关键字

网上数十亿条个人信息遭泄露 元凶是“内鬼”

  来源:今晚财讯    发布时间:2019-01-16 18:19:00

  

小江最近填写个税申报时,突然发现自己“被就业”了。

当他在个人所得税APP上注册时,发现自己的任职信息中,出现了一家并非自己当前受雇公司的信息。这家他已经“任职”了8个月的公司,远在外省,他完全没听说过,与之也没有过任何交集。

这并不是个例。在微博的“个税申报APP上被就业”话题下,很多网友表示也遇到了类似问题。甚至有人在申报时发现,自己已经莫名其妙地成为了其他企业的法人。

当前,有大量用户的个人信息被盗用,然后成为某些公司的“隐形雇员”。而这些公司依靠这种方式,虚列工资,虚增企业成本,以此来进行偷税。

而这只是冰山一角。不久前的另一则资讯,让很多人感到心惊。在大名鼎鼎的暗网上,60万个账号的12306旅客信息被出售,涉及410万名旅客信息,包含姓名、身份证号、手机号、登录账号密码等信息,并且卖方还免费公开了部分账号,供买方验证。这个数据包的价格,仅为20美元。

多数人可能并不清楚,他们的个人隐私数据,早已成为地下交易的“商品”。当手机中的骚扰电话不停响起时,许多更为严重的伤害,正在不断发生。

2016年曾轰动全国的“徐玉玉被骗案”中,诈骗犯就是通过QQ群购买了1800条高中毕业生资料,利用徐玉玉刚刚申请助学贷款这一信息,将她拼凑来的9900元的学费骗走。为此,徐玉玉伤心欲绝,最终心脏骤停,虽经医院全力抢救,但仍不幸离世,一条鲜活的生命就此消逝。

去年5月,央视新闻曝光,很多人发现,在不知不觉间自己的海淘额度已经被用光了:有人盗用他们的身份信息,提供“清关”的刷单服务,将假的通关信息上报海关。其中一位上海的用户,仅2017年一年,就被人冒用信息海淘了40多单。

2018年初,广东警方曾公布注册虚假滴滴账户的黑产案件,其中涉案账户几十万个,缴获被非法获取的公民个人信息20余万条。这意味着,在你使用滴滴叫车时,面对的平台上,有数十万的司机是虚假注册的。而这最终导致了郑州空姐遇害案的发生。

2019年1月8日,一起“黑产代叫”诈骗案在广东告破。提供“代叫车”业务的黑产中介注册平台账号,并用购买到的身份证号码、手机号和支付宝账号进行绑定。随后,黑产中介利用这些账号以优惠价格招揽客户进行约车,在交易后拒付平台和司机车费,并在交易一两次后随即废弃原有账号。据警方通报,仅平台已查证的损失就达400万元。

但更令人心生恐惧的是,当用户通过这种渠道叫车时,一旦出现问题,将无法及时与平台、警方取得联络并提供准确信息。同时,用户的上下车地点、个人手机号等信息,也将被黑产中介获取。

在互联网时代,信息意味着金钱。当无数数据被裹挟进庞大的流量洪流中,它们流过之处,总有着隐藏在暗影中的“生意”。一条设涉及到数据窃取、交易,以及各种欺诈行为的黑色产业链条,因此滋生。活跃在这条产业链中的,有黑客,有诈骗犯,也有在边缘试探的灰色产业者。

而于大多数普通人来说,你也许永远也不知道,自己已经有多少信息已经被恶意猎取,以及被拿去做了些什么。一旦发现,可能触目惊心。

个人隐私,不值一文

一家保险领域的创业公司员工向《今晚财讯》私下透露,创业初期,为了扩充业务,公司就从其他渠道购买到了几十万条用户信息,其中包括用户的车牌号码、手机号等相关信息。

根据警方日前通报,在暗网上售卖60万个12306账号的数据贩子,就是北京某科技公司的职员。旅客账号以及密码信息主要是其通过网上购买获得的,而乘客姓名和身份证号数据,则是来自第三方网络订票平台。

“大多数互联网用户,在某些人面前,没有任何隐私可言。”一位“白客”曾在知乎上如是说。

据一家安全厂商表示,在国内一些黑客聚集的论坛上,以及微信群、QQ群,均有这类地下信息交易的存在。在这里,从各种身份证信息、不同应用上的账号密码,到酒店开房查询工具、偷拍的影像视频,乃至各种黑客工具,都可以买到。

