'黑客、碼奴、內鬼、掮客:千億黑產軍團如何制ZAO'
目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
並不是所有黑客,都像電影裡一般活得高大上。
事實上,有些黑客甚至只是現實世界裡的失意者。學歷不高、收入不固定,靠著師傅交授的技術、一臺電腦和一條網線謀取生活。為了技術變現,有些人沒有抵擋住誘惑,選擇了一條最為簡單粗暴的道路——加入黑產大軍,進行數據竊取。
壞人並不可怕,可怕的是壞人有文化。
真正讓人感到恐懼的,是數據黑產並非無序猖獗,反而有著高度嚴密的產業鏈。這其中包括了惡意軟件、DDoS、敲詐勒索、大數據撞庫、網絡釣魚、惡意廣告及業務欺詐等等環節。其中最為引人注目的是黑客們通過拖庫、洗庫與撞庫的方式竊取信息。
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
並不是所有黑客,都像電影裡一般活得高大上。
事實上,有些黑客甚至只是現實世界裡的失意者。學歷不高、收入不固定,靠著師傅交授的技術、一臺電腦和一條網線謀取生活。為了技術變現,有些人沒有抵擋住誘惑,選擇了一條最為簡單粗暴的道路——加入黑產大軍,進行數據竊取。
壞人並不可怕,可怕的是壞人有文化。
真正讓人感到恐懼的,是數據黑產並非無序猖獗,反而有著高度嚴密的產業鏈。這其中包括了惡意軟件、DDoS、敲詐勒索、大數據撞庫、網絡釣魚、惡意廣告及業務欺詐等等環節。其中最為引人注目的是黑客們通過拖庫、洗庫與撞庫的方式竊取信息。
黑客利用超級SQL注入工具、網站漏洞掃描軟件,批量掃描網站程序漏洞等技術手段非法訪問並獲取企業數據庫的數據,這一過程被業內成為拖庫(也稱“脫庫”)。通過完成拖庫行為,黑客實現了將大量企業最核心的數據資料轉移到自己手中,接下來就是洗庫。黑客會通過一系列技術手段清洗數據,剔除部分重複和無效的數據,只剩下有價值可變現的用戶數據。這部分數據除了豐富用戶畫像外,往往會流向黑產的下游進行變現。
遊戲行業就是黑客們經常“光顧”的重災區之一。在遊戲中,被盜號無疑是所有玩家的噩夢,對於長年氪金的土豪更是致命的打擊。黑客們往往會利用部分玩家“人傻錢多”這一弱點布放釣魚網站和木馬程序,通過製造不安全的網絡環境來竊取玩家的遊戲賬號密碼。由於各大遊戲平臺一般設置了賬號保護措施,玩家一旦發現異常會通過手機驗證碼認證的方式更改密碼。因此黑客們往往不急著兜售遊戲號,而會在第一時間進行“洗號”。
所謂的洗號其實就像洗庫一樣,黑客將遊戲賬號內所有有價值的裝備、材料、遊戲幣等盜走,接著在遊戲交易網站進行兜售。這其中,往往還需要“倒爺”的協助。在遊戲中,倒爺其實就是遊戲中的材料商人,他們會將從黑客手中收購的材料在遊戲內擺攤出售,轉手其他玩家後賺取遊戲幣(此時售賣的遊戲幣被稱為“黑幣”),之後再將黑幣按一定折扣出售變現。
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
並不是所有黑客,都像電影裡一般活得高大上。
事實上,有些黑客甚至只是現實世界裡的失意者。學歷不高、收入不固定,靠著師傅交授的技術、一臺電腦和一條網線謀取生活。為了技術變現,有些人沒有抵擋住誘惑,選擇了一條最為簡單粗暴的道路——加入黑產大軍,進行數據竊取。
壞人並不可怕,可怕的是壞人有文化。
真正讓人感到恐懼的,是數據黑產並非無序猖獗,反而有著高度嚴密的產業鏈。這其中包括了惡意軟件、DDoS、敲詐勒索、大數據撞庫、網絡釣魚、惡意廣告及業務欺詐等等環節。其中最為引人注目的是黑客們通過拖庫、洗庫與撞庫的方式竊取信息。
黑客利用超級SQL注入工具、網站漏洞掃描軟件,批量掃描網站程序漏洞等技術手段非法訪問並獲取企業數據庫的數據,這一過程被業內成為拖庫(也稱“脫庫”)。通過完成拖庫行為,黑客實現了將大量企業最核心的數據資料轉移到自己手中,接下來就是洗庫。黑客會通過一系列技術手段清洗數據,剔除部分重複和無效的數據,只剩下有價值可變現的用戶數據。這部分數據除了豐富用戶畫像外,往往會流向黑產的下游進行變現。
遊戲行業就是黑客們經常“光顧”的重災區之一。在遊戲中,被盜號無疑是所有玩家的噩夢,對於長年氪金的土豪更是致命的打擊。黑客們往往會利用部分玩家“人傻錢多”這一弱點布放釣魚網站和木馬程序,通過製造不安全的網絡環境來竊取玩家的遊戲賬號密碼。由於各大遊戲平臺一般設置了賬號保護措施,玩家一旦發現異常會通過手機驗證碼認證的方式更改密碼。因此黑客們往往不急著兜售遊戲號,而會在第一時間進行“洗號”。
所謂的洗號其實就像洗庫一樣,黑客將遊戲賬號內所有有價值的裝備、材料、遊戲幣等盜走,接著在遊戲交易網站進行兜售。這其中,往往還需要“倒爺”的協助。在遊戲中,倒爺其實就是遊戲中的材料商人,他們會將從黑客手中收購的材料在遊戲內擺攤出售,轉手其他玩家後賺取遊戲幣(此時售賣的遊戲幣被稱為“黑幣”),之後再將黑幣按一定折扣出售變現。
除了拖庫、洗庫外,還有一種竊取數據的常用方法是撞庫攻擊,撞庫也可以使黑客們收貨頗豐。有報告稱以“幾個密碼通用於大多數賬號”的中國網民佔比達到50.8%,正是因為很多用戶習慣在不同的網站平臺上使用同一套賬號密碼,才給了黑客們可趁之機。
黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站,這就完成一次“撞庫”嘗試。如果撞庫成功,黑客可以在不入侵B網站的情況下就輕鬆獲得B網站甚至更多網站留存的用戶數據。在黑客眼中,大數據的價值在於“大”,通過拖庫、洗庫、撞庫能夠關聯不同網站的用戶數據,形成更多維度和更加全面的“裸奔者”畫像,此時相較於單一的信息出售,經過加工、清洗的畫像信息的價值必然水漲船高。
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
並不是所有黑客,都像電影裡一般活得高大上。
事實上,有些黑客甚至只是現實世界裡的失意者。學歷不高、收入不固定,靠著師傅交授的技術、一臺電腦和一條網線謀取生活。為了技術變現,有些人沒有抵擋住誘惑,選擇了一條最為簡單粗暴的道路——加入黑產大軍,進行數據竊取。
壞人並不可怕,可怕的是壞人有文化。
真正讓人感到恐懼的,是數據黑產並非無序猖獗,反而有著高度嚴密的產業鏈。這其中包括了惡意軟件、DDoS、敲詐勒索、大數據撞庫、網絡釣魚、惡意廣告及業務欺詐等等環節。其中最為引人注目的是黑客們通過拖庫、洗庫與撞庫的方式竊取信息。
黑客利用超級SQL注入工具、網站漏洞掃描軟件,批量掃描網站程序漏洞等技術手段非法訪問並獲取企業數據庫的數據,這一過程被業內成為拖庫(也稱“脫庫”)。通過完成拖庫行為,黑客實現了將大量企業最核心的數據資料轉移到自己手中,接下來就是洗庫。黑客會通過一系列技術手段清洗數據,剔除部分重複和無效的數據,只剩下有價值可變現的用戶數據。這部分數據除了豐富用戶畫像外,往往會流向黑產的下游進行變現。
遊戲行業就是黑客們經常“光顧”的重災區之一。在遊戲中,被盜號無疑是所有玩家的噩夢,對於長年氪金的土豪更是致命的打擊。黑客們往往會利用部分玩家“人傻錢多”這一弱點布放釣魚網站和木馬程序,通過製造不安全的網絡環境來竊取玩家的遊戲賬號密碼。由於各大遊戲平臺一般設置了賬號保護措施,玩家一旦發現異常會通過手機驗證碼認證的方式更改密碼。因此黑客們往往不急著兜售遊戲號,而會在第一時間進行“洗號”。
所謂的洗號其實就像洗庫一樣,黑客將遊戲賬號內所有有價值的裝備、材料、遊戲幣等盜走,接著在遊戲交易網站進行兜售。這其中,往往還需要“倒爺”的協助。在遊戲中,倒爺其實就是遊戲中的材料商人,他們會將從黑客手中收購的材料在遊戲內擺攤出售,轉手其他玩家後賺取遊戲幣(此時售賣的遊戲幣被稱為“黑幣”),之後再將黑幣按一定折扣出售變現。
