板板网-板板网是国内最专业的新闻资讯网站,一站式了解国际热点文章,板板网专注金融,商业,科技,投资,证券,营销,职场,创业等栏目的文章发布和分享。

最专业的新闻资讯网站
一站式了解国际热点文章

黑客、内鬼、机构交易 个人信息买卖一条龙被榨出最后一滴油

在诈骗产业链上游,一群黑客专门入侵网站取得大量用户数据,专业术语叫做“拖库”。中游负责“洗库”,就是通过技术手段将有价值的用户数据归纳分析,售卖变现。诈骗集团在下游,将买来的信息利用“撞库”技术登录受害者的手机银行、网站等平台。与撞库比肩的另外两种数据获取方式,分别是攻击网站和木马程序。
 
黑客们利用这三种手段,打造出一条不断升级的高能产业链。而在公民个人信息交易中,大多数买卖在网络上进行,上下家只是QQ好友,并不清楚对方的真实身份。公安机关在打击这类犯罪时,却很容易引起警觉,一旦打草惊蛇,整个信息平台瞬间消失。
 
即使是“情节严重”的情形,也几乎没人被判到三年的最高刑。与此同时,许多侵犯了公民个人信息的被告人,仅被判处缓刑。对于什么是情节严重、什么是情节特别严重,迄今没有司法解释做出明确规定。
美国征信企业Equifax披露,公司网站遭遇黑客攻击,有1.43亿美国人信息数据被泄露。泄露的内容包括个人信息,包括姓名、住址、出生日期、社会保障号,有时还会包含驾照信息,还包括20.9万人的信用卡卡号、18.2万人的特定争议文件。
 
个人信息泄露,困扰着普通百姓的生活,而其中酿造的多剧惨案,警醒着大众。
“您好,需要银行贷款吗”,“不需要”,电话另一端,小丽拒绝的语气中带有丝丝愠怒,“烦死了,昨天刚办的信用卡,今天就接到好几个贷款电话。”相同遭遇也在刘先生身上重演:“最近推销电话特别多,一天十多个,号码不知道怎么就泄露了。”
 
贷款、保险、股票……当这些推销电话一股脑涌进日常生活,毫无疑问,你的个人信息不仅泄露,而且还被黑产及某些机构明码标价甩卖了。
 
据了解,目前市场上交易的个人信息,大部分来自黑客攻击、企业内部员工监守自盗、机构之间数据交换。
 
黑客进攻,点杀与屠城
网络是黑客们的主战场,虽然用户可在应用商城下载“根正苗红”的正版软件,但黑客们依然是无孔不入,钓鱼网站、植入病毒、撞库、伪基站……是黑客猎取个人信息主要手法。“目标是获取信息,手法可以有很多种”,黑客技术爱好者A向猎云网演示,“可以控制你的手机不断截图,来获取你的聊天记录、通讯记录、登陆账号。”
 
除了被动式狩猎外,黑客们往往也会用撞库的方式发起主动进攻,“利用已经泄露的账号、密码在各个网站上登陆,碰运气,但准确率相当高”,A狡黠的笑了笑,“多数人都喜欢用同一个账号密码,帮我们省了不少事。”
 
不仅有A这样的单点猎杀,顶级黑客更喜欢屠城。2016年12月10日,京东被曝12G数据包在黑市流通,包含账户名、密码、邮箱、电话、身份证……15日,雅虎承认10亿用户数据被盗,包含用户姓名、电话、邮箱、密码。
而黑市中,并非一片江湖风气,而是结构严密,内鬼、黑客批量提供个人信息,组织者建立QQ群等,产业上下游分工协作,一手钱、一手货,童叟无欺。有的,甚至已经建立起批发代理商的销售体系,一级批发商、二级批发商……在采访中Z先生感叹道,“就跟超市买东西是的,一手钱一手货。”
 
资料显示,2016年,中国黑市上泄露的个人信息达到65亿条次,全国人均5条次。这也就是小丽、刘先生频繁接到贷款询问电话的原因。
 
当然,根据信息类别、详尽程度,个人信息价格也需要按资排辈,从几块到上千不等。像个人手机通话记录,由于能看出用户个人对外联系频次和社交网络,故费用较高,单条信息需上千,购买者通常不差钱,主要用来催收、侦察婚外情、敲诈勒索……
 
