互聯(lián)網(wǎng)數(shù)據(jù)泄露背后的黑色產(chǎn)業(yè)鏈及發(fā)展趨勢(shì)分析

侯林

摘要：以計(jì)算機(jī)網(wǎng)絡(luò)為工具，利用網(wǎng)絡(luò)安全漏洞，竊取用戶數(shù)據(jù)的犯罪組織，已經(jīng)發(fā)展成為一個(gè)有組織、分工明確的黑色產(chǎn)業(yè)鏈。技術(shù)含量最高、最為隱蔽的職業(yè)黑客居于產(chǎn)業(yè)鏈的上流，運(yùn)用社會(huì)工程學(xué)理論進(jìn)行數(shù)據(jù)分銷的中介和實(shí)施詐騙的犯罪團(tuán)伙居于中游，取錢、洗錢、收卡、販賣身份證等產(chǎn)業(yè)鏈周邊組織居于下游。文章通過(guò)剖析黑產(chǎn)組織的結(jié)構(gòu)體系和伴生關(guān)系，推斷犯罪主體、交易模式和侵害目標(biāo)的變化趨勢(shì)。

關(guān)鍵詞：數(shù)據(jù)泄露；網(wǎng)絡(luò)犯罪；黑色產(chǎn)業(yè)鏈；社會(huì)工程學(xué)

在“互聯(lián)網(wǎng)+”的時(shí)代，政府機(jī)關(guān)、電商、網(wǎng)上銀行、保險(xiǎn)公司、教育考試機(jī)構(gòu)、旅館等機(jī)構(gòu)將公民的身份信息、金融信息、社會(huì)關(guān)系信息存儲(chǔ)在服務(wù)器或云端，使人們足不出戶即可享受購(gòu)物、訂票、轉(zhuǎn)賬等服務(wù)，人們的生活從未像今天這樣便捷。但互聯(lián)網(wǎng)背后隱藏著一個(gè)黑色產(chǎn)業(yè)鏈，它利用網(wǎng)絡(luò)漏洞，竊取服務(wù)器上用戶數(shù)據(jù)資料，在黑產(chǎn)群里公開(kāi)叫賣。據(jù)最新的安全報(bào)告估測(cè)，到2019年，由于數(shù)據(jù)泄露給全球網(wǎng)絡(luò)用戶造成的損失可能達(dá)到2.1萬(wàn)億，相比2015年增長(zhǎng)近4侮無(wú)論是總量還是增長(zhǎng)速度都將是一個(gè)非?？膳碌牧考?jí)。

1 近年來(lái)數(shù)據(jù)安全泄露事件與數(shù)據(jù)泄露基本模式介紹

1.1 近年來(lái)出現(xiàn)的重大數(shù)據(jù)安全泄露事件

2013年10月，一批賓館酒店的旅客住宿信息在網(wǎng)上泄露，網(wǎng)民可以從網(wǎng)絡(luò)論壇中下載一個(gè)名稱為“2000w開(kāi)房數(shù)據(jù)”的文件，其中包含2000萬(wàn)條旅客開(kāi)房住宿的數(shù)據(jù)，可以精確查到登記開(kāi)房的時(shí)間、房號(hào)、旅客姓名、性別、戶籍地址、身份證號(hào)、電話號(hào)碼等個(gè)人隱私信息。據(jù)安全監(jiān)測(cè)平臺(tái)披露，事件的起因可能是與這些酒店有合作關(guān)系的浙江慧達(dá)驛站公司網(wǎng)站上有安全漏洞，服務(wù)器被黑客攻擊導(dǎo)致信息泄露。

2014年12月，鐵道部提供火車票網(wǎng)上訂票服務(wù)的12306網(wǎng)站爆發(fā)了用戶數(shù)據(jù)信息泄漏風(fēng)波。據(jù)稱，當(dāng)時(shí)12306用戶數(shù)據(jù)被大量泄露，甚至在互聯(lián)網(wǎng)上出現(xiàn)公共傳播售賣的情況，所泄露的包括了賬號(hào)、明文密碼、信用卡信息、購(gòu)買記錄、郵箱等個(gè)人信息，涉及用戶數(shù)超過(guò)13萬(wàn)條。

