現代科技沃土滋養下的數據黑市和網路犯罪
陳根
個人信息被泄漏,隱私安全遭威脅,已經成為當下科技發展的焦點「負作用」。而基於市場經濟平台,當數據成為商品,交易便是必然路徑。那麼,這些不合規不合法的買賣行為都是如何肆無忌憚地進行著?又是如何在高科技的支持下蔚然成風的呢?
數據黑市的「貨源」哪裡來?
所謂數據黑市,是指法律明確禁止,或雖然法律沒說,但在道德的層面上不允許公開的數據的交易市場。黑市上交易的個人信息數據,包括姓名、身份證、手機、家庭住址、郵箱,以及個人想著的賬號密碼、銀行卡信息等。
在黑市上,這些數據信息都有明碼標價。以個人信用卡和借記卡的信息為例,根據國度區域不同:美國約5~30美元,在英國約20~35美元,加拿大約20~40美元,澳大利亞約21~40美元,歐盟約25~45美元。
那麼,這些可以稱得上是個人「機密」的信息,都是怎麼流入黑市,而「成就」了這個無所不有的龐大數據市場的呢?
首先,無孔不入的黑客,可謂是黑市數據非法獲取的高級幹將。炒得沸沸揚揚的雅虎用戶信息被盜就是一個典型的例子。據外媒的最新說法,雅虎潛在被盜賬戶規模可能達到10億之多。而這些信息被掛在黑客網站上公然叫賣,2億個人賬戶信息,叫價為3比特幣(當時約合1860美元)。
各種機構、網站的內部人士趁「職務」之便,在大量獲取信息的同時監守自盜,然後通過數據黑市進行非法倒賣的。國內規模龐大的買賣出生證的黑色網路就是一個典型。一些正規醫療機構將真實的出生證明拿到「黑市上的中介」,以高達10萬元左右的價格售出,以便讓一些「來歷不明」的孩子上戶口。
此外,公共WiFi也是獲取「資源」的重要通道。我國公共場所WiFi熱點覆蓋至少超千萬個,其中21%有安全隱患,存在「釣魚」個人信息的風險。用戶一旦連上公共WiFi,填寫了姓名、手機號、身份證號等內容,個人信息即可被輕鬆獲取。
數據黑市的「產業鏈」效應
如果你覺得數據黑市,是個人之間的簡單交易,那就錯了。目前,僅中國「就業」於數據黑市的「從業者」就已經超過40多萬人。數據黑市上的不少企業就像我們市面上正規公司一樣,有完善的組織架構、細緻的人員分工,以及規範的企業管理。而且,他們也非常注重服務意識和品牌信用。
以巴西某犯罪集團為例。該集團安營紮寨於里約熱內盧市外的貧民窟,主要販賣的軟體DVD,裡面有上萬筆遭到駭客入侵取得的信用卡號和持卡人資訊。這些犯罪新創企業在把DVD賣給其他犯罪分子時,不僅實行購買量大能優惠的營銷策略,還提供服務層級協議,保證這裡面至少有80%的被盜信用卡號能用,否則「保證退款」。甚至,當買了軟體的不法分子不知道怎麼使用,或是使用上遇到困難的時候,這些巴西人還會提供電話技術支援!
整個數據黑市行業就像正規行業市場一樣,由「貨源供給商—中間商—非法使用人員」構成的交易模式,可謂是從數據採集到販賣一條龍的完整產業利益鏈。
以黑客為例。黑客憑藉其技術從各電腦終端或企業資料庫非法獲取一手數據,轉賣給中間商,中間商分銷給下級中間商,一層層倒賣,在利益鏈最末端,還有的會被賣給群發信息的人。而根據這些群發信息買家的「營業項目」性質不同,還可以將其分為用於廣告推銷的信息,該類信息佔據群發簡訊的比例高達90%以上;另外還有10%不到的比例,則是違法詐騙簡訊。
透過數據黑市看地下網路犯罪
數據黑市交易,基於科技與網路發展衍生出來的違法行為,還僅僅只是地下網路犯罪的一小部分。根據聯合國估計,跨國網路犯罪規模之大每年可獲利超過2兆美元,內容包括毒品交易、智慧財產盜竊、人口販賣、產品仿冒、兒童色情、身份盜竊等。而這些犯罪行為大都基於具規模又嚴謹的犯罪集團公司;業務模式也不僅限於自營,更有外包和眾籌。
犯罪機構的業務外包,基本上是把工作外包給完全不知道自己在干非法勾當的群眾。以通過郵件發送網路釣魚攻擊為例。犯罪分子需要新的電子郵件賬戶,以便他們不斷發送垃圾郵件,但是CAPTCHA系統卻會讓他們束手束腳。為了解決這個問題,犯罪分子通過開發軟體系統,設置「色情」誘因,便把問題外包出去了。大致流程便是:犯罪公司建了十來個免費色情網站,告訴訪客必須解決一個CAPTCHA,好證明他們已滿18歲,才能進入;然後一群好色的群眾為了看到色情片,便在不自知的情況下幫歹徒解決了要建立垃圾電子郵件賬戶的問題,一切都那麼順其自然,甚至可以說是「雙贏」。免費、高品質的色情內容,換得不知情群眾參與網路釣魚騙局。
除了將工作外包之外,犯罪集團也進行群眾募資,或者眾籌。黑客針對蘋果Touch ID的破解就曾進行過一次典型的成功募資。蘋果在iPhone 5s上推出的指紋身份辨識感應器Touch ID,是蘋果花了好幾年時間、數百萬美元,開發出來的專利生物辨識科技,號稱是「方便且極度安全的手機使用方式」。
伴隨著Touch ID功能的發布,全世界的安全專家和駭客都蠢蠢欲動,大家都很想知道,究竟會是誰、又需要花多少時間,第一個破解這套「極度安全」的系統?於是,駭客同時用上了群眾募資和遊戲化兩個元素,先籌建一個名為「Touch ID被破解了嗎」的網站,由所有駭客捐款提供2萬美元獎金,並設有排行榜顯示距離2萬美元募資目標還有多遠。到最後,大獎落到了混沌電腦俱樂部代號為「Starbug」的駭客手中。他巧妙地想出:在手機真正的主人使用手機,在熒幕上留下指紋之後,Starbug就將指紋照成一張2400dpi的調解析度相片,輸入Photoshop,清掉雜訊,黑白反相,再列印到描圖紙上。經過蝕刻得到指紋後塗上白膠,在白膠乾燥後,按到Touch ID感應器,就能為手機解鎖。
看似簡單,實則操作還是沒那麼容易的。所以,我們的消費者切勿因為貪小便宜而去買帶鎖的iPhone。一方面,這基本等於在變相地鼓勵犯罪,畢竟這些產品來得不正當;另一方面,淘寶上專註於忽悠人的iPhone解鎖,不管是「硬解」還是「軟解」,基本上都是不太靠譜,結果難免落得下「貪小便宜吃大虧」。
推薦閱讀:
※網路安全 | kali linux系統
※入侵特斯拉——智能汽車安全性分析
※繞過CDN尋找網站真實IP的方法匯總
※利用環境變數LD_PRELOAD來繞過php disable_function執行系統命令
※無商業目的-以前攻擊者的角度揭秘真正的DDoS市場
TAG:網路安全 |