山东女孩徐玉玉被网络虚拟号码诈骗骗光学费致使心脏骤停不幸离世的事情，成为近日公众关注的焦点。按照目前网络的说法，导致徐玉玉被骗的直接原因是其联系方式以及领取教育助学金的信息被泄露。

　　南都记者近日通过暗访线下各种虚拟运营商（简称虚商）号码代理商以及数据贩卖商了解到，事实上，从上游的数据泄露，到下游作案无法溯源的虚假号码均存在一个完整的地下诈骗产业链。而不用自己身份证注册一个无法溯源的手机号码最低成本只要3元钱，“没有卖过”的一手学生数据只要1-2元/条。这意味着，只用5元成本，消费者就可能面临一次天衣无缝的“诈骗”。

　　南都记者咨询这位代理商如何代开通，对方表示，只需要把手机号码以及sim卡背面的iccid号发送给他就可以立刻激活。可以做5元/张，一般开卡需要几千张起，量大单价可以降到3元/张。“

　　3元就可以开通手机卡

　　为了暗访，南都记者此前加入了几个虚商用户QQ群。一开始群里主要讨论语音通话、短信验证等客户体验问题，但后来却逐步变成了各种突破实名制的代理商销售。

　　大部分代理商在兜售各种手机靓号，最贵的“17076648888”达到6999元；有的则是兜售已激活手机号，“现已激活3000张远特卡，归属地河北沧州，号段1708327，功能正常业务随便搞，带10元话费，批发价10元一张，10张起批，支持淘宝交易。”

　　这其中，有一个代理商销售的产品相当“多元化”。据其称，“可以购买身份证照片（正面+反面+手持）一套，还可以选择漏手臂的，穿长袖的，或者60岁以上老人的”，并表示“照片为全新一手资料，开卡通过率100%”。此外，还可以“代开通手机卡（新卡，强停的卡）或者卖开卡软件（免身份证原件，支持170/171，移动/电信/联通，网页版批量操作）”。

　　南都记者咨询这位代理商如何代开通，对方表示，只需要把手机号码以及sim卡背面的iccid号发送给他就可以立刻激活。但对于批发200张的要求，对方表示：“200张太少，可以做5元/张，一般开卡需要几千张起，量大单价可以降到3元/张。”

　　开卡软件则售价1500元，只要网络转账就可以远程帮忙安装，但开卡软件需要配合“身份证照片组”才能使用，这个代理商则不愿意透露价格，表示需要先安装开卡软件才可以告知。

　　还有技术手段更加高级的。一位代理商表示，出售“实名破解软件”以及“手机改串软件”，可以绕开二代身份证识别仪开卡，通过软件自定义自己的手机号码。而白帽汇首席安全官邓焕告诉记者，这种软件就是模拟身份证读卡器通过绕开监管，但这种行为必须使用运营商系统，拥有内部权限才能实现。

　　虚商的实名制硬伤

　　今年3月，工信部信息通信发展司司长闻库总结虚拟运营试点成果称：“虚拟运营商（简称虚商）试点两年，促进了提速降费，推动了电信行业的创新，但也存在实名制落实不到位，违规率很高的问题。”

　　虚商的实名制问题一直被业界所质疑，而这次高考少女被诈骗的虚商号码已经在年初登记实名制了。既然如此，为什么实名制的虚商依然是“信息诈骗的重灾区”？

　　“基础运营商开卡可以本人到线下网点领取，加了一道人工审核确保真人，”猎豹安全专接李铁军告诉南都记者，虚商最大的问题在于没有线下网点，主要手段是手持身份证照片拍摄，而这个是很容易伪造的。事实上，在Q群中兜售“手持身份证照片”的代理商不在少数。

　　实际上，现在许多虚商也希望通过线下物流来加强审核。“仅仅线上认证是远不够的”，蜗牛移动相关负责人告诉记者，蜗牛线上发卡除了上传照片，签收时仍需出示入网人身份证原件并提供复印件作为回执。但通信专家付亮亦表示，要希望初期发展的虚商强化对外部物流的控制是几乎不可能的。

　　虚商协会秘书长邹学勇则还提到加强技术手段认证：“比如视频人脸识别。”但其透露称，这个需要虚商的平台接入公安部系统进行数据匹配，目前技术手段正在实现，暂时还没有虚商能做到。

　　“实名制的问题归根到底是管理的问题，技术无法完全杜绝。”邓焕表示。

　　校园成数据泄露重灾区

　　这次山东女孩学费被骗事件再度将信息泄露问题推上风口浪尖，尤其是作为信息泄露高发区的校园。

　　“客观来说，学校是很努力防止资料泄露的情况。比如我们的学籍系统，只有专门的学籍管理员才能够使用”，冼村小学校长告诉南都记者，就连对外征文比赛等学科竞赛，但凡涉及到学生个人信息的，学校都要求学生填写学校办公电话而非学生或者家长联系方式。

　　尽管学校从主观上对信息泄漏有积极的保护手段，但“高校与政府的系统漏洞相比其他机构还是相对偏高的，主要是SQ L漏洞，这个会直接造成信息泄露。”邓焕告诉南都记者，校园的学生数据主要是通过统一的学籍管理系统运营，数据量大而集中，容易成为黑客的目标。

　　“国内学校，有一半数据我都有。即使手头没有的，只要你告诉我名字，我也都能拿到。”此前有数据贩卖商向某媒体透露，“新鲜出炉”、“没有卖过”的一手学生数据，售价约1-2元/条，大量采购还有优惠。而二手的数据，基本低于1毛，如果批量购买，1万条二手数据约300- 500元，这个价格远低于电商、银行等其他平台数据。

　　与此同时，某些学校机构安全意识淡薄。360创始人兼CEO周鸿祎之前向南都透露，360补天此前发现了一个高校的漏洞，但技术方在获知该漏洞后近半年时间也没修复。“他可能觉得学生在校园里又不产生敏感交易数据无所谓，但一个同学在校园BBS的ID密码有可能是他支付宝的ID，这是个顺藤摸瓜的过程。如果一个店家被发现有火灾隐患会被联防勒令整改，但网络安全的规则是缺失的。”

　　“商业机构考虑到自身品牌口碑可能会更重视安全问题，但对于公立性教育机构，数据保护很多时候还没有直接与业绩考核挂钩。”李铁军如是表示。