網(wǎng)絡(luò)黑產(chǎn)的大數(shù)據(jù)陰謀_數(shù)據(jù)分析師

在大數(shù)據(jù)時(shí)代，很多互聯(lián)網(wǎng)從業(yè)人員都高呼“得數(shù)據(jù)者得天下”，對(duì)于日益猖獗的網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈而言，此話同樣適用。

2014年12月25日，中國(guó)鐵路購(gòu)票網(wǎng)12306網(wǎng)站遭遇“撞庫(kù)”攻擊，超過(guò)13萬(wàn)條用戶隱私數(shù)據(jù)在互聯(lián)網(wǎng)上瘋傳，用戶賬號(hào)、密碼等數(shù)據(jù)被大范圍流傳、買賣；

130萬(wàn)條考研學(xué)生的詳細(xì)個(gè)人信息，在一些黑產(chǎn)群里公開(kāi)叫賣，只需15000元就可得手；

花費(fèi)500元就可查詢單個(gè)城市的開(kāi)房記錄；花費(fèi)800元就可以查詢?nèi)珖?guó)的開(kāi)房記錄；輸入姓名和身份證號(hào)，可以查詢當(dāng)事人最近3年的開(kāi)房記錄……

隨著互聯(lián)網(wǎng)不斷深度介入人們的生活，網(wǎng)絡(luò)上也在源源不斷積累起大量數(shù)據(jù)，這些數(shù)據(jù)就像散落在互聯(lián)網(wǎng)生態(tài)中的粒粒珍珠，閃耀著光芒，誘惑著網(wǎng)絡(luò)黑產(chǎn)分子瞪大貪婪的雙眼，伺機(jī)而動(dòng)……

“拖庫(kù)”成慣招

對(duì)于很多普通人而言，黑客是一個(gè)極為隱秘的群體，接觸不多，而當(dāng)網(wǎng)絡(luò)上用戶數(shù)據(jù)泄露事件不斷被曝出時(shí)，人們不得不感嘆這個(gè)群體能量的強(qiáng)大。

一般來(lái)說(shuō)，黑客處在網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的上游，其會(huì)入侵有價(jià)值的網(wǎng)站，盜走用戶數(shù)據(jù)庫(kù)，這一過(guò)程在地下產(chǎn)業(yè)術(shù)語(yǔ)中被稱為“拖庫(kù)”，在過(guò)去一兩年間，國(guó)內(nèi)被爆拖庫(kù)的公司不在少數(shù)，貓撲、天涯、人人網(wǎng)等都榜上有名。

2013年下半年以來(lái)，酒店行業(yè)的用戶數(shù)據(jù)頻頻被泄露，當(dāng)時(shí)媒體稱超過(guò)2000萬(wàn)條酒店開(kāi)放數(shù)據(jù)在網(wǎng)上惡性蔓延，這無(wú)疑給社會(huì)投下了一枚深水炸彈。

時(shí)至今日，法治周末記者仍能在網(wǎng)上查到“2000W條開(kāi)房信息免費(fèi)任你查”的網(wǎng)帖，輸入常見(jiàn)的人名，即可顯示大量同名人的詳細(xì)個(gè)人信息：如姓名、性別、年齡、出生年月、身份證號(hào)、電話號(hào)碼等。開(kāi)房時(shí)間從2010年年初到2012年年底。

2014年5月，小米官方論壇也被曝拖庫(kù)，約800萬(wàn)用戶的數(shù)據(jù)被泄露，用戶信息包括用戶賬號(hào)密碼、郵箱和相關(guān)IP地址等。

互聯(lián)網(wǎng)深度數(shù)據(jù)分析公司TOMslnsight在其最新的分析報(bào)告《互聯(lián)網(wǎng)黑市分析：社工庫(kù)的傳說(shuō)》中指出，全國(guó)流量排名前100的網(wǎng)站中，有近八成的用戶數(shù)據(jù)庫(kù)已被黑客盜取，變相為網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈提供大數(shù)據(jù)來(lái)源。

