澎湃Logo
下载客户端

登录

  • +1

8.6亿条个人信息怎么被“偷”?网络安全团队曝光交易内幕

倪方方/交汇点客户端
2016-09-18 18:38
来源:澎湃新闻
舆论场 >
字号

互联网到底会泄露多少信息?告诉你一个难以想象的数据,雨袭团信息安全团队轻松搜索出高达8.6亿条个人信息数据。

2010年,雨袭团由南京人姚威发起,从事网络安全工作。他们宣称“不碰黑的东西”,圈内人美称为“从事网络信息安全研究的国内知名信息安全团队”。 雨袭团是凌晨网络科技有限公司旗下团队,由7位有共同兴趣的年轻人组成,最大的1985年,最小的1994年。

海量数据从何而来,公民信息频频泄露,数据黑市的手到底伸得多长?2016国家网络安全宣传周将于19日开幕,交汇点记者独家专访雨袭团,揭开电信诈骗背后不为人知的秘密。

交汇点:你们是如何获取到8.6亿条个人信息?涵盖哪些内容?

雨袭团:通过搜索获得位居前列的是用户信息、账号密码。我们主要通过百度、搜狗等搜索引擎,还有一些“黑客”站点、安全媒体网站、社工库网站获取信息。

搜索可以比你更了解自己。个人信息最常见的样式就是姓名、身份证、手机、家庭住址。经过大数据分析,可以一环套一环,关联上其他信息,比如汽车型号、发动机识别号、工作单位、网络轨迹等。骗子能通过姓名查到联系方式,再查到住哪个小区、几栋几单元,最近买了什么车,车子发动机型号,买什么保险。

交汇点:作为普通人,泄露信息的渠道有哪些?

雨袭团:超过四成人自己在不经意间泄露个人信息。一个典型地方就是微信朋友圈,比如微信朋友圈发的性格测试,手机号码凶吉测试、男女朋友感情测、运气测试、抽奖等信息,这些东西都被疯狂转载,阅读量大多10W+,能轻松套取个人信息。

据统计,中国公共场所WIFI热点覆盖至少超千万,21%存在隐患。在连接WIFI时,需填写姓名、手机,离谱的还要填写身份证号码,只有填了才给你联网,一般用户都会自主自愿填写,用户信息轻松被获取。这两年,出现一种寄生虫热点,寄生在安全WiFi上,名称一样,IP地址也一样,用户根本无法识别。一旦连接上,恶意程序就会不断的捕捉和篡改用户的信息。

有些智能手机APP会读取用户信息,包括通讯录,通话记录,短信内容等信息,这也为诈骗者谋求了一个便利,况且数据更精准。

交汇点:有人说,现在人人“裸奔”,是否任何信息都可以被获取?

雨袭团:我觉得这个答案是肯定的,我们可能是最后一群有隐私的人。比如徐玉玉的电信诈骗案,徐玉玉的个人信息被摸得一清二楚。说真的,其实这个不难,一个团队几分钟就能入侵进教育系统。一旦黑客发现某个学校的网站出现漏洞,很快能将数据库套出来。很多时候,一个地区的学校都在使用一家网络公司服务器,很容易全部阵亡。比如,学生的个人信息及其父母信息被摸清,经过大数据分析,有多少本科生、多少研究生、多少考英语四六级、普通话证书,这些数据被筛选、分拆、卖钱。

交汇点:据不完全统计,中国网络黑产“从业者”已超40万,形成了一个完整的产业链。数据黑市里,采集到销售各环节如何运作?

雨袭团:网上流行一句话,“别以为自己很牛逼,你就值一分钱”。在黑产利益链上,很多个人信息被打包出售,低到一分钱一条。部分数据贩子称,他们手上有各地区各行业的各类数据,学生的电话数据、股民的账户数据、机票数据、网络购物数据、新生儿数据、保健数据、淘宝数据、老人数据……信息成为无本经营的“秘诀”。

数据黑市分工细致、完善,形成“源头——中间商——非法使用人员”的交易模式。从数据采集到数据贩卖有一条很完整的利益链,一部分黑客黑进网站获取信息后,在一些论坛、社交群中贩卖信息。此外,黑客也会入侵地方门户网站、写“爬虫”偷盗用户个人信息。

当然,不排除一些占有用户信息的人士或者第三方平台法律观念不强,将客户信息倒卖。比如公职人员将合法采集的公民信息对外销售,快递员贩卖快递数据,楼房销售人员将登记的业主信息贩卖给装修公司等。

拿到一套数据库,意味着被多次利用、多次倒卖。黑客获取到一手数据,转卖给中间商,中间商便宜点分销给下级中间商,一层层倒卖,在利益链最末端,还会卖给群发信息的人,一个用户多次收到买房、投资、考证的短信和骚扰电话,就是这个原因。

交汇点:那么有了这些数据之后,电信诈骗是如何做到的?

