在大數據時(shí)代,很多互聯(lián)網(wǎng)從業(yè)人員都高呼“得數據者得天下”,對于日益猖獗的網(wǎng)絡(luò )黑色產(chǎn)業(yè)鏈而言,此話(huà)同樣適用。
2014年12月25日,中國鐵路購票網(wǎng)12306網(wǎng)站遭遇“撞庫”攻擊,超過(guò)13萬(wàn)條用戶(hù)隱私數據在互聯(lián)網(wǎng)上瘋傳,用戶(hù)賬號、密碼等數據被大范圍流傳、買(mǎi)賣(mài);
130萬(wàn)條考研學(xué)生的詳細個(gè)人信息,在一些黑產(chǎn)群里公開(kāi)叫賣(mài),只需15000元就可得手;
花費500元就可查詢(xún)單個(gè)城市的開(kāi)房記錄;花費800元就可以查詢(xún)全國的開(kāi)房記錄;輸入姓名和身份證號,可以查詢(xún)當事人最近3年的開(kāi)房記錄……
隨著(zhù)互聯(lián)網(wǎng)不斷深度介入人們的生活,網(wǎng)絡(luò )上也在源源不斷積累起大量數據,這些數據就像散落在互聯(lián)網(wǎng)生態(tài)中的粒粒珍珠,閃耀著(zhù)光芒,誘惑著(zhù)網(wǎng)絡(luò )黑產(chǎn)分子瞪大貪婪的雙眼,伺機而動(dòng)……
“拖庫”成慣招
對于很多普通人而言,黑客是一個(gè)極為隱秘的群體,接觸不多,而當網(wǎng)絡(luò )上用戶(hù)數據泄露事件不斷被曝出時(shí),人們不得不感嘆這個(gè)群體能量的強大。
一般來(lái)說(shuō),黑客處在網(wǎng)絡(luò )黑色產(chǎn)業(yè)鏈的上游,其會(huì )入侵有價(jià)值的網(wǎng)站,盜走用戶(hù)數據庫,這一過(guò)程在地下產(chǎn)業(yè)術(shù)語(yǔ)中被稱(chēng)為“拖庫”,在過(guò)去一兩年間,國內被爆拖庫的公司不在少數,貓撲、天涯、人人網(wǎng)等都榜上有名。
2013年下半年以來(lái),酒店行業(yè)的用戶(hù)數據頻頻被泄露,當時(shí)媒體稱(chēng)超過(guò)2000萬(wàn)條酒店開(kāi)放數據在網(wǎng)上惡性蔓延,這無(wú)疑給社會(huì )投下了一枚深水炸彈。
時(shí)至今日,法治周末記者仍能在網(wǎng)上查到“2000W條開(kāi)房信息免費任你查”的網(wǎng)帖,輸入常見(jiàn)的人名,即可顯示大量同名人的詳細個(gè)人信息:如姓名、性別、年齡、出生年月、身份證號、電話(huà)號碼等。開(kāi)房時(shí)間從2010年年初到2012年年底。
2014年5月,小米官方論壇也被曝拖庫,約800萬(wàn)用戶(hù)的數據被泄露,用戶(hù)信息包括用戶(hù)賬號密碼、郵箱和相關(guān)IP地址等。
互聯(lián)網(wǎng)深度數據分析公司TOMslnsight在其最新的分析報告《互聯(lián)網(wǎng)黑市分析:社工庫的傳說(shuō)》中指出,全國流量排名前100的網(wǎng)站中,有近八成的用戶(hù)數據庫已被黑客盜取,變相為網(wǎng)絡(luò )黑色產(chǎn)業(yè)鏈提供大數據來(lái)源。
被媒體稱(chēng)為“黑客教父”的萬(wàn)濤對TOMslnsight的報告表示認可,他對法治周末記者表示:“目前媒體報道出來(lái)的數據泄露事件僅是冰山一角。”
國內漏洞報告平臺——烏云創(chuàng )始人鄔迪對法治周末記者表示,隨著(zhù)互聯(lián)網(wǎng)對人們生活的深度介入,用戶(hù)會(huì )在互聯(lián)網(wǎng)上留下大量的數據,這也讓黑產(chǎn)鏈條上的黑客們有了更強的經(jīng)濟驅動(dòng)力。
