网络黑产大数据阴谋:1个上游端养10个犯罪团伙

在大数据时代,很多互联网从业人员都高呼“得数据者得天下”,对于日益猖獗的网络黑色产业链而言,此话同样适用。

2014年12月25日,中国铁路购票网12306网站遭遇“撞库”攻击,超过13万条用户隐私数据在互联网上疯传,用户账号、密码等数据被大范围流传、买卖;

130万条考研学生的详细个人信息,在一些黑产群里公开叫卖,只需15000元就可得手;

花费500元就可查询单个城市的开房记录;花费800元就可以查询全国的开房记录;输入姓名和身份证号,可以查询当事人最近3年的开房记录……

随着互联网不断深度介入人们的生活,网络上也在源源不断积累起大量数据,这些数据就像散落在互联网生态中的粒粒珍珠,闪耀着光芒,诱惑着网络黑产分子瞪大贪婪的双眼,伺机而动……

“拖库”成惯招

对于很多普通人而言,黑客是一个极为隐秘的群体,接触不多,而当网络上用户数据泄露事件不断被曝出时,人们不得不感叹这个群体能量的强大。

一般来说,黑客处在网络黑色产业链的上游,其会入侵有价值的网站,盗走用户数据库,这一过程在地下产业术语中被称为“拖库”,在过去一两年间,国内被爆拖库的公司不在少数,猫扑、天涯、人人网等都榜上有名。

2013年下半年以来,酒店行业的用户数据频频被泄露,当时媒体称超过2000万条酒店开放数据在网上恶性蔓延,这无疑给社会投下了一枚深水炸弹。

时至今日,法治周末记者仍能在网上查到“2000W条开房信息免费任你查”的网帖,输入常见的人名,即可显示大量同名人的详细个人信息:如姓名、性别、年龄、出生年月、身份证号、电话号码等。开房时间从2010年年初到2012年年底。

2014年5月,小米官方论坛也被曝拖库,约800万用户的数据被泄露,用户信息包括用户账号密码、邮箱和相关IP地址等。

互联网深度数据分析公司TOMslnsight在其最新的分析报告《互联网黑市分析:社工库的传说》中指出,全国流量排名前100的网站中,有近八成的用户数据库已被黑客盗取,变相为网络黑色产业链提供大数据来源。

被媒体称为“黑客教父”的万涛对TOMslnsight的报告表示认可,他对法治周末记者表示:“目前媒体报道出来的数据泄露事件仅是冰山一角。”

国内漏洞报告平台——乌云创始人邬迪对法治周末记者表示,随着互联网对人们生活的深度介入,用户会在互联网上留下大量的数据,这也让黑产链条上的黑客们有了更强的经济驱动力。

对于黑客而言,积累有大量用户数据的电商交易平台、订票类网站、招聘求职类网站等都是上好的“猎物”。邬迪介绍,目前乌云平台上披露了很多航空公司、招聘类网站的系统漏洞,其实等白帽子报告漏洞时,发现这些网站的“门早已被打开过”。

“世界上没有完美的网络,任何一个网络都会存在或大或小、或严重或轻微的漏洞,乌云平台每天都会接到多个有关漏洞的报告,只是对于白帽子而言,发现网站的漏洞,报告给厂商就意味着工作的结束;而对于黑色产业链上的黑客而言,行程才刚刚开始,他们的目的是拿到数据,进而转化成金钱。”邬迪对记者说。

对黑产链条上的人而言,每一次成功的拖库,都是一次肆意攫取数据的盛宴。拖库成功后,还会从事“洗库”的工作,即通过一系列技术手段清洗数据,提炼出有价值的用户数据将其变现。

“撞库”做大数据库

对黑产链条上的人而言,通过拖库、洗库得到数据并不意味着此番劫掠的结束,还会有黑产链条上的人将得到的数据在其他网站上进行尝试登录,业内称其为“撞库”。

2014年12月25日,中国铁路购票网12306网站被曝出泄露用户数据,其时超过13万条用户隐私数据在互联网上疯传,用户账号、密码、身份证号、注册邮箱等数据被大范围流传、买卖。

事后经国内安全企业推断,此次数据泄露,并非黑客攻击12306所为,乃是撞库成功所致。

万涛对法治周末记者解释,撞库就是黑客用其他渠道泄露的用户名和密码尝试登录12306,结果登录成功。登录成功后,就可以获得用户在12306订票时所需的身份证号等个人信息。