除了拖庫、洗庫外,還有一種竊取數據的常用方法是撞庫攻擊,撞庫也可以使黑客們收貨頗豐。有報告稱以“幾個密碼通用於大多數賬號”的中國網民佔比達到50.8%,正是因為很多用戶習慣在不同的網站平臺上使用同一套賬號密碼,才給了黑客們可趁之機。
黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站,這就完成一次“撞庫”嘗試。如果撞庫成功,黑客可以在不入侵B網站的情況下就輕鬆獲得B網站甚至更多網站留存的用戶數據。在黑客眼中,大數據的價值在於“大”,通過拖庫、洗庫、撞庫能夠關聯不同網站的用戶數據,形成更多維度和更加全面的“裸奔者”畫像,此時相較於單一的信息出售,經過加工、清洗的畫像信息的價值必然水漲船高。
在早期的數據盜竊過程中,這幾個階段幾乎都是由同一個團隊甚至同一個人來做。發展到今天,隨著分工的精細化和對風險隔離的需求,已經很少有人將拖庫、洗庫一起做,轉而採取了定製化或交易化模式,部分負責洗庫的黑產團隊甚至搖身一變把自己打造成了大數據處理公司。當然,黑客早已不滿足於利用簡單粗暴的木馬病毒,而是通過對社會工程學的研究,不斷升級犯罪技術。
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
並不是所有黑客,都像電影裡一般活得高大上。
事實上,有些黑客甚至只是現實世界裡的失意者。學歷不高、收入不固定,靠著師傅交授的技術、一臺電腦和一條網線謀取生活。為了技術變現,有些人沒有抵擋住誘惑,選擇了一條最為簡單粗暴的道路——加入黑產大軍,進行數據竊取。
壞人並不可怕,可怕的是壞人有文化。
真正讓人感到恐懼的,是數據黑產並非無序猖獗,反而有著高度嚴密的產業鏈。這其中包括了惡意軟件、DDoS、敲詐勒索、大數據撞庫、網絡釣魚、惡意廣告及業務欺詐等等環節。其中最為引人注目的是黑客們通過拖庫、洗庫與撞庫的方式竊取信息。
黑客利用超級SQL注入工具、網站漏洞掃描軟件,批量掃描網站程序漏洞等技術手段非法訪問並獲取企業數據庫的數據,這一過程被業內成為拖庫(也稱“脫庫”)。通過完成拖庫行為,黑客實現了將大量企業最核心的數據資料轉移到自己手中,接下來就是洗庫。黑客會通過一系列技術手段清洗數據,剔除部分重複和無效的數據,只剩下有價值可變現的用戶數據。這部分數據除了豐富用戶畫像外,往往會流向黑產的下游進行變現。
遊戲行業就是黑客們經常“光顧”的重災區之一。在遊戲中,被盜號無疑是所有玩家的噩夢,對於長年氪金的土豪更是致命的打擊。黑客們往往會利用部分玩家“人傻錢多”這一弱點布放釣魚網站和木馬程序,通過製造不安全的網絡環境來竊取玩家的遊戲賬號密碼。由於各大遊戲平臺一般設置了賬號保護措施,玩家一旦發現異常會通過手機驗證碼認證的方式更改密碼。因此黑客們往往不急著兜售遊戲號,而會在第一時間進行“洗號”。
所謂的洗號其實就像洗庫一樣,黑客將遊戲賬號內所有有價值的裝備、材料、遊戲幣等盜走,接著在遊戲交易網站進行兜售。這其中,往往還需要“倒爺”的協助。在遊戲中,倒爺其實就是遊戲中的材料商人,他們會將從黑客手中收購的材料在遊戲內擺攤出售,轉手其他玩家後賺取遊戲幣(此時售賣的遊戲幣被稱為“黑幣”),之後再將黑幣按一定折扣出售變現。
除了拖庫、洗庫外,還有一種竊取數據的常用方法是撞庫攻擊,撞庫也可以使黑客們收貨頗豐。有報告稱以“幾個密碼通用於大多數賬號”的中國網民佔比達到50.8%,正是因為很多用戶習慣在不同的網站平臺上使用同一套賬號密碼,才給了黑客們可趁之機。
黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站,這就完成一次“撞庫”嘗試。如果撞庫成功,黑客可以在不入侵B網站的情況下就輕鬆獲得B網站甚至更多網站留存的用戶數據。在黑客眼中,大數據的價值在於“大”,通過拖庫、洗庫、撞庫能夠關聯不同網站的用戶數據,形成更多維度和更加全面的“裸奔者”畫像,此時相較於單一的信息出售,經過加工、清洗的畫像信息的價值必然水漲船高。
在早期的數據盜竊過程中,這幾個階段幾乎都是由同一個團隊甚至同一個人來做。發展到今天,隨著分工的精細化和對風險隔離的需求,已經很少有人將拖庫、洗庫一起做,轉而採取了定製化或交易化模式,部分負責洗庫的黑產團隊甚至搖身一變把自己打造成了大數據處理公司。當然,黑客早已不滿足於利用簡單粗暴的木馬病毒,而是通過對社會工程學的研究,不斷升級犯罪技術。
針對黑產套利,企業自然也不會坐以待斃。為了防止黑客的腳本登錄,企業風控通常會強化登錄驗證,最常見的就是利用驗證碼(CAPTCHA)判斷是否為活體操作。能正確回答的即是人類,反之則為機器。目前,用戶在登各大網站、App時經常可以見到包括“字符式”、“字符+點選式”、“滑塊拼圖式”這一類驗證碼,此外還有難度逆天的12306同款圖片人工答題式驗證碼。驗證碼設計得越來越複雜,其目的就是為了區分人類和計算機程序,讓計算機無法解答。
然而,道高一尺,魔高一丈,在黑產的江湖中黑客從來不會坐以待斃。黑客竊取網絡數據庫後需要將有價值的數據通過驗證的方式篩選出來,這一過程在業內被稱為“晒密”。而晒密最為核心的障礙是要繞過企業的安全驗證系統,每天面對數以億計的“晒密需求”,追求效率的黑客們疲於逐一點擊驗證。有需求的地方就會有市場,批量識別的市場需求催生了打碼平臺,一群被業內戲稱為“碼奴”的人群也隨之應運而生。
碼奴這一群體是受僱於打碼平臺或與打碼平臺合作的網賺平臺,其每天的任務就是接收平臺打包推送過來的驗證碼,人工逐條比對、識別驗證碼並進行反饋。碼奴們可以選擇想要接收的驗證碼的複雜度,根據驗證碼的複雜程度和輸入的準確率,打1000個驗證碼會掙取1元至25元不等,每天工作12小時,最多可以輸入2萬個驗證碼,可以掙到300多元。
還有一種方式是碼奴通過網賺平臺註冊登錄後領取工號,通過類似領任務的形式完成每日的任務量,並獲得一定的金幣獎勵。根據網賺平臺“有賺網”的規則介紹,每10000個金幣價值等同於1元人民幣。按照這一計算方法,每天打碼20000個可以獲得約200元的收入。
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
並不是所有黑客,都像電影裡一般活得高大上。
事實上,有些黑客甚至只是現實世界裡的失意者。學歷不高、收入不固定,靠著師傅交授的技術、一臺電腦和一條網線謀取生活。為了技術變現,有些人沒有抵擋住誘惑,選擇了一條最為簡單粗暴的道路——加入黑產大軍,進行數據竊取。
壞人並不可怕,可怕的是壞人有文化。
真正讓人感到恐懼的,是數據黑產並非無序猖獗,反而有著高度嚴密的產業鏈。這其中包括了惡意軟件、DDoS、敲詐勒索、大數據撞庫、網絡釣魚、惡意廣告及業務欺詐等等環節。其中最為引人注目的是黑客們通過拖庫、洗庫與撞庫的方式竊取信息。
黑客利用超級SQL注入工具、網站漏洞掃描軟件,批量掃描網站程序漏洞等技術手段非法訪問並獲取企業數據庫的數據,這一過程被業內成為拖庫(也稱“脫庫”)。通過完成拖庫行為,黑客實現了將大量企業最核心的數據資料轉移到自己手中,接下來就是洗庫。黑客會通過一系列技術手段清洗數據,剔除部分重複和無效的數據,只剩下有價值可變現的用戶數據。這部分數據除了豐富用戶畫像外,往往會流向黑產的下游進行變現。
遊戲行業就是黑客們經常“光顧”的重災區之一。在遊戲中,被盜號無疑是所有玩家的噩夢,對於長年氪金的土豪更是致命的打擊。黑客們往往會利用部分玩家“人傻錢多”這一弱點布放釣魚網站和木馬程序,通過製造不安全的網絡環境來竊取玩家的遊戲賬號密碼。由於各大遊戲平臺一般設置了賬號保護措施,玩家一旦發現異常會通過手機驗證碼認證的方式更改密碼。因此黑客們往往不急著兜售遊戲號,而會在第一時間進行“洗號”。
