“撞库”做大数据库

       对黑产链条上的人而言，通过拖库、洗库得到数据并不意味着此番劫掠的结束，还会有黑产链条上的人将得到的数据在其他网站上进行尝试登录，业内称其为“撞库”。
       2014年12月25日，中国铁路购票网12306网站被曝出泄露用户数据，其时超过13万条用户隐私数据在互联网上疯传，用户账号、密码、身份证号、注册邮箱等数据被大范围流传、买卖。
       事后经国内安全企业推断，此次数据泄露，并非黑客攻击12306所为，乃是撞库成功所致。
       万涛对法治周末记者解释，撞库就是黑客用其他渠道泄露的用户名和密码尝试登录12306，结果登录成功。登录成功后，就可以获得用户在12306订票时所需的身份证号等个人信息。
       由于很多用户为了方便记忆，会在不同网站使用相同的用户名和密码，这就大大增加了黑客撞库成功的概率。
       “在12306网站上撞库成功后，黑客也会尝试去撞其他的库，比如去登录淘宝、京东这样的电商网站，如果同样撞库成功的话，黑客又会多了用户个人支付账号、消费记录等数据。”万涛表示，撞库可反复操作，而每一次撞库成功，都会获得用户更多维度的数据。
       而黑客每次撞库并非像普通用户想象的拿一组用户名和密码手工操作。TOMslnsight公司的报告显示，黑客可以使用自己开发的工具、直接数据库匹配登录技术以及配合黑色产业链中的打码机制(利用人工智能大量输入验证码)对很多网站进行批量撞库。
       作为雷霆行动的负责人，腾讯安全管理部总经理朱劲松对此深有体会。他对法治周末记者表示，通过警方破获的一些案件来看，一些黑产人员会把通过不同渠道得到的数据库整合成一个庞大的社工库，大量网络用户的隐私信息、上网的行为和个人金融财产安全相关的数据都会被黑产分子重新进行整合。
       “这其实做的就是大数据。”朱劲松说。
       以2014年广东省破获的“海燕3号”专案为例，据《南方都市报》报道，当时年仅17岁的黑客通过自编软件攻击招聘类网站，因该招聘网站只需输入邮箱号和密码就可登录，为此获取了数百万条公民的个人信息，并将这些信息与其他途径获取的大数据自行整理成数据库，通过使用一套数据整理软件，自动匹配成完整的银行卡用户的核心信息。
       截至案发，警方统计得出，该黑客所建数据库中包括各类公民信息、银行卡信息达800万条，其中包含身份证号、登录密码、手机号码和银行卡账号信息齐全的共有19万条，可用于直接盗刷，对应的银行账号金额达14.98亿元。
       朱劲松还透露，目前整个黑产圈里已经有人开始利用大量的社工库数据所成立的查询平台，一个黑产人员只要花十几元钱，就可以通过这种平台去查询到一个用户的姓名、手机号码、身份证号码和银行卡号核心四要素。
       随着拖库、撞库的网站不断增加，用于诈骗分子诈骗的社工库也日益完善，对于用户的潜在威胁也越来越大。
       “有了这些多维度的海量信息，也会让网络诈骗变得更有针对性和迷惑性。”朱劲松说。

       1个上游端供养10个犯罪团伙

       黑客的拖库、撞库举动只是整个黑产链条的一个环节。“生活中很多精准式诈骗的场景背后，都是有一整套的网络黑色产业链的团伙在相互协作，形成对用户进行各类侵害的利益链条。”朱劲松说。
       朱劲松对这一链条进行了梳理：在整个产业链的上端是技术含量最高、也是最为隐蔽的群体，他们以职业黑客为主，通过挖掘漏洞、编写木马来实施入侵；
       产业链的中间环节，则是一个更为庞大的进行欺诈的犯罪团伙，他们通常具备比较高的情商，能够熟练地应用社会工程学(它集合了心理学、社会心理学、组织行为学等一系列的学科，可利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击)的理论和知识来对用户实施具体的欺诈行为；
       在整个产业链的下游，是支撑整个黑色产业链各种周边的组织。如取钱、洗钱团伙、收卡团伙、贩卖身份证团伙等。
       近日，腾讯发布的《网络黑色产业链年度报告》揭示，平均一个上游端就可长期供养10个以上网络黑产犯罪团伙。
       以辽宁网安部门破获的一起非法入侵韩国网站盗取韩国网民银行存款的特大团伙为例，其中就有黑帽开发制作木马、包马人进行代理木马，然后入侵韩国网站挂马，在韩国网民浏览网站时窃取网银账户密码；
       在网银账号和密码得手后，网络盗窃黑产团伙便会入侵受害人网银；随后洗钱团伙跟进，将受害人存款转移至韩国银行卡，最后再由下游的取钱团伙，通过ATM机、游戏点卡、充值卡等提现。
       仅半年时间，由34人组成的犯罪团伙就先后对110余家韩国网站实施入侵，盗窃韩国网民银行账号密码4000余组，涉案金额折合人民币1000余万元。
       “在产业链的不同环节中，不同的团伙既独立作案，又能够在一定程度上形成相互协作的关系，就好像一群强盗在分食一条大鱼，有的团伙吃鱼头、有的团伙吃鱼身、有的团伙吃鱼尾，剩下的团伙喝鱼汤。”朱劲松如是形容黑产链条的运作。
       个人信息界定还需明晰
       腾讯发布的《网络黑色产业链年度报告》显示，随着大量网站数据库被盗取，越来越多的网络犯罪分子倾向于在掌握网民个人信息后，以冒充熟人或博取同情等精准式诈骗场景对受害人进行欺诈。
       那缘何目前买卖个人信息呈泛滥之势却似乎难以规制呢？中国互联网协会信用评价中心法律顾问赵占领对法治周末记者表示，“这与目前我国法律对于个人信息的界定还不清晰有关”。
       赵占领对法治周末记者表示，尽管我国刑法明确规定，窃取或者以其他方法非法获取公民个人信息，情节严重的，将被追究刑事责任，“但是对于什么是个人信息，目前规定的还比较笼统”。
       2012年12月，全国人大常委会颁布了《关于加强网络信息保护的决定》，随后工信部也出台了《电信和互联网用户个人信息保护规定》，采用了列举加概括的方式指出，个人信息包括用户姓名、身份证号等能够单独或者与其他信息结合识别用户的信息。
       赵占领表示，现实中黑客往往会通过拖库的方式会获得用户的一些数据，比如cookie，是用户在网络上的行为轨迹，但这些数据是不是个人信息法律上暂时还没有明确的规定，但是经过整合加工，则往往具备了识别到个人的特点。
       “个人信息、个人数据、个人隐私这三者其实是不同的概念，但是法律目前未对此作出界定和厘清，这使得黑产分子在获取数据后，很难以窃取或者以其他方式获得公民个人信息罪论处的重要原因。”赵占领说。
       朱劲松对此也是深有感触，他以微信号为例，很多用户都是通过手机号作为微信号的，而通过实名登记的手机号都是直接对应到个人的，那么此时微信号属不属于个人信息？

上一页  [1] [2] [3]  下一页