由于很多用户为了方便记忆,会在不同网站使用相同的用户名和密码,这就大大增加了黑客撞库成功的概率。

“在12306网站上撞库成功后,黑客也会尝试去撞其他的库,比如去登录淘宝、京东这样的电商网站,如果同样撞库成功的话,黑客又会多了用户个人支付账号、消费记录等数据。”万涛表示,撞库可反复操作,而每一次撞库成功,都会获得用户更多维度的数据。

而黑客每次撞库并非像普通用户想象的拿一组用户名和密码手工操作。TOMslnsight公司的报告显示,黑客可以使用自己开发的工具、直接数据库匹配登录技术以及配合黑色产业链中的打码机制(利用人工智能大量输入验证码)对很多网站进行批量撞库。

作为雷霆行动的负责人,腾讯安全管理部总经理朱劲松对此深有体会。他对法治周末记者表示,通过警方破获的一些案件来看,一些黑产人员会把通过不同渠道得到的数据库整合成一个庞大的社工库,大量网络用户的隐私信息、上网的行为和个人金融财产安全相关的数据都会被黑产分子重新进行整合。

“这其实做的就是大数据。”朱劲松说。

以2014年广东省破获的“海燕3号”专案为例,据《南方都市报》报道,当时年仅17岁的黑客通过自编软件攻击招聘类网站,因该招聘网站只需输入邮箱号和密码就可登录,为此获取了数百万条公民的个人信息,并将这些信息与其他途径获取的大数据自行整理成数据库,通过使用一套数据整理软件,自动匹配成完整的银行卡用户的核心信息。

截至案发,警方统计得出,该黑客所建数据库中包括各类公民信息、银行卡信息达800万条,其中包含身份证号、登录密码、手机号码和银行卡账号信息齐全的共有19万条,可用于直接盗刷,对应的银行账号金额达14.98亿元。

朱劲松还透露,目前整个黑产圈里已经有人开始利用大量的社工库数据所成立的查询平台,一个黑产人员只要花十几元钱,就可以通过这种平台去查询到一个用户的姓名、手机号码、身份证号码和银行卡号核心四要素。

随着拖库、撞库的网站不断增加,用于诈骗分子诈骗的社工库也日益完善,对于用户的潜在威胁也越来越大。

“有了这些多维度的海量信息,也会让网络诈骗变得更有针对性和迷惑性。”朱劲松说。

1个上游端供养10个犯罪团伙

黑客的拖库、撞库举动只是整个黑产链条的一个环节。“生活中很多精准式诈骗的场景背后,都是有一整套的网络黑色产业链的团伙在相互协作,形成对用户进行各类侵害的利益链条。”朱劲松说。

朱劲松对这一链条进行了梳理:在整个产业链的上端是技术含量最高、也是最为隐蔽的群体,他们以职业黑客为主,通过挖掘漏洞、编写木马来实施入侵;

产业链的中间环节,则是一个更为庞大的进行欺诈的犯罪团伙,他们通常具备比较高的情商,能够熟练地应用社会工程学(它集合了心理学、社会心理学、组织行为学等一系列的学科,可利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击)的理论和知识来对用户实施具体的欺诈行为;

在整个产业链的下游,是支撑整个黑色产业链各种周边的组织。如取钱、洗钱团伙、收卡团伙、贩卖身份证团伙等。

近日,腾讯发布的《网络黑色产业链年度报告》揭示,平均一个上游端就可长期供养10个以上网络黑产犯罪团伙。

以辽宁网安部门破获的一起非法入侵韩国网站盗取韩国网民银行存款的特大团伙为例,其中就有黑帽开发制作木马、包马人进行代理木马,然后入侵韩国网站挂马,在韩国网民浏览网站时窃取网银账户密码;

在网银账号和密码得手后,网络盗窃黑产团伙便会入侵受害人网银;随后洗钱团伙跟进,将受害人存款转移至韩国银行卡,最后再由下游的取钱团伙,通过ATM机、游戏点卡、充值卡等提现。

仅半年时间,由34人组成的犯罪团伙就先后对110余家韩国网站实施入侵,盗窃韩国网民银行账号密码4000余组,涉案金额折合人民币1000余万元。

“在产业链的不同环节中,不同的团伙既独立作案,又能够在一定程度上形成相互协作的关系,就好像一群强盗在分食一条大鱼,有的团伙吃鱼头、有的团伙吃鱼身、有的团伙吃鱼尾,剩下的团伙喝鱼汤。”朱劲松如是形容黑产链条的运作。