所謂的洗號其實就像洗庫一樣,黑客將遊戲賬號內所有有價值的裝備、材料、遊戲幣等盜走,接著在遊戲交易網站進行兜售。這其中,往往還需要“倒爺”的協助。在遊戲中,倒爺其實就是遊戲中的材料商人,他們會將從黑客手中收購的材料在遊戲內擺攤出售,轉手其他玩家後賺取遊戲幣(此時售賣的遊戲幣被稱為“黑幣”),之後再將黑幣按一定折扣出售變現。
除了拖庫、洗庫外,還有一種竊取數據的常用方法是撞庫攻擊,撞庫也可以使黑客們收貨頗豐。有報告稱以“幾個密碼通用於大多數賬號”的中國網民佔比達到50.8%,正是因為很多用戶習慣在不同的網站平臺上使用同一套賬號密碼,才給了黑客們可趁之機。
黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站,這就完成一次“撞庫”嘗試。如果撞庫成功,黑客可以在不入侵B網站的情況下就輕鬆獲得B網站甚至更多網站留存的用戶數據。在黑客眼中,大數據的價值在於“大”,通過拖庫、洗庫、撞庫能夠關聯不同網站的用戶數據,形成更多維度和更加全面的“裸奔者”畫像,此時相較於單一的信息出售,經過加工、清洗的畫像信息的價值必然水漲船高。
在早期的數據盜竊過程中,這幾個階段幾乎都是由同一個團隊甚至同一個人來做。發展到今天,隨著分工的精細化和對風險隔離的需求,已經很少有人將拖庫、洗庫一起做,轉而採取了定製化或交易化模式,部分負責洗庫的黑產團隊甚至搖身一變把自己打造成了大數據處理公司。當然,黑客早已不滿足於利用簡單粗暴的木馬病毒,而是通過對社會工程學的研究,不斷升級犯罪技術。
針對黑產套利,企業自然也不會坐以待斃。為了防止黑客的腳本登錄,企業風控通常會強化登錄驗證,最常見的就是利用驗證碼(CAPTCHA)判斷是否為活體操作。能正確回答的即是人類,反之則為機器。目前,用戶在登各大網站、App時經常可以見到包括“字符式”、“字符+點選式”、“滑塊拼圖式”這一類驗證碼,此外還有難度逆天的12306同款圖片人工答題式驗證碼。驗證碼設計得越來越複雜,其目的就是為了區分人類和計算機程序,讓計算機無法解答。
然而,道高一尺,魔高一丈,在黑產的江湖中黑客從來不會坐以待斃。黑客竊取網絡數據庫後需要將有價值的數據通過驗證的方式篩選出來,這一過程在業內被稱為“晒密”。而晒密最為核心的障礙是要繞過企業的安全驗證系統,每天面對數以億計的“晒密需求”,追求效率的黑客們疲於逐一點擊驗證。有需求的地方就會有市場,批量識別的市場需求催生了打碼平臺,一群被業內戲稱為“碼奴”的人群也隨之應運而生。
碼奴這一群體是受僱於打碼平臺或與打碼平臺合作的網賺平臺,其每天的任務就是接收平臺打包推送過來的驗證碼,人工逐條比對、識別驗證碼並進行反饋。碼奴們可以選擇想要接收的驗證碼的複雜度,根據驗證碼的複雜程度和輸入的準確率,打1000個驗證碼會掙取1元至25元不等,每天工作12小時,最多可以輸入2萬個驗證碼,可以掙到300多元。
還有一種方式是碼奴通過網賺平臺註冊登錄後領取工號,通過類似領任務的形式完成每日的任務量,並獲得一定的金幣獎勵。根據網賺平臺“有賺網”的規則介紹,每10000個金幣價值等同於1元人民幣。按照這一計算方法,每天打碼20000個可以獲得約200元的收入。
碼奴通過自身勞動從打碼平臺或網賺平臺獲得收入,網賺平臺與打碼平臺合作進行利益分成,打碼平臺將服務封裝提供給黑客、羊毛黨、黃牛、水軍等,一條處於灰色地帶的打碼產業鏈就此鋪開。
如今,隨著人工智能的應用,一種更為“高級”的打碼方式——“AI打碼”橫空出世。通過運用人工智能機器深度學習技術訓練機器,由此訓練得到的模型具有非常強的適用性,大大提升了識別的正確率和效率。而且,“AI碼奴”還能夠反饋識別失敗的錯誤樣本,並不斷自我學習以完善準確度。AI打碼的遍地開花無疑增長了黑產犯罪的氣焰,但因為法律適用、犯罪行為認定等多方面的原因,即使對下游的黑產犯罪開展打擊,司法機關對於“打碼平臺”這一上游環節,真正認定為共同犯罪的卻是少之又少。由於缺乏法律的有效規制,打碼平臺和碼奴們仍屬於灰色人群,遊離於法律的邊緣。
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
並不是所有黑客,都像電影裡一般活得高大上。
事實上,有些黑客甚至只是現實世界裡的失意者。學歷不高、收入不固定,靠著師傅交授的技術、一臺電腦和一條網線謀取生活。為了技術變現,有些人沒有抵擋住誘惑,選擇了一條最為簡單粗暴的道路——加入黑產大軍,進行數據竊取。
壞人並不可怕,可怕的是壞人有文化。
真正讓人感到恐懼的,是數據黑產並非無序猖獗,反而有著高度嚴密的產業鏈。這其中包括了惡意軟件、DDoS、敲詐勒索、大數據撞庫、網絡釣魚、惡意廣告及業務欺詐等等環節。其中最為引人注目的是黑客們通過拖庫、洗庫與撞庫的方式竊取信息。
黑客利用超級SQL注入工具、網站漏洞掃描軟件,批量掃描網站程序漏洞等技術手段非法訪問並獲取企業數據庫的數據,這一過程被業內成為拖庫(也稱“脫庫”)。通過完成拖庫行為,黑客實現了將大量企業最核心的數據資料轉移到自己手中,接下來就是洗庫。黑客會通過一系列技術手段清洗數據,剔除部分重複和無效的數據,只剩下有價值可變現的用戶數據。這部分數據除了豐富用戶畫像外,往往會流向黑產的下游進行變現。
遊戲行業就是黑客們經常“光顧”的重災區之一。在遊戲中,被盜號無疑是所有玩家的噩夢,對於長年氪金的土豪更是致命的打擊。黑客們往往會利用部分玩家“人傻錢多”這一弱點布放釣魚網站和木馬程序,通過製造不安全的網絡環境來竊取玩家的遊戲賬號密碼。由於各大遊戲平臺一般設置了賬號保護措施,玩家一旦發現異常會通過手機驗證碼認證的方式更改密碼。因此黑客們往往不急著兜售遊戲號,而會在第一時間進行“洗號”。
所謂的洗號其實就像洗庫一樣,黑客將遊戲賬號內所有有價值的裝備、材料、遊戲幣等盜走,接著在遊戲交易網站進行兜售。這其中,往往還需要“倒爺”的協助。在遊戲中,倒爺其實就是遊戲中的材料商人,他們會將從黑客手中收購的材料在遊戲內擺攤出售,轉手其他玩家後賺取遊戲幣(此時售賣的遊戲幣被稱為“黑幣”),之後再將黑幣按一定折扣出售變現。
除了拖庫、洗庫外,還有一種竊取數據的常用方法是撞庫攻擊,撞庫也可以使黑客們收貨頗豐。有報告稱以“幾個密碼通用於大多數賬號”的中國網民佔比達到50.8%,正是因為很多用戶習慣在不同的網站平臺上使用同一套賬號密碼,才給了黑客們可趁之機。
黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站,這就完成一次“撞庫”嘗試。如果撞庫成功,黑客可以在不入侵B網站的情況下就輕鬆獲得B網站甚至更多網站留存的用戶數據。在黑客眼中,大數據的價值在於“大”,通過拖庫、洗庫、撞庫能夠關聯不同網站的用戶數據,形成更多維度和更加全面的“裸奔者”畫像,此時相較於單一的信息出售,經過加工、清洗的畫像信息的價值必然水漲船高。
在早期的數據盜竊過程中,這幾個階段幾乎都是由同一個團隊甚至同一個人來做。發展到今天,隨著分工的精細化和對風險隔離的需求,已經很少有人將拖庫、洗庫一起做,轉而採取了定製化或交易化模式,部分負責洗庫的黑產團隊甚至搖身一變把自己打造成了大數據處理公司。當然,黑客早已不滿足於利用簡單粗暴的木馬病毒,而是通過對社會工程學的研究,不斷升級犯罪技術。
針對黑產套利,企業自然也不會坐以待斃。為了防止黑客的腳本登錄,企業風控通常會強化登錄驗證,最常見的就是利用驗證碼(CAPTCHA)判斷是否為活體操作。能正確回答的即是人類,反之則為機器。目前,用戶在登各大網站、App時經常可以見到包括“字符式”、“字符+點選式”、“滑塊拼圖式”這一類驗證碼,此外還有難度逆天的12306同款圖片人工答題式驗證碼。驗證碼設計得越來越複雜,其目的就是為了區分人類和計算機程序,讓計算機無法解答。