2015年8月，湖北武漢警方破獲一起高考考生信息泄露案件，武漢警方在此案中抓捕了2名主要嫌疑人，在其住處清查出約5公斤重的紙質(zhì)高考考生信息，包括考生姓名、考試分?jǐn)?shù)、學(xué)校、詳細(xì)家庭地址和聯(lián)系電話等重要內(nèi)容，涉及四川、湖北、貴州、河南、重慶、甘肅、陜西等13個(gè)省區(qū)市的10多萬(wàn)名考生。不法分子以平均0.1元每條的價(jià)格購(gòu)買信息后，雇人充當(dāng)話務(wù)員與這些考生聯(lián)系，進(jìn)行招生詐騙。

2014年8月12日，有1400萬(wàn)條個(gè)人信息在網(wǎng)絡(luò)上被層層轉(zhuǎn)賣。警方調(diào)查發(fā)現(xiàn)，信息包含：快遞編碼、收貨和發(fā)貨雙方的姓名、電話號(hào)碼、住址等個(gè)人隱私信息。據(jù)犯罪嫌疑人供述，其用黑客工具檢測(cè)到快遞公司網(wǎng)站存在安全漏洞時(shí)，即非法侵入網(wǎng)站數(shù)據(jù)庫(kù)，下載用戶個(gè)人信息，在被警方破獲時(shí)，嫌疑人電腦中總計(jì)有1400萬(wàn)條個(gè)人信息。

2015年8月，中國(guó)最大的網(wǎng)上票務(wù)營(yíng)銷平臺(tái)大麥網(wǎng)再次被發(fā)現(xiàn)存在安全漏洞，600余萬(wàn)用戶賬戶密碼遭到泄露，在互聯(lián)網(wǎng)社區(qū)上被公開(kāi)售賣。

近年來(lái)的信息泄露事件涉及政府政務(wù)信息公開(kāi)平臺(tái)、教育考試機(jī)構(gòu)、醫(yī)療掛號(hào)平臺(tái)、電子商務(wù)、快遞、票務(wù)、論壇社區(qū)等各類網(wǎng)站，它的背后隱藏著一個(gè)功能強(qiáng)大、組織嚴(yán)密的利益鏈條，可以將個(gè)人隱私轉(zhuǎn)化為犯罪分子詐騙或不良商家牟利的工具。

1.2 數(shù)據(jù)泄露的基本模式

總的來(lái)講，數(shù)據(jù)泄露事件可以分為9種模式：入侵POS、盜刷支付卡、利用Web應(yīng)用開(kāi)展攻擊、惡意軟件、網(wǎng)絡(luò)間諜、拒絕服務(wù)攻擊、內(nèi)部盜竊、物理性損失、其他錯(cuò)誤。

入侵POS指的就是對(duì)正在運(yùn)行POS程序的主機(jī)或者是服務(wù)器進(jìn)行攻擊，并從中獲得相關(guān)交易信息。盜刷支付卡，通過(guò)在ATM，POS等刷卡設(shè)備上加裝裝置，從而截獲支付卡數(shù)據(jù)。這2種泄露方式多發(fā)生在銀行、零售業(yè)、酒店、醫(yī)院等擁有大量POS設(shè)備的行業(yè)。

Web應(yīng)用攻擊、惡意軟件、網(wǎng)絡(luò)間諜、拒絕服務(wù)攻擊等行為均是指攻擊者利用技術(shù)手段，如木馬、病毒、竊聽(tīng)、滲透、Rootkit等，向計(jì)算機(jī)系統(tǒng)的漏洞發(fā)起攻擊，破解系統(tǒng)保護(hù)后，從計(jì)算機(jī)系統(tǒng)內(nèi)部竊取重要數(shù)據(jù)。

內(nèi)部失竊和物理性損失多是由于管理方的疏漏，造成數(shù)據(jù)存儲(chǔ)介質(zhì)的損壞、丟失或失竊，在一些公共事業(yè)性機(jī)構(gòu)容易發(fā)生此類數(shù)據(jù)泄露事件。