對于黑客而言,積累有大量用戶(hù)數據的電商交易平臺、訂票類(lèi)網(wǎng)站、招聘求職類(lèi)網(wǎng)站等都是上好的“獵物”。鄔迪介紹,目前烏云平臺上披露了很多航空公司、招聘類(lèi)網(wǎng)站的系統漏洞,其實(shí)等白帽子報告漏洞時(shí),發(fā)現這些網(wǎng)站的“門(mén)早已被打開(kāi)過(guò)”。
“世界上沒(méi)有完美的網(wǎng)絡(luò ),任何一個(gè)網(wǎng)絡(luò )都會(huì )存在或大或小、或嚴重或輕微的漏洞,烏云平臺每天都會(huì )接到多個(gè)有關(guān)漏洞的報告,只是對于白帽子而言,發(fā)現網(wǎng)站的漏洞,報告給廠(chǎng)商就意味著(zhù)工作的結束;而對于黑色產(chǎn)業(yè)鏈上的黑客而言,行程才剛剛開(kāi)始,他們的目的是拿到數據,進(jìn)而轉化成金錢(qián)。”鄔迪對記者說(shuō)。
對黑產(chǎn)鏈條上的人而言,每一次成功的拖庫,都是一次肆意攫取數據的盛宴。拖庫成功后,還會(huì )從事“洗庫”的工作,即通過(guò)一系列技術(shù)手段清洗數據,提煉出有價(jià)值的用戶(hù)數據將其變現。
“撞庫”做大數據庫
對黑產(chǎn)鏈條上的人而言,通過(guò)拖庫、洗庫得到數據并不意味著(zhù)此番劫掠的結束,還會(huì )有黑產(chǎn)鏈條上的人將得到的數據在其他網(wǎng)站上進(jìn)行嘗試登錄,業(yè)內稱(chēng)其為“撞庫”。
2014年12月25日,中國鐵路購票網(wǎng)12306網(wǎng)站被曝出泄露用戶(hù)數據,其時(shí)超過(guò)13萬(wàn)條用戶(hù)隱私數據在互聯(lián)網(wǎng)上瘋傳,用戶(hù)賬號、密碼、身份證號、注冊郵箱等數據被大范圍流傳、買(mǎi)賣(mài)。
事后經(jīng)國內安全企業(yè)推斷,此次數據泄露,并非黑客攻擊12306所為,乃是撞庫成功所致。
萬(wàn)濤對法治周末記者解釋?zhuān)矌炀褪呛诳陀闷渌佬孤兜挠脩?hù)名和密碼嘗試登錄12306,結果登錄成功。登錄成功后,就可以獲得用戶(hù)在12306訂票時(shí)所需的身份證號等個(gè)人信息。
由于很多用戶(hù)為了方便記憶,會(huì )在不同網(wǎng)站使用相同的用戶(hù)名和密碼,這就大大增加了黑客撞庫成功的概率。
“在12306網(wǎng)站上撞庫成功后,黑客也會(huì )嘗試去撞其他的庫,比如去登錄淘寶、京東這樣的電商網(wǎng)站,如果同樣撞庫成功的話(huà),黑客又會(huì )多了用戶(hù)個(gè)人支付賬號、消費記錄等數據。”萬(wàn)濤表示,撞庫可反復操作,而每一次撞庫成功,都會(huì )獲得用戶(hù)更多維度的數據。
而黑客每次撞庫并非像普通用戶(hù)想象的拿一組用戶(hù)名和密碼手工操作。TOMslnsight公司的報告顯示,黑客可以使用自己開(kāi)發(fā)的工具、直接數據庫匹配登錄技術(shù)以及配合黑色產(chǎn)業(yè)鏈中的打碼機制(利用人工智能大量輸入驗證碼)對很多網(wǎng)站進(jìn)行批量撞庫。
