大數據下的黑產利益鏈

隨著互聯網不斷深度介入人們的生活，網絡上也在源源不斷積累起大量數據，這些數據就像散落在互聯網生態中的粒粒珍珠，閃耀著光芒，誘惑著網絡黑產分子瞪大貪婪的雙眼，伺機而動……

在大數據時代，很多互聯網從業人員都高呼“得數據者得天下”，對于日益猖獗的網絡黑色產業鏈而言，此話同樣適用。

2014年12月25日，中國鐵路購票網12306網站遭遇“撞庫”攻擊，超過13萬條用戶隱私數據在互聯網上瘋傳，用戶賬號、密碼等數據被大范圍流傳、買賣；

緊接著，130萬條考研學生的詳細個人信息，在一些黑產群里公開叫賣，只需15000元就可得手；

花費500元就可查詢單個城市的開房記錄；花費800元就可以查詢全國的開房記錄；輸入姓名和身份證號，可以查詢當事人最近3年的開房記錄……

甚至連為“發燒而生”的小米科技公司（以下簡稱“小米”）意外中槍。在其重要新品發布的前一天，被爆料用戶數據庫泄漏，約800元個涵蓋用戶名、密碼、短信、通訊錄等私密內容裸奔

于網上。

為此不少業內士致疑：黑色地下產業鏈緣何如此猖獗？誰來管管這屢治不絕的地下黑手？

“拖庫”成慣招

“你不要社我啊。”這是一句從事網絡安全程序員們的“行話”。“社”是指社會學工程庫，他們把獲取海量的個人信息稱為社會學工程分析。

在社工論壇上，你可以找到各式各樣的賣家和買家。他們明目張膽地買賣各種個人信息資料，如開房資料、考研學生資料、公積金信息等，一般都是幾十上百萬條信息打包出售，他們將這些

打包出售的數據庫俗稱為“褲子”。

而“社”一個人，則意味著在網絡上挖掘與這個人有關的各種資料，通過不同網站的海量數據，破解密碼、下載資料……

一般而言，第一步需要入侵某個網站的后臺系統。這個過程并不復雜，對一個電腦迷而言，一個剛入行的中學生就可能有能力侵入一個普通網站。

一位從事網絡安全的程序員大鳥（化名）對記者講述了他的故事。第一次學習黑客技術是大一的暑假，大鳥花了一個月的時間在寢室自學。不久后，就已經可以進入學校網站的后臺了。

從這一刻開始，數據就有了被泄露的危險。大鳥不會將數據下載下來用于己用，僅用來檢測網站是否存在漏洞，但他告訴記者，黑客入侵網站與白帽子檢測網站，在技術路徑上幾乎是相同的

。

大鳥不崇拜儀式感，他不喜歡稱之為戰斗，但這確實是一場戰斗，雖然戰利品只是為了滿足一種孩童式的好奇、對技術偏執的渴望，但把它稱之為一場發生在“入侵者”與技術“看守者”之

間的戰斗或許并不為過。

在大鳥的印象中，記憶最深的一次入侵行動是他在正式做一名職業白帽子之前。那是一次比較復雜的行動。大鳥發現了一家國外網站，對其原代碼十分感興趣，為了看到代碼，他決定“入

侵”這家網站。

大鳥先找擁有域名的這個人，查他的信息，發現此人是外國人。因為不是中國人，所以不能掌握太多他的信息。接下來尋找這個域名下的子域名。

經過分析，發現一些子域名放在幾臺普通VPS（虛擬專用服務器）上，打開幾個頁面是空的。掃了幾個端口也沒發現端倪，他知道從這幾臺VPS上很難找到問題，于是他決定找一下它的VPS提

供商。

如果拿到VPS提供商的權限，就可以獲取它所有VPS的權限，自然也就獲取了該域名所指向的VPS權限。隨后他發現這個VPS服務商的運維配置有一些問題，一步一步滲透下去，最終找到了該

VPS提供商所有用戶控制面板的賬號密碼，最后找到了對應人的賬戶密碼。

拿到用戶密碼后，大鳥登陸了對方的控制面板。VPS是以控制面板進行操作的，進入控制面板就可以操控他服務器上的文件，但是沒有文件打包編輯功能。最后，大鳥上傳一個了網頁后門，

