侯林

摘要：以計算機(jī)網(wǎng)絡(luò)為工具，利用網(wǎng)絡(luò)安全漏洞，竊取用戶數(shù)據(jù)的犯罪組織，已經(jīng)發(fā)展成為一個有組織、分工明確的黑色產(chǎn)業(yè)鏈。技術(shù)含量最高、最為隱蔽的職業(yè)黑客居于產(chǎn)業(yè)鏈的上流，運(yùn)用社會工程學(xué)理論進(jìn)行數(shù)據(jù)分銷的中介和實(shí)施詐騙的犯罪團(tuán)伙居于中游，取錢、洗錢、收卡、販賣身份證等產(chǎn)業(yè)鏈周邊組織居于下游。文章通過剖析黑產(chǎn)組織的結(jié)構(gòu)體系和伴生關(guān)系，推斷犯罪主體、交易模式和侵害目標(biāo)的變化趨勢。

關(guān)鍵詞：數(shù)據(jù)泄露；網(wǎng)絡(luò)犯罪；黑色產(chǎn)業(yè)鏈；社會工程學(xué)

在“互聯(lián)網(wǎng)+”的時代，政府機(jī)關(guān)、電商、網(wǎng)上銀行、保險公司、教育考試機(jī)構(gòu)、旅館等機(jī)構(gòu)將公民的身份信息、金融信息、社會關(guān)系信息存儲在服務(wù)器或云端，使人們足不出戶即可享受購物、訂票、轉(zhuǎn)賬等服務(wù)，人們的生活從未像今天這樣便捷。但互聯(lián)網(wǎng)背后隱藏著一個黑色產(chǎn)業(yè)鏈，它利用網(wǎng)絡(luò)漏洞，竊取服務(wù)器上用戶數(shù)據(jù)資料，在黑產(chǎn)群里公開叫賣。據(jù)最新的安全報告估測，到2019年，由于數(shù)據(jù)泄露給全球網(wǎng)絡(luò)用戶造成的損失可能達(dá)到2.1萬億，相比2015年增長近4侮無論是總量還是增長速度都將是一個非常可怕的量級。

1 近年來數(shù)據(jù)安全泄露事件與數(shù)據(jù)泄露基本模式介紹

1.1 近年來出現(xiàn)的重大數(shù)據(jù)安全泄露事件

2013年10月，一批賓館酒店的旅客住宿信息在網(wǎng)上泄露，網(wǎng)民可以從網(wǎng)絡(luò)論壇中下載一個名稱為“2000w開房數(shù)據(jù)”的文件，其中包含2000萬條旅客開房住宿的數(shù)據(jù)，可以精確查到登記開房的時間、房號、旅客姓名、性別、戶籍地址、身份證號、電話號碼等個人隱私信息。據(jù)安全監(jiān)測平臺披露，事件的起因可能是與這些酒店有合作關(guān)系的浙江慧達(dá)驛站公司網(wǎng)站上有安全漏洞，服務(wù)器被黑客攻擊導(dǎo)致信息泄露。

2014年12月，鐵道部提供火車票網(wǎng)上訂票服務(wù)的12306網(wǎng)站爆發(fā)了用戶數(shù)據(jù)信息泄漏風(fēng)波。據(jù)稱，當(dāng)時12306用戶數(shù)據(jù)被大量泄露，甚至在互聯(lián)網(wǎng)上出現(xiàn)公共傳播售賣的情況，所泄露的包括了賬號、明文密碼、信用卡信息、購買記錄、郵箱等個人信息，涉及用戶數(shù)超過13萬條。

2015年8月，湖北武漢警方破獲一起高考考生信息泄露案件，武漢警方在此案中抓捕了2名主要嫌疑人，在其住處清查出約5公斤重的紙質(zhì)高考考生信息，包括考生姓名、考試分?jǐn)?shù)、學(xué)校、詳細(xì)家庭地址和聯(lián)系電話等重要內(nèi)容，涉及四川、湖北、貴州、河南、重慶、甘肅、陜西等13個省區(qū)市的10多萬名考生。不法分子以平均0.1元每條的價格購買信息后，雇人充當(dāng)話務(wù)員與這些考生聯(lián)系，進(jìn)行招生詐騙。