被媒體稱為“黑客教父”的萬(wàn)濤對(duì)TOMslnsight的報(bào)告表示認(rèn)可，他對(duì)法治周末記者表示：“目前媒體報(bào)道出來(lái)的數(shù)據(jù)泄露事件僅是冰山一角?！?/span>

國(guó)內(nèi)漏洞報(bào)告平臺(tái)——烏云創(chuàng)始人鄔迪對(duì)法治周末記者表示，隨著互聯(lián)網(wǎng)對(duì)人們生活的深度介入，用戶會(huì)在互聯(lián)網(wǎng)上留下大量的數(shù)據(jù)，這也讓黑產(chǎn)鏈條上的黑客們有了更強(qiáng)的經(jīng)濟(jì)驅(qū)動(dòng)力。

對(duì)于黑客而言，積累有大量用戶數(shù)據(jù)的電商交易平臺(tái)、訂票類網(wǎng)站、招聘求職類網(wǎng)站等都是上好的“獵物”。鄔迪介紹，目前烏云平臺(tái)上披露了很多航空公司、招聘類網(wǎng)站的系統(tǒng)漏洞，其實(shí)等白帽子報(bào)告漏洞時(shí)，發(fā)現(xiàn)這些網(wǎng)站的“門(mén)早已被打開(kāi)過(guò)”。

“世界上沒(méi)有完美的網(wǎng)絡(luò)，任何一個(gè)網(wǎng)絡(luò)都會(huì)存在或大或小、或嚴(yán)重或輕微的漏洞，烏云平臺(tái)每天都會(huì)接到多個(gè)有關(guān)漏洞的報(bào)告，只是對(duì)于白帽子而言，發(fā)現(xiàn)網(wǎng)站的漏洞，報(bào)告給廠商就意味著工作的結(jié)束；而對(duì)于黑色產(chǎn)業(yè)鏈上的黑客而言，行程才剛剛開(kāi)始，他們的目的是拿到數(shù)據(jù)，進(jìn)而轉(zhuǎn)化成金錢?！编w迪對(duì)記者說(shuō)。

對(duì)黑產(chǎn)鏈條上的人而言，每一次成功的拖庫(kù)，都是一次肆意攫取數(shù)據(jù)的盛宴。拖庫(kù)成功后，還會(huì)從事“洗庫(kù)”的工作，即通過(guò)一系列技術(shù)手段清洗數(shù)據(jù)，提煉出有價(jià)值的用戶數(shù)據(jù)將其變現(xiàn)。

“撞庫(kù)”做大數(shù)據(jù)庫(kù)

對(duì)黑產(chǎn)鏈條上的人而言，通過(guò)拖庫(kù)、洗庫(kù)得到數(shù)據(jù)并不意味著此番劫掠的結(jié)束，還會(huì)有黑產(chǎn)鏈條上的人將得到的數(shù)據(jù)在其他網(wǎng)站上進(jìn)行嘗試登錄，業(yè)內(nèi)稱其為“撞庫(kù)”。

2014年12月25日，中國(guó)鐵路購(gòu)票網(wǎng)12306網(wǎng)站被曝出泄露用戶數(shù)據(jù)，其時(shí)超過(guò)13萬(wàn)條用戶隱私數(shù)據(jù)在互聯(lián)網(wǎng)上瘋傳，用戶賬號(hào)、密碼、身份證號(hào)、注冊(cè)郵箱等數(shù)據(jù)被大范圍流傳、買賣。

事后經(jīng)國(guó)內(nèi)安全企業(yè)推斷，此次數(shù)據(jù)泄露，并非黑客攻擊12306所為，乃是撞庫(kù)成功所致。

萬(wàn)濤對(duì)法治周末記者解釋，撞庫(kù)就是黑客用其他渠道泄露的用戶名和密碼嘗試登錄12306，結(jié)果登錄成功。登錄成功后，就可以獲得用戶在12306訂票時(shí)所需的身份證號(hào)等個(gè)人信息。

