2020国家网络安全宣传周|法治日,网络安全经典案例再现

案例一:乌鲁木齐警方破获“股票群”诈骗案

“股市有风险,投资需谨慎”,被拉进炒股交流群后,有群友分享炒股技巧和心得,甚至还有老师荐股和直播授课,在群友们的纷纷表示赚了大钱之后,很多人就不淡定了,结果被骗。

2019年3月,受害人冯某接到推荐股票的电话,加了微信,之后被拉入一个股票群,进入群后,群里有老师林某讲解股票知识和推荐股票。之后老师说股市不好做,推荐国内某交易所的交易平台,受害人观望后,联系客服经理进行注册。冯某从4月15日开始至4月26日陆续投入10笔,共计108.16万元,按照老师所说进行下单,购买阿胶片、黑美香猪肉。刚开始按照对方说的也小赚了一些,并提现成功,共计提现7.31万元。后受害人不想做,要全部提现,对方说系统维护,6月5日可提现。6月5日受害人操作,提示设备维护中,客服说让6月10日再进行提现。6月10日早上进行操作时发现平台打不开,无法进入,客服也联系不上。发现被骗,遂来报案。共计损失:100.85万元人民币。

目前,乌鲁木齐警方已抓获该案8名涉案人员。

警方提示:投资理财要找正规平台,保障自身的合法权益。一旦发现资金被骗,不要等待,也不要听信任何谣言,第一时间应当报警,并提供相关证据,及时止损。

案例二:伊宁县警方破获利用微信传播淫秽物品案

2019年1月10日,哈某在居某公众号内留言称其能撰写淫秽文章,该居某到留言后和哈某联系,双方达成一致,2019年1月起,二人约定由哈某先其撰写淫秽文章,居某将其撰写文章上传至自己公众平台获取观看人员打赏。据了解居某共向哈某购买淫秽文章7篇,2019年1月26日至2019年2月15日期间居某通过发布淫秽文章,非法获利5000余元。根据《中华人民共和国治安管理处罚法》,相关涉案人员因传播淫秽物品已被警方依法刑事拘留。

警方提示:如今网络已成为淫秽色情等有害信息传播的主要渠道。该类案件中虽然多数涉案平台运营时间不长,但涉案金额多、社会危害大。只有全民一心整治网上违法犯罪,互联网信息服务行业发展秩序才能得到有效规范。

案例三:某公司被非法获取计算机信息系统数据案

某公司报案称,有人在网上大量出售其公司开发的某游戏用户账号。侦查后发现,犯罪分子通过盗取游戏账号,并按游戏角色的等级定价后,批量售卖。警方通过缜密侦查成功抓获2名犯罪分子,此案共缴获各类邮箱账号密码30余万条,取缔平台2个,并成功端掉一个非法售卖账号的网络黑产链。

此案的发生源于大批量邮箱密码泄露事件。密码安全是信息安全的核心,但是在当今的网络环境中,相当一部分人并不重视账户密码的设置及保管,突出表现在不修改默认密码、采用弱密码、单一密码全平台通用等问题上。这导致了犯罪分子可轻易盗取某一平台用户账号后,再进行多平台账户关联,使用户遭到更严重的损失。

警方提示:提升密码安全意识。个人购买新终端设备及新申请账号后一定要及时修改默认密码,有意识地摒弃弱密码,避免多平台设置同一密码,切实加强密码安全意识,维护自身信息安全及财产安全;各网络运营者要加强信息系统安全防护,并从技术层面强制用户修改默认密码和设置复杂密码。

案例四:非法侵犯公民个人信息案

某网店店主报案称,其公司近期陆续收到客户投诉,称被“店家”以商品存在质量问题可退款赔偿为由添加客户微信,随后收到假冒支付宝的钓鱼网站链接,客户被骗在不知情的情况下输入支付账号及密码,有多个客户被骗金额10至20万元。经警方侦查,该网店新招的员工莫某将数据导出并进行非法买卖,后莫某及倒卖数据的上家赖某被警方一并抓获。