然而,道高一尺,魔高一丈,在黑產的江湖中黑客從來不會坐以待斃。黑客竊取網絡數據庫後需要將有價值的數據通過驗證的方式篩選出來,這一過程在業內被稱為“晒密”。而晒密最為核心的障礙是要繞過企業的安全驗證系統,每天面對數以億計的“晒密需求”,追求效率的黑客們疲於逐一點擊驗證。有需求的地方就會有市場,批量識別的市場需求催生了打碼平臺,一群被業內戲稱為“碼奴”的人群也隨之應運而生。
碼奴這一群體是受僱於打碼平臺或與打碼平臺合作的網賺平臺,其每天的任務就是接收平臺打包推送過來的驗證碼,人工逐條比對、識別驗證碼並進行反饋。碼奴們可以選擇想要接收的驗證碼的複雜度,根據驗證碼的複雜程度和輸入的準確率,打1000個驗證碼會掙取1元至25元不等,每天工作12小時,最多可以輸入2萬個驗證碼,可以掙到300多元。
還有一種方式是碼奴通過網賺平臺註冊登錄後領取工號,通過類似領任務的形式完成每日的任務量,並獲得一定的金幣獎勵。根據網賺平臺“有賺網”的規則介紹,每10000個金幣價值等同於1元人民幣。按照這一計算方法,每天打碼20000個可以獲得約200元的收入。
碼奴通過自身勞動從打碼平臺或網賺平臺獲得收入,網賺平臺與打碼平臺合作進行利益分成,打碼平臺將服務封裝提供給黑客、羊毛黨、黃牛、水軍等,一條處於灰色地帶的打碼產業鏈就此鋪開。
如今,隨著人工智能的應用,一種更為“高級”的打碼方式——“AI打碼”橫空出世。通過運用人工智能機器深度學習技術訓練機器,由此訓練得到的模型具有非常強的適用性,大大提升了識別的正確率和效率。而且,“AI碼奴”還能夠反饋識別失敗的錯誤樣本,並不斷自我學習以完善準確度。AI打碼的遍地開花無疑增長了黑產犯罪的氣焰,但因為法律適用、犯罪行為認定等多方面的原因,即使對下游的黑產犯罪開展打擊,司法機關對於“打碼平臺”這一上游環節,真正認定為共同犯罪的卻是少之又少。由於缺乏法律的有效規制,打碼平臺和碼奴們仍屬於灰色人群,遊離於法律的邊緣。
“我們這裡交易1個億,黑市交易99個億。”這是來自貴陽大數據交易所的執行總裁王叄壽的原話,語氣中透遞著不滿和無奈。更令人遺憾的是,網民每年因個人信息洩露造成的經濟損失遠不止於此。
根據中國互聯網協會發布的《中國網民權益保護調查報告》顯示,僅2017年,國內6.88億網民因個人信息洩露造成的經濟損失就已經達到了915億元。在這鉅額的損失之中,處於黑產產業鏈下游、進行數據販賣、實行信息犯罪的掮客和條商們起到了舉足輕重的作用。
從行業分佈來看,黑產軍團已經入侵了互聯網的方方面面,並生成了標準化的分工體系,從釣魚零售、域名販子、個信批發到證件販子、電話詐騙、短信群發,再到在線推廣、現金取現、黃賭毒網站,其流程嚴密,複製性高,而且極為靈活,隨機應變。在這之中,暗網因用戶身份難以追蹤的特性,成為了信息掮客的聚集之地。
掮客們在這片交易活躍的法律盲區之中,攫取暴利,如魚得水。他們可以毫無忌憚地向上遊黑客或內鬼購買數據、也可以向下遊數據需求者兜售數據。數據需求者的成分也參差不齊,有從事詐騙犯罪的不法分子,也有來歷不明的廣告商,甚至某些缺乏數據的中小型互聯網金融平臺有時也充當著掮客的主顧。收購來的數據除了應用於精準營銷外,有時還會用與身份驗證、催收或豐富自身風控模型等。
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
並不是所有黑客,都像電影裡一般活得高大上。
事實上,有些黑客甚至只是現實世界裡的失意者。學歷不高、收入不固定,靠著師傅交授的技術、一臺電腦和一條網線謀取生活。為了技術變現,有些人沒有抵擋住誘惑,選擇了一條最為簡單粗暴的道路——加入黑產大軍,進行數據竊取。
壞人並不可怕,可怕的是壞人有文化。
真正讓人感到恐懼的,是數據黑產並非無序猖獗,反而有著高度嚴密的產業鏈。這其中包括了惡意軟件、DDoS、敲詐勒索、大數據撞庫、網絡釣魚、惡意廣告及業務欺詐等等環節。其中最為引人注目的是黑客們通過拖庫、洗庫與撞庫的方式竊取信息。
黑客利用超級SQL注入工具、網站漏洞掃描軟件,批量掃描網站程序漏洞等技術手段非法訪問並獲取企業數據庫的數據,這一過程被業內成為拖庫(也稱“脫庫”)。通過完成拖庫行為,黑客實現了將大量企業最核心的數據資料轉移到自己手中,接下來就是洗庫。黑客會通過一系列技術手段清洗數據,剔除部分重複和無效的數據,只剩下有價值可變現的用戶數據。這部分數據除了豐富用戶畫像外,往往會流向黑產的下游進行變現。
遊戲行業就是黑客們經常“光顧”的重災區之一。在遊戲中,被盜號無疑是所有玩家的噩夢,對於長年氪金的土豪更是致命的打擊。黑客們往往會利用部分玩家“人傻錢多”這一弱點布放釣魚網站和木馬程序,通過製造不安全的網絡環境來竊取玩家的遊戲賬號密碼。由於各大遊戲平臺一般設置了賬號保護措施,玩家一旦發現異常會通過手機驗證碼認證的方式更改密碼。因此黑客們往往不急著兜售遊戲號,而會在第一時間進行“洗號”。
所謂的洗號其實就像洗庫一樣,黑客將遊戲賬號內所有有價值的裝備、材料、遊戲幣等盜走,接著在遊戲交易網站進行兜售。這其中,往往還需要“倒爺”的協助。在遊戲中,倒爺其實就是遊戲中的材料商人,他們會將從黑客手中收購的材料在遊戲內擺攤出售,轉手其他玩家後賺取遊戲幣(此時售賣的遊戲幣被稱為“黑幣”),之後再將黑幣按一定折扣出售變現。
除了拖庫、洗庫外,還有一種竊取數據的常用方法是撞庫攻擊,撞庫也可以使黑客們收貨頗豐。有報告稱以“幾個密碼通用於大多數賬號”的中國網民佔比達到50.8%,正是因為很多用戶習慣在不同的網站平臺上使用同一套賬號密碼,才給了黑客們可趁之機。
黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站,這就完成一次“撞庫”嘗試。如果撞庫成功,黑客可以在不入侵B網站的情況下就輕鬆獲得B網站甚至更多網站留存的用戶數據。在黑客眼中,大數據的價值在於“大”,通過拖庫、洗庫、撞庫能夠關聯不同網站的用戶數據,形成更多維度和更加全面的“裸奔者”畫像,此時相較於單一的信息出售,經過加工、清洗的畫像信息的價值必然水漲船高。
在早期的數據盜竊過程中,這幾個階段幾乎都是由同一個團隊甚至同一個人來做。發展到今天,隨著分工的精細化和對風險隔離的需求,已經很少有人將拖庫、洗庫一起做,轉而採取了定製化或交易化模式,部分負責洗庫的黑產團隊甚至搖身一變把自己打造成了大數據處理公司。當然,黑客早已不滿足於利用簡單粗暴的木馬病毒,而是通過對社會工程學的研究,不斷升級犯罪技術。
針對黑產套利,企業自然也不會坐以待斃。為了防止黑客的腳本登錄,企業風控通常會強化登錄驗證,最常見的就是利用驗證碼(CAPTCHA)判斷是否為活體操作。能正確回答的即是人類,反之則為機器。目前,用戶在登各大網站、App時經常可以見到包括“字符式”、“字符+點選式”、“滑塊拼圖式”這一類驗證碼,此外還有難度逆天的12306同款圖片人工答題式驗證碼。驗證碼設計得越來越複雜,其目的就是為了區分人類和計算機程序,讓計算機無法解答。
然而,道高一尺,魔高一丈,在黑產的江湖中黑客從來不會坐以待斃。黑客竊取網絡數據庫後需要將有價值的數據通過驗證的方式篩選出來,這一過程在業內被稱為“晒密”。而晒密最為核心的障礙是要繞過企業的安全驗證系統,每天面對數以億計的“晒密需求”,追求效率的黑客們疲於逐一點擊驗證。有需求的地方就會有市場,批量識別的市場需求催生了打碼平臺,一群被業內戲稱為“碼奴”的人群也隨之應運而生。