由于很多用戶為了方便記憶，會(huì)在不同網(wǎng)站使用相同的用戶名和密碼，這就大大增加了黑客撞庫(kù)成功的概率。

“在12306網(wǎng)站上撞庫(kù)成功后，黑客也會(huì)嘗試去撞其他的庫(kù)，比如去登錄淘寶、京東這樣的電商網(wǎng)站，如果同樣撞庫(kù)成功的話，黑客又會(huì)多了用戶個(gè)人支付賬號(hào)、消費(fèi)記錄等數(shù)據(jù)。”萬(wàn)濤表示，撞庫(kù)可反復(fù)操作，而每一次撞庫(kù)成功，都會(huì)獲得用戶更多維度的數(shù)據(jù)。

而黑客每次撞庫(kù)并非像普通用戶想象的拿一組用戶名和密碼手工操作。TOMslnsight公司的報(bào)告顯示，黑客可以使用自己開(kāi)發(fā)的工具、直接數(shù)據(jù)庫(kù)匹配登錄技術(shù)以及配合黑色產(chǎn)業(yè)鏈中的打碼機(jī)制(利用人工智能大量輸入驗(yàn)證碼)對(duì)很多網(wǎng)站進(jìn)行批量撞庫(kù)。

作為雷霆行動(dòng)的負(fù)責(zé)人，騰訊安全管理部總經(jīng)理朱勁松對(duì)此深有體會(huì)。他對(duì)法治周末記者表示，通過(guò)警方破獲的一些案件來(lái)看，一些黑產(chǎn)人員會(huì)把通過(guò)不同渠道得到的數(shù)據(jù)庫(kù)整合成一個(gè)龐大的社工庫(kù)，大量網(wǎng)絡(luò)用戶的隱私信息、上網(wǎng)的行為和個(gè)人金融財(cái)產(chǎn)安全相關(guān)的數(shù)據(jù)都會(huì)被黑產(chǎn)分子重新進(jìn)行整合。

“這其實(shí)做的就是大數(shù)據(jù)?！敝靹潘烧f(shuō)。

以2014年廣東省破獲的“海燕3號(hào)”專案為例，據(jù)《南方都市報(bào)》報(bào)道，當(dāng)時(shí)年僅17歲的黑客通過(guò)自編軟件攻擊招聘類網(wǎng)站，因該招聘網(wǎng)站只需輸入郵箱號(hào)和密碼就可登錄，為此獲取了數(shù)百萬(wàn)條公民的個(gè)人信息，并將這些信息與其他途徑獲取的大數(shù)據(jù)自行整理成數(shù)據(jù)庫(kù)，通過(guò)使用一套數(shù)據(jù)整理軟件，自動(dòng)匹配成完整的銀行卡用戶的核心信息。

截至案發(fā)，警方統(tǒng)計(jì)得出，該黑客所建數(shù)據(jù)庫(kù)中包括各類公民信息、銀行卡信息達(dá)800萬(wàn)條，其中包含身份證號(hào)、登錄密碼、手機(jī)號(hào)碼和銀行卡賬號(hào)信息齊全的共有19萬(wàn)條，可用于直接盜刷，對(duì)應(yīng)的銀行賬號(hào)金額達(dá)14.98億元。

朱勁松還透露，目前整個(gè)黑產(chǎn)圈里已經(jīng)有人開(kāi)始利用大量的社工庫(kù)數(shù)據(jù)所成立的查詢平臺(tái)，一個(gè)黑產(chǎn)人員只要花十幾元錢，就可以通過(guò)這種平臺(tái)去查詢到一個(gè)用戶的姓名、手機(jī)號(hào)碼、身份證號(hào)碼和銀行卡號(hào)核心四要素。

