犯公民個人信息案”，案件中，竟然還有一名銀行行長參與了個人信息交易。5月下旬，綿陽市警方發現有人在網上非法獲取公民個人征信報告，并出賣牟利。調查后發現，犯罪嫌疑人鄧某以每條信息80元至200元不等的價格販賣公民個人征信信息，但他只是一名中間商。隨后，鄧某的上家胡某、吳某等人也被警方抓獲。警方繼續追查，發現信息泄露的源頭在銀行內部，有人將銀行征信系統的查詢賬號以8萬元的價格對外出售。7月，警方查明源頭后，將出售查詢賬號的湖南省邵陽市某縣農商銀行一支行行長夏某抓獲。

除了靠內鬼買個人資料，通過技術手段竊取個人信息也是詐騙收購信息的一大源頭。

一名不愿意透露姓名的烏云網網絡安全專家告訴記者，從平臺上近幾年發布的各種漏洞信息來看，只要你在使用電腦和手機，個人信息的泄露幾乎不可避免。“信息泄露比較嚴重的，包括金融、保險、房地產企業的系統后臺，還有許多實名注冊的購物、交友網站。一些網站站源代碼泄露，黑客便能夠直接訪問數據庫，想要什么樣的數據可以直接揀?。贿€有一些存在命令執行漏洞，也可能泄露大量個人信息；此外，還有通過木馬植入等方法破壞保密系統，竊取個人信息的?！边@名網絡安全專家告訴記者。

裴智勇接受記者采訪時表示，網絡漏洞是不可避免的，安全修復只能大大降低漏洞發生的幾率，但漏洞一直都會在。“但是據我們統計，95%以上的網站一年以上都不進行修復?！迸嶂怯抡J為，國內許多企業仍然缺乏對網絡安全運營的重視。而就目前的立法來看，法律只規定了非法出售、非法獲取個人信息的懲處，對于“不盡職”的企業并沒有相關規制，例如對網站的修復周期并沒有明確規定。這些情況使得企業有一種心理，一旦個人信息泄露被用于詐騙，也并非自己直接損害用戶，用戶也無法取證狀告網站或進行理賠。

7月中旬，票務網站大麥網遭“撞庫”事件引起了許多人的關注。大麥網遭“撞庫”后，部分用戶個人信息被竊取，導致全國多地39名用戶被騙，損失金額達147.42萬元，單人受騙金額最高近10萬元。

有受騙者稱，她先是接到大麥網客服號碼打來的電話，對方稱由于誤操作，不慎給她的賬戶升級了VIP，如果不取消，當晚就會從銀行卡中扣款。隨后該“客服”準確說出了她的身份證號碼、手機號碼、所購演出票的信息等，打消了她的疑慮，最終被騙數千元。

精準詐騙利益鏈

10月初，重慶市巴南區警方部署行動，千里迢迢從北京將一名涉嫌侵犯公民個人信息罪的網站負責人梅家棟抓獲歸案。據巴南區檢察院偵監科檢察官唐佩玉介紹，該案涉及個人信息買賣的至少5個層級，涉案嫌疑人多達53人。

該案的核心人物李詩是一名買賣個人信息的二道販子，他從上家陸海龍、魯飛等人手中購買個人信息，絕大多數轉賣給了最末端的銷售員，也有少部分賣給其他二道販子繼續流轉。而魯飛的個人信息都來源于梅家棟開辦的“酷我信息網”。梅家棟在“酷我信息網”中設計了一套信息流轉的規矩：網友通過購買網站虛擬貨幣“巴豆”來支付下載信息的費用，發布信息可以獲得“巴豆”，每一次交易，梅家棟要提成10%的“巴豆”作為服務費。

接受記者采訪時，李詩坦白，個人信息按詳細與否、嶄新與否價格不一，最貴的能賣到幾元一條，最便宜的一分不到，一手信息最貴，而2010年以前的信息一般就只能捆綁當添頭了。QQ群、微信群，目前是個人信息最主要的交易市場。李詩坦白，誰需要哪個行業、哪個地域的個人信息，只需要在群里吼一嗓子，自然有人搭腔，隨后便轉入私聊，完成交易。

在個人信息的黑市里，那些關乎每個人隱私的個人信息，就像流水線上出來的產品，通過層層轉手，最后落到銷售人員手中，落到詐騙人員手中。

個人信息流轉到詐騙團伙手中，是信息泄露最為嚴重的后果之一。比如在徐玉玉案等精準詐騙的案件中，個人信息的泄露成了詐騙團伙成功施騙的關鍵。徐玉玉案中，犯罪嫌疑人杜天禹竊取、售賣個人信息，鄭賢聰負責扮演教育局工作人員，陳文輝則負責冒充財政局工作人員，鄭金峰負責提取詐騙款。整個流程一氣呵成。

“一條條信息的泄露，一道道防線的失守，一次比一次更嚴重的傷害，整個社會都在追問：是誰讓騙子可以按圖索驥，實現精準詐騙？”信息管理專家、《數據之巔》作者涂子沛撰文感嘆。