2 黑色產(chǎn)業(yè)鏈分析

所謂網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈，是指以計(jì)算機(jī)網(wǎng)絡(luò)為工具，運(yùn)用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)實(shí)施的以盈利為目的，有組織、分工明確的團(tuán)伙式犯罪行為。它可被細(xì)分為以職業(yè)黑客為主的產(chǎn)業(yè)鏈的上游，以職業(yè)中介為主的中游，由取錢、洗錢、收卡、販賣身份證等團(tuán)伙組成的下游。而這個(gè)產(chǎn)業(yè)鏈又是圍繞“社會(huì)工程學(xué)數(shù)據(jù)庫(kù)（社工庫(kù)）”運(yùn)作的。

2.1 黑色產(chǎn)業(yè)鏈的基礎(chǔ)：社會(huì)工程學(xué)與社會(huì)工程學(xué)數(shù)據(jù)庫(kù)

簡(jiǎn)單來(lái)講，社會(huì)工程學(xué)就是藝術(shù)與竅門的集合體。社會(huì)工程學(xué)利用的是人性上存在的弱點(diǎn)與心理上存在的缺陷，通過(guò)順從意愿、滿足欲望的方式讓人們上當(dāng)，或者是將這些作為攻擊的入口。社會(huì)工程學(xué)的竅門也蘊(yùn)涵了各式各樣靈活的構(gòu)思與變化因素，利用人的弱點(diǎn)如人的本能反應(yīng)、好奇心、信任、貪便宜等進(jìn)行攻擊。它集合了心理學(xué)、社會(huì)心理學(xué)、組織行為學(xué)等一系列的學(xué)科，由于其非法性在很多國(guó)家地區(qū)都被嚴(yán)厲地打擊，社會(huì)工程學(xué)也變成了一個(gè)見(jiàn)不得光的學(xué)派。

社會(huì)工程學(xué)數(shù)據(jù)庫(kù)，即黑客在運(yùn)用社會(huì)工程學(xué)進(jìn)行攻擊的時(shí)候，積累的各方面數(shù)據(jù)的結(jié)構(gòu)化數(shù)據(jù)庫(kù)。社工庫(kù)是一個(gè)記錄黑客攻擊手段和攻擊方法的數(shù)據(jù)庫(kù)，這個(gè)數(shù)據(jù)庫(kù)里的信息包羅萬(wàn)象，如網(wǎng)民在各類網(wǎng)站上的登錄賬號(hào)、登錄密碼、分享的照片、社交軟件的聊天記錄、信用卡刷卡記錄、機(jī)票車票訂購(gòu)記錄、通話記錄、短信微信內(nèi)容等?；ヂ?lián)網(wǎng)上存在著大量此類可以查詢社工庫(kù)、買賣數(shù)據(jù)、交流犯罪方法的論壇和網(wǎng)站。

2.2 黑色產(chǎn)業(yè)鏈上游：數(shù)據(jù)盜取

黑色產(chǎn)業(yè)鏈上游是以技術(shù)含量最高、最為隱蔽的職業(yè)黑客為主，他們通過(guò)攻擊系統(tǒng)安全漏洞，編寫木馬實(shí)施入侵，獲取數(shù)據(jù)，這一過(guò)程可分為3個(gè)階段：拖庫(kù)、洗庫(kù)和撞庫(kù)。

