曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        互聯網黑色產業鏈大揭秘:數十億條個人信息泄露,元兇是“內鬼”
        發布時間:2019-01-21 08:48:21   閱讀次數:

        互聯網黑色產業鏈大揭秘:數十億條個人信息泄露,元兇是“內鬼”(圖1)

        小江最近填寫個稅申報時,突然發現自己“被就業”了。


        當他在個人所得稅APP上注冊時,發現自己的任職信息中,出現了一家并非自己當前受雇公司的信息。這家他已經“任職”了8個月的公司,遠在外省,他完全沒聽說過,與之也沒有過任何交集。


        這并不是個例。在微博的“個稅申報APP上被就業”話題下,很多網友表示也遇到了類似問題。甚至有人在申報時發現,自己已經莫名其妙地成為了其他企業的法人。


        當前,有大量用戶的個人信息被盜用,然后成為某些公司的“隱形雇員”。而這些公司依靠這種方式,虛列工資,虛增企業成本,以此來進行偷稅。


        而這只是冰山一角。不久前的另一則資訊,讓很多人感到心驚。在大名鼎鼎的暗網上,60萬個賬號的12306旅客信息被出售,涉及410萬名旅客信息,包含姓名、身份證號、手機號、登錄賬號密碼等信息,并且賣方還免費公開了部分賬號,供買方驗證。這個數據包的價格,僅為20美元。


        多數人可能并不清楚,他們的個人隱私數據,早已成為地下交易的“商品”。當手機中的騷擾電話不停響起時,許多更為嚴重的傷害,正在不斷發生。


        2016年曾轟動全國的“徐玉玉被騙案”中,詐騙犯就是通過QQ群購買了1800條高中畢業生資料,利用徐玉玉剛剛申請助學貸款這一信息,將她拼湊來的9900元的學費騙走。為此,徐玉玉傷心欲絕,最終心臟驟停,雖經醫院全力搶救,但仍不幸離世,一條鮮活的生命就此消逝。


        去年5月,央視新聞曝光,很多人發現,在不知不覺間自己的海淘額度已經被用光了:有人盜用他們的身份信息,提供“清關”的刷單服務,將假的通關信息上報海關。其中一位上海的用戶,僅2017年一年,就被人冒用信息海淘了40多單。


        2018年初,廣東警方曾公布注冊虛假滴滴賬戶的黑產案件,其中涉案賬戶幾十萬個,繳獲被非法獲取的公民個人信息20余萬條。這意味著,在你使用滴滴叫車時,面對的平臺上,有數十萬的司機是虛假注冊的。而這最終導致了鄭州空姐遇害案的發生。


        2019年1月8日,一起“黑產代叫”詐騙案在廣東告破。提供“代叫車”業務的黑產中介注冊平臺賬號,并用購買到的身份證號碼、手機號和支付寶賬號進行綁定。隨后,黑產中介利用這些賬號以優惠價格招攬客戶進行約車,在交易后拒付平臺和司機車費,并在交易一兩次后隨即廢棄原有賬號。據警方通報,僅平臺已查證的損失就達400萬元。


        但更令人心生恐懼的是,當用戶通過這種渠道叫車時,一旦出現問題,將無法及時與平臺、警方取得聯絡并提供準確信息。同時,用戶的上下車地點、個人手機號等信息,也將被黑產中介獲取。


        在互聯網時代,信息意味著金錢。當無數數據被裹挾進龐大的流量洪流中,它們流過之處,總有著隱藏在暗影中的“生意”。一條設涉及到數據竊取、交易,以及各種欺詐行為的黑色產業鏈條,因此滋生?;钴S在這條產業鏈中的,有黑客,有詐騙犯,也有在邊緣試探的灰色產業者。


        而于大多數普通人來說,你也許永遠也不知道,自己已經有多少信息已經被惡意獵取,以及被拿去做了些什么。一旦發現,可能觸目驚心。


        個人隱私,不值一文


        一家保險領域的創業公司員工向《今晚財訊》私下透露,創業初期,為了擴充業務,公司就從其他渠道購買到了幾十萬條用戶信息,其中包括用戶的車牌號碼、手機號等相關信息。


        根據警方日前通報,在暗網上售賣60萬個12306賬號的數據販子,就是北京某科技公司的職員。旅客賬號以及密碼信息主要是其通過網上購買獲得的,而乘客姓名和身份證號數據,則是來自第三方網絡訂票平臺。


        “大多數互聯網用戶,在某些人面前,沒有任何隱私可言?!币晃弧鞍卓汀痹谥跎先缡钦f。


        據一家安全廠商表示,在國內一些黑客聚集的論壇上,以及微信群、QQ群,均有這類地下信息交易的存在。在這里,從各種身份證信息、不同應用上的賬號密碼,到酒店開房查詢工具、偷拍的影像視頻,乃至各種黑客工具,都可以買到。