隨著拖庫(kù)、撞庫(kù)的網(wǎng)站不斷增加，用于詐騙分子詐騙的社工庫(kù)也日益完善，對(duì)于用戶的潛在威脅也越來(lái)越大。

“有了這些多維度的海量信息，也會(huì)讓網(wǎng)絡(luò)詐騙變得更有針對(duì)性和迷惑性?！敝靹潘烧f(shuō)。

1個(gè)上游端供養(yǎng)10個(gè)犯罪團(tuán)伙

黑客的拖庫(kù)、撞庫(kù)舉動(dòng)只是整個(gè)黑產(chǎn)鏈條的一個(gè)環(huán)節(jié)?！吧钪泻芏嗑珳?zhǔn)式詐騙的場(chǎng)景背后，都是有一整套的網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的團(tuán)伙在相互協(xié)作，形成對(duì)用戶進(jìn)行各類侵害的利益鏈條?！敝靹潘烧f(shuō)。

朱勁松對(duì)這一鏈條進(jìn)行了梳理：在整個(gè)產(chǎn)業(yè)鏈的上端是技術(shù)含量最高、也是最為隱蔽的群體，他們以職業(yè)黑客為主，通過(guò)挖掘漏洞、編寫(xiě)木馬來(lái)實(shí)施入侵；

產(chǎn)業(yè)鏈的中間環(huán)節(jié)，則是一個(gè)更為龐大的進(jìn)行欺詐的犯罪團(tuán)伙，他們通常具備比較高的情商，能夠熟練地應(yīng)用社會(huì)工程學(xué)(它集合了心理學(xué)、社會(huì)心理學(xué)、組織行為學(xué)等一系列的學(xué)科，可利用人的弱點(diǎn)如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點(diǎn)進(jìn)行攻擊)的理論和知識(shí)來(lái)對(duì)用戶實(shí)施具體的欺詐行為；

在整個(gè)產(chǎn)業(yè)鏈的下游，是支撐整個(gè)黑色產(chǎn)業(yè)鏈各種周邊的組織。如取錢、洗錢團(tuán)伙、收卡團(tuán)伙、販賣身份證團(tuán)伙等。

近日，騰訊發(fā)布的《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報(bào)告》揭示，平均一個(gè)上游端就可長(zhǎng)期供養(yǎng)10個(gè)以上網(wǎng)絡(luò)黑產(chǎn)犯罪團(tuán)伙。

以遼寧網(wǎng)安部門(mén)破獲的一起非法入侵韓國(guó)網(wǎng)站盜取韓國(guó)網(wǎng)民銀行存款的特大團(tuán)伙為例，其中就有黑帽開(kāi)發(fā)制作木馬、包馬人進(jìn)行代理木馬，然后入侵韓國(guó)網(wǎng)站掛馬，在韓國(guó)網(wǎng)民瀏覽網(wǎng)站時(shí)竊取網(wǎng)銀賬戶密碼；

在網(wǎng)銀賬號(hào)和密碼得手后，網(wǎng)絡(luò)盜竊黑產(chǎn)團(tuán)伙便會(huì)入侵受害人網(wǎng)銀；隨后洗錢團(tuán)伙跟進(jìn)，將受害人存款轉(zhuǎn)移至韓國(guó)銀行卡，最后再由下游的取錢團(tuán)伙，通過(guò)ATM機(jī)、游戲點(diǎn)卡、充值卡等提現(xiàn)。

僅半年時(shí)間，由34人組成的犯罪團(tuán)伙就先后對(duì)110余家韓國(guó)網(wǎng)站實(shí)施入侵，盜竊韓國(guó)網(wǎng)民銀行賬號(hào)密碼4000余組，涉案金額折合人民幣1000余萬(wàn)元。

