freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

野鸡大学怎么知道考生电话的?
2020-08-12 10:59:44

当你在某度频繁搜索“高考”、“志愿”、“大学”、“本科”等关键词时,你的手机号码等信息有可能被非法抓取。

并且打包进行交易,卖给培训班、网校、医院等机构进行所谓的“精准获客”。

当然,也会卖给野鸡大学。

 

高考刚刚落下帷幕,考生们大致会有如下几种状态:

考生A,成绩优异,正在纠结选清北复交哪一所;

考生B,成绩一般,打算报一所当地认可度高的双非;

考生C,成绩没戏,心灰意冷,前途一片迷茫。

这时候,突然有个“知名大学”电话打给C,称有额外的录取名单,让考生抓住机会尽早报考。

考生C瞬间觉得天使降临,“一定是我母胎solo18年,换来的运气!”

其实内心怎么会没有一丝怀疑和心虚呢?但转瞬间就被“有学上”的狂喜掩盖了。

没几天,C还收到了高大上的“录取通知书”、新生手册和一张YH卡。

开学时,考生按照“学校要求”预存了昂贵的学费,咬咬牙“能有本科学历就是好的”,拎着行李不远千里来到陌生的城市。

然而,怎么也找不到这所学校,在荒芜的郊外凌乱。

路过的大爷无奈的说,“压根没这学校啊,几年前早改名了。”

怎么办,第一反应查卡啊!

果然,余额为零。

读到这,你一定觉得这种事不会发生在自己身上。

但在这个“文凭之上”“学历优先”的风气下,很多学生和家长面对学历诱惑,会置悬怀疑,轻易相信。

所以“野鸡大学”层出不穷,年年打,年年有。

多撒撒网,总有无辜的学子上钩,你怎么保证下一个人不是你?不是你的子女?不是你的家人?不是你的朋友?

就算“被野鸡大学录取”是小概率事件,被野鸡大学疯狂骚扰却是常有的事。

如果我们与高考是八竿子都打不着关系,接到野鸡大学的电话一定会果断挂掉。

可诡异的是,野鸡大学诈骗电话从不会打给我们,打给的恰恰是刚刚参加了高考的考生。

这是因为野鸡大学掌握了大量的考生个人信息,实施“精准诈骗”。

人家啊,只钓有把握的鱼。

那么,野鸡大学是怎么在不可胜计的信息海洋里,精准获得考生电话的?

思考考生的信息怎么泄露给野鸡大学之前,不如先想想我们的信息存在哪里?

存在教育局、教育考试院、学校……

都是些官方机构,怎么可能泄露?

官方机构真能安全保存信息数据?

电信运营商保存着大量用户信息;

社区保存着大量户主隐私;

医院保存着大量的患者隐私;

企业保存着大量的员工隐私;

酒店保存着大量的住户隐私……

 

同样,教育考试院也保存着大量学生信息。

这些都是正规机构,看似一切都十分合理。

但很少有人质疑,

如果他们更换电脑,将会如何注销和处理这些数据的?

数据是否有泄露和被窃取的风险。

电信运营三巨头,泄露隐私争第一

电信运营商能给考生发填报志愿的验证短信,自然就掌握了大量考生的手机号码。

他们的电脑如果被黑客入侵呢?

废旧电脑被回收后,是否能回复电脑中的信息数据?

更何况,电信运营商“内鬼”盗取公民个人信息贩卖给他人,早已不是新鲜事。

从近些年的案例来看,移动、联通、电信三巨头无一幸免。

运营商们高喊所谓的“健全技术,保护用户信息安全”,却一次次让电信运营商被“打脸”。

考生系统开发商掌握着考生信息

教育信息化3.0时代,中国绝大多数学校的学生系统、考试系统、信息管理系统已经完全实现了无纸化。

大量信息存放在网络上,方便复制、检索、统计……

也方便泄露。

报名、查成绩、阅卷、选课等等都线上进行。

这些系统里存有大量的考生详细信息。

但是很少有人知道,这类系统全部都是学校通过公开招标的方式,寻找第三方提供技术支持。

某地2021年高考系统升级的招标公告

换句话说,这些系统并不是学校直接开发和维护的。

第三方系统开发公司既然拥有进入系统的权限,一定能看到学生的信息。

那么他们是否会恶意窃取考生信息?

搜索引擎抓取手机号码

互联网时代,野鸡大学的行骗手段不断升级。

过去只需要假名字、假电话、假录取通知书。

现在虚假大学却更加具有迷惑性,更加难以分辨。

不仅有假的学校官网、假的公众号、假的地址。

还有假“学历验证”功能,假“第三方认证网站”及假“学历认证网站”等一站式服务。

制作如同流水线,同一套代码几分钟即可搭建出几百所大学的官网。

这些学校把假官网挂上搜索引擎,再花钱买广告和竞价排名。

一旦你点进这些虚假大学的官网,他们就可以用手机号码抓取技术直接抓取你的手机号码、IP地址、姓名等信息,把你列入“精准招生”的名单。

即便你没有点进假官网。

当你在某度频繁搜索“高考”、“志愿”、“大学”、“本科”等关键词时,你的手机号码等信息也有可能被非法抓取。

并且打包进行交易,卖给学校、网校、医院等机构进行所谓的“精准获客”。

当然,也会卖给野鸡大学。

某度的竞价排名下,有无数“害”死魏则西的虚假医院,同样也有无数迷惑高考学子的虚假大学。

猖狂的信息买卖链条

这种信息买卖黑产现象遍布全国,大量人员参与其中,形成了一个利润巨大的利益链条。

这些考生信息买卖者大多以一市或一省为单位,批量买卖考生信息。

网上有不少名为“高考名单”、“高考数据”、“招生资源”的QQ群,群里成员大多为买家,“求2019广东高三名单”、“求山西2020届高三名单”之类的消息不断刷新着聊天页面。

