網絡黑產的大數據陰謀

在大數據時代，很多互聯網從業人員都高呼“得數據者得天下”，對于日益猖獗的網絡黑色產業鏈而言，此話同樣適用。

2014年12月25日，中國鐵路購票網12306網站遭遇“撞庫”攻擊，超過13萬條用戶隱私數據在互聯網上瘋傳，用戶賬號、密碼等數據被大范圍流傳、買賣；

130萬條考研學生的詳細個人信息，在一些黑產群里公開叫賣，只需15000元就可得手；

花費500元就可查詢單個城市的開房記錄；花費800元就可以查詢全國的開房記錄；輸入姓名和身份證號，可以查詢當事人最近3年的開房記錄……

隨著互聯網不斷深度介入人們的生活，網絡上也在源源不斷積累起大量數據，這些數據就像散落在互聯網生態中的粒粒珍珠，閃耀著光芒，誘惑著網絡黑產分子瞪大貪婪的雙眼，伺機而動……

“拖庫”成慣招

對于很多普通人而言，黑客是一個極為隱秘的群體，接觸不多，而當網絡上用戶數據泄露事件不斷被曝出時，人們不得不感嘆這個群體能量的強大。

一般來說，黑客處在網絡黑色產業鏈的上游，其會入侵有價值的網站，盜走用戶數據庫，這一過程在地下產業術語中被稱為“拖庫”，在過去一兩年間，國內被爆拖庫的公司不在少數，貓撲、天涯、人人網等都榜上有名。

2013年下半年以來，酒店行業的用戶數據頻頻被泄露，當時媒體稱超過2000萬條酒店開放數據在網上惡性蔓延，這無疑給社會投下了一枚深水炸彈。

時至今日，法治周末記者仍能在網上查到“2000W條開房信息免費任你查”的網帖，輸入常見的人名，即可顯示大量同名人的詳細個人信息：如姓名、性別、年齡、出生年月、身份證號、電話號碼等。開房時間從2010年年初到2012年年底。

2014年5月，小米官方論壇也被曝拖庫，約800萬用戶的數據被泄露，用戶信息包括用戶賬號密碼、郵箱和相關IP地址等。

互聯網深度數據分析公司TOMslnsight在其最新的分析報告《互聯網黑市分析：社工庫的傳說》中指出，全國流量排名前100的網站中，有近八成的用戶數據庫已被黑客盜取，變相為網絡黑色產業鏈提供大數據來源。

被媒體稱為“黑客教父”的萬濤對TOMslnsight的報告表示認可，他對法治周末記者表示：“目前媒體報道出來的數據泄露事件僅是冰山一角。”

國內漏洞報告平臺——烏云創始人鄔迪對法治周末記者表示，隨著互聯網對人們生活的深度介入，用戶會在互聯網上留下大量的數據，這也讓黑產鏈條上的黑客們有了更強的經濟驅動力。

對于黑客而言，積累有大量用戶數據的電商交易平臺、訂票類網站、招聘求職類網站等都是上好的“獵物”。鄔迪介紹，目前烏云平臺上披露了很多航空公司、招聘類網站的系統漏洞，其實等白帽子報告漏洞時，發現這些網站的“門早已被打開過”。

“世界上沒有完美的網絡，任何一個網絡都會存在或大或小、或嚴重或輕微的漏洞，烏云平臺每天都會接到多個有關漏洞的報告，只是對于白帽子而言，發現網站的漏洞，報告給廠商就意味著工作的結束；而對于黑色產業鏈上的黑客而言，行程才剛剛開始，他們的目的是拿到數據，進而轉化成金錢。”鄔迪對記者說。

對黑產鏈條上的人而言，每一次成功的拖庫，都是一次肆意攫取數據的盛宴。拖庫成功后，還會從事“洗庫”的工作，即通過一系列技術手段清洗數據，提煉出有價值的用戶數據將其變現。

“撞庫”做大數據庫

對黑產鏈條上的人而言，通過拖庫、洗庫得到數據并不意味著此番劫掠的結束，還會有黑產鏈條上的人將得到的數據在其他網站上進行嘗試登錄，業內稱其為“撞庫”。

2014年12月25日，中國鐵路購票網12306網站被曝出泄露用戶數據，其時超過13萬條用戶隱私數據在互聯網上瘋傳，用戶賬號、密碼、身份證號、注冊郵箱等數據被大范圍流傳、買賣。

事后經國內安全企業推斷，此次數據泄露，并非黑客攻擊12306所為，乃是撞庫成功所致。

萬濤對法治周末記者解釋，撞庫就是黑客用其他渠道泄露的用戶名和密碼嘗試登錄12306，結果登錄成功。登錄成功后，就可以獲得用戶在12306訂票時所需的身份證號等個人信息。