作為雷霆行動(dòng)的負責人,騰訊安全管理部總經(jīng)理朱勁松對此深有體會(huì )。他對法治周末記者表示,通過(guò)警方破獲的一些案件來(lái)看,一些黑產(chǎn)人員會(huì )把通過(guò)不同渠道得到的數據庫整合成一個(gè)龐大的社工庫,大量網(wǎng)絡(luò )用戶(hù)的隱私信息、上網(wǎng)的行為和個(gè)人金融財產(chǎn)安全相關(guān)的數據都會(huì )被黑產(chǎn)分子重新進(jìn)行整合。
“這其實(shí)做的就是大數據。”朱勁松說(shuō)。
以2014年廣東省破獲的“海燕3號”專(zhuān)案為例,據《南方都市報》報道,當時(shí)年僅17歲的黑客通過(guò)自編軟件攻擊招聘類(lèi)網(wǎng)站,因該招聘網(wǎng)站只需輸入郵箱號和密碼就可登錄,為此獲取了數百萬(wàn)條公民的個(gè)人信息,并將這些信息與其他途徑獲取的大數據自行整理成數據庫,通過(guò)使用一套數據整理軟件,自動(dòng)匹配成完整的銀行卡用戶(hù)的核心信息。
截至案發(fā),警方統計得出,該黑客所建數據庫中包括各類(lèi)公民信息、銀行卡信息達800萬(wàn)條,其中包含身份證號、登錄密碼、手機號碼和銀行卡賬號信息齊全的共有19萬(wàn)條,可用于直接盜刷,對應的銀行賬號金額達14.98億元。
朱勁松還透露,目前整個(gè)黑產(chǎn)圈里已經(jīng)有人開(kāi)始利用大量的社工庫數據所成立的查詢(xún)平臺,一個(gè)黑產(chǎn)人員只要花十幾元錢(qián),就可以通過(guò)這種平臺去查詢(xún)到一個(gè)用戶(hù)的姓名、手機號碼、身份證號碼和銀行卡號核心四要素。
隨著(zhù)拖庫、撞庫的網(wǎng)站不斷增加,用于詐騙分子詐騙的社工庫也日益完善,對于用戶(hù)的潛在威脅也越來(lái)越大。
“有了這些多維度的海量信息,也會(huì )讓網(wǎng)絡(luò )詐騙變得更有針對性和迷惑性。”朱勁松說(shuō)。
1個(gè)上游端供養10個(gè)犯罪團伙
黑客的拖庫、撞庫舉動(dòng)只是整個(gè)黑產(chǎn)鏈條的一個(gè)環(huán)節。“生活中很多精準式詐騙的場(chǎng)景背后,都是有一整套的網(wǎng)絡(luò )黑色產(chǎn)業(yè)鏈的團伙在相互協(xié)作,形成對用戶(hù)進(jìn)行各類(lèi)侵害的利益鏈條。”朱勁松說(shuō)。
朱勁松對這一鏈條進(jìn)行了梳理:在整個(gè)產(chǎn)業(yè)鏈的上端是技術(shù)含量最高、也是最為隱蔽的群體,他們以職業(yè)黑客為主,通過(guò)挖掘漏洞、編寫(xiě)木馬來(lái)實(shí)施入侵;
產(chǎn)業(yè)鏈的中間環(huán)節,則是一個(gè)更為龐大的進(jìn)行欺詐的犯罪團伙,他們通常具備比較高的情商,能夠熟練地應用社會(huì )工程學(xué)(它集合了心理學(xué)、社會(huì )心理學(xué)、組織行為學(xué)等一系列的學(xué)科,可利用人的弱點(diǎn)如人的本能反應、好奇心、信任、貪便宜等弱點(diǎn)進(jìn)行攻擊)的理論和知識來(lái)對用戶(hù)實(shí)施具體的欺詐行為;
在整個(gè)產(chǎn)業(yè)鏈的下游,是支撐整個(gè)黑色產(chǎn)業(yè)鏈各種周邊的組織。如取錢(qián)、洗錢(qián)團伙、收卡團伙、販賣(mài)身份證團伙等。
近日,騰訊發(fā)布的《網(wǎng)絡(luò )黑色產(chǎn)業(yè)鏈年度報告》揭示,平均一個(gè)上游端就可長(cháng)期供養10個(gè)以上網(wǎng)絡(luò )黑產(chǎn)犯罪團伙。
