30人团伙贩卖6亿条个人信息的背后暗藏了哪些黑产技术
前言:据2021年1月24日国内新闻媒体报道,江苏镇江丹阳警方成功侦破一起公安部督办的侵犯公民个人信息案,涉及10多个省市,抓获犯罪嫌疑人30名。
该团伙采用境外聊天工具和区块链虚拟货币收付款,共贩卖个人信息6亿余条,违法所得800余万元。犯罪嫌疑人已被移送检察机关。
因此,30人团伙贩卖6亿条个人信息获利800余万的个人隐私泄露事件也再度引起了国内政府、警方的聚焦。个人信息泄露已经严重侵害公民财产安全以及大家的合法权益。为了追查犯案源头,国内四大部门准备强强联手来打击这些犯罪团伙,追查个人信息不法利益链的源头。
在今年的3月22日,由国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),自2021年5月1日起施行。
在此《规定》内容中划定了网络支付、网络借贷类、投资理财、手机银行等39种常见类型App的必要个人信息范围,并明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
说到这,不免让小编有些好奇,除了APP对于个人隐私信息收集进行贩卖以外,是否还有其他的黑产技术获取个人信息呢?
其实,黑产相关技术虽然并不属于以上金融科技银行App类的范畴,但是它伴随金融科技而生,并且对个人隐私产生非常严重的危害。在30人团伙贩卖6亿条个人信息的背后到底还暗藏了哪些黑产技术?
今天,小编就带大家来扒一扒。
一、木马及病毒
目前危害最大的方式仍然是木马和病毒,通过这种方式,攻击者可以控制或损害用户的设备,造成用户的直接资产损失或通过勒索达到目的。
比如:PC端通常利用恶意网站、垃圾邮件、U盘中附带的恶意程序来达到控制用户设备的目的,手机端则是通过恶意App、恶意网站(或二维码)或者直接通过充电线连接手机(通常通过免费手机充电等设备实施攻击),引诱用户打开USB调试模式,进行攻击。造成直接资产损失的案例数不胜数,通过勒索达到目的的案例有臭名昭著的比特币勒索病毒WannaCry。
二、中间人攻击
随着用户安全意识的提高,木马及病毒的侵入也逐渐降低了成功率,中间人攻击则更容易达到效果。
中间人攻击(英语:Man-in-the-middle attack,缩写:MITM)在密码学和计算机安全领域中,是指攻击者与通讯的两端分别建立独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。
通过中间人攻击,黑客可以在不被用户感知的情况下,轻松的到获取用户的隐私信息,包括但不限于:姓名、证件号、密码、短信验证码、金融账户信息、照片等等,攻击手段多种多样。
比如:
通过虚假Wi-Fi,受害者设备连接后上网流量对攻击者透明,如果有网站使用明文传输卡号、密码等信息,则会被攻击者截获。
伪基站+短信嗅探,通过伪基站“吸附”2G状态的手机,并嗅探对应手机接收到的所有短信。
像目前很多金融、支付类App,为了提升用户体验,小额支付通常采用免密或短信验证码单因素验证,加上反欺诈规则薄弱,无法识别陌生设备登录,黑产可以通过小额多次交易来盗刷客户的账户。
钓鱼网站,通过模拟一个和真实的银行网银一模一样的虚假网站,引诱用户输入账号、登录密码、交易密码、短信验证码,同时将相关信息填入真正的银行网站,转账给目标账户,达到盗取客户资产的目的。钓鱼网站从界面上与原版网站完全一致,区分方法主要是通过网址,黑产通常也会把网址设置为与原版网站高度一致,比如http://www.1001O.com。
例如:今年3月虚拟币交易所币安被攻击,也是通过钓鱼网站开始的。
图为:币安的钓鱼网站
三、社会工程学
如果说通过以上一、二的手段仍然无法获取足够的信息,此时就要借助社会工程学来进行进一步的攻击。
在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。
在社会工程学的开山鼻祖凯文·米特尼克的《欺骗的艺术》一书中,举了一个社会工程学的经典案例,负责开发电汇交易备份系统的斯坦利·马克·瑞夫金偷看到了电汇交易员为了图省事写在纸片上的交易密码,随后通过伪装成银行工作人员像电汇交易员发起汇款指令,获利超过一千万美元。
像现在的系统复杂度已经不可能通过以上的方法进行破解,那么社会工程学的思路则充分体现了这点,即利用人的认知偏差,让受害者自行提供相关的敏感信息。
比如:常见的电信诈骗,利用人们畏惧权威的心理,攻击者通过伪装成法院、公安人员,威胁受害者转账到指定账户,或伪装成高校老师,威胁受害学生转学费到指定账户等,通常目标是青少年和中老年。
为了利用人们一套密码多处使用的习惯,黑客建立了很多“社工库”,通过社工库可以查询被泄露的网站用户名密码,获取这些隐私数据的过程叫做“拖库”,使用这些用户名密码尝试登陆其他网站的过程叫做“撞库”,如果客户使用一套用户名密码登陆多个网站,则容易被撞库攻击,并且获取多个网站的相关信息,可能包含姓名、手机号、邮箱地址、证件号、金融账户信息等等,造成难以估量的损失。
小编在这里举一个社工库的例子,为了避免造成不好的影响,具体地址我就不放了,大家可以在搜索引擎里尝试搜索。里面包含了几次比较重大的数据泄露事件泄露出的数据,其中包括某易邮箱,某商城和某书城看链接名字就能猜到(某东和某当),大家可以尝试用一个非敏感信息查询,比如邮箱或账号,看看自己的数据是否被泄露过,比较麻烦的是密码,如果看到自己的邮箱关联出一个常用明文密码,尽快把所有用过这个密码的地方都改掉。
在这里需要注意的是,这个网站本身就可能钓鱼,比如,同一IP、Cookie,查询了一套姓名、手机号、邮箱,这本身就是一套用户主动泄露的隐私,这也是为什么数据玩家建议大家用非敏感信息来查询。风险常在,警钟长鸣。
图为:某社工库
小编在此为大家简单总结一下关于社工库撞库的路径:
网站客服QQ→社工库获取密码→密码为常用密码被彩虹表破解→密码推测常用ID→全网搜索ID→获取常用QQ→腾讯微博获取身份证号(关键)→邮箱作为支付宝账号获取姓名→黑产工具通过二要素获取身份证照片→黑产工具获取手机号→QQ号域名反查获取个人网站→个人网站原图获取EXIF信息→EXIF信息获取GPS定位→完成。
对于以上三种黑产技术分析,大家设想一下,如果犯罪份子利用这些黑产技术来做其他事情呢?比如:伪装亲友借钱、诈骗、赌博引流等等。。。。毕竟你的信息对方一清二楚。也可能在未来还会有层出不穷的骗局出现,个人信息泄露的风险隐患将无处不在。
因此,最关键的还是在源头保护好自己的隐私,防止自己的隐私数据在黑市上流转。下一篇文章小编为大家来探讨一下到底该如何保护自己的个人隐私安全问题。