同学，你接到高考诈骗电话了吗？原来考生信息是这样泄露的……

高考季，信息泄露、信息诈骗事件高发期

诈骗电话疯狂轰炸，谣言骗局漫天飞

美小创给大家梳理下，信息泄露与高考骗局

3个阶段，10种骗术，不可信！

据了解，高考诈骗活动主要集中在三个阶段：

一是，高考准备阶段，不法分子自称可提供试题答案、代考等方式诈骗。

二是，高考考试期间，不法分子通过伪装“免费WiFi”诱导家长连接，窃取银行账户、网络支付账户密码，从而破解密码实施资金盗刷。

三是，考后录取阶段，不法分子自称可提前查分、补录，伪造通知书等方式诈骗。

不法分子谎称“有人”，通过手机短信或网络聊天，向考生、家长发送“出售高考试题”、“花钱可以上重点大学”等虚假信息实施诈骗。

不法分子称能办理艺术、体育、小语种等各类“特长生”加分，要求考生提供“特长生”资格证书，以此骗取钱财。甚至冒充高校招生办工作人员，租用办公地点、考试场地，设立小语种、艺术类提前招生考试现场，私自组织考试，骗取考试费和录取费。

不法分子将木马程序捆绑在“校讯通”等安装程序中，然后通过“伪基站”或“钓鱼”短信等方式发送出去，受害者一旦点击安装后手机便会中毒。不法分子很容易就能获取被害者手机中短信、通讯录、手机号码等信息，从中乘机窃取银行卡账号、密码、身份证号码等关键信息。再通过木马拦截银行验证码，盗取账户资金。

冒称招生部门人员，伪造文件、印章，谎称自己是某校招生代理人员或招生人员，或与高校领导和招办人员有“特殊关系”，诱骗考生和家长。

骗子通过邮局，向考生寄送伪造的录取通知书，让考生将学杂费打入骗子的银行账号。

通过虚假查分网站，盗取考生手机号、身份证、银行卡号等资料，进而盗取考生的网络支付账号，甚至复制手机SIM卡盗取网上银行资金。或是将盗取的考生信息记录并贩卖，根据这些信息进行精准电信诈骗。

通过向家长承诺只要肯花钱就可以拿到自主招生指标，利用国家定向招生政策，吹嘘可以拿到某大学定向招生计划。

骗子利用考生及家长不熟悉招生程序、规定的弱点，打着补录旗号行骗。

蒙骗希望就读普通本科院校的考生和家长，声称只要花钱就能上大学。家长花钱后，拿到了录取通知书，入学之后方知就读的不是普通本、专科，而是自考、成教、网络教育等形式的教育。自考、成教、网络教育虽然也是高等教育的形式，但跟普通高等教育有区别，入学门槛较低，不需要高考分数即可就读。

不法分子通过电话通知家长考生上学可享受助学金，自称教育、财政等部门工作人员的电话，要发放“国家助学金”、“返还义务教育费”、“助学扶助款”。要求家长提供姓名、电话、职业、银行卡、身份证等信息，骗取的是家长东拼西凑准备让孩子上学的学费。

诈骗团伙手段“五花八门”，考生和家长要擦亮眼睛，一定要谨防上当受骗，坚持做到不透露、不相信、不理睬！！！

教育行业是个人信息泄露重灾区

诈骗团伙是怎么知道高考生的个人信息呢？高考生信息又是如何泄露？

信息泄露无非两个途径：

一是，黑客入侵数据库窃取信息后予以贩卖。黑客盗取个人信息已形成一个巨大产业链，黑客黑进相关机构的网站盗取信息，再在一些论坛、社交群中贩卖信息，或是直接贩卖给诈骗团队，进行“精准诈骗”。

二是，内鬼泄露，如内部人员利用职务之便获取信息，合作机构因拥有一定权限侵占信息、计算机遗失导致的“被动”泄密，使用社交网络无意将敏感数据泄露出来等。

澎湃新闻基于1239份与侵犯公民个人信息犯罪相关的判决书，提取出了80多起“内鬼”案件，涉及银行、教育、电信、快递、证券、电商、医疗等行业，涉及面广，每起案件的信息泄露数量从数十条到几千万条不等，危害较大。