碼奴這一群體是受僱於打碼平臺或與打碼平臺合作的網賺平臺,其每天的任務就是接收平臺打包推送過來的驗證碼,人工逐條比對、識別驗證碼並進行反饋。碼奴們可以選擇想要接收的驗證碼的複雜度,根據驗證碼的複雜程度和輸入的準確率,打1000個驗證碼會掙取1元至25元不等,每天工作12小時,最多可以輸入2萬個驗證碼,可以掙到300多元。
還有一種方式是碼奴通過網賺平臺註冊登錄後領取工號,通過類似領任務的形式完成每日的任務量,並獲得一定的金幣獎勵。根據網賺平臺“有賺網”的規則介紹,每10000個金幣價值等同於1元人民幣。按照這一計算方法,每天打碼20000個可以獲得約200元的收入。
碼奴通過自身勞動從打碼平臺或網賺平臺獲得收入,網賺平臺與打碼平臺合作進行利益分成,打碼平臺將服務封裝提供給黑客、羊毛黨、黃牛、水軍等,一條處於灰色地帶的打碼產業鏈就此鋪開。
如今,隨著人工智能的應用,一種更為“高級”的打碼方式——“AI打碼”橫空出世。通過運用人工智能機器深度學習技術訓練機器,由此訓練得到的模型具有非常強的適用性,大大提升了識別的正確率和效率。而且,“AI碼奴”還能夠反饋識別失敗的錯誤樣本,並不斷自我學習以完善準確度。AI打碼的遍地開花無疑增長了黑產犯罪的氣焰,但因為法律適用、犯罪行為認定等多方面的原因,即使對下游的黑產犯罪開展打擊,司法機關對於“打碼平臺”這一上游環節,真正認定為共同犯罪的卻是少之又少。由於缺乏法律的有效規制,打碼平臺和碼奴們仍屬於灰色人群,遊離於法律的邊緣。
“我們這裡交易1個億,黑市交易99個億。”這是來自貴陽大數據交易所的執行總裁王叄壽的原話,語氣中透遞著不滿和無奈。更令人遺憾的是,網民每年因個人信息洩露造成的經濟損失遠不止於此。
根據中國互聯網協會發布的《中國網民權益保護調查報告》顯示,僅2017年,國內6.88億網民因個人信息洩露造成的經濟損失就已經達到了915億元。在這鉅額的損失之中,處於黑產產業鏈下游、進行數據販賣、實行信息犯罪的掮客和條商們起到了舉足輕重的作用。
從行業分佈來看,黑產軍團已經入侵了互聯網的方方面面,並生成了標準化的分工體系,從釣魚零售、域名販子、個信批發到證件販子、電話詐騙、短信群發,再到在線推廣、現金取現、黃賭毒網站,其流程嚴密,複製性高,而且極為靈活,隨機應變。在這之中,暗網因用戶身份難以追蹤的特性,成為了信息掮客的聚集之地。
掮客們在這片交易活躍的法律盲區之中,攫取暴利,如魚得水。他們可以毫無忌憚地向上遊黑客或內鬼購買數據、也可以向下遊數據需求者兜售數據。數據需求者的成分也參差不齊,有從事詐騙犯罪的不法分子,也有來歷不明的廣告商,甚至某些缺乏數據的中小型互聯網金融平臺有時也充當著掮客的主顧。收購來的數據除了應用於精準營銷外,有時還會用與身份驗證、催收或豐富自身風控模型等。
在保證身份匿名化之餘,掮客們用來交易的貨幣同樣也需要匿名。因此像比特幣(Bitcoin)這種本身是為了匿名流通而設計的加密貨幣備受青睞,成為掮客在暗網交易的主要貨幣。這種全匿名的交易模式,為網絡黑產的交易提供了非常便捷的支付手段,吸引了全球的犯罪分子。在去年發生的順豐用戶數據洩露事件中,ID為“bijiaodiao1688”的用戶就在暗網中文論壇中以2個比特幣(時價約1.4萬美元)的售價叫賣3億條用戶個人信息。
更令人心怵的是,部分知名企業甚至上市公司也在黑產產業鏈中進行著數據買賣的勾當。相比於地下網絡黑產,這些企業只要經過用戶的授權同意並在法律法規允許的範圍內處理信息,在個人信息安全上本身是沒有“原罪”的。然而問題在於,面對鉅額的利益誘惑,這些頭部企業能否抵禦黑產軍團的策反?屢屢發生的信息洩漏事件給了我們一記響亮的耳光,僅2018年,就有兩家新三板上市的數據企業因信息竊取和非法出售問題被立案、起訴。
其中,除了前文提及的數據堂,同樣作惡的還有簡歷大數據公司——巧達科技。巧達科技自稱擁有中國最大的簡歷數據庫,其數據庫包含2.2億自然人的簡歷、簡歷累計總數37億份。此外,巧達科技還擁有超過10億份通訊錄,並且掌握著與此相關的社會關係、組織關係、家庭關係數據。這也意味著,假如某APP提供某用戶手機號,巧達科技將其與自有的簡歷庫進行匹配,便能將該自然人包括年齡、性別、行業、職業、戶籍、收入、教育經歷、工作經歷、關係網等在內的信息反饋給APP,而這些信息,幾乎涵蓋了個人所有的數據維度。
就是這樣一家掌握著超過57%中國人個人信息的簡歷公司,因未經授權使用、販賣簡歷信息,最後被警察一鍋端。後怕之餘,何種個人信息已被洩露,洩露了多少信息,早已無從得知。
高盛首席互聯網研究分析師希思· 特里(Heath Terry)在Facebook信息洩露門之後曾向CNBC表示:“每一個快速成長的科技巨頭都有可能面臨類似的危機。從某種程度上講,如果企業不能有效防範每一次危機,則終有一次將會被迫成為黑產鏈條中的一環,並且是作為信息源頭的關鍵一環。”如果連我們的上市企業在黑產大軍面前都無法守住底線,那公民個人的信息安全勢必如臨深淵。
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
並不是所有黑客,都像電影裡一般活得高大上。
事實上,有些黑客甚至只是現實世界裡的失意者。學歷不高、收入不固定,靠著師傅交授的技術、一臺電腦和一條網線謀取生活。為了技術變現,有些人沒有抵擋住誘惑,選擇了一條最為簡單粗暴的道路——加入黑產大軍,進行數據竊取。
壞人並不可怕,可怕的是壞人有文化。
真正讓人感到恐懼的,是數據黑產並非無序猖獗,反而有著高度嚴密的產業鏈。這其中包括了惡意軟件、DDoS、敲詐勒索、大數據撞庫、網絡釣魚、惡意廣告及業務欺詐等等環節。其中最為引人注目的是黑客們通過拖庫、洗庫與撞庫的方式竊取信息。
黑客利用超級SQL注入工具、網站漏洞掃描軟件,批量掃描網站程序漏洞等技術手段非法訪問並獲取企業數據庫的數據,這一過程被業內成為拖庫(也稱“脫庫”)。通過完成拖庫行為,黑客實現了將大量企業最核心的數據資料轉移到自己手中,接下來就是洗庫。黑客會通過一系列技術手段清洗數據,剔除部分重複和無效的數據,只剩下有價值可變現的用戶數據。這部分數據除了豐富用戶畫像外,往往會流向黑產的下游進行變現。
遊戲行業就是黑客們經常“光顧”的重災區之一。在遊戲中,被盜號無疑是所有玩家的噩夢,對於長年氪金的土豪更是致命的打擊。黑客們往往會利用部分玩家“人傻錢多”這一弱點布放釣魚網站和木馬程序,通過製造不安全的網絡環境來竊取玩家的遊戲賬號密碼。由於各大遊戲平臺一般設置了賬號保護措施,玩家一旦發現異常會通過手機驗證碼認證的方式更改密碼。因此黑客們往往不急著兜售遊戲號,而會在第一時間進行“洗號”。
所謂的洗號其實就像洗庫一樣,黑客將遊戲賬號內所有有價值的裝備、材料、遊戲幣等盜走,接著在遊戲交易網站進行兜售。這其中,往往還需要“倒爺”的協助。在遊戲中,倒爺其實就是遊戲中的材料商人,他們會將從黑客手中收購的材料在遊戲內擺攤出售,轉手其他玩家後賺取遊戲幣(此時售賣的遊戲幣被稱為“黑幣”),之後再將黑幣按一定折扣出售變現。
除了拖庫、洗庫外,還有一種竊取數據的常用方法是撞庫攻擊,撞庫也可以使黑客們收貨頗豐。有報告稱以“幾個密碼通用於大多數賬號”的中國網民佔比達到50.8%,正是因為很多用戶習慣在不同的網站平臺上使用同一套賬號密碼,才給了黑客們可趁之機。
黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站,這就完成一次“撞庫”嘗試。如果撞庫成功,黑客可以在不入侵B網站的情況下就輕鬆獲得B網站甚至更多網站留存的用戶數據。在黑客眼中,大數據的價值在於“大”,通過拖庫、洗庫、撞庫能夠關聯不同網站的用戶數據,形成更多維度和更加全面的“裸奔者”畫像,此時相較於單一的信息出售,經過加工、清洗的畫像信息的價值必然水漲船高。
