每日“网”事 | 工信部:重拳推进“打猫”“断卡” 全力整治电信网络诈骗
每日网事
网罗大小事,传递正能量
如何进一步加强信息通信行业
防范治理电信网络诈骗?
工信部网络安全管理局
相关负责人在接受记者专访时表示
当前新型诈骗手法层出不穷
各类即时通信工具
社交网站等成为诈骗的主渠道
下面一起关注具体内容
01
工信部:
重拳推进“打猫”“断卡”
全力整治电信网络诈骗
工信部高度重视全行业系统推进电信网络诈骗防范治理工作,将深入推进“断卡2.0”、“打猫”、互联网反诈等专项行动,持续完善信息通信行业反诈大平台能力,进一步构建长效治理机制。
整体对抗 构建协同联动工作体系
工信部网络安全管理局相关负责人对记者表示,电信网络诈骗可分为精准信息获取、诈骗脚本设计、通讯联络诱导、资金支付转移等四个关键环节,打击治理电信网络诈骗始终处于一个动态博弈的过程。
“特别是近年来,受新冠疫情等因素影响,各类线上活动增多,致使诈骗风险呈现上升态势,新型诈骗手法层出不穷,也呈现出诈骗手段更为多样、诈骗对象更为精准、诈骗团伙更为专业等新特点。”上述负责人说。
例如,各类即时通信工具、社交网站等成为诈骗的主渠道,一起诈骗案件往往涉及社交、婚恋、短视频等多个互联网应用。通过非法途径获取公民个人信息,诈骗分子针对不同人群,“量身定做”诈骗脚本。诈骗团伙组织明确分工,诈骗实施各环节均有专业团队提供技术支持,形成了规模化、有组织化的犯罪链条。
该负责人表示,电信网络诈骗治理已进入整体对抗、体系对抗的新阶段,亟待在抓好电信企业、互联网企业责任落实的同时,进一步构建跨平台、跨行业的责任落实和督导机制,提升各项治理工作的整体性和协同性。
对此,工信部拧紧责任链条,形成协同联动工作体系。组建部、省、企三级反诈专班,建立专业化队伍从事反诈工作。健全部省两级行业主管部门与公安机关、行业反诈专班与国家反诈中心的紧密协同联动机制,畅通工作对接、资源共享和技术支持。同时建立电信企业、互联网企业反诈责任清单和任务清单,通过监督检查、考核通报、约谈处罚等方式督促企业责任落实。数据显示,2021年累计考核问责企业67家,约谈挂牌16家。
管控源头 “打猫”“断卡”推进
值得关注的是,在反电信诈骗技术防范上,新技术应用导致技术对抗空前激烈。
上述负责人告诉记者,诈骗分子通过跨境或远程操控插卡集群设备(俗称“猫池”、GoIP设备),利用深度伪造技术、机器学习等人工智能技术实施诈骗活动,并不断对反诈策略模型进行试探分析,以调整诈骗行为方式,躲避技术封堵。同时,在国内持续高压打击和有效治理下,诈骗分子为了躲避监管,大量利用境外电信网络资源实施诈骗,增加了技术防范难度。
针对“猫池”、GoIP设备拨打诈骗电话溯源打击困难的问题,工信部组织开展“打猫行动”,会同公安机关加强对“猫池”设备的快速发现、准确定位和联合打击。截至目前,联合端掉“猫池”窝点2424个,缴获设备7201台。
针对当前行业治理中最为紧迫的电话卡、物联网卡、网络账号管理问题,工信部突出源头管控,启动“断卡行动2.0”专项工作,组织电信企业规范实施“二次实人认证”制度,对全国物联网卡开展拉网式检查,累计处置涉诈高风险电话卡9700万张、关联互联网账号5700万余个。目前已清理一大批存量高危号卡,有力斩断“囤卡、养卡、倒卡”等黑灰产业链条。
上述负责人表示,下一步将坚决打赢重点领域整顿攻坚战。聚焦行业治理突出问题,深入推进“断卡2.0”、“打猫”、跨境业务治理等专项行动,从严规范端口类短信、呼叫转移、专线、云服务等涉诈重点业务。特别是针对互联网领域诈骗多发高发态势,组织开展专项治理行动,加强互联网涉诈资源处置,强化互联网账号风险排查,严格规范网络搜索业务,建立完善主动预警能力,全面整治网络违规信息和黑灰产,夯实行业反诈工作基础。
以技治网 提升行业防范能力
以技治网,推进行业反诈手段和资源整合,是防范和打击电信诈骗的重点举措。
据悉,工信部通过信息通信行业反诈大平台,建立了大数据驱动、行业内外协同联动的技防体系,2021年累计处置涉诈域名网址104万个,拦截涉诈电话19.5亿次、涉诈短信21.4亿条。