拖庫(kù)也被稱為“脫庫(kù)”，是黑色產(chǎn)業(yè)的一個(gè)術(shù)語(yǔ)，黑客利用漏洞入侵有價(jià)值的網(wǎng)站，盜走目標(biāo)數(shù)據(jù)庫(kù)。2014年5月，小米官方論壇800萬(wàn)用戶的賬戶信息被拖庫(kù)。拖庫(kù)成功后，黑客接著會(huì)進(jìn)行洗庫(kù)工作，即利用技術(shù)手段清洗、篩選數(shù)據(jù)資料，提煉出有價(jià)值的用戶數(shù)據(jù)，以便將來(lái)用于變現(xiàn)。通過(guò)拖庫(kù)、洗庫(kù)得到用戶數(shù)據(jù)資料后，一些黑客拿著這些用戶數(shù)據(jù)在其他網(wǎng)站嘗試登錄，稱為撞庫(kù)。因?yàn)椴簧偃肆?xí)慣于在不同的網(wǎng)站使用相同或相似的用戶賬號(hào)和密碼進(jìn)行注冊(cè)，這就為用“撞庫(kù)”的方式獲得更多的數(shù)據(jù)提供了可能。2014年12月，中國(guó)鐵路購(gòu)票網(wǎng)12306網(wǎng)站曾遭遇黑客撞庫(kù)攻擊，超過(guò)13萬(wàn)條客戶數(shù)據(jù)在互聯(lián)網(wǎng)上被瘋狂傳播。一旦撞庫(kù)成功，黑客們可能會(huì)接著撞擊京東、攜程、蘇寧等網(wǎng)站，最終黑客們拿到更多的個(gè)人支付賬號(hào)、消費(fèi)記錄等數(shù)據(jù)。

2.3 黑色產(chǎn)業(yè)鏈中游：數(shù)據(jù)分銷與實(shí)施詐騙

黑產(chǎn)鏈條的中游有一個(gè)龐大的中介組織，專門為上游黑客從事分銷，尋找目標(biāo)買家或幫買家尋找黑客。還有一種犯罪團(tuán)伙，他們利用購(gòu)買到的網(wǎng)絡(luò)犯罪產(chǎn)品，結(jié)合社會(huì)工程學(xué)的理論和知識(shí)對(duì)用戶實(shí)施盜竊、詐騙、敲詐勒索。

社工庫(kù)論壇是一個(gè)交流平臺(tái)，盜取的賬號(hào)和密碼信息，在此被公開(kāi)兜售。在一些社工庫(kù)論壇上，只要輸入“數(shù)據(jù)買賣”“數(shù)據(jù)交易”等關(guān)鍵字，就會(huì)檢索到大量的專門從事數(shù)據(jù)交易的QQ群，一般以“數(shù)據(jù)交易群”“淘寶數(shù)據(jù)交易”來(lái)命名，每條數(shù)據(jù)的價(jià)格從幾毛錢到幾十元不等。

中介組織對(duì)用戶數(shù)據(jù)采用多種方式解析，再層層轉(zhuǎn)賣，以求數(shù)據(jù)價(jià)值的最大化。如：首先，提取虛擬裝備和虛擬貨幣類信息，提取網(wǎng)游、支付寶和QQ的賬號(hào)。第二步，提取整理身份類信息，轉(zhuǎn)賣給一些隱私交易機(jī)構(gòu)。第三步，提取通訊號(hào)碼，賣給轉(zhuǎn)發(fā)垃圾短信的組織。最終，普通網(wǎng)民見(jiàn)到時(shí)，基本已經(jīng)算是“公開(kāi)”信息，這樣的數(shù)據(jù)，只要用幾個(gè)金幣（1金幣等值于1元錢）的價(jià)錢就可以購(gòu)買到大量數(shù)據(jù)，甚至可以免費(fèi)下載。

2.4 黑色產(chǎn)業(yè)鏈下游：各種周邊的組織

產(chǎn)業(yè)鏈的下游是服務(wù)于整個(gè)黑色產(chǎn)業(yè)鏈的各種周邊組織，比如販賣身份證、收卡、取錢、洗錢等犯罪團(tuán)伙。這些犯罪環(huán)節(jié)目前分工也已經(jīng)相當(dāng)精細(xì)，由不同的團(tuán)伙組織完成特定的環(huán)節(jié)。

就搜集身份信息來(lái)說(shuō)，辦卡公司有著“專業(yè)”的方式。如，某家公司的老板每隔兩三個(gè)月，便前往商場(chǎng)、車站等人流密集地區(qū)，向服務(wù)員、環(huán)衛(wèi)工人收購(gòu)他人遺失的身份證，每張大概40元或50元，然后再以每張100元以上的價(jià)格出售?；蛘呖ㄘ溩拥睫r(nóng)民工聚集的地方，借用他們的身份證到銀行開(kāi)戶辦卡，農(nóng)民工們風(fēng)險(xiǎn)意識(shí)不強(qiáng)，為了掙幾十塊錢倒也愿意。