在早期的數據盜竊過程中,這幾個階段幾乎都是由同一個團隊甚至同一個人來做。發展到今天,隨著分工的精細化和對風險隔離的需求,已經很少有人將拖庫、洗庫一起做,轉而採取了定製化或交易化模式,部分負責洗庫的黑產團隊甚至搖身一變把自己打造成了大數據處理公司。當然,黑客早已不滿足於利用簡單粗暴的木馬病毒,而是通過對社會工程學的研究,不斷升級犯罪技術。
針對黑產套利,企業自然也不會坐以待斃。為了防止黑客的腳本登錄,企業風控通常會強化登錄驗證,最常見的就是利用驗證碼(CAPTCHA)判斷是否為活體操作。能正確回答的即是人類,反之則為機器。目前,用戶在登各大網站、App時經常可以見到包括“字符式”、“字符+點選式”、“滑塊拼圖式”這一類驗證碼,此外還有難度逆天的12306同款圖片人工答題式驗證碼。驗證碼設計得越來越複雜,其目的就是為了區分人類和計算機程序,讓計算機無法解答。
然而,道高一尺,魔高一丈,在黑產的江湖中黑客從來不會坐以待斃。黑客竊取網絡數據庫後需要將有價值的數據通過驗證的方式篩選出來,這一過程在業內被稱為“晒密”。而晒密最為核心的障礙是要繞過企業的安全驗證系統,每天面對數以億計的“晒密需求”,追求效率的黑客們疲於逐一點擊驗證。有需求的地方就會有市場,批量識別的市場需求催生了打碼平臺,一群被業內戲稱為“碼奴”的人群也隨之應運而生。
碼奴這一群體是受僱於打碼平臺或與打碼平臺合作的網賺平臺,其每天的任務就是接收平臺打包推送過來的驗證碼,人工逐條比對、識別驗證碼並進行反饋。碼奴們可以選擇想要接收的驗證碼的複雜度,根據驗證碼的複雜程度和輸入的準確率,打1000個驗證碼會掙取1元至25元不等,每天工作12小時,最多可以輸入2萬個驗證碼,可以掙到300多元。
還有一種方式是碼奴通過網賺平臺註冊登錄後領取工號,通過類似領任務的形式完成每日的任務量,並獲得一定的金幣獎勵。根據網賺平臺“有賺網”的規則介紹,每10000個金幣價值等同於1元人民幣。按照這一計算方法,每天打碼20000個可以獲得約200元的收入。
碼奴通過自身勞動從打碼平臺或網賺平臺獲得收入,網賺平臺與打碼平臺合作進行利益分成,打碼平臺將服務封裝提供給黑客、羊毛黨、黃牛、水軍等,一條處於灰色地帶的打碼產業鏈就此鋪開。
如今,隨著人工智能的應用,一種更為“高級”的打碼方式——“AI打碼”橫空出世。通過運用人工智能機器深度學習技術訓練機器,由此訓練得到的模型具有非常強的適用性,大大提升了識別的正確率和效率。而且,“AI碼奴”還能夠反饋識別失敗的錯誤樣本,並不斷自我學習以完善準確度。AI打碼的遍地開花無疑增長了黑產犯罪的氣焰,但因為法律適用、犯罪行為認定等多方面的原因,即使對下游的黑產犯罪開展打擊,司法機關對於“打碼平臺”這一上游環節,真正認定為共同犯罪的卻是少之又少。由於缺乏法律的有效規制,打碼平臺和碼奴們仍屬於灰色人群,遊離於法律的邊緣。
“我們這裡交易1個億,黑市交易99個億。”這是來自貴陽大數據交易所的執行總裁王叄壽的原話,語氣中透遞著不滿和無奈。更令人遺憾的是,網民每年因個人信息洩露造成的經濟損失遠不止於此。
根據中國互聯網協會發布的《中國網民權益保護調查報告》顯示,僅2017年,國內6.88億網民因個人信息洩露造成的經濟損失就已經達到了915億元。在這鉅額的損失之中,處於黑產產業鏈下游、進行數據販賣、實行信息犯罪的掮客和條商們起到了舉足輕重的作用。
從行業分佈來看,黑產軍團已經入侵了互聯網的方方面面,並生成了標準化的分工體系,從釣魚零售、域名販子、個信批發到證件販子、電話詐騙、短信群發,再到在線推廣、現金取現、黃賭毒網站,其流程嚴密,複製性高,而且極為靈活,隨機應變。在這之中,暗網因用戶身份難以追蹤的特性,成為了信息掮客的聚集之地。
掮客們在這片交易活躍的法律盲區之中,攫取暴利,如魚得水。他們可以毫無忌憚地向上遊黑客或內鬼購買數據、也可以向下遊數據需求者兜售數據。數據需求者的成分也參差不齊,有從事詐騙犯罪的不法分子,也有來歷不明的廣告商,甚至某些缺乏數據的中小型互聯網金融平臺有時也充當著掮客的主顧。收購來的數據除了應用於精準營銷外,有時還會用與身份驗證、催收或豐富自身風控模型等。
在保證身份匿名化之餘,掮客們用來交易的貨幣同樣也需要匿名。因此像比特幣(Bitcoin)這種本身是為了匿名流通而設計的加密貨幣備受青睞,成為掮客在暗網交易的主要貨幣。這種全匿名的交易模式,為網絡黑產的交易提供了非常便捷的支付手段,吸引了全球的犯罪分子。在去年發生的順豐用戶數據洩露事件中,ID為“bijiaodiao1688”的用戶就在暗網中文論壇中以2個比特幣(時價約1.4萬美元)的售價叫賣3億條用戶個人信息。
更令人心怵的是,部分知名企業甚至上市公司也在黑產產業鏈中進行著數據買賣的勾當。相比於地下網絡黑產,這些企業只要經過用戶的授權同意並在法律法規允許的範圍內處理信息,在個人信息安全上本身是沒有“原罪”的。然而問題在於,面對鉅額的利益誘惑,這些頭部企業能否抵禦黑產軍團的策反?屢屢發生的信息洩漏事件給了我們一記響亮的耳光,僅2018年,就有兩家新三板上市的數據企業因信息竊取和非法出售問題被立案、起訴。
其中,除了前文提及的數據堂,同樣作惡的還有簡歷大數據公司——巧達科技。巧達科技自稱擁有中國最大的簡歷數據庫,其數據庫包含2.2億自然人的簡歷、簡歷累計總數37億份。此外,巧達科技還擁有超過10億份通訊錄,並且掌握著與此相關的社會關係、組織關係、家庭關係數據。這也意味著,假如某APP提供某用戶手機號,巧達科技將其與自有的簡歷庫進行匹配,便能將該自然人包括年齡、性別、行業、職業、戶籍、收入、教育經歷、工作經歷、關係網等在內的信息反饋給APP,而這些信息,幾乎涵蓋了個人所有的數據維度。
就是這樣一家掌握著超過57%中國人個人信息的簡歷公司,因未經授權使用、販賣簡歷信息,最後被警察一鍋端。後怕之餘,何種個人信息已被洩露,洩露了多少信息,早已無從得知。
高盛首席互聯網研究分析師希思· 特里(Heath Terry)在Facebook信息洩露門之後曾向CNBC表示:“每一個快速成長的科技巨頭都有可能面臨類似的危機。從某種程度上講,如果企業不能有效防範每一次危機,則終有一次將會被迫成為黑產鏈條中的一環,並且是作為信息源頭的關鍵一環。”如果連我們的上市企業在黑產大軍面前都無法守住底線,那公民個人的信息安全勢必如臨深淵。
在數十年前的德國,通過極盡細緻的人口普查,掌握了廣大疆域內人口組成的納粹政權,在短短几個月之內精準圈出了近乎所有猶太人。屠殺的殘酷深深刺痛了每一個歐洲公民的心,也刺激了歐羅巴大地在戰爭結束至今的漫長歲月裡,始終充當著引領世界個人信息保護大潮的旗手。
在數十年後的中國,陽光無法觸及的地方,黑色的交易仍在進行。頻發的信息洩露新聞,漸漸讓每個人感受到被數據黑產所支配的恐懼。信息時代,誰擁有了數據,誰就擁有了無限財富。巨大利潤面前,鋌而走險者屢禁不止,到底有多少人隱藏在人群中、粉飾於舞臺上,貪婪地尋找著任何一條可供竊取的裂縫?又有多少個人權利的捍衛者、潛在的受害者能聯起手來,共克時艱?利益之前,必現紛爭,勢必經年。引用史中老師在《遠征漠北——騰訊的黑產戰爭》一文中的話:“這場戰爭如同一盤巨大的圍棋,在黑白的交鋒面上,那個決定生死的點位,白棋不佔,自會有黑棋來佔。世界原本如此。”在Siri都在竊聽我們的日子裡,也許沒有人能只是數據黑產戰爭的局外人。
參考資料:
企鵝智酷《中國網民個人隱私狀況調查報告》
中國互聯網協會《中國網民權益保護調查報告》
京東研究院《數字金融反欺詐白皮書》
財經:追蹤“數據堂”:特大侵犯個人信息專案,震動大數據行業
新京報:弒母嫌犯吳謝宇持多張身份證背後:網絡暗藏黑色產業鏈
騰訊科技:多數數據洩漏是內鬼所為:售價驚人!誰在盯著我們的隱私?
