一、钓鱼邮件升级

 

1、典型案例

在生成式Al兴起的潮流中,不法分子利用生成式Al技术制作高优真度的钓鱼邮件,高度伪装成知名平台官方通知邮件,在邮件内容中制造紧迫感、鼓励诱使收件人点击恶意链接并输入账户信息。

 

有不少亚马逊卖家称收到伪装成亚马逊官方的钓鱼邮件,该邮件的发件地址与亚马逊官方高度相似,内容仿制官方通知风格,要求更新紧急联系人信息。按照邮件指引操作后,卖家会被引导至一个仿造的亚马逊网站,要求输入邮箱、密码及二次验证码,最终导致账户被盗用,重要账户信息被提取,有卖家在短短一夜之间损失高达40万。

 

2、问题分析

受害者往往因为对品牌的信任,对官方通知风格的邮件缺乏足的警惕,容易在紧迫感的驱使下,忽略安全性、真实性检查。随着生成式Al技术的兴起,钓鱼邮件生成手段日益翻新,不法分子利用Al技术降低制作虚假邮件等信息的成本和提高其逼真度,增加了钓鱼获取账户信息的成功率。

 

3、法律法规

《中华人民共和国网络安全法》第四十八条规定:任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得合有法律、行政法规禁止发布或者传输的信息。

 

4、防范指南

1,增强安全意识,对任何要求输入敏感信息的邮件保持警惕,不经信看似官方的邮件通知。

2,对邮件的发件地址和邮件中的链接进行仔细检查,确认其是否指向真实的官方网站。

3,启用多因素认证增加账户安全性,即使不法分子获取了登登录信息也难以直接访问账户。

 

二、售卖数据牟利

 

1、典型案例

媒体报道,一家名为"XX"的平台正在大规模售卖企业家个人信息,号称覆盖数亿企业数据库,拥有亿条线索联系方式"。经与企业家本人或接近企业家的知情人士确认,核实到多位企业家手机号在该平台售卖,且均为其本人所有并正在使用。

 

2、问题分析

随着数据价值不断提升,一些组织利用"大数据+超链分析"技术抓取、整合各平台信息,或向各大平台支付费用购买信息,违法收集售卖个人信息等数据牟取利益,侵害了个人权益和社会公共利益。

 

3、法律法规

《中华人民共和国数据安全法》第三十二条规定,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。

 

4、防范指南

1,不轻易在公开平台发布或在非正规活动平台填写真实个人信息息。

2,网上涉及个人信息的内容,要及时退出、删除痕迹或销毁;对于长期不用的平台或网站,要及时取消授权、注销账号。

3,未经个人同意,个人信息处理者不可公开或向他人提供其所获取的个人信息。

 

三、个人信息"裸奔"

 

1、典型案例

很多企业在收集、存储、使用和传输个人信息的过程中,未能采取足够的安全措施,导致大量敏感个人信息处于未加密的"裸奔"状态,极易遭受非法访问和数据泄露。

 

例如,某知名火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息;某知名房产中介收集的200万条用户数据中的20万条客户手机号码等个人信息;某知名培训机构存储的4万条学生姓名、监护人手机号码等个人信息,均未按规定采取加密、去标识化等安全保护措施。网信部门根据前期检查、立案、约谈和调查询问的情况,对上述单位作出罚款的行政处罚。

 

2、问题分析

属地网信部门通过现场检查发现,企业在个人信息保护方面存在"五类问题":(1)在收集环节仍然存在强制要、过度取个人信息问题;(2)在存储环节大量个人信息未加密处于"裸奔"状态;(3)在使用传输环节企业随意授权放权管理不到位;(4)在管理制度上企业关于个人信息保护措施明显缺失;(5)在安全防护上网络信息系统存在安全漏洞等。

 

3、法律法规

《中华人民共和国个人信息保护法》第五十一条规定,个人信息处理者应当采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。