取錢環(huán)節(jié)，通常是詐騙組織與職業(yè)取款團(tuán)伙約定合作方式，職業(yè)取款團(tuán)伙出面將銀行卡中的贓款取出，匯總后交給詐騙組織，收取一定比例的報(bào)酬。比如，福建一詐騙組織頭目高某得手后，通常將贓款分批打給方某等掌握的200多張銀行卡中，方某派人取出，數(shù)額較小時(shí)，轉(zhuǎn)賬給詐騙組織；數(shù)額較大時(shí)，雙方直接見(jiàn)面，給付現(xiàn)金。交易完成后，取款團(tuán)伙通常收取所取款項(xiàng)的5%作為酬金，某些情況下，可能達(dá)到8%～10%。

3 黑色產(chǎn)業(yè)鏈“繁榮”的原因

黑色產(chǎn)業(yè)的形成，在于公民個(gè)人信息有強(qiáng)大的市場(chǎng)需求，購(gòu)買的原因和購(gòu)買者的身份也各有不同，有看似正規(guī)的商業(yè)機(jī)構(gòu)，也有隱藏于地下的專業(yè)犯罪組織。（1）商業(yè)機(jī)構(gòu)是這個(gè)市場(chǎng)的強(qiáng)大需求方，它們?yōu)榱双@取潛在的客戶資料、了解競(jìng)爭(zhēng)對(duì)手的核心數(shù)據(jù)，從黑市購(gòu)買數(shù)據(jù)。交通、醫(yī)療、教育、金融服務(wù)、酒店業(yè)、快遞業(yè)等公共服務(wù)行業(yè)機(jī)構(gòu)都掌握了大量的用戶信息，使之成為上下游產(chǎn)業(yè)及類似機(jī)構(gòu)覬覦的目標(biāo)。這樣的案例不勝枚舉，比如，就新生嬰兒信息泄露事件來(lái)說(shuō)，是由于許多嬰兒奶粉經(jīng)銷商、母嬰保健機(jī)構(gòu)、早教機(jī)構(gòu)、兒童玩具經(jīng)銷商暗中不斷購(gòu)買此類信息。（2）電信詐騙作案人對(duì)數(shù)據(jù)的需求。早期的電信詐騙的侵害對(duì)象是非特定的，犯罪分子向某一個(gè)號(hào)段或者某一個(gè)地區(qū)撥打電話或者群發(fā)詐騙短信。但隨著安全宣傳加大，公民的防范意識(shí)增強(qiáng)，單純的這個(gè)手法上當(dāng)?shù)娜松倭?。于是，犯罪分子通過(guò)黑市購(gòu)買到用戶數(shù)據(jù)，對(duì)公民的身份、親屬關(guān)系、職業(yè)、近期活動(dòng)分析后，再冒充上級(jí)、好友、電商實(shí)施精確詐騙，以提高犯罪成功率。（3）網(wǎng)絡(luò)游戲是網(wǎng)絡(luò)盜竊犯罪的高發(fā)地。虛擬的裝備和金錢逐漸具備了現(xiàn)實(shí)的價(jià)值，竊取網(wǎng)游裝備和游戲幣，也有著龐大的潛在需求。比如，張某發(fā)等人通過(guò)在網(wǎng)上購(gòu)買具有鍵盤記錄功能和遠(yuǎn)程控制功能的木馬病毒，以熱門游戲“某某世界”玩家為目標(biāo)，通過(guò)語(yǔ)音通訊工具，發(fā)送虛假鏈接，傳播木馬病毒，獲取賬號(hào)及密碼，進(jìn)而盜竊游戲裝備及游戲幣（元寶），然后銷贓，僅僅1年多時(shí)間里，作案近千起，非法獲利數(shù)十萬(wàn)元。

4 黑色產(chǎn)業(yè)鏈的變化趨勢(shì)

