一个海外留学生,独自在国外上学,平时跟家里人保持每周两三次的视频通话。这些通话对留学生来说是维系亲情的纽带,也是让家里放心的方式。每次通话都会聊聊学习情况、生活状况、最近的安排什么的。
有段时间,这个留学生家里遇到了一些经济上的问题。父母在视频里跟他聊了家里的财务状况,说最近生意上资金周转有点紧,需要想办法筹钱。留学生在电话里安慰父母,说自己在国外可以省着点花,也想办法打点零工补贴家用。这些对话都是家人之间的私密交流,谁也没想到会被外人听到。
问题出在留学生用的当地电信运营商。他在国外办的手机卡和宽带都是当地一家运营商的。这家运营商内部有员工利用职务之便,可以访问用户通话和网络流量的后台数据。虽然运营商理论上对通话内容是有保密义务的,但内部员工要绕过一些权限限制拿到用户数据,并不是什么难事。
这名员工在后台看到留学生的通话记录比较频繁,而且显示的是国际长途,就多留意了一下。他发现留学生经常跟国内的家庭通视频电话。出于好奇或者不轨的动机,他利用系统权限截取了其中一次视频通话的音频部分。这次通话的内容刚好是留学生一家人讨论家里财务状况的私密对话。
这名员工听完之后,觉得有机可乘。他搜集了留学生的姓名、学校、家庭情况等信息,然后冒充留学生本人的身份,给留学生的父母打了电话。他在电话里利用音频中获取的信息,准确说出了家里的财务状况和留学生最近的生活细节,让父母相信这就是自己孩子打来的电话。然后他说自己在国外出了事急需一笔钱,让父母赶紧转过去。
父母本来就因为资金紧张而焦虑,听到孩子在国外出事就更慌了。对方说的信息又都对得上,他们几乎没有任何怀疑就把钱转了过去。等留学生后来跟父母正常通话时,才发现被骗了。但钱已经转出去了,追回来的可能性很低。
这个案例有三个关键环节的防护都出了问题。第一个环节是电信运营商的内部管理。运营商员工能够轻易访问用户的通话内容,说明系统权限管理存在很大漏洞。通话内容属于高度隐私的信息,即使运营商为了网络管理需要留存一些数据,也应该对员工访问这些数据做严格的审计和控制。每一次访问都要有明确的授权和记录。
第二个环节是留学生家庭在通话中讨论了过于敏感的信息。视频电话虽然是私密的,但在通话过程中,你无法百分之百确定对面只有你想让对方听到的人。而且运营商层面的监听,普通用户根本察觉不到。在涉及财务信息、银行账号、密码等高度敏感内容时,应该采用更为安全的通信方式,或者至少在通话前后通过其他方式确认。
第三个环节是父母在接到紧急求助电话时没有做二次验证。遇到这种自称是孩子在国外出事需要钱的电话,第一时间应该做的就是挂掉电话,然后通过原本的联络方式跟孩子本人确认。不要相信来电显示,不要相信对方对你信息的准确描述。骗子能拿到这些信息的手段太多了。
对于留学生家庭来说,建立一个基本的安全沟通机制很重要。可以约定一个只有家人知道的验证问题,遇到紧急情况先问这个问题。重要信息不要在普通视频电话里透露,用加密的即时通讯软件会安全很多。还要提醒家里的老人,不要轻信陌生电话的说辞,不管对方说得多像真的,一定要先跟本人核实。
这个案例里面,留学生本人其实没有任何过错。他只是跟家人正常通话,却因为电信运营商内部出了败类,导致了家庭财产的损失。运营商作为通讯服务的提供者,有责任保护好用户的通话隐私。当这个责任没有履行到位的时候,用户自己就要多留一个心眼。