 

4、防范指南

1,企业应制定和完善个人信息保护的内部管理制度和操作规程。

2,采用加密技术对存储和传输的个人信息进行保护。

3,严格按照法律法规的要求收集和使用个人信息,避免非法获取和滥用用户数据。

 

四、人脸识别滥用

 

1、典型案例

某地游泳馆在更衣柜安装人脸识别设备,遭到用户投诉。网信部门与市场监管部门开展现场督查,发现商家在更衣室安装人脸识别设备与维护公共安全无关,督促商家就更衣室内安装人脸摄像头问题进行了整改,并对其运营主体进行了警告的行政处罚。经普法宣传,企业已认识到违法违规问问题将单独与用户签订授权人脸信息收集协议,并将在更衣室禁用人脸识别设备,改用发放芯片手环用于开柜。

 

2、问题分析

部分体育场馆、培训机构、商场超市等经营场景以办理业上务、提升服务质量等名义要求消费者接受人脸识别技术验证个人身份,既没有向个人告知处理敏感个人信息的必要性,取得个人的单独同意,也没有对收集的敏感个人信息采取严格保护措施,进行个人信息保护影响评估。

 

3、法律法规

《中华人民共和国个人信息保护法》第二十六条规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的的除外。

 

4、防范指南

1,商家或平台增强个人信息保护法律意识,不违法违规滥用人脸识别别设备。

2,个人应提高警惕,增强隐私保护意识,使用前仔细阅读隐私政策和使用协议。

3,发现商家或平台存在侵害用户隐私的行为,及时举报,捍卫权利。

 

五、网络暴力行为

 

1、典型案例

王某某、林某某等人因不满法院判决结果,在网上多次发布恶意编辑制作的视频帖文,非法收集并公开发布多名法官个人信息,通过过电话"轰炸"辱骂法官,引发网民炒作攻击,严重危害社会秩序。目前,王某某等人已被公安机关依法采取刑事强制措施,案件正在进一步侦办中。

 

2、问题分析

近年来网络暴力违法事件频发,网络暴力信息泛滥,致使部分当事人"社会性死亡甚至精神失常、自杀,严重扰乱网络秩序、破坏网络生态,造成恶劣社会影响。网络暴力信息,是指通过网络以文本、图像、音频、视频等形式对个人集中发布的,含有侮辱设骂、造谣诽谤、煽动仇恨、威逼胁迫、侵犯隐私,以及影响身心健康的指责嘲讽、贬低歧视等内容的违法和不良信息。

 

3、法律法规

《网络暴力信息治理规定》第十条规定:任何组织和个人不得制乍、复制、发布、传播涉网络暴力违法信息,应当防范和抵制制作、复制、发布、传播涉网络暴力不良信息。任何组织和个人不得利用网络暴力事件实施蹭炒热度、推广引流等营销炒作行为,不得通过批量注册或者操纵用户账号等形式组织制作、复制、发布、传播网络暴力信息。

 

4、防范指南

1,理智判断,不主动发起或跟风评论、转发、传播网络暴力信息。

2,发现网络暴力事件,积极向平台举报相关行为。

3,平台及时处置涉网络暴力违规和不良信息及相关账号,引导用户文明互动、理性表达。

4,遭遇网络暴力时,保持冷静,收集证据,积极寻求平台保护,必要时可向法院起诉。

 

风险提示:本文件来源于《2024网络安全宣传手册》。未经原著作权人书面许可,任何机构和个人不得以任何形式转发、翻版、复制、刊登、发表或引用。

 

本文件所提供之任何信息仅供阅读者参考,既不构成未来本公司管理之基金进行投资决策之必然依据,亦不构成本公司对阅读者或投资者的任何实质性投资建议或承诺。本公司并不保证本文件所载文字及数据的准确性及完整性,也不对因此导致的任何第三方投资后果承担法律责任。基金有风险,投资需谨慎。