4.1 黑客攻擊犯罪呈現(xiàn)“平民化”趨勢(shì)

在巨大經(jīng)濟(jì)利益的誘導(dǎo)下，一些資深黑客通過(guò)網(wǎng)站、QQ群、論壇創(chuàng)辦黑客學(xué)校，傳播攻擊工具編程、木馬免殺、黑客攻防技術(shù)?；ヂ?lián)網(wǎng)黑市上還出現(xiàn)了專業(yè)制作販賣木馬的“造槍人”，他們可根據(jù)網(wǎng)絡(luò)入侵的需要編寫各種代碼，將木馬病毒作為一種商品銷售給黑市上需要的“買槍人。黑客學(xué)校和“造槍人”產(chǎn)業(yè)的蓬勃發(fā)展降低了網(wǎng)絡(luò)入侵的門檻，使網(wǎng)絡(luò)入侵呈現(xiàn)“平民化”趨勢(shì)，一個(gè)剛?cè)胄械闹袑W(xué)生經(jīng)過(guò)短期的培訓(xùn)就可能有能力侵入一個(gè)普通網(wǎng)站。

4.2 數(shù)據(jù)竊取過(guò)程正從交易化模式向定制化模式轉(zhuǎn)變

在早期的互聯(lián)網(wǎng)數(shù)據(jù)竊取過(guò)程中，拖庫(kù)、洗庫(kù)、撞庫(kù)3個(gè)階段通常由一個(gè)團(tuán)隊(duì)單獨(dú)完成，而發(fā)展到今天，黑色產(chǎn)業(yè)鏈上各個(gè)組織更講究分工協(xié)作，很少有人拖庫(kù)、洗庫(kù)、撞庫(kù)一起做，按不同的協(xié)作方式衍生出不同的犯罪模式。當(dāng)前，正在從交易化模式向定制化模式演變。

交易化模式就是當(dāng)黑客攻擊某一家網(wǎng)站，拖庫(kù)成功后直接在黑市上銷售，收取貨款。這種模式的優(yōu)點(diǎn)是數(shù)據(jù)可以多次出售，價(jià)格便宜、快捷，但是對(duì)于交易雙方來(lái)說(shuō)，交易過(guò)程中充滿了騙局，數(shù)據(jù)新鮮度和真實(shí)度沒(méi)有保障，風(fēng)險(xiǎn)會(huì)比較大，當(dāng)前職業(yè)的犯罪團(tuán)伙已經(jīng)很少采用交易化模式。

定制化模式就是下游客戶選擇好一家特定網(wǎng)站，然后聘請(qǐng)黑客去拖庫(kù)，拿到數(shù)據(jù)后支付傭金的模式。在定制化模式中，按黑產(chǎn)規(guī)則，數(shù)據(jù)屬于下游客戶，黑客不可以再次出售，或者在一定的窗口期內(nèi)不能再次出售。

4.3 移動(dòng)互聯(lián)網(wǎng)成為網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的新興市場(chǎng)

從入侵便利性看，2015年，中國(guó)智能手機(jī)用戶接近6億人，在全國(guó)共有10省市的移動(dòng)電話普及率超過(guò)100部/百人，其中相當(dāng)多的用戶安全防范知識(shí)幾乎為零。從價(jià)值上來(lái)看，手機(jī)里的電話本、通話記錄、短信、地理位置等隱私數(shù)據(jù)，支付寶、網(wǎng)銀、網(wǎng)絡(luò)游戲賬戶，含“金”量高，都可以直接變現(xiàn)。從移動(dòng)互聯(lián)網(wǎng)的核心即智能終端操作系統(tǒng)上來(lái)看，目前主流的是蘋果的IOS和谷歌的Android操作系統(tǒng)，都由國(guó)外機(jī)構(gòu)把控，我國(guó)自主的操作系統(tǒng)還不成熟，我們也不能夠從底層對(duì)手機(jī)信息進(jìn)行保護(hù)。多方面的因素決定移動(dòng)互聯(lián)網(wǎng)終端在今后一段時(shí)間內(nèi)都將是網(wǎng)絡(luò)入侵的熱點(diǎn)。