有句老话叫“不怕贼偷,就怕贼惦记”。
这两天,安全公司”威胁猎人”披露的一组学籍泄漏信息显示,浙江的 1000 万个家庭可能已经被诈骗分子惦记上了,各类诈骗套路也许正在酝酿的路上~
这绝不是雷锋网编辑危言耸听,徐玉玉案就不说了,你或身边的人可能都遭遇过各类花式诈骗。
比如下面的这个↓↓↓
骗子:喂,是小伟妈妈吗?你儿子上体育课摔伤导致颅内大出血,现在在医院抢救。
家长:啊?在在在哪个医院?
骗子:在离你儿子××小学最近的××医院,在五楼的手术室这里,现在紧急输血需要交医药费,你马上先转5000块到这个支付宝账号:××××××××××,情况紧急,务必10分钟内把钱打过来。
虽然大多数人都能识别出来这是骗子,但哪怕1000个诈骗电话中只有一个上当,骗子也能获得不错的收益,更何况这次的数字是1000万!
8月1日,来自于“威胁猎人”微信公众号的披露,其当天下午通过暗网监测到浙江省 1000 万学籍数据正在暗网上售卖,学籍数据覆盖了浙江的大部分市区,被泄露的信息包含了学生姓名、身份证、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称等。
▲图片来自威胁猎人官方微信号
除了文字信息,售卖的学籍数据里还提供有照片链接,数据在100G左右。
据威胁猎人推测,浙江省中小学生学籍信息管理类系统可能已经被“拖库”。从卖家放出的测试数据截图来看,学籍信息里出生年龄分布在95年~06年(23岁到12岁之间),还包含了家人联系方式及照片,他们认为数据的真实性较高。
如果你认为只是普通学校的安全防护太弱导致黑客入侵,那就太小看黑客了。即使是世界名校,他们也“照进不误”。
接下来的第二起事件就来自于世界名校耶鲁大学。
▲耶鲁大学
本周,在攻击发生十年之后,耶鲁大学很诚实的告诉这些散落在世界各地的精英们,十年之前,由于黑客入侵了学校一个托管数据库的服务器,导致将近 12 万(119000)份个人信息档案被泄漏,这其中不仅有各位同学的信息,还有教职员工和其他工作人员的。
黑客获得的信息包括姓名、社会安全号码、出生日期、学校的电子邮件地址以及个人的实际住址等。
耶鲁大学称,目前已向 97% 的受影响人群发出了通知函。
嗯,看来名校的安全防护也不怎么样~
除了用于诈骗,学生的信息还能用来干嘛?第三个案例让编辑大开眼界。
这是本周来自《西雅图日报》的一个报道,其称近期美国各地的“精英”高中生被邀请参加一个名为“未来科技领袖大会“的活动,由于类似活动可能对他们申请大学有帮助,所以大多数父母为此支付了不菲的入场门票。
换句话说,能来的,都是家里有钱的。
那么,问题来了,组织者是如何定位到这些人群,并拿到他们的联系方式的?
据西雅图日报调查,一些学生参加过类似“MyCollegeOptions”的大学计划调查问卷,一些学生则参加了由大学理事会主导的针对 SAT 或 PSAT 考试的调查问卷,他们在这些问卷中输入了个人和家庭的详细信息,这些信息最终被出售给类似未来科技领袖大会的组织者。
除了这个大会,这些高中生也收到了来自以下组织的邮件:
国会青年领袖委员会
未来科学家大会
国家未来医师和医学科学家
国家未来科学家和技术学家
全国高中学者学会
全国学生领导会议
全国青年领袖论坛
……
这些组织者们所发送的邮件也是套路满满,首先会强调,之所以能收到邮件,是由于他们非常优秀,有成为未来领袖的潜质;然后参加会议能遇到其他优秀的年轻人,并得到与大师或名人的交际机会;最终的目的当然是需要支付不菲的入场券。
嗯,三个案例讲完了,雷锋网编辑在此提醒大家,不管是什么套路,凡是让你掏钱的,大家都要三思。
雷锋网VIA威胁猎人微信公众号,securityaffairs,nakedsecurity