个人信息界定还需明晰

腾讯发布的《网络黑色产业链年度报告》显示,随着大量网站数据库被盗取,越来越多的网络犯罪分子倾向于在掌握网民个人信息后,以冒充熟人或博取同情等精准式诈骗场景对受害人进行欺诈。

那缘何目前买卖个人信息呈泛滥之势却似乎难以规制呢?中国互联网协会信用评价中心法律顾问赵占领对法治周末记者表示,“这与目前我国法律对于个人信息的界定还不清晰有关”。

赵占领对法治周末记者表示,尽管我国刑法明确规定,窃取或者以其他方法非法获取公民个人信息,情节严重的,将被追究刑事责任,“但是对于什么是个人信息,目前规定的还比较笼统”。

2012年12月,全国人大常委会颁布了《关于加强网络信息保护的决定》,随后工信部也出台了《电信和互联网用户个人信息保护规定》,采用了列举加概括的方式指出,个人信息包括用户姓名、身份证号等能够单独或者与其他信息结合识别用户的信息。

赵占领表示,现实中黑客往往会通过拖库的方式会获得用户的一些数据,比如cookie,是用户在网络上的行为轨迹,但这些数据是不是个人信息法律上暂时还没有明确的规定,但是经过整合加工,则往往具备了识别到个人的特点。

“个人信息、个人数据、个人隐私这三者其实是不同的概念,但是法律目前未对此作出界定和厘清,这使得黑产分子在获取数据后,很难以窃取或者以其他方式获得公民个人信息罪论处的重要原因。”赵占领说。

朱劲松对此也是深有感触,他以微信号为例,很多用户都是通过手机号作为微信号的,而通过实名登记的手机号都是直接对应到个人的,那么此时微信号属不属于个人信息?

明确网络服务提供者责任

西安交通大学信息安全法律研究中心主任马民虎对法治周末记者表示,其实对于网络黑产上的每一个环节、每一种行为基本都能在现有法律框架下找到对应的法律进行规制。

比如法律明确规定,侵入国家事务、国防建设以外的计算机信息系统,获取系统存储、处理或者传输的数据,情节严重的将追究刑事责任。

不过,马民虎认为,“尽管法律规定了严格的惩罚责任,但是缺少如何防范的法律规定,如果不在如何防治上落实法制,只有责任规定就形同虚设”。

马民虎举例道,很多网络服务提供者在提供服务的时候不可避免地要收集用户信息,但是到底互联网平台要采取什么样的措施,履行什么样的义务,法律并没有明确规定,只是一些互联网公司在做着这方面的尝试,但个别企业的做法并没有形成行业规范,或者是形成标准。

以12306用户数据泄露为例,据媒体披露,在泄密发生后一段时间内,依照泄露出来的用户名和密码仍旧可以登录,用户并没有收到任何提醒。

“对于网络服务提供者注意义务尽到什么程度,这个界限在哪里目前还有很大的争议,毕竟任何技术都不是绝对安全的,并不是所有的用户信息泄露都是网络服务提供者存在过错,再比如在出现数据泄露多久后要告知用户等,目前法律并无明确规定。”赵占领对法治周末记者说。

记者在采访中了解到,针对这种情形,我国正在制定相应的管理标准(尚未正式颁布),拟对网络服务提供者出现信息泄露后应承担的义务作出明确规定。

一位不愿透露姓名的业内人士对记者表示,这些义务包括:立即采取补救措施,防止信息继续泄露;24小时内告知用户,根据用户初始注册信息重新激活账户,避免造成更大的损失;24小时内报告公安机关。

“这样细致的规定有助于明确企业的责任,第一时间通知用户的规定,也有助于降低信息泄露的安全隐患。”赵占领对法治周末记者说。

针对一些网络服务提供者不履行网络安全管理义务,造成严重后果的情况,我国也计划通过立法增加其刑事责任。

公安部第三研究所研究员黄道丽对法治周末记者介绍,2014年刑法修正案(九)草案就规定,“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,致使违法信息大量传播的,致使用户信息泄漏,造成严重后果的,或者致使刑事犯罪证据灭失,严重妨害司法机关依法追究犯罪的,追究刑事责任”。

“虽然此罪为结果犯,但从刑法角度强化了服务提供者的安全管理责任,不仅反映了我国立法中强化安全的新趋势和动向,也将适用于漏洞攻击导致用户信息泄露而服务提供者不作为的情况。”黄道丽对法治周末记者说。