        暗網,就是大名鼎鼎的法外之地。在美劇《紙牌屋》中,一位黑客曾說過:“96%的互聯網數據無法通過標準化搜索引擎訪問,雖然其中的大部分東西都屬于無用的信息,但那上面有一切東西?!卑稻W就是這樣的一個世界。這里可以洗錢,可以買賣毒品,可以進行殺手交易,賞金黑客也是其中的???。


        2018年11月30日,全球最大連鎖酒店集團之一的萬豪國際酒店被曝出,有多達5億人次的詳細個人信息遭到泄露并在暗網上被兜售。12月初,暗網上再次傳來爆料,多達3160萬條的陌陌用戶數據,正在上面銷售,其中包含手機號和賬號密碼等字段。


        “無數家庭行將破裂?!碑敃r有網友如是調侃。


        在國內,數據黑產交易的渠道,顯得更加“本土化”。2018年7月,一起特大倒賣個人信息案件被山東臨沂警方公布。在這起案件中,大量的個人隱私信息,就是通過QQ群倒賣。


        那么,這些數據最初來源何處?


        “在近幾年,源于企業‘內鬼’的數據泄露比例,正在逐漸增多?!币晃话踩珮I內人士向《今晚財訊》表示。而《財經》曾報道稱,目前已有80%的數據泄露,都是企業內部員工所為?!昂诳汀惫?,不過是數據泄露來源的冰山一角。


        而幾乎所有用戶資金和核心隱私數據比較集中的領域,無論是金融保險、工商、文娛、電信運營,還是醫療、外賣、酒店等行業,在數據最下層的生產環節,黑產的數據“搬運工”們無處不在。


        一位白帽社區負責人曾說:“我們大部分人都是在互聯網上裸奔玩耍?!钡珜嶋H上,并不只是互聯網用戶在線注冊各類網站和手機應用時的數據,才成為黑產的主要數據來源。日常生活中,你填寫的每一張快遞單據、每一條繳費登記信息,都已成為數據販們覬覦的對象。


        2017年初,央視曝光了一起數據泄露事件,包含了50億條公民數據信息,其中有不少來自京東。而據警方通報,嫌犯就是京東網絡安全部的內部網絡工程師,與盜賣個人信息的團隊相互勾結,監守自盜。


        2017年夏,浙江蒼南破獲一起蘋果“內鬼”售賣個人信息案件,共抓獲了32名倒賣蘋果國內分公司和外包公司的前員工。


        通過黑客攻擊拖庫、內部泄露和爬蟲等方式,源源不斷流出的,就是珍貴的“一手數據”。


        而通過“撞庫”,這些數據還在不斷擴大。


        360網絡安全響應中心高級安全分析師韓昊晟告訴《今晚財訊》,多數用戶為了方便,往往使用“一套密碼走天下”,但這也為黑產提供了極大的便利。當黑客利用大量已經泄露的用戶社交軟件賬號、郵箱賬號等,建立起字典表,使用軟件將其在不同的網站上不停地批量嘗試登錄,這就是“撞庫”。


        在黑灰產鏈條上,目前撞庫已經超過了木馬病毒,成為最主要的盜號方式。


        這也意味著,只要黑客拿到一個平臺上的賬號信息,在其他網站上進行嘗試,就可以“撞”出更多目標網站上的用戶密碼。


        當各種個人信息泄露的消息傳出,用戶以為自己損失的只是一些無關痛癢的平臺上的登錄信息時,卻殊不知,更為重要的資金賬戶,也可能已經“裸奔”。


        完成了這一過程后,數據用于獲利的方式,就更多了。個人信息的價格,取決于其對黑產欺詐者的可用性。


        在暗網上,根據數據的不同種類型及新鮮程度,各種手機運營商的賬戶、成熟的在線交易賬戶以及銀行登錄的賬戶,售價各不相同。


        2018年11月4日,有黑客在暗網聲稱,拿下了汽車金融平臺玖融網的所有權限以及30萬條數據,這個數據包僅以1比特幣的價格出售。


        8月,華住酒店旗下酒店的共5億條用戶信息在暗網上出售,售價僅8比特幣。按照當時的幣價,折合人民幣約37萬元。


        6月,疑似圓通的10億條個人快遞數據在暗網上兜售,已經經過了去重等數據處理,打包售價為1比特幣,驗貨費用為驗貨費用0.01比特幣。這也意味著,按照當時的幣價,買下這10億條信息只需人民幣43197元,平均每條只有0.000043元。


