在大數(shù)據(jù)時代,很多互聯(lián)網(wǎng)從業(yè)人員都高呼“得數(shù)據(jù)者得天下”,對于日益猖獗的網(wǎng)絡黑色產(chǎn)業(yè)鏈而言,此話同樣適用。
2014年12月25日,中國鐵路購票網(wǎng)12306網(wǎng)站遭遇“撞庫”攻擊,超過13萬條用戶隱私數(shù)據(jù)在互聯(lián)網(wǎng)上瘋傳,用戶賬號、密碼等數(shù)據(jù)被大范圍流傳、買賣;
130萬條考研學生的詳細個人信息,在一些黑產(chǎn)群里公開叫賣,只需15000元就可得手;
花費500元就可查詢單個城市的開房記錄;花費800元就可以查詢?nèi)珖拈_房記錄;輸入姓名和身份證號,可以查詢當事人最近3年的開房記錄……
隨著互聯(lián)網(wǎng)不斷深度介入人們的生活,網(wǎng)絡上也在源源不斷積累起大量數(shù)據(jù),這些數(shù)據(jù)就像散落在互聯(lián)網(wǎng)生態(tài)中的粒粒珍珠,閃耀著光芒,誘惑著網(wǎng)絡黑產(chǎn)分子瞪大貪婪的雙眼,伺機而動……
“拖庫”成慣招
對于很多普通人而言,黑客是一個極為隱秘的群體,接觸不多,而當網(wǎng)絡上用戶數(shù)據(jù)泄露事件不斷被曝出時,人們不得不感嘆這個群體能量的強大。
一般來說,黑客處在網(wǎng)絡黑色產(chǎn)業(yè)鏈的上游,其會入侵有價值的網(wǎng)站,盜走用戶數(shù)據(jù)庫,這一過程在地下產(chǎn)業(yè)術語中被稱為“拖庫”,在過去一兩年間,國內(nèi)被爆拖庫的公司不在少數(shù),貓撲、天涯、人人網(wǎng)等都榜上有名。
2013年下半年以來,酒店行業(yè)的用戶數(shù)據(jù)頻頻被泄露,當時媒體稱超過2000萬條酒店開放數(shù)據(jù)在網(wǎng)上惡性蔓延,這無疑給社會投下了一枚深水炸彈。
時至今日,法治周末記者仍能在網(wǎng)上查到“2000W條開房信息免費任你查”的網(wǎng)帖,輸入常見的人名,即可顯示大量同名人的詳細個人信息:如姓名、性別、年齡、出生年月、身份證號、電話號碼等。開房時間從2010年年初到2012年年底。
2014年5月,小米官方論壇也被曝拖庫,約800萬用戶的數(shù)據(jù)被泄露,用戶信息包括用戶賬號密碼、郵箱和相關IP地址等。
互聯(lián)網(wǎng)深度數(shù)據(jù)分析公司TOMslnsight在其最新的分析報告《互聯(lián)網(wǎng)黑市分析:社工庫的傳說》中指出,全國流量排名前100的網(wǎng)站中,有近八成的用戶數(shù)據(jù)庫已被黑客盜取,變相為網(wǎng)絡黑色產(chǎn)業(yè)鏈提供大數(shù)據(jù)來源。
被媒體稱為“黑客教父”的萬濤對TOMslnsight的報告表示認可,他對法治周末記者表示:“目前媒體報道出來的數(shù)據(jù)泄露事件僅是冰山一角。”
國內(nèi)漏洞報告平臺——烏云創(chuàng)始人鄔迪對法治周末記者表示,隨著互聯(lián)網(wǎng)對人們生活的深度介入,用戶會在互聯(lián)網(wǎng)上留下大量的數(shù)據(jù),這也讓黑產(chǎn)鏈條上的黑客們有了更強的經(jīng)濟驅(qū)動力。
對于黑客而言,積累有大量用戶數(shù)據(jù)的電商交易平臺、訂票類網(wǎng)站、招聘求職類網(wǎng)站等都是上好的“獵物”。鄔迪介紹,目前烏云平臺上披露了很多航空公司、招聘類網(wǎng)站的系統(tǒng)漏洞,其實等白帽子報告漏洞時,發(fā)現(xiàn)這些網(wǎng)站的“門早已被打開過”。
“世界上沒有完美的網(wǎng)絡,任何一個網(wǎng)絡都會存在或大或小、或嚴重或輕微的漏洞,烏云平臺每天都會接到多個有關漏洞的報告,只是對于白帽子而言,發(fā)現(xiàn)網(wǎng)站的漏洞,報告給廠商就意味著工作的結束;而對于黑色產(chǎn)業(yè)鏈上的黑客而言,行程才剛剛開始,他們的目的是拿到數(shù)據(jù),進而轉化成金錢。”鄔迪對記者說。