由于很多用戶為了方便記憶，會在不同網站使用相同的用戶名和密碼，這就大大增加了黑客撞庫成功的概率。

“在12306網站上撞庫成功后，黑客也會嘗試去撞其他的庫，比如去登錄淘寶、京東這樣的電商網站，如果同樣撞庫成功的話，黑客又會多了用戶個人支付賬號、消費記錄等數據。”萬濤表示，撞庫可反復操作，而每一次撞庫成功，都會獲得用戶更多維度的數據。

而黑客每次撞庫并非像普通用戶想象的拿一組用戶名和密碼手工操作。TOMslnsight公司的報告顯示，黑客可以使用自己開發的工具、直接數據庫匹配登錄技術以及配合黑色產業鏈中的打碼機制(利用人工智能大量輸入驗證碼)對很多網站進行批量撞庫。

作為雷霆行動的負責人，騰訊安全管理部總經理朱勁松對此深有體會。他對法治周末記者表示，通過警方破獲的一些案件來看，一些黑產人員會把通過不同渠道得到的數據庫整合成一個龐大的社工庫，大量網絡用戶的隱私信息、上網的行為和個人金融財產安全相關的數據都會被黑產分子重新進行整合。

“這其實做的就是大數據。”朱勁松說。

以2014年廣東省破獲的“海燕3號”專案為例，據《南方都市報》報道，當時年僅17歲的黑客通過自編軟件攻擊招聘類網站，因該招聘網站只需輸入郵箱號和密碼就可登錄，為此獲取了數百萬條公民的個人信息，并將這些信息與其他途徑獲取的大數據自行整理成數據庫，通過使用一套數據整理軟件，自動匹配成完整的銀行卡用戶的核心信息。

截至案發，警方統計得出，該黑客所建數據庫中包括各類公民信息、銀行卡信息達800萬條，其中包含身份證號、登錄密碼、手機號碼和銀行卡賬號信息齊全的共有19萬條，可用于直接盜刷，對應的銀行賬號金額達14.98億元。

朱勁松還透露，目前整個黑產圈里已經有人開始利用大量的社工庫數據所成立的查詢平臺，一個黑產人員只要花十幾元錢，就可以通過這種平臺去查詢到一個用戶的姓名、手機號碼、身份證號碼和銀行卡號核心四要素。

隨著拖庫、撞庫的網站不斷增加，用于詐騙分子詐騙的社工庫也日益完善，對于用戶的潛在威脅也越來越大。

“有了這些多維度的海量信息，也會讓網絡詐騙變得更有針對性和迷惑性。”朱勁松說。

1個上游端供養10個犯罪團伙

黑客的拖庫、撞庫舉動只是整個黑產鏈條的一個環節。“生活中很多精準式詐騙的場景背后，都是有一整套的網絡黑色產業鏈的團伙在相互協作，形成對用戶進行各類侵害的利益鏈條。”朱勁松說。

朱勁松對這一鏈條進行了梳理：在整個產業鏈的上端是技術含量最高、也是最為隱蔽的群體，他們以職業黑客為主，通過挖掘漏洞、編寫木馬來實施入侵；

產業鏈的中間環節，則是一個更為龐大的進行欺詐的犯罪團伙，他們通常具備比較高的情商，能夠熟練地應用社會工程學(它集合了心理學、社會心理學、組織行為學等一系列的學科，可利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行攻擊)的理論和知識來對用戶實施具體的欺詐行為；

在整個產業鏈的下游，是支撐整個黑色產業鏈各種周邊的組織。如取錢、洗錢團伙、收卡團伙、販賣身份證團伙等。

近日，騰訊發布的《網絡黑色產業鏈年度報告》揭示，平均一個上游端就可長期供養10個以上網絡黑產犯罪團伙。

以遼寧網安部門破獲的一起非法入侵韓國網站盜取韓國網民銀行存款的特大團伙為例，其中就有黑帽開發制作木馬、包馬人進行代理木馬，然后入侵韓國網站掛馬，在韓國網民瀏覽網站時竊取網銀賬戶密碼；

在網銀賬號和密碼得手后，網絡盜竊黑產團伙便會入侵受害人網銀；隨后洗錢團伙跟進，將受害人存款轉移至韓國銀行卡，最后再由下游的取錢團伙，通過ATM機、游戲點卡、充值卡等提現。

僅半年時間，由34人組成的犯罪團伙就先后對110余家韓國網站實施入侵，盜竊韓國網民銀行賬號密碼4000余組，涉案金額折合人民幣1000余萬元。

“在產業鏈的不同環節中，不同的團伙既獨立作案，又能夠在一定程度上形成相互協作的關系，就好像一群強盜在分食一條大魚，有的團伙吃魚頭、有的團伙吃魚身、有的團伙吃魚尾，剩下的團伙喝魚湯。”朱勁松如是形容黑產鏈條的運作。