群里流传着的考生信息真实性极强,大多数都能直接真实联系到考生本人。

信息贩卖链条已经是互联网时代公开的秘密。

一方面,信息交易与物品交易不同,物品只能交换一次,信息却可以反复复制,重复交易。而且源头难追溯,责任难追惩。

另一方面,互联网平台为了恰饭,在隐私保护方面,睁一只眼闭一只眼。

某度CEO李彦宏就曾开诚布公地说:中国人愿意用隐私换便捷。

我们也在随时出卖“自己”

除了恶意的泄露,生活中还有无数泄露个人信息的“坑”。

打印、复印资料、海投实习简历、大大小小的各类考试报名、参加网校、兴趣班等等,经常要登记个人信息,为了牟利,这些机构或者打印店会将客户隐私资料存档留底,然后低价转手。

高考考场外挤满了各类教育机构的营销人员,以“报志愿咨询”等理由,要求考生填写调查问卷,其中就包含了大量个人信息。

微信里的高考相关的小程序,比如“晒毕业证”、“高考加油”、“为高考助力”等等小游戏,也会要求填写电话号码注册……这相当于让用户自己把信息送上门。

在购物平台上购买模拟卷、书籍等考试资料时,平台会通过购买记录,进行用户画像,那自然也获知了考生的个人信息。

邮寄时必要的地址和手机号码不仅平台方有,卖家也有。

况且,收到快递后对快递单进行脱敏处理的人少之又少,大多数人抱着不以为然的心态,垃圾箱里也是收集信息的圣地。

高考体检时,我们会填写体检表格,其中也包含了我们的手机号码、姓名、年龄等信息,医院会如何保存这些信息?会不会被人窃取?

高考打车去考场,通过打车记录、叫车记录,也可以收集到考生的个人信息?是否会有人恶意统计并打包买卖给野鸡大学?

毫不夸张地,信息泄露,无处不在。

野鸡大学收集到这些信息后,“精准”地联系到刚参加高考的考生。

伪装极具迷惑性。

那些互联网警惕意识低,高考成绩不理想正处于迷茫状态的考生很难不上当。

以“唬人”的假名字横空出世

这一类的虚假学校的校名一般都改编或拼接自名牌大学,听起来很唬人,但实际上根本不存在。

有些“假大学”的名字起的比真大学更让人信服,与正规院校高度相似,极易混淆。比如假大学“中国邮电大学”与我国著名大学“北京邮电大学”名字极其相似,甚至很多考生和家长都会认为前者是真的。

再比如,“广东建工大学”校名疑似仿冒广东工业大学,校训“刚正博爱、睿智笃行”抄袭曲靖师范学院。

历史上大学的“重出江湖”

这类虚假大学很狡猾地利用了真实大学的曾用名,蹭上了真实大学的历史、简介等真实信息,更加难以辨别。

就比如,“广东经济管理学院”早于十多年前就已并入“广东技术师范学院”。

“上海财经学院”、“北京经济学院”、“四川联合大学”等虚假大学,也都是使用了正规院校的历史曾用名。

没有学历的实景“学校”

除了根本就不存在的学校以外,还有一类假大学,他们有校园、有校舍、有招生教学资格,但没办学资质的非学历培训机构。

家长与学生实地考察后,觉得应该是靠谱的,但入学后多数会被各种原因劝退离校,造成经济损失。

识别“虚假大学”

01

无官方信息【假!】

这类学校属于较好识别的,如果在搜索引擎上都找不到很全的官方信息,甚至没有官网,只有伪造出来零零散散的几条链接,那么一定是“虚假大学”。

02

无实际地址【假!】

“虚假大学”在网上留下的地址,大多语焉不详,无具体位置。

比如“番禺大学城”、“白云区太和镇”等等……没有实际地址、没有校园、没有教学设备,必是“虚假大学”。

03

非正规渠道与你联系【假!】

“虚假大学”通常会通过莫名其妙的电话和短信联系到考生,在短时间内,趁考生还没意识到被骗时,迷惑考生。

有些“野鸡大学”为了速战速决,甚至直接给学生邮寄录取通知书。

04

域名不是“.edu”【假】

大多正规大学的官方网站域名都为“.edu”。若所报考的院校官网以其它域名结尾,则要小心谨慎。

05

特殊对待的诱惑【假!】

所谓“内部指标”或者“低分录取”等诱惑性的借口,要求你提供个人信息或者填报志愿的,统统按骗局处理,没有天上掉馅饼的事。

防范“虚假大学”

1、从官方渠道获取信息

填报志愿的依据主要可以参考学校发的书,以及全国各大高校的官方网站。认真研读学校发放的报考指导资料,注意甄别,不要轻信其他渠道。

2、保护个人信息

不要轻易将自己的SFZ号、准考证号等个人信息泄露给别人。

3、不轻信“计划外招生指标”

所谓的“计划外招生指标”或者“扩招计划”,一定要自己通过官方指定的查询渠道进行查询验证,分辨真伪。

4、不随便点击未知链接

切勿轻易点击陌生号码发送的与高考相关的链接,查询考生成绩、志愿填报、录取信息等,应通过生源地招生考试信息网等官方渠道。

诈骗者向考生和家长发送带有木马链接的短信,一旦点击链接,木马程序便植入手机,获取关联YH卡等信息。

5、受害学生可起诉索赔

无论是购买、使用,还是泄露、出售考生个人信息,均属于违法甚至犯罪行为。2015年11月1日开始实施的《刑法修正案(九)》,正式将侵犯公民个人信息入刑,作为犯罪处理。

# 隐私泄露 # 隐私 # 隐私安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者