暗网,就是大名鼎鼎的法外之地。在美剧《纸牌屋》中,一位黑客曾说过:“96%的互联网数据无法通过标准化搜索引擎访问,虽然其中的大部分东西都属于无用的信息,但那上面有一切东西。”暗网就是这样的一个世界。这里可以洗钱,可以买卖毒品,可以进行杀手交易,赏金黑客也是其中的常客。

2018年11月30日,全球最大连锁酒店集团之一的万豪国际酒店被曝出,有多达5亿人次的详细个人信息遭到泄露并在暗网上被兜售。12月初,暗网上再次传来爆料,多达3160万条的陌陌用户数据,正在上面销售,其中包含手机号和账号密码等字段。

“无数家庭行将破裂。”当时有网友如是调侃。

在国内,数据黑产交易的渠道,显得更加“本土化”。2018年7月,一起特大倒卖个人信息案件被山东临沂警方公布。在这起案件中,大量的个人隐私信息,就是通过QQ群倒卖。

那么,这些数据最初来源何处?

“在近几年,源于企业‘内鬼’的数据泄露比例,正在逐渐增多。”一位安全业内人士向《今晚财讯》表示。而《财经》曾报道称,目前已有80%的数据泄露,都是企业内部员工所为。“黑客”攻击,不过是数据泄露来源的冰山一角。

而几乎所有用户资金和核心隐私数据比较集中的领域,无论是金融保险、工商、文娱、电信运营,还是医疗、外卖、酒店等行业,在数据最下层的生产环节,黑产的数据“搬运工”们无处不在。

一位白帽社区负责人曾说:“我们大部分人都是在互联网上裸奔玩耍。”但实际上,并不只是互联网用户在线注册各类网站和手机应用时的数据,才成为黑产的主要数据来源。日常生活中,你填写的每一张快递单据、每一条缴费登记信息,都已成为数据贩们觊觎的对象。

2017年初,央视曝光了一起数据泄露事件,包含了50亿条公民数据信息,其中有不少来自京东。而据警方通报,嫌犯就是京东网络安全部的内部网络工程师,与盗卖个人信息的团队相互勾结,监守自盗。

2017年夏,浙江苍南破获一起苹果“内鬼”售卖个人信息案件,共抓获了32名倒卖苹果国内分公司和外包公司的前员工。

通过黑客攻击拖库、内部泄露和爬虫等方式,源源不断流出的,就是珍贵的“一手数据”。

而通过“撞库”,这些数据还在不断扩大。

360网络安全响应中心高级安全分析师韩昊晟告诉《今晚财讯》,多数用户为了方便,往往使用“一套密码走天下”,但这也为黑产提供了极大的便利。当黑客利用大量已经泄露的用户社交软件账号、邮箱账号等,建立起字典表,使用软件将其在不同的网站上不停地批量尝试登录,这就是“撞库”。

在黑灰产链条上,目前撞库已经超过了木马病毒,成为最主要的盗号方式。

这也意味着,只要黑客拿到一个平台上的账号信息,在其他网站上进行尝试,就可以“撞”出更多目标网站上的用户密码。

当各种个人信息泄露的消息传出,用户以为自己损失的只是一些无关痛痒的平台上的登录信息时,却殊不知,更为重要的资金账户,也可能已经“裸奔”。

完成了这一过程后,数据用于获利的方式,就更多了。个人信息的价格,取决于其对黑产欺诈者的可用性。

在暗网上,根据数据的不同种类型及新鲜程度,各种手机运营商的账户、成熟的在线交易账户以及银行登录的账户,售价各不相同。

2018年11月4日,有黑客在暗网声称,拿下了汽车金融平台玖融网的所有权限以及30万条数据,这个数据包仅以1比特币的价格出售。

8月,华住酒店旗下酒店的共5亿条用户信息在暗网上出售,售价仅8比特币。按照当时的币价,折合人民币约37万元。

6月,疑似圆通的10亿条个人快递数据在暗网上兜售,已经经过了去重等数据处理,打包售价为1比特币,验货费用为验货费用0.01比特币。这也意味着,按照当时的币价,买下这10亿条信息只需人民币43197元,平均每条只有0.000043元。