便獲得了它的代碼。

經過十分復雜的程序，大鳥獲取了這臺服務器的權限，順利看到了代碼。

或許從技術上，這并不算很難，但對于大鳥來說，這次“入侵”的復雜性遠遠高于技術，經過一個多月的“戰斗”，看到代碼后，他選擇讓自己大睡一場，進入冬眠。

“撞庫”做大數據庫

事實上，“大鳥”只是黑客群體中的一例。

據一位業內資深人士透露，黑客處在網絡黑色產業鏈的上游，其會入侵有價值的網站，盜走用戶數據庫，這一過程在地下產業術語中被稱為“拖庫”，在過去一兩年間，國內被爆拖庫的公司

不在少數，貓撲、天涯、人人網等都榜上有名。

以酒店行業為例。 2014年下半年以來，酒店行業的用戶數據頻頻被泄露，當時媒體稱超過2000萬條酒店開放數據在網上惡性蔓延，這無疑給社會投下了一枚深水炸彈。

時至今日，記者仍能在網上查到“2000W條開房信息免費任你查”的網帖，輸入常見的人名，即可顯示大量同名人的詳細個人信息：如姓名、性別、年齡、出生年月、身份證號、電話號碼等

。開房時間從2010年年初到2012年年底。

互聯網深度數據分析公司TOMslnsight在其最新的分析報告《互聯網黑市分析：社工庫的傳說》中指出，全國流量排名前100的網站中，有近八成的用戶數據庫已被黑客盜取，變相為網絡黑色

產業鏈提供大數據來源。

被媒體稱為“黑客教父”的萬濤對TOMslnsight的報告表示認可，他對法治周末記者表示：“目前媒體報道出來的數據泄露事件僅是冰山一角。”

國內漏洞報告平臺——烏云合伙人鄔迪對記者表示，隨著互聯網對人們生活的深度介入，用戶會在互聯網上留下大量的數據，這也讓黑產鏈條上的黑客們有了更強的經濟驅動力。

對于黑客而言，積累有大量用戶數據的電商交易平臺、訂票類網站、招聘求職類網站等都是上好的“獵物”。鄔迪介紹，目前烏云平臺上披露了一些航空公司、招聘類網站的系統漏洞，其實等白帽子報告漏洞時，發現個別網站的“門早已被打開過”。

“世界上沒有完美的網絡，任何一個網絡都會存在或大或小、或嚴重或輕微的漏洞，烏云平臺每天都會接到多個有關漏洞的報告，只是對于白帽子而言，發現網站的漏洞，報告給廠商就意

味著工作的結束；而對于黑色產業鏈上的黑客而言，行程才剛剛開始，他們的目的是拿到數據，進而轉化成金錢。”鄔迪對記者說。

對黑產鏈條上的人而言，每一次成功的拖庫，都是一次肆意攫取數據的盛宴。拖庫成功后，還會從事“洗庫”的工作，即通過一系列技術手段清洗數據，提煉出有價值的用戶數據將其變

現。

對黑產鏈條上的人而言，通過拖庫、洗庫得到數據并不意味著此番劫掠的結束，還會有黑產鏈條上的人將得到的數據在其他網站上進行嘗試登錄，業內稱其為“撞庫”。

2014年12月25日，中國鐵路購票網12306網站被曝出泄露用戶數據，其時超過13萬條用戶隱私數據在互聯網上瘋傳，用戶賬號、密碼、身份證號、注冊郵箱等數據被大范圍流傳、買賣。

事后經國內安全企業推斷，此次數據泄露，并非黑客攻擊12306所為，乃是撞庫成功所致。

一位業內資深人士對記者解釋，撞庫就是黑客用其他渠道泄露的用戶名和密碼嘗試登錄12306，結果登錄成功。登錄成功后，就可以獲得用戶在12306訂票時所需的身份證號等個人信息。

由于很多用戶為了方便記憶，會在不同網站使用相同的用戶名和密碼，這就大大增加了黑客撞庫成功的概率。

“在12306網站上撞庫成功后，黑客也會嘗試去撞其他的庫，比如去登錄淘寶、京東這樣的電商網站，如果同樣撞庫成功的話，黑客又會多了用戶個人支付賬號、消費記錄等數據。”上述人士表示，撞庫可反復操作，而每一次撞庫成功，都會獲得用戶更多維度的數據。

隱秘的產業鏈

黑客的拖庫、撞庫舉動只是整個黑產鏈條的一個環節。

“生活中很多精準式詐騙的場景背后，都是有一整套的網絡黑色產業鏈的團伙在相互協作，形成對用戶進行各類侵害的利益鏈條。”一位業內專業人士對這一鏈條進行了梳理：在整個產業鏈