“在產(chǎn)業(yè)鏈的不同環(huán)節(jié)中，不同的團(tuán)伙既獨(dú)立作案，又能夠在一定程度上形成相互協(xié)作的關(guān)系，就好像一群強(qiáng)盜在分食一條大魚(yú)，有的團(tuán)伙吃魚(yú)頭、有的團(tuán)伙吃魚(yú)身、有的團(tuán)伙吃魚(yú)尾，剩下的團(tuán)伙喝魚(yú)湯?！敝靹潘扇缡切稳莺诋a(chǎn)鏈條的運(yùn)作。

個(gè)人信息界定還需明晰

騰訊發(fā)布的《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報(bào)告》顯示，隨著大量網(wǎng)站數(shù)據(jù)庫(kù)被盜取，越來(lái)越多的網(wǎng)絡(luò)犯罪分子傾向于在掌握網(wǎng)民個(gè)人信息后，以冒充熟人或博取同情等精準(zhǔn)式詐騙場(chǎng)景對(duì)受害人進(jìn)行欺詐。

那緣何目前買賣個(gè)人信息呈泛濫之勢(shì)卻似乎難以規(guī)制呢？中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心法律顧問(wèn)趙占領(lǐng)對(duì)法治周末記者表示，“這與目前我國(guó)法律對(duì)于個(gè)人信息的界定還不清晰有關(guān)”。

趙占領(lǐng)對(duì)法治周末記者表示，盡管我國(guó)刑法明確規(guī)定，竊取或者以其他方法非法獲取公民個(gè)人信息，情節(jié)嚴(yán)重的，將被追究刑事責(zé)任，“但是對(duì)于什么是個(gè)人信息，目前規(guī)定的還比較籠統(tǒng)”。

2012年12月，全國(guó)人大常委會(huì)頒布了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，隨后工信部也出臺(tái)了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》，采用了列舉加概括的方式指出，個(gè)人信息包括用戶姓名、身份證號(hào)等能夠單獨(dú)或者與其他信息結(jié)合識(shí)別用戶的信息。

趙占領(lǐng)表示，現(xiàn)實(shí)中黑客往往會(huì)通過(guò)拖庫(kù)的方式會(huì)獲得用戶的一些數(shù)據(jù)，比如cookie，是用戶在網(wǎng)絡(luò)上的行為軌跡，但這些數(shù)據(jù)是不是個(gè)人信息法律上暫時(shí)還沒(méi)有明確的規(guī)定，但是經(jīng)過(guò)整合加工，則往往具備了識(shí)別到個(gè)人的特點(diǎn)。

“個(gè)人信息、個(gè)人數(shù)據(jù)、個(gè)人隱私這三者其實(shí)是不同的概念，但是法律目前未對(duì)此作出界定和厘清，這使得黑產(chǎn)分子在獲取數(shù)據(jù)后，很難以竊取或者以其他方式獲得公民個(gè)人信息罪論處的重要原因?！壁w占領(lǐng)說(shuō)。

朱勁松對(duì)此也是深有感觸，他以微信號(hào)為例，很多用戶都是通過(guò)手機(jī)號(hào)作為微信號(hào)的，而通過(guò)實(shí)名登記的手機(jī)號(hào)都是直接對(duì)應(yīng)到個(gè)人的，那么此時(shí)微信號(hào)屬不屬于個(gè)人信息？

明確網(wǎng)絡(luò)服務(wù)提供者責(zé)任

西安交通大學(xué)信息安全法律研究中心主任馬民虎對(duì)法治周末記者表示，其實(shí)對(duì)于網(wǎng)絡(luò)黑產(chǎn)上的每一個(gè)環(huán)節(jié)、每一種行為基本都能在現(xiàn)有法律框架下找到對(duì)應(yīng)的法律進(jìn)行規(guī)制。

比如法律明確規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)以外的計(jì)算機(jī)信息系統(tǒng)，獲取系統(tǒng)存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，情節(jié)嚴(yán)重的將追究刑事責(zé)任。