根据中国裁判文书网上各类相关案件信息可见,这些倒卖信息的案犯,每条信息售价,贵的也不过几元钱。

2018年,天津的一起贩卖信息案件中,有38万条公民个人信息被出售,获利不过7200元。计算起来,每条信息,也不过几分钱。

但数据在到达最终“客户”之前,往往还要先经过各种中间环节。在“二道贩子”们的层层加码下,其价格也像滚雪球般,越滚越高。

中间商,赚差价

2011年成立的数据堂,曾经是一家很风光的大数据公司。它于2014年挂牌新三板,从此以“大数据第一股”而自居。

2018年7月,山东警方发布通告称,破获一起侵犯公民个人信息案,涉案公司中,数据堂赫然在列。

根据通告,数据堂在8个月内,日均传输公民个人信息1.3亿条,累计数据量压缩后达到4000GB左右,公民个人信息数百亿条。

这意味着,国内黑产数据已经进入了精细化运营的时代。如今,无论是互联网公司的营销需求、金融机构征信,还是各种电信与金融欺诈,对于数据尤其是精准的个人隐私数据,出现了巨大的需求。而这其中,不乏正规大数据厂商的参与。

从黑客攻击、撞库、爬虫等渠道汇聚来的庞大的公民信息,汇聚到这些“二道贩子”手中,被条陈缕析,按照不同的维度进行分离、去重、筛选、整理,也就是“洗库”之后,正式进入了销售流程。

打上标签、分类整理,用户在更多平台上的注册信息也被精准关联。这时的数据价格,不同于那些早期环节的“批发价”,开始水涨船高。

据业内人士向《今晚财讯》透露,普通的数据大概1万条可以卖上几百元,而经过处理的信息更详细的数据,售价可以涨上几十甚至上百倍。

这是一套已经达到数据“定制化”程度的流程。

电信诈骗犯,是此类数据最主要的买家之一。而金融类的账号,比如银行卡、网银、股票以及虚拟货币和游戏可变现账号等,可以直接变现或销售给金融欺诈者。带有用户详细的身份信息、电话、个人资产等相关信息的数据,则可以销售给投资和保险机构,或者网贷中介。普通的消费类数据,一般销售给不同的零售行业去做精准推销。包含个人名下资产、高端酒店开房记录、联系方式和职业等的数据,则是勒索诈骗者的偏爱。

这些数据按照不同的购买方的需求,不止一次地被售卖出去。而买方是谁,并不是二道贩子们关心的对象。

“只要有钱,它们可以被卖给任何人。”安鹏(化名)对《今晚财讯》说。他现在是一名正规网络工程师,但在“从良”之前,他也是流量灰产的一名参与者。

灰色产业滋生

各种渠道汇聚的数据,除了被销售之外,还会积累成为黑客们的结构化数据库,也就是“社工库”。

这些包罗万象、全面的社工库数据,为安鹏所从事的流量分发,以及手机黑卡、银行卡、虚假信息买卖的灰色产业,提供了数据基础。

“羊毛党”的存在早已人尽皆知,而安鹏们这样的“流量党”,也正成为灰产中不可忽视的一个圈子。

作为一名程序员,安鹏所做的是中游的脚本和软件开发。不同于那些“团队”作战者,他比较谨慎,一直是一个人行动。

在各种平台上进行虚假注册、认证业务,需要大量非正常使用的手机卡。从上游的大卡商和号商那里,安鹏可以购买到所需的大量注册用户信息。

据他透露,尽管“史上最严”的手机卡实名制措施曾经在一段时间让手机黑卡业务大受打击,但目前在大卡商那里,实名卡仍然占据着重要比例。而这些卡商,往往是通过在网上收集到大量的身份信息,从而在运营商那里批量认证拿到它们。

极验技术研究院负责人闫定国也向《今晚财讯》透露,在近两年,有大量来自东南亚的手机卡,开始流入国内手机黑卡市场。这些卡大多数来自于缅甸、越南、老挝等国家,支持GSM网络,国内可以直接使用、直接注册微信等应用,无需实名认证。另外,在工业、物流等领域由虚拟运营商提供的物联网卡,这些卡不需要实名认证,以企业名义办理即可。