對黑產(chǎn)鏈條上的人而言,每一次成功的拖庫,都是一次肆意攫取數(shù)據(jù)的盛宴。拖庫成功后,還會從事“洗庫”的工作,即通過一系列技術手段清洗數(shù)據(jù),提煉出有價值的用戶數(shù)據(jù)將其變現(xiàn)。
“撞庫”做大數(shù)據(jù)庫
對黑產(chǎn)鏈條上的人而言,通過拖庫、洗庫得到數(shù)據(jù)并不意味著此番劫掠的結束,還會有黑產(chǎn)鏈條上的人將得到的數(shù)據(jù)在其他網(wǎng)站上進行嘗試登錄,業(yè)內(nèi)稱其為“撞庫”。
2014年12月25日,中國鐵路購票網(wǎng)12306網(wǎng)站被曝出泄露用戶數(shù)據(jù),其時超過13萬條用戶隱私數(shù)據(jù)在互聯(lián)網(wǎng)上瘋傳,用戶賬號、密碼、身份證號、注冊郵箱等數(shù)據(jù)被大范圍流傳、買賣。
事后經(jīng)國內(nèi)安全企業(yè)推斷,此次數(shù)據(jù)泄露,并非黑客攻擊12306所為,乃是撞庫成功所致。
萬濤對法治周末記者解釋,撞庫就是黑客用其他渠道泄露的用戶名和密碼嘗試登錄12306,結果登錄成功。登錄成功后,就可以獲得用戶在12306訂票時所需的身份證號等個人信息。
由于很多用戶為了方便記憶,會在不同網(wǎng)站使用相同的用戶名和密碼,這就大大增加了黑客撞庫成功的概率。
“在12306網(wǎng)站上撞庫成功后,黑客也會嘗試去撞其他的庫,比如去登錄淘寶、京東這樣的電商網(wǎng)站,如果同樣撞庫成功的話,黑客又會多了用戶個人支付賬號、消費記錄等數(shù)據(jù)。”萬濤表示,撞庫可反復操作,而每一次撞庫成功,都會獲得用戶更多維度的數(shù)據(jù)。
而黑客每次撞庫并非像普通用戶想象的拿一組用戶名和密碼手工操作。TOMslnsight公司的報告顯示,黑客可以使用自己開發(fā)的工具、直接數(shù)據(jù)庫匹配登錄技術以及配合黑色產(chǎn)業(yè)鏈中的打碼機制(利用人工智能大量輸入驗證碼)對很多網(wǎng)站進行批量撞庫。
作為雷霆行動的負責人,騰訊安全管理部總經(jīng)理朱勁松對此深有體會。他對法治周末記者表示,通過警方破獲的一些案件來看,一些黑產(chǎn)人員會把通過不同渠道得到的數(shù)據(jù)庫整合成一個龐大的社工庫,大量網(wǎng)絡用戶的隱私信息、上網(wǎng)的行為和個人金融財產(chǎn)安全相關的數(shù)據(jù)都會被黑產(chǎn)分子重新進行整合。
“這其實做的就是大數(shù)據(jù)。”朱勁松說。
以2014年廣東省破獲的“海燕3號”專案為例,據(jù)《南方都市報》報道,當時年僅17歲的黑客通過自編軟件攻擊招聘類網(wǎng)站,因該招聘網(wǎng)站只需輸入郵箱號和密碼就可登錄,為此獲取了數(shù)百萬條公民的個人信息,并將這些信息與其他途徑獲取的大數(shù)據(jù)自行整理成數(shù)據(jù)庫,通過使用一套數(shù)據(jù)整理軟件,自動匹配成完整的銀行卡用戶的核心信息。
截至案發(fā),警方統(tǒng)計得出,該黑客所建數(shù)據(jù)庫中包括各類公民信息、銀行卡信息達800萬條,其中包含身份證號、登錄密碼、手機號碼和銀行卡賬號信息齊全的共有19萬條,可用于直接盜刷,對應的銀行賬號金額達14.98億元。
朱勁松還透露,目前整個黑產(chǎn)圈里已經(jīng)有人開始利用大量的社工庫數(shù)據(jù)所成立的查詢平臺,一個黑產(chǎn)人員只要花十幾元錢,就可以通過這種平臺去查詢到一個用戶的姓名、手機號碼、身份證號碼和銀行卡號核心四要素。
隨著拖庫、撞庫的網(wǎng)站不斷增加,用于詐騙分子詐騙的社工庫也日益完善,對于用戶的潛在威脅也越來越大。
“有了這些多維度的海量信息,也會讓網(wǎng)絡詐騙變得更有針對性和迷惑性。”朱勁松說。
1個上游端供養(yǎng)10個犯罪團伙
黑客的拖庫、撞庫舉動只是整個黑產(chǎn)鏈條的一個環(huán)節(jié)。“生活中很多精準式詐騙的場景背后,都是有一整套的網(wǎng)絡黑色產(chǎn)業(yè)鏈的團伙在相互協(xié)作,形成對用戶進行各類侵害的利益鏈條。”朱勁松說。