而个人通讯方式则要廉价的多,仅包含联系人姓名和号码,“一万条起,每条五分钱”,打包购买,用来做电话推销,所以保险、贷款机构……多数是这里的常客。
 
吃里扒外的内鬼
如果说黑客属于技术流派,那公司内部员工则是监守自盗的资源流派。“内鬼”,是对该派系的称呼,利用自身职务权限,下载、拷贝、出售用户个人资料。
 
“以前银行的人私下能帮我们查到客户所有的贷款情况”,小贷从业者张明回忆起2015年,“当时查询一次才5块钱。”不仅是银行,电商、快递……也是内鬼高发区。2014年,支付宝员工批次下载用户资料20多个G,出售给电商、数据公司;2015年,央视报道,快递站点以每条2元的价格出售用户信息,包括姓名、电话、快递地址……
 
然而,信息查看获取权限的规范,内鬼处境堪忧,大有日落山河之势。“用户资料属于企业内部数据,很多内鬼会把数据买个竞争对手”,对这种吃里爬外的行为,分析师Z先生认为,“依靠权限获取用户数据,以后将越来愈难。”
数据倒卖,榨干最后一滴油水
黑客、内鬼掀起信息外泄的波浪,而平台之间数据的倒卖、交换则撕开了个人信息安全的闸门。数据公司、征信公司、信贷机构对数据交易乐此不疲,而部分机构用完数据后,会转手倒卖、交换,毫不浪费,直到榨干个人信息最后一滴油水。
 
转卖变现、扩充数据库是这些交易者们的初衷。“我们会与它们免费置换用户数据,一条换一条”,在谈到与某主打欺诈风险的数据公司的合作时,某平台风控负责人A姐对交易条件颇为得意,“这样我们就减少了风控成本。”
 
除了征信机构扩充数据之外,信贷机构也不甘落后,盯住了这块蛋糕。猎云网了解,目前国内部分现金贷机构做起了导流平台,向其他信贷机构出售用户贷款申请信息,“每个月砸几百万的营销费用”,某知情人士向猎云网透露,“通过导流,除了覆盖营销成本,还能赚上一笔。”
 
数据交易中,与“借旧换新”相比,数据库扩容、转卖变现还算是“盗亦有道”。据了解,为了保证平台借款人按时还款,部分信贷机构当起了僚机,将逾期用户推给其他平台,帮助其能够借到钱,击鼓传花,免得坏账的大锅扣在自己头上。
 
 
12万条车主信息只卖160元,个人信息交易内幕揭秘
 
2016年8月消息,沈阳警方破获一起侵犯公民个人信息案件。嫌疑人李某通过朋友购得5000条个人信息,在QQ群与他人多次互换信息,再以10元1000条的价格兜售,非法牟利6000元人民币。
 
 
在诈骗产业链上游,一群黑客专门入侵网站取得大量用户数据,专业术语叫做“拖库”。中游负责“洗库”,就是通过技术手段将有价值的用户数据归纳分析,售卖变现。诈骗集团在下游,将买来的信息利用“撞库”技术登录受害者的手机银行、网站等平台。杭州安恒信息技术有限公司西北区技术总监张百川告诉南方周末记者:“撞库不需非常专业的黑客出马,安装一个软件或做个程序,挨个去试就可以了。”他说,许多人上网图方便,在多个平台上使用同一个密码,骗子正是利用了这个漏洞成功登录了杨志夷的网上银行。“密码简单且在几个平台上同时使用的账户,最容易中招。”
 
最具代表性的“撞库”发生在2014年12月25日。在这个黑色圣诞,黑客通过“撞库攻击”得到了超过13万条12306网站用户信息。很快,大批信息开始在互联网上疯传。
 
与撞库比肩的另外两种数据获取方式,分别是攻击网站和木马程序。黑客们利用这三种手段,打造出一条不断升级的高能产业链。阿里巴巴资深安全技术专家玄泰认为,这些黑客协作能力强、创新能力强,平台化趋势越来越明显。“有专门做钓鱼软件的供应商,有担保数据买卖的交易平台,有洗钱的平台等等。”
 
比起“盗贼”的团结、专业,平台方则显得“千疮百孔”。360互联网安全中心统计显示,2015年共有1410个漏洞可能造成网站上的个人信息泄露,可能或已造成泄露的个人信息量高达55.3亿条。存在泄露信息漏洞的1068个备案网站中,企业网站占比最高,达63%;其次是政府网站,占比20.1%。 
 
分享:

版权与免责声明

    板板网发布此内容的目的在于传播更多信息,并不代表本网赞同其观点或证实其内容的真实性。

    本网如涉及作品内容、版权等问题,请在作品发布之日起一周内与本网联系(worldbbf@foxmail.com),否则视为放弃相关权利。

评论