雖然有大量個人信息的助推，但詐騙團伙自身的精細化、專業化發展也是防詐騙越來越難的原因。

比如湖州市吳興區檢察院查辦的7起電信詐騙案件中。有負責整個犯罪團伙的運作、購買客戶資料和詐騙技巧、統計業績的團伙頭目。還有客服對購買的客戶資料進行分類，將“潛在客戶”分流至業務組，業務員則負責具體打電話進行詐騙。還有審單人員負責核對快遞單號，與被害人確認收貨地址和聯系方式，通過快遞物流公司和“關聯賬戶”將詐騙款流入自己賬戶。

個人信息立法是防騙關鍵

采訪中，許多專家不約而同地表示，相較于以往的“盲騙”，精準詐騙的最大特征便是掌握了目標對象的大量個人信息。

北京大學電子商務法律發展研究基地主任、法學教授劉凱湘表示，需從立法上認可“個人數據信息權”，保護公民的人格權，才能有效保護公共利益。

中國人民大學副校長、法學院教授王利明也表示，當務之急是應當在正在制定的民法典中明確規定個人信息權，任何人不得非法獲取個人信息，更不得非法出售或者提供個人信息，對信息泄露者應當視其情節輕重，追究其法律責任。王利明建議，應當以個人信息權為基礎，應當制定專門的個人信息保護法，解決個人信息保護的多個問題。

“不是所有的個人和機構都可以收集個人信息，特別是大規模地收集個人信息。任何機關和個人在收集他人個人信息時，都應當遵循合法性原則，保證收集的主體和手段必須合法。同時，個人信息收集必須要符合特定目的，例如，銀行收集的個人信息只能限于銀行內部使用，房屋中介收集的個人信息只應在交易過程中收集，交易后應當銷毀，而不能在此目的之外使用相關信息。”王利明表示。

此外，王利明認為，還應當保證個人信息所有人的知情同意原則，對一些重要信息的收集，特別是關系個人核心隱私信息的收集，必須取得本人的同意，并且應當向被收集者告知信息的收集目的、用途和使用期限等。同時，應當明確個人信息收集的范圍以及個人信息收集后的妥善保管責任。在個人信息的查詢規則方面，一旦有關機關收集個人信息后，并不意味著任何人都有權查詢，因為有些個人信息屬于個人的私密信息，應當受到法律保護。最后，是要明確侵害個人信息權利的責任。“目前，有的機構大面積收集個人的信息，導致個人信息的大面積泄露，這些主體的責任并不明確。立法應當明確侵害個人信息權利的責任，如果確實是機構的原因導致信息大面積泄露，則機構應當依法承擔相應的責任；如果是機構的工作人員私自泄露了個人信息，除該個人應當承擔責任外，機構視具體情節也可能需要依法承擔責任。”王利明建議。

事實上，王利明所呼吁的《個人信息保護法》，從2003年開始，國務院就委托有關專家開始起草了，2005年，《個人信息保護法》專家建議稿完成并提交了國務院審議。但時至今日，該法始終未能出臺。

國外有首席隱私官

因為缺乏專門法律，目前我國與個人信息保護相關的法律規定便只能散見于各類法律之中。例如在我國的《民法通則》、《民事訴訟法》、《保險法》、《行政訴訟法》中都有對個人隱私予以保護的法律規定，而直接規定對個人信息的保護的，卻只有刑法中的規定。剛剛施行的刑法修正案（九）第253條規定，“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。”

對于立法上存在的問題，北京大學法學院教授梁根林認為，從刑法角度看，立法其實已經作了非常嚴格的規定，目前執法中出現了立案難、取證難、管轄難等問題，在等待進一步立法的同時，應讓法律真正有效地得到實施。

執法體系薄弱的問題也是精準詐騙難以防范的原因。通信業專家項立剛表示，打擊精準詐騙目前面臨的最大問題是執法體系比較薄弱：“犯罪分子已經是網絡化、高效率、低成本、精細分工，而執法系統還是屬地管理、網格化、低效率、高成本。所以許多詐騙數額并不巨大的詐騙案基本無法解決。面對低成本、高收入的詐騙誘惑，騙子們怎能放棄這塊肥肉呢？”

采訪中，一些專家介紹，在對公民個人信息保護這方面，歐盟、美國的一些做法值得借鑒。早在1995年，歐盟就制定了世界上最嚴格的個人數據保護規定，歐盟法院確認公民享有一項新的權利——遺忘權。公民在網絡上留下的痕跡，有權要求網站將其刪除。而美國跟歐盟的個人信息保護模式不同，美國強調的是違法成本。據相關機構的統計，在美國，只要泄露信息的事件發生一次，企業就會有15%左右的客戶流失，違法成本代價極高，也約束企業不敢違法。

涂子沛表示，美國聯邦政府下轄有70多個部委直屬機構，絕大多數不僅設立了首席數據官，還設立了首席隱私官。“建議工信部成立一個專門的個人隱私保護局，職責就是制定相關個人信息保護的政策，打擊因為個人信息泄露導致的詐騙行為，未來的各級政府，都應當有個人信息保護的工作部門?！蓖孔优娼ㄗh。