朱勁松對這一鏈條進行了梳理:在整個產(chǎn)業(yè)鏈的上端是技術含量最高、也是最為隱蔽的群體,他們以職業(yè)黑客為主,通過挖掘漏洞、編寫木馬來實施入侵;
產(chǎn)業(yè)鏈的中間環(huán)節(jié),則是一個更為龐大的進行欺詐的犯罪團伙,他們通常具備比較高的情商,能夠熟練地應用社會工程學(它集合了心理學、社會心理學、組織行為學等一系列的學科,可利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行攻擊)的理論和知識來對用戶實施具體的欺詐行為;
在整個產(chǎn)業(yè)鏈的下游,是支撐整個黑色產(chǎn)業(yè)鏈各種周邊的組織。如取錢、洗錢團伙、收卡團伙、販賣身份證團伙等。
近日,騰訊發(fā)布的《網(wǎng)絡黑色產(chǎn)業(yè)鏈年度報告》揭示,平均一個上游端就可長期供養(yǎng)10個以上網(wǎng)絡黑產(chǎn)犯罪團伙。
以遼寧網(wǎng)安部門破獲的一起非法入侵韓國網(wǎng)站盜取韓國網(wǎng)民銀行存款的特大團伙為例,其中就有黑帽開發(fā)制作木馬、包馬人進行代理木馬,然后入侵韓國網(wǎng)站掛馬,在韓國網(wǎng)民瀏覽網(wǎng)站時竊取網(wǎng)銀賬戶密碼;
在網(wǎng)銀賬號和密碼得手后,網(wǎng)絡盜竊黑產(chǎn)團伙便會入侵受害人網(wǎng)銀;隨后洗錢團伙跟進,將受害人存款轉移至韓國銀行卡,最后再由下游的取錢團伙,通過ATM機、游戲點卡、充值卡等提現(xiàn)。
僅半年時間,由34人組成的犯罪團伙就先后對110余家韓國網(wǎng)站實施入侵,盜竊韓國網(wǎng)民銀行賬號密碼4000余組,涉案金額折合人民幣1000余萬元。
“在產(chǎn)業(yè)鏈的不同環(huán)節(jié)中,不同的團伙既獨立作案,又能夠在一定程度上形成相互協(xié)作的關系,就好像一群強盜在分食一條大魚,有的團伙吃魚頭、有的團伙吃魚身、有的團伙吃魚尾,剩下的團伙喝魚湯。”朱勁松如是形容黑產(chǎn)鏈條的運作。
個人信息界定還需明晰
騰訊發(fā)布的《網(wǎng)絡黑色產(chǎn)業(yè)鏈年度報告》顯示,隨著大量網(wǎng)站數(shù)據(jù)庫被盜取,越來越多的網(wǎng)絡犯罪分子傾向于在掌握網(wǎng)民個人信息后,以冒充熟人或博取同情等精準式詐騙場景對受害人進行欺詐。
那緣何目前買賣個人信息呈泛濫之勢卻似乎難以規(guī)制呢?中國互聯(lián)網(wǎng)協(xié)會信用評價中心法律顧問趙占領對法治周末記者表示,“這與目前我國法律對于個人信息的界定還不清晰有關”。
趙占領對法治周末記者表示,盡管我國刑法明確規(guī)定,竊取或者以其他方法非法獲取公民個人信息,情節(jié)嚴重的,將被追究刑事責任,“但是對于什么是個人信息,目前規(guī)定的還比較籠統(tǒng)”。
2012年12月,全國人大常委會頒布了《關于加強網(wǎng)絡信息保護的決定》,隨后工信部也出臺了《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》,采用了列舉加概括的方式指出,個人信息包括用戶姓名、身份證號等能夠單獨或者與其他信息結合識別用戶的信息。
趙占領表示,現(xiàn)實中黑客往往會通過拖庫的方式會獲得用戶的一些數(shù)據(jù),比如cookie,是用戶在網(wǎng)絡上的行為軌跡,但這些數(shù)據(jù)是不是個人信息法律上暫時還沒有明確的規(guī)定,但是經(jīng)過整合加工,則往往具備了識別到個人的特點。
“個人信息、個人數(shù)據(jù)、個人隱私這三者其實是不同的概念,但是法律目前未對此作出界定和厘清,這使得黑產(chǎn)分子在獲取數(shù)據(jù)后,很難以竊取或者以其他方式獲得公民個人信息罪論處的重要原因。”趙占領說。
朱勁松對此也是深有感觸,他以微信號為例,很多用戶都是通過手機號作為微信號的,而通過實名登記的手機號都是直接對應到個人的,那么此時微信號屬不屬于個人信息?