此案发生的原因在于个人安全防护意识不强,企业内部管理存在漏洞。个人隐私数据泄露是网络黑色产业链的第一环,上游数据泄露将引发下游诈骗、盗号等犯罪。

警方提示:增强安全防护意识。个人日常进行网上活动尤其是网上交易活动时,要慎防点击身份不明者发送链接,因为大多数是钓鱼链接,用于骗取账户信息;涉及钱财的,一定要核实清楚再进行相关操作,以免造成财产损失。同时,企业要加强内部管理,建立健全用户信息保护制度。

案例五:某停车场计算机信息系统被破坏案

某停车场管理员报案称其收费室电脑在夜间会“自动操作”,在无人使用的情况下“自己删除”相关停车收费数据。经取证分析,警方发现该信息系统被恶意装入“远程控制软件”,使得犯罪分子可远程控制收费室电脑,对停车收费资金数据进行删改等操作。经深入侦查,发现此案为该停车场物业管理公司财务经理、收费室管理员以及收费系统运维公司经理互相勾结共同作案。上述3人利用职务之便,在停车场智能收费电脑以及个人手机安装了“远程控制软件”,盗取物业公司资产。据统计,该犯罪团伙共计侵吞停车费约30万元。

此案发生的原因是内部网络安全管理制度未落实到位。网络在为办公提供了极大便利的同时,也为犯罪提供了新的渠道。网络安全案件发生的主要原因不是通常想象中的“技术攻陷”,而是安全管理不到位。内部员工由于熟悉业务流程,更易利用管理漏洞进行相关职务侵占犯罪行为。强化管理意识、落实管理制度才是保障网络安全的核心。

警方提示:各单位要建立健全日常工作业务相关信息系统的管理制度,通过登录认证、行为审计等技术措施严格落实对业务系统操作行为的监督管理,依法留存系统相关日志记录,确保相关系统能合法合规使用,真正服务于业务操作。

案例六:某公司违反网络安全等级保护制度案

警方在日常工作中发现,某电子商务有限公司一信息系统于2017年上线运行,并于2018年完成了等保备案(二级),但其后一直没有依法开展等级测评。为此,相关办案人员前往该公司开展调查。经查,该公司对相关的法律、法规制度不了解,误认为做完等级保护备案就完成了等保工作,因此,在备案后未进一步开展等级保护测评。随后,警方依法给予该公司警告处罚,并责令限期改正。

此案反映了各单位在落实网络安全等级保护的过程中存在的一些认知误区。首先是对等保相关法律法规不了解,部分单位误认为取得了公安机关提供的备案证,就具备了等级保护级别,而没有启动测评流程,没有实质落实安全防护技术措施和管理制度。更有甚者认为进行等级保护备案是通过拿备案证“获取资质”,以便在招标时增加“筹码”,对于法律要求的“网络安全保护各项制度和措施”刻意不执行。如果等级保护相关网络安全技术措施未落实到位,可能导致敏感信息泄露、网络资源被侵占、受控设备瘫痪损坏等严重问题。

警方提示:各单位在开展等保工作的过程中,首先要明确等级保护的目的——强化网络安全保护能力和水平,确保信息系统安全稳定运行。在此基础上,严格按照《网络安全法》等法律法规要求,落实各项安全管理制度和保护技术措施,切实强化网络安全防护水平。

案例七:某网络科技有限公司未按规定登记委托单位和个人信息案

警方查办一起卖淫嫖娼案件时发现,涉案人员利用一款名为“X睡APP”的软件联系,该APP由某网络科技有限公司委托他人开发。用户注册方面,该公司对一般用户仅要求手机号认证,只有付费用户才需要进行提供身份证信息的实名认证。另外,该公司仅仅设置了较少的关键词过滤措施,且没有安排人员或采取必要的技术措施对用户发布的信息进行审核。该公司的行为违反了《计算机信息国际联网安全保护管理办法》相关规定,警方依法对该公司作出警告处罚,并责令整改。