淺黑科技:遠征漠北——騰訊的黑產戰爭
發現作者
"目錄
- - - - -
0.前言
1. 內鬼
2. 黑客
3. 碼奴
4. 掮客
5. 尾聲
2019年8月3日,因古裝電視劇《陳情令》大火的演員王一博發了一條微博,稱自己的手機號碼被洩露,繼而遭受到“私生飯”的瘋狂騷擾。
明星信息被洩露,似乎早已不算是新聞了。
從航班行程信息到個人手機號碼,從酒店住址到身份證號,熱情的粉絲賦予了明星信息巨大的價值,進而創造龐大的需求市場,使之甚至能在閒魚、微博、微信等渠道進行公開售賣,標價幾元至幾百元不等。
有錢掙的地方就有生意人,有生意人就不缺產業鏈。水面下的駭浪驚濤,將一隻只新瓜送到圍觀者的口邊。
但有錢掙的,只有王一博的信息嗎?
時間回到一年前的夏天。2018年7月的山東,當地警方破獲一起特大侵犯公民個人信息案,共查獲公民個人信息數據數百億條、數據量達4000GB,並抓獲犯罪嫌疑人57名。順著產業鏈,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的號稱“大數據行業第一股”的知名企業“數據堂”(831428.OC)。一時間,輿論譁然。
一個月後的浙江紹興,正在新三板申請掛牌的瑞智華勝(872382.OC)臨時發佈公告,披露公司的法人代表、董事、監事被批捕,自此拉開了“史上最大規模數據竊取案”的序幕。
警方透露,瑞智華勝通過與電信、移動、聯通、鐵通、廣電等11個省市的運營商簽署正式合作協議並獲得登錄權限,再利用非法方式從運營商處竊取信息。據悉,該公司利用非法竊取的30億條用戶數據為包括聯想、佳能、奔馳、寶馬、日產、天貓、蘇寧易購、酷派、雀巢、佳能、天貓、攜程、和美圖等眾多知名企業提供產品營銷服務。旗下一家公司僅一年的營利就多達3000萬元。在賺得盆滿缽滿的同時,騰訊、百度、阿里、京東、微博等多家互聯網公司和他們的用戶可就沒有那麼幸運。一時間,幾乎國內所有的大型互聯網企業均被“雁過拔毛”。
瑞智華勝事發半個月後,“華住酒店集團被曝旗下所有酒店涉及2.4億條用戶資料遭到洩露”、“至少90萬條疑似順豐快遞用戶個人信息流向了市場”……一系列信息洩露的消息浮出水面。
吃瓜群眾們突然開始憂心起自己的開房記錄、郵寄信息,低頭端詳起了自己手中的瓜,反覆確認眼不眼熟。但即使熱切的關注終於逐漸讓水面下的冰山難再隱藏,數據黑產軍團,仍是一個藏匿在穹頂之下陰暗處的群體。像羅姨筆下的食死徒,他們灰色、龐大、面目模糊但又無處不在,黑客、碼奴、內鬼、掮客皆是他們的幻影……
圖片來自電影《哈利·波特》
2019年4月21日,重慶江北機場熙熙攘攘,與往常無異。但在這一天,一條簡短的新聞幾乎同時在各大社交平臺和門戶網站出現:“北大弒母案”犯罪嫌疑人吳謝宇被抓獲,瞬間輿論譁然。就在人們迫切追問他的弒母動機之時,警方披露了吳謝宇在案發後人間蒸發長達三年之久的祕密。原來,神通廣大的不是吳謝宇本人,而是他從網上購買的30多張假身份證,這些假身份證不僅幫助他成功地騙過了火車、高鐵的身份驗證系統,還協助他遊走於福州、河南、上海、重慶等地。
個人身份證件的洩露已不算罕見,但假身份證橫行於世,如此猖獗,還是令人咋舌。根據《財經》雜誌的不完全統計,國內個人信息洩露數已達55.3億條左右,平均每人就有四條相關的個人信息遭洩露,這些信息最終的命運,是在黑市反覆倒手,直至被榨乾價值。而在這億萬級別的洩露信息中,約有80%是來自企業內鬼。
圖片來自電影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。銀行、保險公司、電信運營商、電商平臺、快遞公司……幾乎所有能接觸到用戶數據的產業都為內鬼留下了諸多可供利用的漏洞。猶如一場貓鼠遊戲,不管企業如何強化內部管理制度,但只要仍存在裂縫,“老鼠”們就能在暗中“取信”、“拿料”,吱吱滋生,蠅營狗苟。像其他產業一樣,數據黑產也已形成了三級產業鏈。內鬼們拿到料之後便會通過各種渠道賣給大中間商,大中間商再轉手賣給小中間商,小中間商最後賣給有需求的人。
跟外部攻擊者相比,內鬼鮮少出現在公眾視野中,但他們帶來的危害,絲毫不亞於外部攻擊者。他們中有保險推銷員、銀行業務員、電信話務員、快遞小哥等各種身份。這些職位的人員流動性非常高,且能夠時時接觸用戶的敏感信息,因此成為了“內鬼”大軍的主要構成。“猶如蒸汽汽車取代四輪馬車”一樣,起初他們只能一條條手抄或者拍照進行記錄,當換上計算機腳本程序後,一秒鐘可以自動摘錄幾十上百條信息的便利大大提高了數據竊取的效率。
更為恐怖的是,由於不少內鬼是企業內部的一線業務人員或技術人員,本身具備訪問特定數據的權限,他們常常會有意識地控制訪問頻次以避開因短時間內過度訪問造成的系統自動警報,這使得企業的管理者很難察覺企業內部的操作風險和異常。
更多時候,即使揪出了內鬼,為了維護企業形象和品牌聲譽,不少企業對內鬼只能悄悄開除,根本不敢告知用戶,更不用說公開報警。只有在大面積的數據洩露並引發輿論事件的時候,相關企業才會出來公關,發個聲明“以表決心”,這恰恰助長了內鬼們的僥倖心理和為所欲為的囂張氣焰。
並不是所有黑客,都像電影裡一般活得高大上。
事實上,有些黑客甚至只是現實世界裡的失意者。學歷不高、收入不固定,靠著師傅交授的技術、一臺電腦和一條網線謀取生活。為了技術變現,有些人沒有抵擋住誘惑,選擇了一條最為簡單粗暴的道路——加入黑產大軍,進行數據竊取。
壞人並不可怕,可怕的是壞人有文化。
真正讓人感到恐懼的,是數據黑產並非無序猖獗,反而有著高度嚴密的產業鏈。這其中包括了惡意軟件、DDoS、敲詐勒索、大數據撞庫、網絡釣魚、惡意廣告及業務欺詐等等環節。其中最為引人注目的是黑客們通過拖庫、洗庫與撞庫的方式竊取信息。
黑客利用超級SQL注入工具、網站漏洞掃描軟件,批量掃描網站程序漏洞等技術手段非法訪問並獲取企業數據庫的數據,這一過程被業內成為拖庫(也稱“脫庫”)。通過完成拖庫行為,黑客實現了將大量企業最核心的數據資料轉移到自己手中,接下來就是洗庫。黑客會通過一系列技術手段清洗數據,剔除部分重複和無效的數據,只剩下有價值可變現的用戶數據。這部分數據除了豐富用戶畫像外,往往會流向黑產的下游進行變現。
遊戲行業就是黑客們經常“光顧”的重災區之一。在遊戲中,被盜號無疑是所有玩家的噩夢,對於長年氪金的土豪更是致命的打擊。黑客們往往會利用部分玩家“人傻錢多”這一弱點布放釣魚網站和木馬程序,通過製造不安全的網絡環境來竊取玩家的遊戲賬號密碼。由於各大遊戲平臺一般設置了賬號保護措施,玩家一旦發現異常會通過手機驗證碼認證的方式更改密碼。因此黑客們往往不急著兜售遊戲號,而會在第一時間進行“洗號”。
所謂的洗號其實就像洗庫一樣,黑客將遊戲賬號內所有有價值的裝備、材料、遊戲幣等盜走,接著在遊戲交易網站進行兜售。這其中,往往還需要“倒爺”的協助。在遊戲中,倒爺其實就是遊戲中的材料商人,他們會將從黑客手中收購的材料在遊戲內擺攤出售,轉手其他玩家後賺取遊戲幣(此時售賣的遊戲幣被稱為“黑幣”),之後再將黑幣按一定折扣出售變現。
除了拖庫、洗庫外,還有一種竊取數據的常用方法是撞庫攻擊,撞庫也可以使黑客們收貨頗豐。有報告稱以“幾個密碼通用於大多數賬號”的中國網民佔比達到50.8%,正是因為很多用戶習慣在不同的網站平臺上使用同一套賬號密碼,才給了黑客們可趁之機。
黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網站,這就完成一次“撞庫”嘗試。如果撞庫成功,黑客可以在不入侵B網站的情況下就輕鬆獲得B網站甚至更多網站留存的用戶數據。在黑客眼中,大數據的價值在於“大”,通過拖庫、洗庫、撞庫能夠關聯不同網站的用戶數據,形成更多維度和更加全面的“裸奔者”畫像,此時相較於單一的信息出售,經過加工、清洗的畫像信息的價值必然水漲船高。
