对黑帽子而言,积累有大量用户数据的订票、保险、招聘求职类网站等都是上好的“猎物”。记者发现,乌云平台披露了很多类似网站的系统漏洞。
“这些漏洞被曝出来之前,这些网站的‘后门’可能早已被打开过。”段晓龙说。
黑帽子们会利用这些漏洞入侵有价值的网站,盗走用户数据库。这一过程在黑色产业术语中被称为拖库。去年5月14日凌晨,小米官方论坛800万用户的账户信息被拖库。拖库成功后,他们还会进行洗库工作,利用技术手段清洗数据,提炼出有价值的用户数据将其变现。
通过拖库、洗库得到数据后,一些黑帽子会将得到的数据在其他网站上尝试登录,称为撞库。去年12月25日,中国铁路购票网12306网站遭遇撞库攻击,超过13万条用户隐私数据在互联网上疯传。
最近,网友“无虑”以350元的价格,在QQ交流群里低调招收黑客技术的学徒。提到撞库,他解释说,撞库就是黑客用其他渠道获得的用户名和密码尝试登录某网站,成功后,就可以获得用户在某网站交易时所需的身份证号等个人信息。
“无虑”介绍说,在一家网站上撞库成功后,黑客也会尝试去撞其他的库,如淘宝、京东等,如果成功,黑客又会多了用户个人支付账号、消费记录等数据。
随着拖库、撞库的网站不断增加,用于诈骗分子诈骗的社工库也不断增多,对用户的威胁也越来越大。社工库网站的主要业务,就是销售自己掌握的他人的账号和密码信息,而且是公开兜售,只要给钱就卖。
记者梳理整个黑色产业链发现,产业链的上游,是以技术含量最高、最为隐蔽的职业黑客为主,他们通过挖掘漏洞、编写木马实施入侵,获取数据;产业链的中间环节,是一个庞大的进行欺诈的犯罪团伙,他们通常有着较高的情商,能够熟练应用社会工程学的理论和知识来对用户实施欺诈;产业链的下游,则是支撑整个黑色产业链各种周边的组织,如取钱、洗钱、收卡、贩卖身份证等团伙。
漂白黑产
不可否认,在数据泄露的过程中,数据保管者有着不可推卸的责任。
在本土一家网络公司负责人顾杰看来,漏洞是造成泄露的一大因素,但几乎每个网站都可能存在漏洞。一些网络安全公司的成立,就是为了减少因漏洞造成的泄露,在泄露之前对漏洞曝光,并通知厂商及时修补。在新疆,目前网络安全公司有10多家。
自治区通信管理局统计显示,2014年,该局对当前流行的499种木马家族和72种僵尸程序家族的活动进行了抽样监测,发现新疆地区累计有23万台主机被木马和僵尸网络控制,其中不乏政府单位和大型企业。
业内人士分析,这些企业数据安全意识不强,数据库的设计缺陷也是数据可能泄露的原因。顾杰发现,在新疆,开展网络信息安全工作的部门和企业不到一半。
自治区通信管理局相关负责人表示,移动互联网的飞速发展使手机恶意程序越加泛滥,隐私窃取类病毒所占的比重正在上升。移动设备里面存储的通讯录、短信息、照片、视频等敏感内容易被窃取。去年,新疆感染移动互联网恶意程序的用户累计超过170万,其中流氓行为类占比21%,隐私窃取类占比15%。
相对应地,互联网环境治理力度也在加大。去年,自治区通信管理局摧毁活跃度较高、控制规模较大的境外木马和僵尸网络控制端518个,协调重要信息系统单位清理木马和僵尸网络受控端共计11513个,有效降低了新疆发生大规模网络安全事件的风险。
这些年,我国也相继出台了一些法律法规,包括民法关于人格隐私保护的规定、刑法修正案第7条、全国人大常委会关于加强网络信息保护的决定及有关部门规章等。但在新疆社会科学院法学研究所助理研究员陈琪看来,由于我国没有制定专门性的网络安全监管法律规范,互联网行业的自律规范尚显凌乱。
针对这种情形,我国正在制定相应的管理标准,拟对网络服务提供者出现信息泄露后应承担的责任作出明确规定。对一些网络服务提供者不履行网络安全管理义务,造成严重后果的情况,我国也计划通过立法增加其刑事责任。
相对乐观的是,随着大数据和移动互联网在各行各业的深入运用,很多厂商的信息安全意识在逐步提高。发现和举报漏洞的白帽子人才市场也逐渐形成,这意味着,从事黑产的人会越来越少。“让黑产上的人变成白帽子,这或许是未来的方向。”段晓龙说。