互聯網數據泄露背后的黑色產業鏈及發展趨勢分析

侯林

摘要：以計算機網絡為工具，利用網絡安全漏洞，竊取用戶數據的犯罪組織，已經發展成為一個有組織、分工明確的黑色產業鏈。技術含量最高、最為隱蔽的職業黑客居于產業鏈的上流，運用社會工程學理論進行數據分銷的中介和實施詐騙的犯罪團伙居于中游，取錢、洗錢、收卡、販賣身份證等產業鏈周邊組織居于下游。文章通過剖析黑產組織的結構體系和伴生關系，推斷犯罪主體、交易模式和侵害目標的變化趨勢。

關鍵詞：數據泄露；網絡犯罪；黑色產業鏈；社會工程學

在“互聯網+”的時代，政府機關、電商、網上銀行、保險公司、教育考試機構、旅館等機構將公民的身份信息、金融信息、社會關系信息存儲在服務器或云端，使人們足不出戶即可享受購物、訂票、轉賬等服務，人們的生活從未像今天這樣便捷。但互聯網背后隱藏著一個黑色產業鏈，它利用網絡漏洞，竊取服務器上用戶數據資料，在黑產群里公開叫賣。據最新的安全報告估測，到2019年，由于數據泄露給全球網絡用戶造成的損失可能達到2.1萬億，相比2015年增長近4侮無論是總量還是增長速度都將是一個非常可怕的量級。

1 近年來數據安全泄露事件與數據泄露基本模式介紹

1.1 近年來出現的重大數據安全泄露事件

2013年10月，一批賓館酒店的旅客住宿信息在網上泄露，網民可以從網絡論壇中下載一個名稱為“2000w開房數據”的文件，其中包含2000萬條旅客開房住宿的數據，可以精確查到登記開房的時間、房號、旅客姓名、性別、戶籍地址、身份證號、電話號碼等個人隱私信息。據安全監測平臺披露，事件的起因可能是與這些酒店有合作關系的浙江慧達驛站公司網站上有安全漏洞，服務器被黑客攻擊導致信息泄露。

2014年12月，鐵道部提供火車票網上訂票服務的12306網站爆發了用戶數據信息泄漏風波。據稱，當時12306用戶數據被大量泄露，甚至在互聯網上出現公共傳播售賣的情況，所泄露的包括了賬號、明文密碼、信用卡信息、購買記錄、郵箱等個人信息，涉及用戶數超過13萬條。

2015年8月，湖北武漢警方破獲一起高考考生信息泄露案件，武漢警方在此案中抓捕了2名主要嫌疑人，在其住處清查出約5公斤重的紙質高考考生信息，包括考生姓名、考試分數、學校、詳細家庭地址和聯系電話等重要內容，涉及四川、湖北、貴州、河南、重慶、甘肅、陜西等13個省區市的10多萬名考生。不法分子以平均0.1元每條的價格購買信息后，雇人充當話務員與這些考生聯系，進行招生詐騙。

2014年8月12日，有1400萬條個人信息在網絡上被層層轉賣。警方調查發現，信息包含：快遞編碼、收貨和發貨雙方的姓名、電話號碼、住址等個人隱私信息。據犯罪嫌疑人供述，其用黑客工具檢測到快遞公司網站存在安全漏洞時，即非法侵入網站數據庫，下載用戶個人信息，在被警方破獲時，嫌疑人電腦中總計有1400萬條個人信息。

2015年8月，中國最大的網上票務營銷平臺大麥網再次被發現存在安全漏洞，600余萬用戶賬戶密碼遭到泄露，在互聯網社區上被公開售賣。

近年來的信息泄露事件涉及政府政務信息公開平臺、教育考試機構、醫療掛號平臺、電子商務、快遞、票務、論壇社區等各類網站，它的背后隱藏著一個功能強大、組織嚴密的利益鏈條，可以將個人隱私轉化為犯罪分子詐騙或不良商家牟利的工具。

1.2 數據泄露的基本模式

總的來講，數據泄露事件可以分為9種模式：入侵POS、盜刷支付卡、利用Web應用開展攻擊、惡意軟件、網絡間諜、拒絕服務攻擊、內部盜竊、物理性損失、其他錯誤。

入侵POS指的就是對正在運行POS程序的主機或者是服務器進行攻擊，并從中獲得相關交易信息。盜刷支付卡，通過在ATM，POS等刷卡設備上加裝裝置，從而截獲支付卡數據。這2種泄露方式多發生在銀行、零售業、酒店、醫院等擁有大量POS設備的行業。

Web應用攻擊、惡意軟件、網絡間諜、拒絕服務攻擊等行為均是指攻擊者利用技術手段，如木馬、病毒、竊聽、滲透、Rootkit等，向計算機系統的漏洞發起攻擊，破解系統保護后，從計算機系統內部竊取重要數據。