针对企业数据之间存在互不联通的壁垒,工信部还创新推出全国移动电话卡“一证通查”及异地销户服务,方便用户查询和注销名下电话卡,解决了用户不知情被办卡的“痼疾”,累计查询量超4000万人次,保障了用户合法权益。
电信网络诈骗具有“可防性犯罪”特点,目前预警防范能力初步形成。工信部建成启用12381涉诈预警劝阻短信系统,精准发现潜在受骗用户并实时发送预警短信,面向老年人、年轻人升级推出“老年人亲情号码预警”和“闪信霸屏预警”功能,大幅提升预警劝阻效果。2021年7月上线以来,累计发送预警信息5104万条。
上述负责人表示,下一步将持续完善信息通信行业反诈大平台能力,进一步强化“快速处置、主动预警、资源共享、异常监测”等方面能力。推进互联网领域反诈技术手段建设,持续开展大数据技术研究、策略建模和推广应用,支撑公安机关合力推进精准打击。
值得关注的是,防范电信诈骗需要持续完善信息通信行业反诈制度体系。“随着反诈工作持续深入,电信网络诈骗治理进入攻坚期和深水区,一些深层次问题逐渐显现,在法律制度、源头治理、技术防范、责任落实等方面亟须加大力度。”上述负责人说,例如电话实名制等基础制度亟须完善,需进一步构建跨平台、跨行业的责任落实和督导机制。
据悉,工信部将进一步推动完善信息通信行业反诈制度体系,会同有关部门加快推动出台反电信网络诈骗法,进一步构建长效治理机制。健全信息通信行业反诈考核评价和督导检查工作机制,不断提升行业治理效能。
02
恶意广告推送
违规收集个人信息
警惕手机软件里的“内鬼”
警惕手机软件里的“内鬼”
近日,国家计算机病毒应急处理中心监测发现15款移动App及1款SDK存在隐私不合规行为,涉嫌超范围采集个人隐私信息。今年2月份,工信部信息通信管理局也通报了今年第一批侵害用户权益行为的App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
伴随移动互联网时代到来,App与人们工作生活的关联日益密切。如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要。但与之相关的安全问题,同样不容忽视。
何为SDK?与App有何关联?
最新数据显示,国内市场上App已达252万款。当前,App功能复杂程度及版本迭代速度大幅提升,已进入为大众提供精细化、场景化服务阶段。
“应用开发者为提高迭代速度、降低开发成本及丰富业务功能,除了自主开发外,还会内嵌SDK,从而快速接入和实现某类业务功能。”安天移动安全高级副总裁陈家林说。
安天移动安全风险应用检测预警平台统计发现,目前,我国80%以上App集成了第三方SDK,平均每个App集成数量近20款。中国信息通信研究院与腾讯公司联合发布的《软件开发包(SDK)安全研究报告(2021年)》中提到,被100款以上App所集成的第三方SDK已超3万款。
何为SDK?《TC260-PG-20205A移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》中将其定义为,辅助开发某一类软件的相关文档、范例和工具的集合;第三方SDK则指由第三方服务商或开发者提供工具包。
“就像一家工厂在制造电视或汽车时,为实现更好的性能,从外界购买一些具有特定功能的零件组装在产品里。”一家资讯类平台的工程师田强这样打比方。
记者了解到,第三方SDK提供的App功能服务包括消息推送、支付、广告、行为分析统计、第三方登录等。有的SDK用于特定的品类应用中,比如,社交类App通常接入即时消息类SDK,网赚类App则会接入安全风控类SDK。
嵌入了便利,也嵌入了风险
从本次工信部通报的SDK违规问题可以看出,除多款SDK涉及违规获取设备ID外,还有1款涉及违规收集设备传感器信息,1款涉及违规收集设备安装列表。
对此,陈家林坦言,目前市面上的第三方SDK生态比较复杂,对于App开发者来说,第三方SDK运行时的行为可能并不透明;同一SDK引入不同App或App的不同版本中,其版本、功能、模块可能存在差异。“很多场景下App开发者难以全面评估SDK的安全性,且难以掌握SDK的全部运行行为。”陈家林说。
