主持人:像您刚才提到的黑市上的交易已经成为市场化的运作了,包括有人专门盗取,有人传递,有人再去售卖是吗?
裴智勇:就我目前研究的情况来说,在整个网络犯罪的产业链上,至少有20种以上的明确的不同分工,他们非常非常专业,每个人只干每个人自己那点事,包括我们以为给自己打一个诈骗电话,你觉得这个人就是一个犯罪分子的主要其实它犯罪体系之中只是一个小马仔,他可能一个月只能挣几千块钱,但是它实际上只是最终实施者而已,后面有很多专业的产业链的分工。
主持人:那么这些分工他们是像我们想象一样,比如说像那年春晚小品,就是蔡明《天网恢恢》大家在整个大办公室里,分工非常明确,这一端是干什么的,这一端是干什么的,是这样吗?
裴智勇:目前从我们看到的情况来说,第一个在整个黑市的交易,基本上来说都是地域分散型的,首先这个你不从事不同的,你是打电话的人,和取钱的人和盗用银行卡的人,他们分布在不同的地区,同时他们的一般都是跟上线秘密联系,甚至很多人都不认识,都不知道 谁在给他发钱,或者钱给了谁。那么实际上来说,都是处于通过互联网的方式,通过互相不知情,地域大量分散的情况下作案,这也是互联网为犯罪分子提供的非常有利的平台。
主持人:这个犯罪分子对互联网+研究也是挺透彻的。问一下邱律师,如果出现这种情况,像裴博士刚才讲到,每一个分工,每一个结点其实可能都不认识,甚至不在一个城市,如果我被骗了,这个时候我要维权的话,是不是取证特别困难。
邱宝昌:这是两方面,一方面涉嫌犯罪分子应当存在的刑事责任应该加大打击。另一方面就是相关服务者的民事责任和安全保障义务,又回到这个案件来说,我们通过手机去支付一些款项的话,首先有银行的服务,第二通过手机有电信的服务,那么这里面就有一个问题了,如果是银行卡和密码是自己保管不善进行的泄露,那肯定银行也有责任,银行为了保障交易的安全,它提供了有密码、还有验证码双重的保障,那么如果是他们的原因导致的入侵到他们的这种网络,黑客入侵或者其他方面去窃取了。不是在移动的环节去窃取的,那么肯定银行有责任的,如果说银行的安全保障义务履行到位了,是发生在移动终端,比如尽管我的卡号被盗取了,我的密码被撞库了,是生日、结婚纪念日、孩子出生日等等这是撞库了,但是如果没有验证码被窃取的话,它仍然不能交易,因为安全保障不仅有密码,有密码单一不能交易,还必须有验证码,验证码按照它的设计拿到你的手机,直接你的手机是有人才能看到,如果你通过一个手机备份,其他犯罪嫌疑人通过入侵了你的手机信息的工具箱里面去获取了,那么就是在你手机这块作为网络的服务的提供者没有保障它的安全。就是我这个信息是安全的,刚才裴博士也讲到,消费者要求取消也取消不了。那么就是说你安全防范义务和你提供这个服务是有安全瑕疵的。是有漏洞的。所以说从经营者来说,要理清是在银行端的问题,还是我们移动端的问题,如果是移动端的问题,消费者要求取消为什么取消不了,不能够屏蔽、断开,或者去把它取消,那么你设置这种服务本身安全有重大的瑕疵的。所以说从消法来讲你是有义务保障安全的,现在消费者已经知道了要求你取消,你取消不了,那么你没有履行好安全的保障的义务,如果说消费者本身如果没有过错,没有主动的泄露,或者泄露密码,或者泄露其他的,没有去窜通那么你作为一个移动端你要提供相应的证据证明你履行安全保障的义务,否则的话你就要承担责任。
主持人:刚才您提到消费者绝对不会主动泄露自己的密码。
邱宝昌:这是一个很多的经营者也说了,你保管不善或者其他的,那么它要证明。
主持人:但是其实我觉得咱们平时的很多的行为,确实是在变向主动泄露自己的密码。比方说裴博士,我相信你研究这个网络大数据肯定有这个观察,中国现在肯定还有很多人是用自己的生日在作为密码,中国现在肯定还有很多人,所有的网站除非有特殊的规定,用的同一个密码,咱们的这种行为,是不是也给犯罪分子敞开了一道犯罪的大门呢。
裴智勇:我在这里说一个我们刚刚进行一项实验的结果,我们前两个星期我们在北京市找了10个商业区,我们开了Wifi检测车、移动检测车、无线检测车检测所有wifi,之后我们在其中发现了2000多个企业架设的wifi,之后我们发现这些企业,这些企业我们自己用户用wifi,这些企业架设的wifi网络,他们有45%的网络密码,已经通过第三方分享工具被分享出来了,比如说你使用网上专门测网工具找到他们的密码,第二我们发现在即便是企业用户这么高级的用户,肯定比个人的安全意识强得多,他们使用的密码当中有80%以上,居然是TOP20的密码,就是当前中国最流行的20个密码,我们就拿这20个密码去测试了一下,结果发现有80%的企业他们的密码就是TOP20,像撞库,我们用大量的密码去撞,其实不用,你不要有20个密码你就能试开80%企业这种网站的wifi网络,这不光是我们普通的网民,甚至连企业缺乏这种的基本的安全意识,像12345678、6个5,还有我爱你1214,这样的密码排在第20位。
邱宝昌:是不是有企业的电话号码。
裴智勇:很多人上网就是把自己的手机号留成账号密码。实际上你的手机验证短信发到你的手机上,你用它当密码轻易把它试开了。
主持人:真是,所以我觉得咱们自己先别说企业存在什么,先把自己这关过了,把自己的密码保护好,不要给人家敞开大门《北京欢迎你》我家大门常打开,在网络安全方面肯定不行。北京时间来到11点48分,来听一首歌,稍候回来,我们重点来解读一下,7月6号发布的网络安全法草案中涉及到的内容,别走开。
分享