在早期的數據盜竊過程中,這幾個階段幾乎都是由同一個團隊甚至同一個人來做。發展到今天,隨著分工的精細化和對風險隔離的需求,已經很少有人將拖庫、洗庫一起做,轉而採取了定製化或交易化模式,部分負責洗庫的黑產團隊甚至搖身一變把自己打造成了大數據處理公司。當然,黑客早已不滿足於利用簡單粗暴的木馬病毒,而是通過對社會工程學的研究,不斷升級犯罪技術。
針對黑產套利,企業自然也不會坐以待斃。為了防止黑客的腳本登錄,企業風控通常會強化登錄驗證,最常見的就是利用驗證碼(CAPTCHA)判斷是否為活體操作。能正確回答的即是人類,反之則為機器。目前,用戶在登各大網站、App時經常可以見到包括“字符式”、“字符+點選式”、“滑塊拼圖式”這一類驗證碼,此外還有難度逆天的12306同款圖片人工答題式驗證碼。驗證碼設計得越來越複雜,其目的就是為了區分人類和計算機程序,讓計算機無法解答。
然而,道高一尺,魔高一丈,在黑產的江湖中黑客從來不會坐以待斃。黑客竊取網絡數據庫後需要將有價值的數據通過驗證的方式篩選出來,這一過程在業內被稱為“晒密”。而晒密最為核心的障礙是要繞過企業的安全驗證系統,每天面對數以億計的“晒密需求”,追求效率的黑客們疲於逐一點擊驗證。有需求的地方就會有市場,批量識別的市場需求催生了打碼平臺,一群被業內戲稱為“碼奴”的人群也隨之應運而生。
碼奴這一群體是受僱於打碼平臺或與打碼平臺合作的網賺平臺,其每天的任務就是接收平臺打包推送過來的驗證碼,人工逐條比對、識別驗證碼並進行反饋。碼奴們可以選擇想要接收的驗證碼的複雜度,根據驗證碼的複雜程度和輸入的準確率,打1000個驗證碼會掙取1元至25元不等,每天工作12小時,最多可以輸入2萬個驗證碼,可以掙到300多元。
還有一種方式是碼奴通過網賺平臺註冊登錄後領取工號,通過類似領任務的形式完成每日的任務量,並獲得一定的金幣獎勵。根據網賺平臺“有賺網”的規則介紹,每10000個金幣價值等同於1元人民幣。按照這一計算方法,每天打碼20000個可以獲得約200元的收入。
碼奴通過自身勞動從打碼平臺或網賺平臺獲得收入,網賺平臺與打碼平臺合作進行利益分成,打碼平臺將服務封裝提供給黑客、羊毛黨、黃牛、水軍等,一條處於灰色地帶的打碼產業鏈就此鋪開。
如今,隨著人工智能的應用,一種更為“高級”的打碼方式——“AI打碼”橫空出世。通過運用人工智能機器深度學習技術訓練機器,由此訓練得到的模型具有非常強的適用性,大大提升了識別的正確率和效率。而且,“AI碼奴”還能夠反饋識別失敗的錯誤樣本,並不斷自我學習以完善準確度。AI打碼的遍地開花無疑增長了黑產犯罪的氣焰,但因為法律適用、犯罪行為認定等多方面的原因,即使對下游的黑產犯罪開展打擊,司法機關對於“打碼平臺”這一上游環節,真正認定為共同犯罪的卻是少之又少。由於缺乏法律的有效規制,打碼平臺和碼奴們仍屬於灰色人群,遊離於法律的邊緣。
“我們這裡交易1個億,黑市交易99個億。”這是來自貴陽大數據交易所的執行總裁王叄壽的原話,語氣中透遞著不滿和無奈。更令人遺憾的是,網民每年因個人信息洩露造成的經濟損失遠不止於此。
根據中國互聯網協會發布的《中國網民權益保護調查報告》顯示,僅2017年,國內6.88億網民因個人信息洩露造成的經濟損失就已經達到了915億元。在這鉅額的損失之中,處於黑產產業鏈下游、進行數據販賣、實行信息犯罪的掮客和條商們起到了舉足輕重的作用。
從行業分佈來看,黑產軍團已經入侵了互聯網的方方面面,並生成了標準化的分工體系,從釣魚零售、域名販子、個信批發到證件販子、電話詐騙、短信群發,再到在線推廣、現金取現、黃賭毒網站,其流程嚴密,複製性高,而且極為靈活,隨機應變。在這之中,暗網因用戶身份難以追蹤的特性,成為了信息掮客的聚集之地。
掮客們在這片交易活躍的法律盲區之中,攫取暴利,如魚得水。他們可以毫無忌憚地向上遊黑客或內鬼購買數據、也可以向下遊數據需求者兜售數據。數據需求者的成分也參差不齊,有從事詐騙犯罪的不法分子,也有來歷不明的廣告商,甚至某些缺乏數據的中小型互聯網金融平臺有時也充當著掮客的主顧。收購來的數據除了應用於精準營銷外,有時還會用與身份驗證、催收或豐富自身風控模型等。
在保證身份匿名化之餘,掮客們用來交易的貨幣同樣也需要匿名。因此像比特幣(Bitcoin)這種本身是為了匿名流通而設計的加密貨幣備受青睞,成為掮客在暗網交易的主要貨幣。這種全匿名的交易模式,為網絡黑產的交易提供了非常便捷的支付手段,吸引了全球的犯罪分子。在去年發生的順豐用戶數據洩露事件中,ID為“bijiaodiao1688”的用戶就在暗網中文論壇中以2個比特幣(時價約1.4萬美元)的售價叫賣3億條用戶個人信息。
更令人心怵的是,部分知名企業甚至上市公司也在黑產產業鏈中進行著數據買賣的勾當。相比於地下網絡黑產,這些企業只要經過用戶的授權同意並在法律法規允許的範圍內處理信息,在個人信息安全上本身是沒有“原罪”的。然而問題在於,面對鉅額的利益誘惑,這些頭部企業能否抵禦黑產軍團的策反?屢屢發生的信息洩漏事件給了我們一記響亮的耳光,僅2018年,就有兩家新三板上市的數據企業因信息竊取和非法出售問題被立案、起訴。
其中,除了前文提及的數據堂,同樣作惡的還有簡歷大數據公司——巧達科技。巧達科技自稱擁有中國最大的簡歷數據庫,其數據庫包含2.2億自然人的簡歷、簡歷累計總數37億份。此外,巧達科技還擁有超過10億份通訊錄,並且掌握著與此相關的社會關係、組織關係、家庭關係數據。這也意味著,假如某APP提供某用戶手機號,巧達科技將其與自有的簡歷庫進行匹配,便能將該自然人包括年齡、性別、行業、職業、戶籍、收入、教育經歷、工作經歷、關係網等在內的信息反饋給APP,而這些信息,幾乎涵蓋了個人所有的數據維度。
就是這樣一家掌握著超過57%中國人個人信息的簡歷公司,因未經授權使用、販賣簡歷信息,最後被警察一鍋端。後怕之餘,何種個人信息已被洩露,洩露了多少信息,早已無從得知。
高盛首席互聯網研究分析師希思· 特里(Heath Terry)在Facebook信息洩露門之後曾向CNBC表示:“每一個快速成長的科技巨頭都有可能面臨類似的危機。從某種程度上講,如果企業不能有效防範每一次危機,則終有一次將會被迫成為黑產鏈條中的一環,並且是作為信息源頭的關鍵一環。”如果連我們的上市企業在黑產大軍面前都無法守住底線,那公民個人的信息安全勢必如臨深淵。
在數十年前的德國,通過極盡細緻的人口普查,掌握了廣大疆域內人口組成的納粹政權,在短短几個月之內精準圈出了近乎所有猶太人。屠殺的殘酷深深刺痛了每一個歐洲公民的心,也刺激了歐羅巴大地在戰爭結束至今的漫長歲月裡,始終充當著引領世界個人信息保護大潮的旗手。
在數十年後的中國,陽光無法觸及的地方,黑色的交易仍在進行。頻發的信息洩露新聞,漸漸讓每個人感受到被數據黑產所支配的恐懼。信息時代,誰擁有了數據,誰就擁有了無限財富。巨大利潤面前,鋌而走險者屢禁不止,到底有多少人隱藏在人群中、粉飾於舞臺上,貪婪地尋找著任何一條可供竊取的裂縫?又有多少個人權利的捍衛者、潛在的受害者能聯起手來,共克時艱?利益之前,必現紛爭,勢必經年。引用史中老師在《遠征漠北——騰訊的黑產戰爭》一文中的話:“這場戰爭如同一盤巨大的圍棋,在黑白的交鋒面上,那個決定生死的點位,白棋不佔,自會有黑棋來佔。世界原本如此。”在Siri都在竊聽我們的日子裡,也許沒有人能只是數據黑產戰爭的局外人。
參考資料:
企鵝智酷《中國網民個人隱私狀況調查報告》
中國互聯網協會《中國網民權益保護調查報告》
京東研究院《數字金融反欺詐白皮書》
財經:追蹤“數據堂”:特大侵犯個人信息專案,震動大數據行業
新京報:弒母嫌犯吳謝宇持多張身份證背後:網絡暗藏黑色產業鏈
騰訊科技:多數數據洩漏是內鬼所為:售價驚人!誰在盯著我們的隱私?
淺黑科技:遠征漠北——騰訊的黑產戰爭
發現作者