        根據中國裁判文書網上各類相關案件信息可見,這些倒賣信息的案犯,每條信息售價,貴的也不過幾元錢。


        2018年,天津的一起販賣信息案件中,有38萬條公民個人信息被出售,獲利不過7200元。計算起來,每條信息,也不過幾分錢。


        但數據在到達最終“客戶”之前,往往還要先經過各種中間環節。在“二道販子”們的層層加碼下,其價格也像滾雪球般,越滾越高。


        中間商,賺差價


        2011年成立的數據堂,曾經是一家很風光的大數據公司。它于2014年掛牌新三板,從此以“大數據第一股”而自居。


        2018年7月,山東警方發布通告稱,破獲一起侵犯公民個人信息案,涉案公司中,數據堂赫然在列。


        根據通告,數據堂在8個月內,日均傳輸公民個人信息1.3億條,累計數據量壓縮后達到4000GB左右,公民個人信息數百億條。


        這意味著,國內黑產數據已經進入了精細化運營的時代。如今,無論是互聯網公司的營銷需求、金融機構征信,還是各種電信與金融欺詐,對于數據尤其是精準的個人隱私數據,出現了巨大的需求。而這其中,不乏正規大數據廠商的參與。


        從黑客攻擊、撞庫、爬蟲等渠道匯聚來的龐大的公民信息,匯聚到這些“二道販子”手中,被條陳縷析,按照不同的維度進行分離、去重、篩選、整理,也就是“洗庫”之后,正式進入了銷售流程。


        打上標簽、分類整理,用戶在更多平臺上的注冊信息也被精準關聯。這時的數據價格,不同于那些早期環節的“批發價”,開始水漲船高。


        據業內人士向《今晚財訊》透露,普通的數據大概1萬條可以賣上幾百元,而經過處理的信息更詳細的數據,售價可以漲上幾十甚至上百倍。


        這是一套已經達到數據“定制化”程度的流程。


        電信詐騙犯,是此類數據最主要的買家之一。而金融類的賬號,比如銀行卡、網銀、股票以及虛擬貨幣和游戲可變現賬號等,可以直接變現或銷售給金融欺詐者。帶有用戶詳細的身份信息、電話、個人資產等相關信息的數據,則可以銷售給投資和保險機構,或者網貸中介。普通的消費類數據,一般銷售給不同的零售行業去做精準推銷。包含個人名下資產、高端酒店開房記錄、聯系方式和職業等的數據,則是勒索詐騙者的偏愛。


        這些數據按照不同的購買方的需求,不止一次地被售賣出去。而買方是誰,并不是二道販子們關心的對象。


        “只要有錢,它們可以被賣給任何人?!卑铲i(化名)對《今晚財訊》說。他現在是一名正規網絡工程師,但在“從良”之前,他也是流量灰產的一名參與者。


        灰色產業滋生


        各種渠道匯聚的數據,除了被銷售之外,還會積累成為黑客們的結構化數據庫,也就是“社工庫”。


        這些包羅萬象、全面的社工庫數據,為安鵬所從事的流量分發,以及手機黑卡、銀行卡、虛假信息買賣的灰色產業,提供了數據基礎。


        “羊毛黨”的存在早已人盡皆知,而安鵬們這樣的“流量黨”,也正成為灰產中不可忽視的一個圈子。


        作為一名程序員,安鵬所做的是中游的腳本和軟件開發。不同于那些“團隊”作戰者,他比較謹慎,一直是一個人行動。


        在各種平臺上進行虛假注冊、認證業務,需要大量非正常使用的手機卡。從上游的大卡商和號商那里,安鵬可以購買到所需的大量注冊用戶信息。


        據他透露,盡管“史上最嚴”的手機卡實名制措施曾經在一段時間讓手機黑卡業務大受打擊,但目前在大卡商那里,實名卡仍然占據著重要比例。而這些卡商,往往是通過在網上收集到大量的身份信息,從而在運營商那里批量認證拿到它們。


        極驗技術研究院負責人閆定國也向《今晚財訊》透露,在近兩年,有大量來自東南亞的手機卡,開始流入國內手機黑卡市場。這些卡大多數來自于緬甸、越南、老撾等國家,支持GSM網絡,國內可以直接使用、直接注冊微信等應用,無需實名認證。另外,在工業、物流等領域由虛擬運營商提供的物聯網卡,這些卡不需要實名認證,以企業名義辦理即可。