2014年8月12日，有1400萬條個人信息在網(wǎng)絡(luò)上被層層轉(zhuǎn)賣。警方調(diào)查發(fā)現(xiàn)，信息包含：快遞編碼、收貨和發(fā)貨雙方的姓名、電話號碼、住址等個人隱私信息。據(jù)犯罪嫌疑人供述，其用黑客工具檢測到快遞公司網(wǎng)站存在安全漏洞時，即非法侵入網(wǎng)站數(shù)據(jù)庫，下載用戶個人信息，在被警方破獲時，嫌疑人電腦中總計有1400萬條個人信息。

2015年8月，中國最大的網(wǎng)上票務(wù)營銷平臺大麥網(wǎng)再次被發(fā)現(xiàn)存在安全漏洞，600余萬用戶賬戶密碼遭到泄露，在互聯(lián)網(wǎng)社區(qū)上被公開售賣。

近年來的信息泄露事件涉及政府政務(wù)信息公開平臺、教育考試機(jī)構(gòu)、醫(yī)療掛號平臺、電子商務(wù)、快遞、票務(wù)、論壇社區(qū)等各類網(wǎng)站，它的背后隱藏著一個功能強(qiáng)大、組織嚴(yán)密的利益鏈條，可以將個人隱私轉(zhuǎn)化為犯罪分子詐騙或不良商家牟利的工具。

1.2 數(shù)據(jù)泄露的基本模式

總的來講，數(shù)據(jù)泄露事件可以分為9種模式：入侵POS、盜刷支付卡、利用Web應(yīng)用開展攻擊、惡意軟件、網(wǎng)絡(luò)間諜、拒絕服務(wù)攻擊、內(nèi)部盜竊、物理性損失、其他錯誤。

入侵POS指的就是對正在運(yùn)行POS程序的主機(jī)或者是服務(wù)器進(jìn)行攻擊，并從中獲得相關(guān)交易信息。盜刷支付卡，通過在ATM，POS等刷卡設(shè)備上加裝裝置，從而截獲支付卡數(shù)據(jù)。這2種泄露方式多發(fā)生在銀行、零售業(yè)、酒店、醫(yī)院等擁有大量POS設(shè)備的行業(yè)。

Web應(yīng)用攻擊、惡意軟件、網(wǎng)絡(luò)間諜、拒絕服務(wù)攻擊等行為均是指攻擊者利用技術(shù)手段，如木馬、病毒、竊聽、滲透、Rootkit等，向計算機(jī)系統(tǒng)的漏洞發(fā)起攻擊，破解系統(tǒng)保護(hù)后，從計算機(jī)系統(tǒng)內(nèi)部竊取重要數(shù)據(jù)。

內(nèi)部失竊和物理性損失多是由于管理方的疏漏，造成數(shù)據(jù)存儲介質(zhì)的損壞、丟失或失竊，在一些公共事業(yè)性機(jī)構(gòu)容易發(fā)生此類數(shù)據(jù)泄露事件。

2 黑色產(chǎn)業(yè)鏈分析

所謂網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈，是指以計算機(jī)網(wǎng)絡(luò)為工具，運(yùn)用計算機(jī)和網(wǎng)絡(luò)技術(shù)實(shí)施的以盈利為目的，有組織、分工明確的團(tuán)伙式犯罪行為。它可被細(xì)分為以職業(yè)黑客為主的產(chǎn)業(yè)鏈的上游，以職業(yè)中介為主的中游，由取錢、洗錢、收卡、販賣身份證等團(tuán)伙組成的下游。而這個產(chǎn)業(yè)鏈又是圍繞“社會工程學(xué)數(shù)據(jù)庫（社工庫）”運(yùn)作的。

2.1 黑色產(chǎn)業(yè)鏈的基礎(chǔ)：社會工程學(xué)與社會工程學(xué)數(shù)據(jù)庫

簡單來講，社會工程學(xué)就是藝術(shù)與竅門的集合體。社會工程學(xué)利用的是人性上存在的弱點(diǎn)與心理上存在的缺陷，通過順從意愿、滿足欲望的方式讓人們上當(dāng)，或者是將這些作為攻擊的入口。社會工程學(xué)的竅門也蘊(yùn)涵了各式各樣靈活的構(gòu)思與變化因素，利用人的弱點(diǎn)如人的本能反應(yīng)、好奇心、信任、貪便宜等進(jìn)行攻擊。它集合了心理學(xué)、社會心理學(xué)、組織行為學(xué)等一系列的學(xué)科，由于其非法性在很多國家地區(qū)都被嚴(yán)厲地打擊，社會工程學(xué)也變成了一個見不得光的學(xué)派。