內部失竊和物理性損失多是由于管理方的疏漏，造成數據存儲介質的損壞、丟失或失竊，在一些公共事業性機構容易發生此類數據泄露事件。

2 黑色產業鏈分析

所謂網絡黑色產業鏈，是指以計算機網絡為工具，運用計算機和網絡技術實施的以盈利為目的，有組織、分工明確的團伙式犯罪行為。它可被細分為以職業黑客為主的產業鏈的上游，以職業中介為主的中游，由取錢、洗錢、收卡、販賣身份證等團伙組成的下游。而這個產業鏈又是圍繞“社會工程學數據庫（社工庫）”運作的。

2.1 黑色產業鏈的基礎：社會工程學與社會工程學數據庫

簡單來講，社會工程學就是藝術與竅門的集合體。社會工程學利用的是人性上存在的弱點與心理上存在的缺陷，通過順從意愿、滿足欲望的方式讓人們上當，或者是將這些作為攻擊的入口。社會工程學的竅門也蘊涵了各式各樣靈活的構思與變化因素，利用人的弱點如人的本能反應、好奇心、信任、貪便宜等進行攻擊。它集合了心理學、社會心理學、組織行為學等一系列的學科，由于其非法性在很多國家地區都被嚴厲地打擊，社會工程學也變成了一個見不得光的學派。

社會工程學數據庫，即黑客在運用社會工程學進行攻擊的時候，積累的各方面數據的結構化數據庫。社工庫是一個記錄黑客攻擊手段和攻擊方法的數據庫，這個數據庫里的信息包羅萬象，如網民在各類網站上的登錄賬號、登錄密碼、分享的照片、社交軟件的聊天記錄、信用卡刷卡記錄、機票車票訂購記錄、通話記錄、短信微信內容等。互聯網上存在著大量此類可以查詢社工庫、買賣數據、交流犯罪方法的論壇和網站。

2.2 黑色產業鏈上游：數據盜取

黑色產業鏈上游是以技術含量最高、最為隱蔽的職業黑客為主，他們通過攻擊系統安全漏洞，編寫木馬實施入侵，獲取數據，這一過程可分為3個階段：拖庫、洗庫和撞庫。

拖庫也被稱為“脫庫”，是黑色產業的一個術語，黑客利用漏洞入侵有價值的網站，盜走目標數據庫。2014年5月，小米官方論壇800萬用戶的賬戶信息被拖庫。拖庫成功后，黑客接著會進行洗庫工作，即利用技術手段清洗、篩選數據資料，提煉出有價值的用戶數據，以便將來用于變現。通過拖庫、洗庫得到用戶數據資料后，一些黑客拿著這些用戶數據在其他網站嘗試登錄，稱為撞庫。因為不少人習慣于在不同的網站使用相同或相似的用戶賬號和密碼進行注冊，這就為用“撞庫”的方式獲得更多的數據提供了可能。2014年12月，中國鐵路購票網12306網站曾遭遇黑客撞庫攻擊，超過13萬條客戶數據在互聯網上被瘋狂傳播。一旦撞庫成功，黑客們可能會接著撞擊京東、攜程、蘇寧等網站，最終黑客們拿到更多的個人支付賬號、消費記錄等數據。

2.3 黑色產業鏈中游：數據分銷與實施詐騙

黑產鏈條的中游有一個龐大的中介組織，專門為上游黑客從事分銷，尋找目標買家或幫買家尋找黑客。還有一種犯罪團伙，他們利用購買到的網絡犯罪產品，結合社會工程學的理論和知識對用戶實施盜竊、詐騙、敲詐勒索。

社工庫論壇是一個交流平臺，盜取的賬號和密碼信息，在此被公開兜售。在一些社工庫論壇上，只要輸入“數據買賣”“數據交易”等關鍵字，就會檢索到大量的專門從事數據交易的QQ群，一般以“數據交易群”“淘寶數據交易”來命名，每條數據的價格從幾毛錢到幾十元不等。

中介組織對用戶數據采用多種方式解析，再層層轉賣，以求數據價值的最大化。如：首先，提取虛擬裝備和虛擬貨幣類信息，提取網游、支付寶和QQ的賬號。第二步，提取整理身份類信息，轉賣給一些隱私交易機構。第三步，提取通訊號碼，賣給轉發垃圾短信的組織。最終，普通網民見到時，基本已經算是“公開”信息，這樣的數據，只要用幾個金幣（1金幣等值于1元錢）的價錢就可以購買到大量數據，甚至可以免費下載。

2.4 黑色產業鏈下游：各種周邊的組織

產業鏈的下游是服務于整個黑色產業鏈的各種周邊組織，比如販賣身份證、收卡、取錢、洗錢等犯罪團伙。這些犯罪環節目前分工也已經相當精細，由不同的團伙組織完成特定的環節。

就搜集身份信息來說，辦卡公司有著“專業”的方式。如，某家公司的老板每隔兩三個月，便前往商場、車站等人流密集地區，向服務員、環衛工人收購他人遺失的身份證，每張大概40元或50元，然后再以每張100元以上的價格出售。或者卡販子到農民工聚集的地方，借用他們的身份證到銀行開戶辦卡，農民工們風險意識不強，為了掙幾十塊錢倒也愿意。

