馬樹娟

2014年12月25日，中國(guó)鐵路購(gòu)票網(wǎng)12306網(wǎng)站遭遇“撞庫(kù)”攻擊，超過13萬條用戶隱私數(shù)據(jù)在互聯(lián)網(wǎng)上瘋傳，用戶賬號(hào)、密碼等數(shù)據(jù)被大范圍流傳、買賣；

130萬條考研學(xué)生的詳細(xì)個(gè)人信息，在一些黑產(chǎn)群里公開叫賣，只需15000元就可得手；

花費(fèi)500元就可查詢單個(gè)城市的開房記錄；花費(fèi)800元就可以查詢?nèi)珖?guó)的開房記錄；輸入姓名和身份證號(hào)，可以查詢當(dāng)事人最近3年的開房記錄……

隨著互聯(lián)網(wǎng)不斷深度介入人們的生活，網(wǎng)絡(luò)上也在源源不斷積累起大量數(shù)據(jù)，這些數(shù)據(jù)就像散落在互聯(lián)網(wǎng)生態(tài)中的粒粒珍珠，閃耀著光芒，誘惑著網(wǎng)絡(luò)黑產(chǎn)分子瞪大貪婪的雙眼，伺機(jī)而動(dòng)……

“拖庫(kù)”成慣招

對(duì)于很多普通人而言，黑客是一個(gè)極為隱秘的群體，接觸不多，而當(dāng)網(wǎng)絡(luò)上用戶數(shù)據(jù)泄露事件不斷被曝出時(shí)，人們不得不感嘆這個(gè)群體能量的強(qiáng)大。

一般來說，黑客處在網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的上游，其會(huì)入侵有價(jià)值的網(wǎng)站，盜走用戶數(shù)據(jù)庫(kù)，這一過程在地下產(chǎn)業(yè)術(shù)語中被稱為“拖庫(kù)”，在過去一兩年間，國(guó)內(nèi)被爆拖庫(kù)的公司不在少數(shù)，貓撲、天涯、人人網(wǎng)等都榜上有名。

2013年下半年以來，酒店行業(yè)的用戶數(shù)據(jù)頻頻被泄露，當(dāng)時(shí)媒體稱超過2000萬條酒店開放數(shù)據(jù)在網(wǎng)上惡性蔓延，這無疑給社會(huì)投下了一枚深水炸彈。

時(shí)至今日，記者仍能在網(wǎng)上查到“2000W條開房信息免費(fèi)任你查”的網(wǎng)帖，輸入常見的人名，即可顯示大量同名人的詳細(xì)個(gè)人信息：如姓名、性別、年齡、出生年月、身份證號(hào)、電話號(hào)碼等。開房時(shí)間從2010年年初到2012年年底。

2014年5月，小米官方論壇也被曝拖庫(kù)，約800萬用戶的數(shù)據(jù)被泄露，用戶信息包括用戶賬號(hào)密碼、郵箱和相關(guān)IP地址等。

互聯(lián)網(wǎng)深度數(shù)據(jù)分析公司TOMslnsight在其最新的分析報(bào)告《互聯(lián)網(wǎng)黑市分析：社工庫(kù)的傳說》中指出，全國(guó)流量排名前100的網(wǎng)站中，有近八成的用戶數(shù)據(jù)庫(kù)已被黑客盜取，變相為網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈提供大數(shù)據(jù)來源。

被媒體稱為“黑客教父”的萬濤對(duì)這個(gè)報(bào)告表示認(rèn)可，他表示：“目前媒體報(bào)道出來的數(shù)據(jù)泄露事件僅是冰山一角?！?/p>

國(guó)內(nèi)漏洞報(bào)告平臺(tái)——烏云創(chuàng)始人鄔迪表示，隨著互聯(lián)網(wǎng)對(duì)人們生活的深度介入，用戶會(huì)在互聯(lián)網(wǎng)上留下大量的數(shù)據(jù)，這也讓黑產(chǎn)鏈條上的黑客們有了更強(qiáng)的經(jīng)濟(jì)驅(qū)動(dòng)力。