社會工程學(xué)數(shù)據(jù)庫，即黑客在運(yùn)用社會工程學(xué)進(jìn)行攻擊的時候，積累的各方面數(shù)據(jù)的結(jié)構(gòu)化數(shù)據(jù)庫。社工庫是一個記錄黑客攻擊手段和攻擊方法的數(shù)據(jù)庫，這個數(shù)據(jù)庫里的信息包羅萬象，如網(wǎng)民在各類網(wǎng)站上的登錄賬號、登錄密碼、分享的照片、社交軟件的聊天記錄、信用卡刷卡記錄、機(jī)票車票訂購記錄、通話記錄、短信微信內(nèi)容等?；ヂ?lián)網(wǎng)上存在著大量此類可以查詢社工庫、買賣數(shù)據(jù)、交流犯罪方法的論壇和網(wǎng)站。

2.2 黑色產(chǎn)業(yè)鏈上游：數(shù)據(jù)盜取

黑色產(chǎn)業(yè)鏈上游是以技術(shù)含量最高、最為隱蔽的職業(yè)黑客為主，他們通過攻擊系統(tǒng)安全漏洞，編寫木馬實(shí)施入侵，獲取數(shù)據(jù)，這一過程可分為3個階段：拖庫、洗庫和撞庫。

拖庫也被稱為“脫庫”，是黑色產(chǎn)業(yè)的一個術(shù)語，黑客利用漏洞入侵有價值的網(wǎng)站，盜走目標(biāo)數(shù)據(jù)庫。2014年5月，小米官方論壇800萬用戶的賬戶信息被拖庫。拖庫成功后，黑客接著會進(jìn)行洗庫工作，即利用技術(shù)手段清洗、篩選數(shù)據(jù)資料，提煉出有價值的用戶數(shù)據(jù)，以便將來用于變現(xiàn)。通過拖庫、洗庫得到用戶數(shù)據(jù)資料后，一些黑客拿著這些用戶數(shù)據(jù)在其他網(wǎng)站嘗試登錄，稱為撞庫。因?yàn)椴簧偃肆?xí)慣于在不同的網(wǎng)站使用相同或相似的用戶賬號和密碼進(jìn)行注冊，這就為用“撞庫”的方式獲得更多的數(shù)據(jù)提供了可能。2014年12月，中國鐵路購票網(wǎng)12306網(wǎng)站曾遭遇黑客撞庫攻擊，超過13萬條客戶數(shù)據(jù)在互聯(lián)網(wǎng)上被瘋狂傳播。一旦撞庫成功，黑客們可能會接著撞擊京東、攜程、蘇寧等網(wǎng)站，最終黑客們拿到更多的個人支付賬號、消費(fèi)記錄等數(shù)據(jù)。

2.3 黑色產(chǎn)業(yè)鏈中游：數(shù)據(jù)分銷與實(shí)施詐騙

黑產(chǎn)鏈條的中游有一個龐大的中介組織，專門為上游黑客從事分銷，尋找目標(biāo)買家或幫買家尋找黑客。還有一種犯罪團(tuán)伙，他們利用購買到的網(wǎng)絡(luò)犯罪產(chǎn)品，結(jié)合社會工程學(xué)的理論和知識對用戶實(shí)施盜竊、詐騙、敲詐勒索。

社工庫論壇是一個交流平臺，盜取的賬號和密碼信息，在此被公開兜售。在一些社工庫論壇上，只要輸入“數(shù)據(jù)買賣”“數(shù)據(jù)交易”等關(guān)鍵字，就會檢索到大量的專門從事數(shù)據(jù)交易的QQ群，一般以“數(shù)據(jù)交易群”“淘寶數(shù)據(jù)交易”來命名，每條數(shù)據(jù)的價格從幾毛錢到幾十元不等。