的上端是技術含量最高、也是最為隱蔽的群體，他們以職業黑客為主，通過挖掘漏洞、編寫木馬來實施入侵；

產業鏈的中間環節，則是一個更為龐大的進行欺詐的犯罪團伙，他們通常具備比較高的情商，能夠熟練地應用社會工程學（它集合了心理學、社會心理學、組織行為學等一系列的學科，可

利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行攻擊）的理論和知識來對用戶實施具體的欺詐行為；

在整個產業鏈的下游，是支撐整個黑色產業鏈各種周邊的組織。如取錢、洗錢團伙、收卡團伙、販賣身份證團伙等。

上述專業人士所言并非危言聳聽。近日，騰訊發布的《網絡黑色產業鏈年度報告》揭示，平均一個上游端就可長期供養10個以上網絡黑產犯罪團伙。

以遼寧網安部門破獲的一起非法入侵韓國網站盜取韓國網民銀行存款的特大團伙為例，其中就有黑帽開發制作木馬、包馬人進行代理木馬，然后入侵韓國網站掛馬，在韓國網民瀏覽網站時

竊取網銀賬戶密碼；

在網銀賬號和密碼得手后，網絡盜竊黑產團伙便會入侵受害人網銀；隨后洗錢團伙跟進，將受害人存款轉移至韓國銀行卡，最后再由下游的取錢團伙，通過ATM機、游戲點卡、充值卡等提

現。

僅半年時間，由34人組成的犯罪團伙就先后對110余家韓國網站實施入侵，盜竊韓國網民銀行賬號密碼4000余組，涉案金額折合人民1000余萬元。

信息界定需明晰

據騰訊發布的《網絡黑色產業鏈年度報告》顯示，隨著大量網站數據庫被盜取，越來越多的網絡犯罪分子傾向于在掌握網民個人信息后，以冒充熟人或博取同情等精準式詐騙場景對受害人

進行欺詐。

那緣何目前買賣個人信息呈泛濫之勢卻似乎難以規制呢？中國互聯網協會信用評價中心法律顧問趙占領對媒體表示，“這與目前我國法律對于個人信息的界定還不清晰有關”。

一位不愿透露姓名的業內資深人士表示，在數據泄露的過程中，數據保管者有著不可推卸的責任。

該人士告訴記者，國內企業的安全意識并不強，一開始，很多企業在被通知漏洞后會選擇置之不理，這是造成之后信息被泄露的原因之一。

記者梳理了以往發生的信息泄露事件，一些漏洞引起的問題反復出現。

如此前被烏云網頻頻爆出漏洞的12306網站，并非首次出現用戶信息泄露事件，漏洞卻遲遲未修復。

再比如， 2014年3月22日，烏云漏洞平臺發布消息稱，攜程系統存在技術漏洞，可導致用戶個人信息、銀行卡信息等泄露。漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行

卡卡號、銀行卡CVV碼以及銀行卡6位Bin（用于支付的6位數字）。而在此之前，攜程信息安全漏洞事件就已經多次發生，其中2014年1月，在被媒體指出儲存信用卡敏感信息存在泄露風險時，攜程網回應稱采用的信用卡支付方式符合國際慣例。

業內人士分析，企業數據安全意識不強、懲處機制的不明是導致企業在漏洞發生后沒有及時修補的原因之一。

另外，數據庫的設計缺陷也是數據可能泄露的原因。一位數據庫的設計人員告訴記者，一些公司尋找第三方設計數據庫，確實存在泄露的風險。雙方在合作之前，一般會簽署保密協議，但

由于設計者可以看到客戶的核心數據，因此數據是否泄露，不僅要看保密協議，還要看設計者的人品。

一位創業公司的負責人告訴記者，公司的數據庫自己設計，其考量的因素就是擔心核心用戶數據泄露。政府網站同樣是高危行業，他們一般只去測試省級政府網站的漏洞，更低層級的政府網

站漏洞甚至可能找不到負責人。有些網站的技術水平，在他們看來根本達不到采購中所需耗費的價格。

相對樂觀的是，隨著大數據和移動互聯網在各行各業的深入運用，很多廠商的信息安全意識都在提高，表現之一是在接收到漏洞舉報后大多會及時修補。而發現和舉報漏洞的白帽子人才市

場一旦形成，從事黑產的人就會越來越少。

“讓黑產上的人變成白帽子，這是未來的方向。”上述創業公司的負責人對記者說。