“我们曾采用过一款记录日志运行数据的SDK组件。几年前该SDK组件出现漏洞,平台数据安全因此遭遇严重威胁。”田强回忆,黑客通过该第三方SDK漏洞,可以登录服务器并获取操作权限,任意处置里面的用户数据。
安天移动安全近日发布的《移动互联网应用供应链(SDK)行为安全性现状研究报告》中提到,SDK恶意行为包括流量劫持、隐私窃取、静默下载安装、恶意广告、远程控制等;SDK风险行为包括违规收集个人信息、云端控制SDK、欺骗误导用户下载App、伪装或匿名推送消息等。
“App接入第三方SDK提供服务,在厘清个人信息处理责任边界、实施安全措施等方面,增加了复杂度和安全隐患。企业如何规范App接入的各类第三方SDK服务,已成为数据合规的难点之一。”中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲说。
警惕违规收集用户个人信息乱象
去年年底,国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《App违法违规收集使用个人信息监测分析报告》显示,第三方SDK收集行为普遍存在,由该行为不规范引发的App违规问题日益凸显。
“我们在检测中也证实了这类问题。具体包括在用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及接入SDK数据收集情况、SDK收集个人信息范围与隐私政策描述不相符等。”陈家林说。
从个人信息处理角度而言,何延哲认为,在理想情况下第三方SDK和App存在“委托处理”“各自独立处理”及“共同处理”三种模式:如果第三方SDK需遵循与App开发者的约定目的及方式处理个人信息,即第三方SDK受“委托处理”,App开发者承担告知同意职责;如果App开发者无法充分定制或限制第三方SDK处理个人信息行为,此时双方属于“各自独立处理者”,App开发者需告知第三方SDK处理个人信息规则;如果App与第三方SDK约定共同决定处理个人信息,双方可能成为“共同处理者”,都应该以个人信息处理者的名义对用户明示告知。
然而,在实际开发运营中,两者关系相比理想模式往往更为复杂。何延哲建议,App能够与用户直观交互并提供服务,应该承担更大告知职责;如果第三方SDK提供服务必须处理个人信息,需要主动详细告知处理规则。
应遵循最小化、必要性设计原则
第三方SDK嵌入App时,也嵌入了风险元素。对此,从事出行类平台研发工作的客户端工程师陆阳认为,一线工程师不能只关注软件开发业务,应该对所使用的SDK基本信息有清晰、必要的认识,并与安全团队配合,选出既符合业务诉求又能够保证安全性的SDK。
陈家林认为,从产业链角度看,SDK提供者需遵守个人信息保护法、数据安全法等相关法规以及App用户权益政策要求,在涉及个人信息收集和使用行为上秉持最小化、必要性设计原则;App开发者在选择和接入SDK时,需要重点评估SDK提供商及其SDK安全性。
针对用户权益,何延哲认为,如果基于用户同意使用SDK服务,用户有撤回同意权利;如果SDK收集用户信息是为履行法定义务,则不宜提供停止或拒绝功能;如果SDK与App为委托关系,应由App方对限制或拒绝处理个人信息作出响应。
近年来,国家相关单位的部分标准文件中,已提出App和SDK的安全技术要求和规范指引,部分处于征求意见稿阶段。记者也了解到,根据欧盟《通用数据保护条例》(GDPR)要求,欧洲的广告互动协会开始尝试“同意管理平台模式(CMP)”。何延哲表示,该模式本身有助于使个人信息处理更合规,具有一定借鉴性。而真正适合我国法律框架和App、SDK开发产业生态的个人信息处理模式,还需要各方持续研究尝试。
聚焦每日“网”事栏目
精彩“网”事天天看
往期推荐
▶每日“网”事 | 核酸检测和抗原检测的采样棉签有毒?谣言▶每日“网”事 | “诈骗老梗”频现!医保什么情况下会停用?国家医保局回应▶每日“网”事 | 两成网民遭遇个人信息泄露,如何整治数据安全“重灾区”?▶每日“网”事 | 什么是全民数字素养?这八点你要知道→▶每日“网”事 | 国家网信办指导网站平台加强涉东航客机坠毁网络谣言溯源及处置
原标题:《每日“网”事 | 工信部:重拳推进“打猫”“断卡” 全力整治电信网络诈骗》