以遼寧網(wǎng)安部門(mén)破獲的一起非法入侵韓國網(wǎng)站盜取韓國網(wǎng)民銀行存款的特大團伙為例,其中就有黑帽開(kāi)發(fā)制作木馬、包馬人進(jìn)行代理木馬,然后入侵韓國網(wǎng)站掛馬,在韓國網(wǎng)民瀏覽網(wǎng)站時(shí)竊取網(wǎng)銀賬戶(hù)密碼;
在網(wǎng)銀賬號和密碼得手后,網(wǎng)絡(luò )盜竊黑產(chǎn)團伙便會(huì )入侵受害人網(wǎng)銀;隨后洗錢(qián)團伙跟進(jìn),將受害人存款轉移至韓國銀行卡,最后再由下游的取錢(qián)團伙,通過(guò)ATM機、游戲點(diǎn)卡、充值卡等提現。
僅半年時(shí)間,由34人組成的犯罪團伙就先后對110余家韓國網(wǎng)站實(shí)施入侵,盜竊韓國網(wǎng)民銀行賬號密碼4000余組,涉案金額折合人民幣1000余萬(wàn)元。
“在產(chǎn)業(yè)鏈的不同環(huán)節中,不同的團伙既獨立作案,又能夠在一定程度上形成相互協(xié)作的關(guān)系,就好像一群強盜在分食一條大魚(yú),有的團伙吃魚(yú)頭、有的團伙吃魚(yú)身、有的團伙吃魚(yú)尾,剩下的團伙喝魚(yú)湯。”朱勁松如是形容黑產(chǎn)鏈條的運作。
個(gè)人信息界定還需明晰
騰訊發(fā)布的《網(wǎng)絡(luò )黑色產(chǎn)業(yè)鏈年度報告》顯示,隨著(zhù)大量網(wǎng)站數據庫被盜取,越來(lái)越多的網(wǎng)絡(luò )犯罪分子傾向于在掌握網(wǎng)民個(gè)人信息后,以冒充熟人或博取同情等精準式詐騙場(chǎng)景對受害人進(jìn)行欺詐。
那緣何目前買(mǎi)賣(mài)個(gè)人信息呈泛濫之勢卻似乎難以規制呢?中國互聯(lián)網(wǎng)協(xié)會(huì )信用評價(jià)中心法律顧問(wèn)趙占領(lǐng)對法治周末記者表示,“這與目前我國法律對于個(gè)人信息的界定還不清晰有關(guān)”。
趙占領(lǐng)對法治周末記者表示,盡管我國刑法明確規定,竊取或者以其他方法非法獲取公民個(gè)人信息,情節嚴重的,將被追究刑事責任,“但是對于什么是個(gè)人信息,目前規定的還比較籠統”。
2012年12月,全國人大常委會(huì )頒布了《關(guān)于加強網(wǎng)絡(luò )信息保護的決定》,隨后工信部也出臺了《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護規定》,采用了列舉加概括的方式指出,個(gè)人信息包括用戶(hù)姓名、身份證號等能夠單獨或者與其他信息結合識別用戶(hù)的信息。
趙占領(lǐng)表示,現實(shí)中黑客往往會(huì )通過(guò)拖庫的方式會(huì )獲得用戶(hù)的一些數據,比如cookie,是用戶(hù)在網(wǎng)絡(luò )上的行為軌跡,但這些數據是不是個(gè)人信息法律上暫時(shí)還沒(méi)有明確的規定,但是經(jīng)過(guò)整合加工,則往往具備了識別到個(gè)人的特點(diǎn)。
“個(gè)人信息、個(gè)人數據、個(gè)人隱私這三者其實(shí)是不同的概念,但是法律目前未對此作出界定和厘清,這使得黑產(chǎn)分子在獲取數據后,很難以竊取或者以其他方式獲得公民個(gè)人信息罪論處的重要原因。”趙占領(lǐng)說(shuō)。
朱勁松對此也是深有感觸,他以微信號為例,很多用戶(hù)都是通過(guò)手機號作為微信號的,而通過(guò)實(shí)名登記的手機號都是直接對應到個(gè)人的,那么此時(shí)微信號屬不屬于個(gè)人信息?