中介組織對用戶數(shù)據(jù)采用多種方式解析，再層層轉(zhuǎn)賣，以求數(shù)據(jù)價值的最大化。如：首先，提取虛擬裝備和虛擬貨幣類信息，提取網(wǎng)游、支付寶和QQ的賬號。第二步，提取整理身份類信息，轉(zhuǎn)賣給一些隱私交易機(jī)構(gòu)。第三步，提取通訊號碼，賣給轉(zhuǎn)發(fā)垃圾短信的組織。最終，普通網(wǎng)民見到時，基本已經(jīng)算是“公開”信息，這樣的數(shù)據(jù)，只要用幾個金幣（1金幣等值于1元錢）的價錢就可以購買到大量數(shù)據(jù)，甚至可以免費(fèi)下載。

2.4 黑色產(chǎn)業(yè)鏈下游：各種周邊的組織

產(chǎn)業(yè)鏈的下游是服務(wù)于整個黑色產(chǎn)業(yè)鏈的各種周邊組織，比如販賣身份證、收卡、取錢、洗錢等犯罪團(tuán)伙。這些犯罪環(huán)節(jié)目前分工也已經(jīng)相當(dāng)精細(xì)，由不同的團(tuán)伙組織完成特定的環(huán)節(jié)。

就搜集身份信息來說，辦卡公司有著“專業(yè)”的方式。如，某家公司的老板每隔兩三個月，便前往商場、車站等人流密集地區(qū)，向服務(wù)員、環(huán)衛(wèi)工人收購他人遺失的身份證，每張大概40元或50元，然后再以每張100元以上的價格出售?；蛘呖ㄘ溩拥睫r(nóng)民工聚集的地方，借用他們的身份證到銀行開戶辦卡，農(nóng)民工們風(fēng)險意識不強(qiáng)，為了掙幾十塊錢倒也愿意。

取錢環(huán)節(jié)，通常是詐騙組織與職業(yè)取款團(tuán)伙約定合作方式，職業(yè)取款團(tuán)伙出面將銀行卡中的贓款取出，匯總后交給詐騙組織，收取一定比例的報酬。比如，福建一詐騙組織頭目高某得手后，通常將贓款分批打給方某等掌握的200多張銀行卡中，方某派人取出，數(shù)額較小時，轉(zhuǎn)賬給詐騙組織；數(shù)額較大時，雙方直接見面，給付現(xiàn)金。交易完成后，取款團(tuán)伙通常收取所取款項的5%作為酬金，某些情況下，可能達(dá)到8%～10%。

3 黑色產(chǎn)業(yè)鏈“繁榮”的原因

黑色產(chǎn)業(yè)的形成，在于公民個人信息有強(qiáng)大的市場需求，購買的原因和購買者的身份也各有不同，有看似正規(guī)的商業(yè)機(jī)構(gòu)，也有隱藏于地下的專業(yè)犯罪組織。（1）商業(yè)機(jī)構(gòu)是這個市場的強(qiáng)大需求方，它們?yōu)榱双@取潛在的客戶資料、了解競爭對手的核心數(shù)據(jù)，從黑市購買數(shù)據(jù)。交通、醫(yī)療、教育、金融服務(wù)、酒店業(yè)、快遞業(yè)等公共服務(wù)行業(yè)機(jī)構(gòu)都掌握了大量的用戶信息，使之成為上下游產(chǎn)業(yè)及類似機(jī)構(gòu)覬覦的目標(biāo)。這樣的案例不勝枚舉，比如，就新生嬰兒信息泄露事件來說，是由于許多嬰兒奶粉經(jīng)銷商、母嬰保健機(jī)構(gòu)、早教機(jī)構(gòu)、兒童玩具經(jīng)銷商暗中不斷購買此類信息。（2）電信詐騙作案人對數(shù)據(jù)的需求。早期的電信詐騙的侵害對象是非特定的，犯罪分子向某一個號段或者某一個地區(qū)撥打電話或者群發(fā)詐騙短信。但隨著安全宣傳加大，公民的防范意識增強(qiáng)，單純的這個手法上當(dāng)?shù)娜松倭?。于是，犯罪分子通過黑市購買到用戶數(shù)據(jù)，對公民的身份、親屬關(guān)系、職業(yè)、近期活動分析后，再冒充上級、好友、電商實(shí)施精確詐騙，以提高犯罪成功率。（3）網(wǎng)絡(luò)游戲是網(wǎng)絡(luò)盜竊犯罪的高發(fā)地。虛擬的裝備和金錢逐漸具備了現(xiàn)實(shí)的價值，竊取網(wǎng)游裝備和游戲幣，也有著龐大的潛在需求。比如，張某發(fā)等人通過在網(wǎng)上購買具有鍵盤記錄功能和遠(yuǎn)程控制功能的木馬病毒，以熱門游戲“某某世界”玩家為目標(biāo)，通過語音通訊工具，發(fā)送虛假鏈接，傳播木馬病毒，獲取賬號及密碼，進(jìn)而盜竊游戲裝備及游戲幣（元寶），然后銷贓，僅僅1年多時間里，作案近千起，非法獲利數(shù)十萬元。