對(duì)于黑客而言，積累有大量用戶數(shù)據(jù)的電商交易平臺(tái)、訂票類網(wǎng)站、招聘求職類網(wǎng)站等都是上好的“獵物”。鄔迪介紹，目前烏云平臺(tái)上披露了很多航空公司、招聘類網(wǎng)站的系統(tǒng)漏洞，其實(shí)等白帽子報(bào)告漏洞時(shí)，發(fā)現(xiàn)這些網(wǎng)站的“門早已被打開過”。

“世界上沒有完美的網(wǎng)絡(luò)，任何一個(gè)網(wǎng)絡(luò)都會(huì)存在或大或小、或嚴(yán)重或輕微的漏洞，烏云平臺(tái)每天都會(huì)接到多個(gè)有關(guān)漏洞的報(bào)告，只是對(duì)于白帽子（一般的黑客）而言，發(fā)現(xiàn)網(wǎng)站的漏洞，報(bào)告給廠商就意味著工作的結(jié)束；而對(duì)于黑色產(chǎn)業(yè)鏈上的黑客而言，行程才剛剛開始，他們的目的是拿到數(shù)據(jù)，進(jìn)而轉(zhuǎn)化成金錢。”鄔迪對(duì)記者說。

“撞庫(kù)”做大數(shù)據(jù)庫(kù)

對(duì)黑產(chǎn)鏈條上的人而言，通過拖庫(kù)、洗庫(kù)得到數(shù)據(jù)并不意味著此番劫掠的結(jié)束，還會(huì)有黑產(chǎn)鏈條上的人將得到的數(shù)據(jù)在其他網(wǎng)站上進(jìn)行嘗試登錄，業(yè)內(nèi)稱其為“撞庫(kù)”。

2014年12月25日，中國(guó)鐵路購(gòu)票網(wǎng)12306網(wǎng)站被曝出泄露用戶數(shù)據(jù)，其時(shí)超過13萬條用戶隱私數(shù)據(jù)在互聯(lián)網(wǎng)上瘋傳，用戶賬號(hào)、密碼、身份證號(hào)、注冊(cè)郵箱等數(shù)據(jù)被大范圍流傳、買賣。

事后經(jīng)國(guó)內(nèi)安全企業(yè)推斷，此次數(shù)據(jù)泄露，并非黑客攻擊12306所為，乃是撞庫(kù)成功所致。

萬濤解釋，撞庫(kù)就是黑客用其他渠道泄露的用戶名和密碼嘗試登錄12306，結(jié)果登錄成功。登錄成功后，就可以獲得用戶在12306訂票時(shí)所需的身份證號(hào)等個(gè)人信息。

由于很多用戶為了方便記憶，會(huì)在不同網(wǎng)站使用相同的用戶名和密碼，這就大大增加了黑客撞庫(kù)成功的概率。

“在12306網(wǎng)站上撞庫(kù)成功后，黑客也會(huì)嘗試去撞其他的庫(kù)，比如去登錄淘寶、京東這樣的電商網(wǎng)站，如果同樣撞庫(kù)成功的話，黑客又會(huì)多了用戶個(gè)人支付賬號(hào)、消費(fèi)記錄等數(shù)據(jù)?！比f濤表示，撞庫(kù)可反復(fù)操作，而每一次撞庫(kù)成功，都會(huì)獲得用戶更多維度的數(shù)據(jù)。

而黑客每次撞庫(kù)并非像普通用戶想象的拿一組用戶名和密碼手工操作。TOMslnsight公司的報(bào)告顯示，黑客可以使用自己開發(fā)的工具、直接數(shù)據(jù)庫(kù)匹配登錄技術(shù)以及配合黑色產(chǎn)業(yè)鏈中的打碼機(jī)制（利用人工智能大量輸入驗(yàn)證碼）對(duì)很多網(wǎng)站進(jìn)行批量撞庫(kù)。

作為雷霆行動(dòng)的負(fù)責(zé)人，騰訊安全管理部總經(jīng)理朱勁松對(duì)此深有體會(huì)。他表示，通過警方破獲的一些案件來看，一些黑產(chǎn)人員會(huì)把通過不同渠道得到的數(shù)據(jù)庫(kù)整合成一個(gè)龐大的社工庫(kù)，大量網(wǎng)絡(luò)用戶的隱私信息、上網(wǎng)的行為和個(gè)人金融財(cái)產(chǎn)安全相關(guān)的數(shù)據(jù)都會(huì)被黑產(chǎn)分子重新進(jìn)行整合。