取錢環節，通常是詐騙組織與職業取款團伙約定合作方式，職業取款團伙出面將銀行卡中的贓款取出，匯總后交給詐騙組織，收取一定比例的報酬。比如，福建一詐騙組織頭目高某得手后，通常將贓款分批打給方某等掌握的200多張銀行卡中，方某派人取出，數額較小時，轉賬給詐騙組織；數額較大時，雙方直接見面，給付現金。交易完成后，取款團伙通常收取所取款項的5%作為酬金，某些情況下，可能達到8%～10%。

3 黑色產業鏈“繁榮”的原因

黑色產業的形成，在于公民個人信息有強大的市場需求，購買的原因和購買者的身份也各有不同，有看似正規的商業機構，也有隱藏于地下的專業犯罪組織。（1）商業機構是這個市場的強大需求方，它們為了獲取潛在的客戶資料、了解競爭對手的核心數據，從黑市購買數據。交通、醫療、教育、金融服務、酒店業、快遞業等公共服務行業機構都掌握了大量的用戶信息，使之成為上下游產業及類似機構覬覦的目標。這樣的案例不勝枚舉，比如，就新生嬰兒信息泄露事件來說，是由于許多嬰兒奶粉經銷商、母嬰保健機構、早教機構、兒童玩具經銷商暗中不斷購買此類信息。（2）電信詐騙作案人對數據的需求。早期的電信詐騙的侵害對象是非特定的，犯罪分子向某一個號段或者某一個地區撥打電話或者群發詐騙短信。但隨著安全宣傳加大，公民的防范意識增強，單純的這個手法上當的人少了。于是，犯罪分子通過黑市購買到用戶數據，對公民的身份、親屬關系、職業、近期活動分析后，再冒充上級、好友、電商實施精確詐騙，以提高犯罪成功率。（3）網絡游戲是網絡盜竊犯罪的高發地。虛擬的裝備和金錢逐漸具備了現實的價值，竊取網游裝備和游戲幣，也有著龐大的潛在需求。比如，張某發等人通過在網上購買具有鍵盤記錄功能和遠程控制功能的木馬病毒，以熱門游戲“某某世界”玩家為目標，通過語音通訊工具，發送虛假鏈接，傳播木馬病毒，獲取賬號及密碼，進而盜竊游戲裝備及游戲幣（元寶），然后銷贓，僅僅1年多時間里，作案近千起，非法獲利數十萬元。

4 黑色產業鏈的變化趨勢

4.1 黑客攻擊犯罪呈現“平民化”趨勢

在巨大經濟利益的誘導下，一些資深黑客通過網站、QQ群、論壇創辦黑客學校，傳播攻擊工具編程、木馬免殺、黑客攻防技術。互聯網黑市上還出現了專業制作販賣木馬的“造槍人”，他們可根據網絡入侵的需要編寫各種代碼，將木馬病毒作為一種商品銷售給黑市上需要的“買槍人。黑客學校和“造槍人”產業的蓬勃發展降低了網絡入侵的門檻，使網絡入侵呈現“平民化”趨勢，一個剛入行的中學生經過短期的培訓就可能有能力侵入一個普通網站。

4.2 數據竊取過程正從交易化模式向定制化模式轉變

在早期的互聯網數據竊取過程中，拖庫、洗庫、撞庫3個階段通常由一個團隊單獨完成，而發展到今天，黑色產業鏈上各個組織更講究分工協作，很少有人拖庫、洗庫、撞庫一起做，按不同的協作方式衍生出不同的犯罪模式。當前，正在從交易化模式向定制化模式演變。

交易化模式就是當黑客攻擊某一家網站，拖庫成功后直接在黑市上銷售，收取貨款。這種模式的優點是數據可以多次出售，價格便宜、快捷，但是對于交易雙方來說，交易過程中充滿了騙局，數據新鮮度和真實度沒有保障，風險會比較大，當前職業的犯罪團伙已經很少采用交易化模式。

定制化模式就是下游客戶選擇好一家特定網站，然后聘請黑客去拖庫，拿到數據后支付傭金的模式。在定制化模式中，按黑產規則，數據屬于下游客戶，黑客不可以再次出售，或者在一定的窗口期內不能再次出售。

4.3 移動互聯網成為網絡黑色產業鏈的新興市場

從入侵便利性看，2015年，中國智能手機用戶接近6億人，在全國共有10省市的移動電話普及率超過100部/百人，其中相當多的用戶安全防范知識幾乎為零。從價值上來看，手機里的電話本、通話記錄、短信、地理位置等隱私數據，支付寶、網銀、網絡游戲賬戶，含“金”量高，都可以直接變現。從移動互聯網的核心即智能終端操作系統上來看，目前主流的是蘋果的IOS和谷歌的Android操作系統，都由國外機構把控，我國自主的操作系統還不成熟，我們也不能夠從底層對手機信息進行保護。多方面的因素決定移動互聯網終端在今后一段時間內都將是網絡入侵的熱點。