4 黑色產(chǎn)業(yè)鏈的變化趨勢

4.1 黑客攻擊犯罪呈現(xiàn)“平民化”趨勢

在巨大經(jīng)濟(jì)利益的誘導(dǎo)下，一些資深黑客通過網(wǎng)站、QQ群、論壇創(chuàng)辦黑客學(xué)校，傳播攻擊工具編程、木馬免殺、黑客攻防技術(shù)?；ヂ?lián)網(wǎng)黑市上還出現(xiàn)了專業(yè)制作販賣木馬的“造槍人”，他們可根據(jù)網(wǎng)絡(luò)入侵的需要編寫各種代碼，將木馬病毒作為一種商品銷售給黑市上需要的“買槍人。黑客學(xué)校和“造槍人”產(chǎn)業(yè)的蓬勃發(fā)展降低了網(wǎng)絡(luò)入侵的門檻，使網(wǎng)絡(luò)入侵呈現(xiàn)“平民化”趨勢，一個剛?cè)胄械闹袑W(xué)生經(jīng)過短期的培訓(xùn)就可能有能力侵入一個普通網(wǎng)站。

4.2 數(shù)據(jù)竊取過程正從交易化模式向定制化模式轉(zhuǎn)變

在早期的互聯(lián)網(wǎng)數(shù)據(jù)竊取過程中，拖庫、洗庫、撞庫3個階段通常由一個團(tuán)隊單獨(dú)完成，而發(fā)展到今天，黑色產(chǎn)業(yè)鏈上各個組織更講究分工協(xié)作，很少有人拖庫、洗庫、撞庫一起做，按不同的協(xié)作方式衍生出不同的犯罪模式。當(dāng)前，正在從交易化模式向定制化模式演變。

交易化模式就是當(dāng)黑客攻擊某一家網(wǎng)站，拖庫成功后直接在黑市上銷售，收取貨款。這種模式的優(yōu)點(diǎn)是數(shù)據(jù)可以多次出售，價格便宜、快捷，但是對于交易雙方來說，交易過程中充滿了騙局，數(shù)據(jù)新鮮度和真實(shí)度沒有保障，風(fēng)險會比較大，當(dāng)前職業(yè)的犯罪團(tuán)伙已經(jīng)很少采用交易化模式。

定制化模式就是下游客戶選擇好一家特定網(wǎng)站，然后聘請黑客去拖庫，拿到數(shù)據(jù)后支付傭金的模式。在定制化模式中，按黑產(chǎn)規(guī)則，數(shù)據(jù)屬于下游客戶，黑客不可以再次出售，或者在一定的窗口期內(nèi)不能再次出售。

4.3 移動互聯(lián)網(wǎng)成為網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的新興市場

從入侵便利性看，2015年，中國智能手機(jī)用戶接近6億人，在全國共有10省市的移動電話普及率超過100部/百人，其中相當(dāng)多的用戶安全防范知識幾乎為零。從價值上來看，手機(jī)里的電話本、通話記錄、短信、地理位置等隱私數(shù)據(jù)，支付寶、網(wǎng)銀、網(wǎng)絡(luò)游戲賬戶，含“金”量高，都可以直接變現(xiàn)。從移動互聯(lián)網(wǎng)的核心即智能終端操作系統(tǒng)上來看，目前主流的是蘋果的IOS和谷歌的Android操作系統(tǒng)，都由國外機(jī)構(gòu)把控，我國自主的操作系統(tǒng)還不成熟，我們也不能夠從底層對手機(jī)信息進(jìn)行保護(hù)。多方面的因素決定移動互聯(lián)網(wǎng)終端在今后一段時間內(nèi)都將是網(wǎng)絡(luò)入侵的熱點(diǎn)。