“這其實(shí)做的就是大數(shù)據(jù)?！敝靹潘烧f。

以2014年廣東省破獲的“海燕3號(hào)”專案為例，據(jù)《南方都市報(bào)》報(bào)道，當(dāng)時(shí)年僅17歲的黑客通過自編軟件攻擊招聘類網(wǎng)站，因該招聘網(wǎng)站只需輸入郵箱號(hào)和密碼就可登錄，為此獲取了數(shù)百萬條公民的個(gè)人信息，并將這些信息與其他途徑獲取的大數(shù)據(jù)自行整理成數(shù)據(jù)庫(kù)，通過使用一套數(shù)據(jù)整理軟件，自動(dòng)匹配成完整的銀行卡用戶的核心信息。

截至案發(fā)，警方統(tǒng)計(jì)得出，該黑客所建數(shù)據(jù)庫(kù)中包括各類公民信息、銀行卡信息達(dá)800萬條，其中包含身份證號(hào)、登錄密碼、手機(jī)號(hào)碼和銀行卡賬號(hào)信息齊全的共有19萬條，可用于直接盜刷，對(duì)應(yīng)的銀行賬號(hào)金額達(dá)14.98億元。

朱勁松還透露，目前整個(gè)黑產(chǎn)圈里已經(jīng)有人開始利用大量的社工庫(kù)數(shù)據(jù)所成立的查詢平臺(tái)，一個(gè)黑產(chǎn)人員只要花十幾元錢，就可以通過這種平臺(tái)去查詢到一個(gè)用戶的姓名、手機(jī)號(hào)碼、身份證號(hào)碼和銀行卡號(hào)核心四要素。

隨著拖庫(kù)、撞庫(kù)的網(wǎng)站不斷增加，用于詐騙分子詐騙的社工庫(kù)也日益完善，對(duì)于用戶的潛在威脅也越來越大。“有了這些多維度的海量信息，也會(huì)讓網(wǎng)絡(luò)詐騙變得更有針對(duì)性和迷惑性?！敝靹潘烧f。

1個(gè)上游端供養(yǎng)10個(gè)犯罪團(tuán)伙

黑客的拖庫(kù)、撞庫(kù)舉動(dòng)只是整個(gè)黑產(chǎn)鏈條的一個(gè)環(huán)節(jié)?！吧钪泻芏嗑珳?zhǔn)式詐騙的場(chǎng)景背后，都是有一整套的網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的團(tuán)伙在相互協(xié)作，形成對(duì)用戶進(jìn)行各類侵害的利益鏈條?！敝靹潘烧f。

朱勁松對(duì)這一鏈條進(jìn)行了梳理：在整個(gè)產(chǎn)業(yè)鏈的上端是技術(shù)含量最高、也是最為隱蔽的群體，他們以職業(yè)黑客為主，通過挖掘漏洞、編寫木馬來實(shí)施入侵；產(chǎn)業(yè)鏈的中間環(huán)節(jié)，則是一個(gè)更為龐大的進(jìn)行欺詐的犯罪團(tuán)伙，他們通常具備比較高的情商，利用人的弱點(diǎn)，對(duì)用戶實(shí)施具體的欺詐行為；在整個(gè)產(chǎn)業(yè)鏈的下游，是支撐整個(gè)黑色產(chǎn)業(yè)鏈各種周邊的組織。如取錢、洗錢團(tuán)伙、收卡團(tuán)伙、販賣身份證團(tuán)伙等。

近日，騰訊發(fā)布的《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報(bào)告》揭示，平均一個(gè)上游端就可長(zhǎng)期供養(yǎng)10個(gè)以上網(wǎng)絡(luò)黑產(chǎn)犯罪團(tuán)伙。

“在產(chǎn)業(yè)鏈的不同環(huán)節(jié)中，不同的團(tuán)伙既獨(dú)立作案，又能夠在一定程度上形成相互協(xié)作的關(guān)系，就好像一群強(qiáng)盜在分食一條大魚，有的團(tuán)伙吃魚頭、有的團(tuán)伙吃魚身、有的團(tuán)伙吃魚尾，剩下的團(tuán)伙喝魚湯。”朱勁松如是形容黑產(chǎn)鏈條的運(yùn)作。

摘編自2017年2月14日《法治周末》