不過(guò)，馬民虎認(rèn)為，“盡管法律規(guī)定了嚴(yán)格的懲罰責(zé)任，但是缺少如何防范的法律規(guī)定，如果不在如何防治上落實(shí)法制，只有責(zé)任規(guī)定就形同虛設(shè)”。

馬民虎舉例道，很多網(wǎng)絡(luò)服務(wù)提供者在提供服務(wù)的時(shí)候不可避免地要收集用戶信息，但是到底互聯(lián)網(wǎng)平臺(tái)要采取什么樣的措施，履行什么樣的義務(wù)，法律并沒(méi)有明確規(guī)定，只是一些互聯(lián)網(wǎng)公司在做著這方面的嘗試，但個(gè)別企業(yè)的做法并沒(méi)有形成行業(yè)規(guī)范，或者是形成標(biāo)準(zhǔn)。

以12306用戶數(shù)據(jù)泄露為例，據(jù)媒體披露，在泄密發(fā)生后一段時(shí)間內(nèi)，依照泄露出來(lái)的用戶名和密碼仍舊可以登錄，用戶并沒(méi)有收到任何提醒。

“對(duì)于網(wǎng)絡(luò)服務(wù)提供者注意義務(wù)盡到什么程度，這個(gè)界限在哪里目前還有很大的爭(zhēng)議，畢竟任何技術(shù)都不是絕對(duì)安全的，并不是所有的用戶信息泄露都是網(wǎng)絡(luò)服務(wù)提供者存在過(guò)錯(cuò)，再比如在出現(xiàn)數(shù)據(jù)泄露多久后要告知用戶等，目前法律并無(wú)明確規(guī)定?！壁w占領(lǐng)對(duì)法治周末記者說(shuō)。

記者在采訪中了解到，針對(duì)這種情形，我國(guó)正在制定相應(yīng)的管理標(biāo)準(zhǔn)(尚未正式頒布)，擬對(duì)網(wǎng)絡(luò)服務(wù)提供者出現(xiàn)信息泄露后應(yīng)承擔(dān)的義務(wù)作出明確規(guī)定。

一位不愿透露姓名的業(yè)內(nèi)人士對(duì)記者表示，這些義務(wù)包括：立即采取補(bǔ)救措施，防止信息繼續(xù)泄露；24小時(shí)內(nèi)告知用戶，根據(jù)用戶初始注冊(cè)信息重新激活賬戶，避免造成更大的損失；24小時(shí)內(nèi)報(bào)告公安機(jī)關(guān)。

“這樣細(xì)致的規(guī)定有助于明確企業(yè)的責(zé)任，第一時(shí)間通知用戶的規(guī)定，也有助于降低信息泄露的安全隱患。”趙占領(lǐng)對(duì)法治周末記者說(shuō)。

針對(duì)一些網(wǎng)絡(luò)服務(wù)提供者不履行網(wǎng)絡(luò)安全管理義務(wù)，造成嚴(yán)重后果的情況，我國(guó)也計(jì)劃通過(guò)立法增加其刑事責(zé)任。

公安部第三研究所研究員黃道麗對(duì)法治周末記者介紹，2014年刑法修正案(九)草案就規(guī)定，“網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門(mén)通知采取改正措施而拒絕執(zhí)行，致使違法信息大量傳播的，致使用戶信息泄漏，造成嚴(yán)重后果的，或者致使刑事犯罪證據(jù)滅失，嚴(yán)重妨害司法機(jī)關(guān)依法追究犯罪的，追究刑事責(zé)任”。

“雖然此罪為結(jié)果犯，但從刑法角度強(qiáng)化了服務(wù)提供者的安全管理責(zé)任，不僅反映了我國(guó)立法中強(qiáng)化安全的新趨勢(shì)和動(dòng)向，也將適用于漏洞攻擊導(dǎo)致用戶信息泄露而服務(wù)提供者不作為的情況?！?/span>