        此外,還有專門提供設備的貓池商存在。一個貓池設備,一般帶有八個卡池接口;其中一個卡池是128口。這也意味著,一個設備一次可以控制上千張手機卡同時注冊賬號。


        對于安鵬們而言,通過黑客盜取或撞庫得來的“老號”,有著更大的價值。在社交平臺上,“老號”資源意味著封殺率低,以及可持續獲利。隨著不同平臺對抗黑產的風控策略不斷升級,很多平臺上的老賬號也就成了圈內富有價值的資源。


        據一家安全廠商透露,在某交友平臺上的老號,一般黑市交易價格都已經在數十元左右。尤其是針對蘋果風控體系的灰產,更加需要老號。


        利用上中游開發的群控軟件,各種變現方式也“不拘一格”地被開發出來。


        微信上加好友偽裝成美女討要紅包、發送刷屏廣告、盜取賬號;為內容平臺上的公眾號和微博刷流量;薅羊毛、騙取產業促銷注冊紅包;甚至利用搞虛假賬號進行網絡賭博詐騙等等,各種各樣,不一而足。


        不少用戶發現,自己在微博和微信等社交媒體平臺上注冊的賬號,有一段時間,在自己沒有登錄的狀態下,也會自動加粉,或者關注他人。在點開微博的點贊列表后,發現自己已經為不少賬號,莫名其妙地點了贊。


        在基礎運營商的服務器上,也有正規的系統運維服務商,對之悄悄打起了主意。它們要做的,就是在業務中標后,在其服務器上植入惡意程序。極其輕松地,就可以清洗和采集用戶的cookie、訪問記錄等數據。


        2018年7月,根據警方通報,大數據營銷公司睿智華勝利用非法竊取的用戶信息,進行互聯網營銷變現,與全國11個省市的運營商簽署過合作協議,其非法獲取的數據涉及騰訊、百度、阿里、新浪、今日頭條等96家互聯網公司的產品。


        我們無處藏身


        王靜在自己四線城市的老家,見到很多社區或超市里,有推銷人員在發放雞蛋、食油等商品,“只要登記下手機號碼,表示是自愿領取就可以了”。


        有些禁不住免費商品誘惑的路人,在領取時故意用模糊掉的手機號碼登記,認為這樣就萬無一失了。


        然后,他們不知道的是,為了應對不同的應用平臺上的“刷臉”以及活體檢測,一項新生的“過臉產業”已經出現。很大程度上,王靜們可能已經成為其中的利用對象。


        “用戶在登記時,他們的照片和動態視頻,就已經被隱藏的攝像設備收集完畢?!遍Z定國說。


        為了獲得這些,付出的成本不過是幾個雞蛋而已。


        為了防止黑產批量對賬戶密碼進行測試,不同的應用平臺都動足了腦筋。無論是撞庫還是注冊賬號,都要面臨的平臺最常用的防范手段之一,就是“驗證碼”。


        而產業鏈中另一個主要環節應運而生,那就是打碼平臺。在12306等應用平臺上,用戶要多次才能識別出的圖片驗證碼,這收到了大量吐槽。


        但實際上,依靠廉價的勞動力,黑產商正在解決圖像識別的問題。人工的打碼工人,通過不斷登錄,獲取驗證碼圖片,并對之進行標注。在幾天內,全部的驗證碼圖片即可被標注完畢,被注冊軟件識別。


        認證時需要的身份證照片,也可通過各種方式被大量收集。


        隨著人臉識別技術的日漸成熟,“刷臉”以及活體檢測,正在成為金融、電信等互聯網領域注冊登錄的主要驗證方式。而與之相對應的是,黑灰產的AI能力也在不斷提高。


        “在這個圈子里,互相‘交流’攻防經驗、提高技術水平,也是件常事?!卑铲i說。


        幾位安全行業人士都向《今晚財訊》透露,利用PS等工具,可以制作出一張帶背景的人臉圖,再通過動態視頻軟件,完成簡單的眨眼等動作的視頻即可生成。


        對于這些反人臉動態識別工具,《今晚財訊》發現,它們在普通的電商網站上即可檢索得到,價格一般不超過百元。


        但令人無奈的是,面對這一局勢,多數人卻束手無策。


        在2017年,《網絡安全法》公布。司法解釋明確規定了入罪的10種情形,包括包括非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息50條以上的;非法獲取、出售或提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息500條以上的等。


        不過,騰訊在2018年發布的《互聯網賬號惡意注冊黑色產業治理報告》中指出,惡意注冊賬號,正成為金融、電商、生活服務、社交、內容等場景中,互聯網公司們安全風控的重點。然而,對于惡意注冊這種行為,現行的法律還沒有直接的規定。


        因此,大量黑產人員,游走在這個灰色地帶,規避了刑事責任。


        而對于大多數不懂如何防范的網絡用戶來說,在如今的互聯網上,在黑產陰影之下,已經無處藏身。

        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精