個人信息界定還需明晰

騰訊發布的《網絡黑色產業鏈年度報告》顯示，隨著大量網站數據庫被盜取，越來越多的網絡犯罪分子傾向于在掌握網民個人信息后，以冒充熟人或博取同情等精準式詐騙場景對受害人進行欺詐。

那緣何目前買賣個人信息呈泛濫之勢卻似乎難以規制呢？中國互聯網協會信用評價中心法律顧問趙占領對法治周末記者表示，“這與目前我國法律對于個人信息的界定還不清晰有關”。

趙占領對法治周末記者表示，盡管我國刑法明確規定，竊取或者以其他方法非法獲取公民個人信息，情節嚴重的，將被追究刑事責任，“但是對于什么是個人信息，目前規定的還比較籠統”。

2012年12月，全國人大常委會頒布了《關于加強網絡信息保護的決定》，隨后工信部也出臺了《電信和互聯網用戶個人信息保護規定》，采用了列舉加概括的方式指出，個人信息包括用戶姓名、身份證號等能夠單獨或者與其他信息結合識別用戶的信息。

趙占領表示，現實中黑客往往會通過拖庫的方式會獲得用戶的一些數據，比如cookie，是用戶在網絡上的行為軌跡，但這些數據是不是個人信息法律上暫時還沒有明確的規定，但是經過整合加工，則往往具備了識別到個人的特點。

“個人信息、個人數據、個人隱私這三者其實是不同的概念，但是法律目前未對此作出界定和厘清，這使得黑產分子在獲取數據后，很難以竊取或者以其他方式獲得公民個人信息罪論處的重要原因。”趙占領說。

朱勁松對此也是深有感觸，他以微信號為例，很多用戶都是通過手機號作為微信號的，而通過實名登記的手機號都是直接對應到個人的，那么此時微信號屬不屬于個人信息？

明確網絡服務提供者責任

西安交通大學信息安全法律研究中心主任馬民虎對法治周末記者表示，其實對于網絡黑產上的每一個環節、每一種行為基本都能在現有法律框架下找到對應的法律進行規制。

比如法律明確規定，侵入國家事務、國防建設以外的計算機信息系統，獲取系統存儲、處理或者傳輸的數據，情節嚴重的將追究刑事責任。

不過，馬民虎認為，“盡管法律規定了嚴格的懲罰責任，但是缺少如何防范的法律規定，如果不在如何防治上落實法制，只有責任規定就形同虛設”。

馬民虎舉例道，很多網絡服務提供者在提供服務的時候不可避免地要收集用戶信息，但是到底互聯網平臺要采取什么樣的措施，履行什么樣的義務，法律并沒有明確規定，只是一些互聯網公司在做著這方面的嘗試，但個別企業的做法并沒有形成行業規范，或者是形成標準。

以12306用戶數據泄露為例，據媒體披露，在泄密發生后一段時間內，依照泄露出來的用戶名和密碼仍舊可以登錄，用戶并沒有收到任何提醒。

“對于網絡服務提供者注意義務盡到什么程度，這個界限在哪里目前還有很大的爭議，畢竟任何技術都不是絕對安全的，并不是所有的用戶信息泄露都是網絡服務提供者存在過錯，再比如在出現數據泄露多久后要告知用戶等，目前法律并無明確規定。”趙占領對法治周末記者說。

記者在采訪中了解到，針對這種情形，我國正在制定相應的管理標準(尚未正式頒布)，擬對網絡服務提供者出現信息泄露后應承擔的義務作出明確規定。

一位不愿透露姓名的業內人士對記者表示，這些義務包括：立即采取補救措施，防止信息繼續泄露；24小時內告知用戶，根據用戶初始注冊信息重新激活賬戶，避免造成更大的損失；24小時內報告公安機關。

“這樣細致的規定有助于明確企業的責任，第一時間通知用戶的規定，也有助于降低信息泄露的安全隱患。”趙占領對法治周末記者說。

針對一些網絡服務提供者不履行網絡安全管理義務，造成嚴重后果的情況，我國也計劃通過立法增加其刑事責任。

公安部第三研究所研究員黃道麗對法治周末記者介紹，2014年刑法修正案(九)草案就規定，“網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門通知采取改正措施而拒絕執行，致使違法信息大量傳播的，致使用戶信息泄漏，造成嚴重后果的，或者致使刑事犯罪證據滅失，嚴重妨害司法機關依法追究犯罪的，追究刑事責任”。

“雖然此罪為結果犯，但從刑法角度強化了服務提供者的安全管理責任，不僅反映了我國立法中強化安全的新趨勢和動向，也將適用于漏洞攻擊導致用戶信息泄露而服務提供者不作為的情況。”黃道麗對法治周末記者說。