明確網(wǎng)絡(luò )服務(wù)提供者責任
西安交通大學(xué)信息安全法律研究中心主任馬民虎對法治周末記者表示,其實(shí)對于網(wǎng)絡(luò )黑產(chǎn)上的每一個(gè)環(huán)節、每一種行為基本都能在現有法律框架下找到對應的法律進(jìn)行規制。
比如法律明確規定,侵入國家事務(wù)、國防建設以外的計算機信息系統,獲取系統存儲、處理或者傳輸的數據,情節嚴重的將追究刑事責任。
不過(guò),馬民虎認為,“盡管法律規定了嚴格的懲罰責任,但是缺少如何防范的法律規定,如果不在如何防治上落實(shí)法制,只有責任規定就形同虛設”。
馬民虎舉例道,很多網(wǎng)絡(luò )服務(wù)提供者在提供服務(wù)的時(shí)候不可避免地要收集用戶(hù)信息,但是到底互聯(lián)網(wǎng)平臺要采取什么樣的措施,履行什么樣的義務(wù),法律并沒(méi)有明確規定,只是一些互聯(lián)網(wǎng)公司在做著(zhù)這方面的嘗試,但個(gè)別企業(yè)的做法并沒(méi)有形成行業(yè)規范,或者是形成標準。
以12306用戶(hù)數據泄露為例,據媒體披露,在泄密發(fā)生后一段時(shí)間內,依照泄露出來(lái)的用戶(hù)名和密碼仍舊可以登錄,用戶(hù)并沒(méi)有收到任何提醒。
“對于網(wǎng)絡(luò )服務(wù)提供者注意義務(wù)盡到什么程度,這個(gè)界限在哪里目前還有很大的爭議,畢竟任何技術(shù)都不是絕對安全的,并不是所有的用戶(hù)信息泄露都是網(wǎng)絡(luò )服務(wù)提供者存在過(guò)錯,再比如在出現數據泄露多久后要告知用戶(hù)等,目前法律并無(wú)明確規定。”趙占領(lǐng)對法治周末記者說(shuō)。
記者在采訪(fǎng)中了解到,針對這種情形,我國正在制定相應的管理標準(尚未正式頒布),擬對網(wǎng)絡(luò )服務(wù)提供者出現信息泄露后應承擔的義務(wù)作出明確規定。
一位不愿透露姓名的業(yè)內人士表示,這些義務(wù)包括:立即采取補救措施,防止信息繼續泄露;24小時(shí)內告知用戶(hù),根據用戶(hù)初始注冊信息重新激活賬戶(hù),避免造成更大的損失;24小時(shí)內報告公安機關(guān)。
“這樣細致的規定有助于明確企業(yè)的責任,第一時(shí)間通知用戶(hù)的規定,也有助于降低信息泄露的安全隱患。”趙占領(lǐng)對法治周末記者說(shuō)。
針對一些網(wǎng)絡(luò )服務(wù)提供者不履行網(wǎng)絡(luò )安全管理義務(wù),造成嚴重后果的情況,我國也計劃通過(guò)立法增加其刑事責任。
公安部第三研究所研究員黃道麗對法治周末記者介紹,2014年刑法修正案(九)草案就規定,“網(wǎng)絡(luò )服務(wù)提供者不履行法律、行政法規規定的信息網(wǎng)絡(luò )安全管理義務(wù),經(jīng)監管部門(mén)通知采取改正措施而拒絕執行,致使違法信息大量傳播的,致使用戶(hù)信息泄漏,造成嚴重后果的,或者致使刑事犯罪證據滅失,嚴重妨害司法機關(guān)依法追究犯罪的,追究刑事責任”。
“雖然此罪為結果犯,但從刑法角度強化了服務(wù)提供者的安全管理責任,不僅反映了我國立法中強化安全的新趨勢和動(dòng)向,也將適用于漏洞攻擊導致用戶(hù)信息泄露而服務(wù)提供者不作為的情況。”黃道麗對法治周末記者說(shuō)。