雨袭团:精准诈骗越来越多,可以说是“量身定制”。

首先,骗子占有大量信息,能做到比你更了解你自己。在各大数据交易论坛和QQ群,黑市交易异常热闹。有的自称“高质量数据,每周更新,数据量很大”,有的称“手下有黑客朋友,帮忙攻击网站”,还有的“收购壮阳一天数据”……花样繁多。这些信息落到骗子手里,精准诈骗变得轻而易举。

在数据贩子处购得个人信息,骗子即可对用户布下圈套。曾经碰到过一个案例:一位男士在网上买了一瓶价值600元的“伟哥”,转身他的购买数据(姓名、联系方式、地址、所购物品、付款方式)即被卖掉,用户选择“货到付款”方式,骗子拿到这个信息,定位到地址,会与顾客电话联系,假装快递提前送货。用户此事还蒙在鼓里,拿到的商品包装没问题,但里面装得就可能是被替换掉的安眠药或其他廉价药品。

当然,电信诈骗也要抓热点和时间段,且精准定位对象。开学季多找大学生下手,这个时段学生用钱交学费,这个群体又比较单纯,中招得多。对于老人,保健品则是他们的命门,加上老人容易上钩、且防御能力不强。

交汇点:黑客发起一次攻击成本多少?能赚多少?

雨袭团:黑客一定是预期回报远大于投入的。有人做过一次统计,黑客月入达54万元。黑客发起一次攻击需要做好准备工作以及物资采购:

付费通道购买:3000美元一个月

检测逃脱服务:20美元*30天=600美元

攻击工具包:500美元一个月

流量:300美元*6=1800美元

共计:5900美元/月

投入总计大约5900美元一个月,那么黑客可以赚到多少钱?

在观测到的数据上再做保守估算,平均每天有2万人点击恶意链接,一般大概有10%的几率被感染,如果用了勒索软件,大概又有0.5%的受害者付费。这意味着,黑客日收入大概是3,000美元,除去前期支出,月收入高达8,4000美元。

在黑客产业链的支持下,一个不需要有多高技术能力的黑客可以轻易通过攻击活动赚得盆满钵盈,这也是当前网络安全事件异常猖獗的主要原因。

交汇点:国外是否也面临这种困扰?公民如何保护自己?

雨袭团:在国外,信息泄露同样是困扰人们的难题。今年4月,近5000万名土耳其公民个人信息在网上曝光,包括了土耳其公民的名和姓、身份证号码、其父母的名字、性别、出生城市、生日、完整的住址及ID注册城市和地区。数据的来源很有可能是某个处理用户信息的公共管理机构。去年,俄罗斯约会网站泄露2000万用户数据,引发全社会恐慌。

如何结束“裸奔”现状,建议加强网络安全意识教育,从根源抓起,提升个人信息保护意识。目前,国内外网络安全技术没有高下区别,关键是公民信息保护意识强弱之分。比如有些人喜欢晒火车票、机票,却不打码,火车票隐藏着四位生日,很容易能推算出来,机票上面有更多个人信息。

信息安全的攻防战一直在打,但保护个人信息最终要靠大家。对于职能部门而言,做好安全把控与法律制度管控;对于厂商而言,需要把关好自己产品安全性;对于开发者而言,需要写好自己的代码,把关程序漏洞问题;对于互联网安全从业者,帮助客户维护好相应产品的安全性。也许这样才能在源头上防止信息漏洞,杜绝各种诈骗的发生。
    澎湃新闻报料:021-962866
    澎湃新闻,未经授权不得转载
    +1
    收藏
    我要举报

            扫码下载澎湃新闻客户端

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