教育机构何以成为个人信息泄露的重灾区？教育机构掌握着大量信息，但数据安全防护却显得薄弱。教育机构的网络信息安全建设投入有限，而其中大多数更关注于网络攻击防护，忽略了对核心数据的管控，导致大量的教育敏感数据、用户信息，通过电子邮件、即时通讯 工具 、U盘等泄密到教育机构外部。

教育行业数据安全解决方案

面对愈演愈烈的数据泄露问题，教育行业数据安全防护应当“以数据为本源”。美创科技提倡构建完整的敏感数据保护体系，建立两个基础、管好两类资产、区分两类应用，管好三类人员。

建立两个基础

1）敏感数据分类分级

IT环境，一般而言，网络环境的敏感度 < 主机环境敏感度 < 数据库环境敏感度。敏感数据分类是在完成网络环境、主机环境和数据库环境的敏感性分类基础之上，对数据库内部的数据进行归类分级，使敏感数据管理聚焦到真正需要管理的敏感数据之上。以表格为单位的敏感数据分类，把不同的表格归类到不同的敏感数据集合中去。

2）以三权分立为基础的制度保障

以财务管理为例，财务和出纳由一个人担任，财务100%会出现问题。财务和出纳分开由不同的人担任，财务出问题的概率将下降到1%以下，而再增加一个财务总监环节，则财务发生问题的概率将再次大幅度下降。

教育行业中的敏感数据，就好比是公司财务所管理的资金，需要设立三权分立机制来保障敏感数据的安全性。

管好两类资产

从敏感数据安全的角度而言，两类资产是必须需要管理的：敏感数据和危险性操作。危险性操作是指对于数据或者业务带来致命性破坏的操作，比如Drop Table、Truncate Table、Drop Tablespace等操作，危险性操作一旦发生，则可能面临着巨大的业务和数据安全风险。对于危险性操作，需要从危险性操作定义、防御和事后补救等每个阶段上进行管理。

应用程序无非是两大类：教育业务信息系统和运维开发管理工具。管理好两类应用通过从访问工具的合法性上来加以管理。

1）业务信息系统

业务信息系统一般都具备一定的安全措施，其安全性挑战主要来源于真实性的挑战：业务访问账户是真实的，来自于本人或者被授权；业务应用程序是真实的，是未被注入的和假冒的；业务程序的操作是真实的，是未被注入和假冒的。

2）运维开发类工具

比较业务信息系统类应用，运维开发类工具由于其强大的功能和灵活性成为敏感数据保护的主要安全隐患。不同于业务信息系统，运维开发类工具往往没有内置安全性业务逻辑，几乎可以做任何事。从敏感信息保护安全的角度考虑，如何对于来自于运维开发类工具的访问进行许可和控制就成为最主要的挑战。

管理好三类人

1）业务操作人员

绝大部分业务操作人员不应该利用运维开发类应用访问敏感数据，任意不通过业务信息系统访问敏感数据的行为可能都意味着访问违规。

2）运维和开发队伍

运维和开发队伍较业务操作人员具有更大的信息安全风险，应避免让运维团队接触敏感数据。

3）入侵者和黑客

关注边界控制，构筑第一道防线。

离线类敏感数据的保护

敏感数据在很多时候会脱离在线的数据库，常见的场景就是数据库备份和业务测试。入侵者和黑客在无法对数据库进行直接攻击的时候，很有可能会盗窃数据库备份，或者通过一些缺乏严格安全控制的数据库来获得敏感数据，比如测试数据库。

1）测试系统的敏感数据安全性

采用数据脱敏来保护测试系统的敏感数据，使测试系统的数据不再敏感，自然也就避免了敏感数据保护措施的加载。

2）数据库备份和拖库的敏感数据安全性

数据库备份被盗窃甚至于数据库直接被拖库，通过直接读取备份文件或者数据库文件来获得敏感数据，这个时候数据库加密就可以得到恰如其分的应用。