此外,还有专门提供设备的猫池商存在。一个猫池设备,一般带有八个卡池接口;其中一个卡池是128口。这也意味着,一个设备一次可以控制上千张手机卡同时注册账号。

对于安鹏们而言,通过黑客盗取或撞库得来的“老号”,有着更大的价值。在社交平台上,“老号”资源意味着封杀率低,以及可持续获利。随着不同平台对抗黑产的风控策略不断升级,很多平台上的老账号也就成了圈内富有价值的资源。

据一家安全厂商透露,在某交友平台上的老号,一般黑市交易价格都已经在数十元左右。尤其是针对苹果风控体系的灰产,更加需要老号。

利用上中游开发的群控软件,各种变现方式也“不拘一格”地被开发出来。

微信上加好友伪装成美女讨要红包、发送刷屏广告、盗取账号;为内容平台上的公众号和微博刷流量;薅羊毛、骗取产业促销注册红包;甚至利用搞虚假账号进行网络赌博诈骗等等,各种各样,不一而足。

不少用户发现,自己在微博和微信等社交媒体平台上注册的账号,有一段时间,在自己没有登录的状态下,也会自动加粉,或者关注他人。在点开微博的点赞列表后,发现自己已经为不少账号,莫名其妙地点了赞。

在基础运营商的服务器上,也有正规的系统运维服务商,对之悄悄打起了主意。它们要做的,就是在业务中标后,在其服务器上植入恶意程序。极其轻松地,就可以清洗和采集用户的cookie、访问记录等数据。

2018年7月,根据警方通报,大数据营销公司睿智华胜利用非法窃取的用户信息,进行互联网营销变现,与全国11个省市的运营商签署过合作协议,其非法获取的数据涉及腾讯、百度、阿里、新浪、今日头条等96家互联网公司的产品。

我们无处藏身

王静在自己四线城市的老家,见到很多社区或超市里,有推销人员在发放鸡蛋、食油等商品,“只要登记下手机号码,表示是自愿领取就可以了”。

有些禁不住免费商品诱惑的路人,在领取时故意用模糊掉的手机号码登记,认为这样就万无一失了。

然后,他们不知道的是,为了应对不同的应用平台上的“刷脸”以及活体检测,一项新生的“过脸产业”已经出现。很大程度上,王静们可能已经成为其中的利用对象。

“用户在登记时,他们的照片和动态视频,就已经被隐藏的摄像设备收集完毕。”闫定国说。

为了获得这些,付出的成本不过是几个鸡蛋而已。

为了防止黑产批量对账户密码进行测试,不同的应用平台都动足了脑筋。无论是撞库还是注册账号,都要面临的平台最常用的防范手段之一,就是“验证码”。

而产业链中另一个主要环节应运而生,那就是打码平台。在12306等应用平台上,用户要多次才能识别出的图片验证码,这收到了大量吐槽。

但实际上,依靠廉价的劳动力,黑产商正在解决图像识别的问题。人工的打码工人,通过不断登录,获取验证码图片,并对之进行标注。在几天内,全部的验证码图片即可被标注完毕,被注册软件识别。

认证时需要的身份证照片,也可通过各种方式被大量收集。

随着人脸识别技术的日渐成熟,“刷脸”以及活体检测,正在成为金融、电信等互联网领域注册登录的主要验证方式。而与之相对应的是,黑灰产的AI能力也在不断提高。

“在这个圈子里,互相‘交流’攻防经验、提高技术水平,也是件常事。”安鹏说。

几位安全行业人士都向《今晚财讯》透露,利用PS等工具,可以制作出一张带背景的人脸图,再通过动态视频软件,完成简单的眨眼等动作的视频即可生成。

对于这些反人脸动态识别工具,《今晚财讯》发现,它们在普通的电商网站上即可检索得到,价格一般不超过百元。

但令人无奈的是,面对这一局势,多数人却束手无策。

在2017年,《网络安全法》公布。司法解释明确规定了入罪的10种情形,包括包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;非法获取、出售或提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的等。

不过,腾讯在2018年发布的《互联网账号恶意注册黑色产业治理报告》中指出,恶意注册账号,正成为金融、电商、生活服务、社交、内容等场景中,互联网公司们安全风控的重点。然而,对于恶意注册这种行为,现行的法律还没有直接的规定。

因此,大量黑产人员,游走在这个灰色地带,规避了刑事责任。

而对于大多数不懂如何防范的网络用户来说,在如今的互联网上,在黑产阴影之下,已经无处藏身。