明確網(wǎng)絡服務提供者責任
西安交通大學信息安全法律研究中心主任馬民虎對法治周末記者表示,其實對于網(wǎng)絡黑產(chǎn)上的每一個環(huán)節(jié)、每一種行為基本都能在現(xiàn)有法律框架下找到對應的法律進行規(guī)制。
比如法律明確規(guī)定,侵入國家事務、國防建設以外的計算機信息系統(tǒng),獲取系統(tǒng)存儲、處理或者傳輸?shù)臄?shù)據(jù),情節(jié)嚴重的將追究刑事責任。
不過,馬民虎認為,“盡管法律規(guī)定了嚴格的懲罰責任,但是缺少如何防范的法律規(guī)定,如果不在如何防治上落實法制,只有責任規(guī)定就形同虛設”。
馬民虎舉例道,很多網(wǎng)絡服務提供者在提供服務的時候不可避免地要收集用戶信息,但是到底互聯(lián)網(wǎng)平臺要采取什么樣的措施,履行什么樣的義務,法律并沒有明確規(guī)定,只是一些互聯(lián)網(wǎng)公司在做著這方面的嘗試,但個別企業(yè)的做法并沒有形成行業(yè)規(guī)范,或者是形成標準。
以12306用戶數(shù)據(jù)泄露為例,據(jù)媒體披露,在泄密發(fā)生后一段時間內(nèi),依照泄露出來的用戶名和密碼仍舊可以登錄,用戶并沒有收到任何提醒。
“對于網(wǎng)絡服務提供者注意義務盡到什么程度,這個界限在哪里目前還有很大的爭議,畢竟任何技術都不是絕對安全的,并不是所有的用戶信息泄露都是網(wǎng)絡服務提供者存在過錯,再比如在出現(xiàn)數(shù)據(jù)泄露多久后要告知用戶等,目前法律并無明確規(guī)定。”趙占領對法治周末記者說。
記者在采訪中了解到,針對這種情形,我國正在制定相應的管理標準(尚未正式頒布),擬對網(wǎng)絡服務提供者出現(xiàn)信息泄露后應承擔的義務作出明確規(guī)定。
一位不愿透露姓名的業(yè)內(nèi)人士表示,這些義務包括:立即采取補救措施,防止信息繼續(xù)泄露;24小時內(nèi)告知用戶,根據(jù)用戶初始注冊信息重新激活賬戶,避免造成更大的損失;24小時內(nèi)報告公安機關。
“這樣細致的規(guī)定有助于明確企業(yè)的責任,第一時間通知用戶的規(guī)定,也有助于降低信息泄露的安全隱患。”趙占領對法治周末記者說。
針對一些網(wǎng)絡服務提供者不履行網(wǎng)絡安全管理義務,造成嚴重后果的情況,我國也計劃通過立法增加其刑事責任。
公安部第三研究所研究員黃道麗對法治周末記者介紹,2014年刑法修正案(九)草案就規(guī)定,“網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務,經(jīng)監(jiān)管部門通知采取改正措施而拒絕執(zhí)行,致使違法信息大量傳播的,致使用戶信息泄漏,造成嚴重后果的,或者致使刑事犯罪證據(jù)滅失,嚴重妨害司法機關依法追究犯罪的,追究刑事責任”。
“雖然此罪為結果犯,但從刑法角度強化了服務提供者的安全管理責任,不僅反映了我國立法中強化安全的新趨勢和動向,也將適用于漏洞攻擊導致用戶信息泄露而服務提供者不作為的情況。”黃道麗對法治周末記者說。