该案是一起共享类新业态网络应用被非法利用来实施违法行为的典型案例。“X睡APP”的初衷在于分享酒店空置床位,但由于没有按照各项法律法规的要求落实对用户发布信息的审核机制和用户必要信息记录,导致被用于违法活动。

警方提示:各网络运营者在对新应用、新产品上线前,要严格依法落实各项管理制度和技术措施,并实时关注实际使用状况,及时发现和整改问题,以免触及法律红线,造成不良社会影响,并影响到单位的正常运营。

案例八:某单位未落实互联网安全技术措施案

警方破获一起利用系统漏洞篡改数据,非法买卖公共资源资格的案件。在案件侦办过程中,由于该单位涉案的关键系统相关日志留存记录不足,阻碍了案件侦办。根据《网络安全法》第二十一条之规定(记录网络运行状态的日志留存须不少于六个月),警方对其作出警告的行政处罚,并责令其限期改正。

网络日志是记录网络运行状况的重要记录,严格落实日志留存是加强相关信息系统的审计和管理的必要举措,发生涉网案事件时可为回溯操作、明确对象提供重要支撑。但实际情况是,众多发生涉网案事件的单位未依法落实网络日志留存,或留存时长不够,或留存关键字段缺失。对此,公安机关专门设置了“一案双查”制度,即在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。对拒不履行法定网络安全义务或为网络违法犯罪活动提供帮助的网络服务提供者,公安机关将追查到底,严惩不贷。

警方提示:各单位依法严格留存信息系统相关各项日志,确保系统操作行为有迹可循,是法律法规明确规定的要求。同时,将对意图不轨者造成有力震慑,在受攻击后为侦查办案提供执法支撑,保护自身合法权益。

案例九:破坏计算机信息系统案

某网吧报称其网络遭黑客攻击,导致网吧连续4天网络瘫痪并无法正常营业,损失营业额上万元。经警方现场取证分析,成功抓获嫌疑人苏某及梁某。经查,犯罪嫌疑人梁某为某网吧合伙人之一,其自身经营的网吧经营惨淡,但周边网吧却生意兴隆,遂心生歹念,一方面雇佣苏某去周边数家网吧上网,获取网吧资料;另一方面则在网上雇佣黑客,对几家网吧实施网络攻击,阻扰其正常经营业务,趁机拉拢顾客到自己的网吧。

信息化发达的网络带来了许多新的商机,但与此同时,也为新型犯罪提供了新的途径。此案例中网吧老板为解决经营不善的问题,试图以雇佣黑客攻击的犯罪方式干扰竞争对手的正当经营。

警方提示:个人要严守法律法规底线,认识到网络不是法外之地,“魔高一尺,道高一丈”,对新型犯罪必然会有打击新型犯罪的执法力量对其制裁,只有依法正当的经营才能长久性的盈利。

案例十:某网约车公司被诈骗案

某网约车公司报案称,其公司大量订单在服务结束后出现结账未完成情况;同时,有用户恶意注册大量公司出行乘客账号,意图不明。经警方侦查发现,该案为嫌疑人发现该网约车公司用户注册不需要实名信息,因此首先利用软件恶意大量注册该公司用户账户,然后通过中介代叫订单的方式使用网约车,但服务结束后不支付车费给该公司和司机,中介从中赚取代叫单费用的方式进行诈骗。经过警方深挖溯源,最终打掉一个遍及全国5个省市、涉案金额上千万的犯罪团伙。

由于网络空间的隐秘性质,个体在网上的交流活动常常存在信息不对称的情况,这就为新型诈骗的产生制造了空间。

警方提示:各网络商家要严格依法落实实名制,通过要求注册用户与个人真实身份关联的形式,压缩不法行为产生的空间;同时建议各网民不要利用不法中介、黄牛等形式进行订单操作,以免损害个人利益,影响商家经营合法权益。

来源:新疆网警巡查执法