2018最准的特马网站 免费
您現在的位置:首頁 > 正文

“網絡黑產”陰影下如何保護個人信息?

日期:2019-12-18 【 來源 : 新民周刊 】 閱讀數:0
閱讀提示:監管與黑產是一個長期斗爭,法律層面還需從哪方面補足?
作者|吳 雪

  

  “能不能別幫我值機,我機票都刷不出來了。”11月4日,藝人李汶翰更新了微博,吐槽個人信息被泄露一事。顯然,有粉絲購買了李汶翰的身份證信息,幫他在網上“值機”選座位,且不止一人這么做,才會導致機票信息被鎖定,票證信息無法顯示。

  李汶翰的苦惱,同樣發生在普通人中間,“信息泄露”的無形之手無孔不入,售賣個人信息只是冰山一角。當你剛剛跨境大額消費,手機立馬接到貸款、理財等推銷電話;和好友沉浸在游戲里刷夜開黑,突然手機彈出自動扣款信息;甚至,無論等候多提前、操作多快,網上掛號、秒殺產品通通與你絕緣……

  生活中看似毫無破綻的小事,實際背后暗藏玄機。2019年國家網絡安全宣傳周上,有專家指出,數據非法售賣、瀏覽器主頁劫持、惡意程序等違法行為背后,暗藏著一條長長的網絡黑色產業鏈,統稱為“網絡黑產”。據《電子商務生態安全白皮書》顯示,數十億對賬號密碼關系被地下黑色產業鏈掌握,被用來進行黑色交易,衍生出電信詐騙、虛假注冊認證、虛假交易等違法獲利行為。

  更驚人的是,根據測算,中國“網絡黑產”從業人員已超過150萬,他們專業化程度高,成組織化、公司化運作,分布在國內及東南亞等海外地區,市場規模高達千億元級別。而我們每個人,每一天都在遭受著網絡黑產的攻擊,據不完全統計,僅2016年在黑市上泄露的個人信息就達到65億條次,我國平均每個人的個人信息被至少泄露了5次。

  一直被嚴打,始終難根除。面對日益猖獗、方法手段不斷翻新的網絡黑產,如何才能實現有效治理,個人信息保護利用的界限在哪里?監管與黑產是一個長期斗爭,法律層面還需從哪方面補足?華東政法大學大數據政策法律研究中心主任高富平在接受《新民周刊》采訪時表示,目前打擊信息犯罪的技術手段已經很成熟,但真正的解決之道并不止于此。


謀暴利:“網絡黑產”抱團運作


  漏洞銀行聯合創始人、CTO張雪松在接受《新民周刊》采訪時表示,網絡黑產分為不同環節和階段,站在一個黑產鏈條上來說,中上游先負責手機黑產資源、定制平臺、賬號、木馬病毒等做基礎和工具,下游則將黑產活動“成果”進行交易變現,譬如,羊毛黨、網賺黨、打碼黨就是執行變現動作的人。

  張雪松認為,通常,源頭上獲取個人信息的途徑有兩種。首先通過黑客黑掉網站,獲取用戶名、密碼及賬號權限,行業內稱之為“社工庫”,接著拿這些信息進行“撞庫”,試試是不是同一個用戶名和密碼,從而一舉攻下支付寶、微信、郵箱等平臺的信息,或者通過劫持網絡wifi,盜取大型網站信息庫,一夜之間賺取幾百萬、幾千萬元。

  其次,個人信息還可通過外采得到。張雪松透露,目前市面上某些不陽光的數據公司,表面上做信息安全業務,私下卻在搞“買盒子”“買信封”的信息交易。“他們有一個很全的總庫,專門做數據生意。比如,一個信封包著一個賬號,一個盒子則包含幾百個賬號,價格上一手比較高,最貴達到幾毛一個,如果幾百萬、幾千萬地批量購買,價格可低至2分錢。”

  “黑賬號”的接盤對象正是黑產從業者,在一家專門批發微信號的網站,記者注意到,號商針對不同從業者需求將微信號分為國內號、國外號、私人號、滿月號、站街號等。比方說,涉賭者怕被封號,需要買一個新微信號,最低一檔35元;色情行業則購買“站街號”,240元,因注冊時間長、發過朋友圈,就算發布精確位置,也能輕松躲過平臺風控監管。

  由于使用時間越長、越像正常的微信賬號,越不容易被人察覺。一些洗錢詐騙集團為了把錢洗白,則需要用到大批量帶有支付功能的微信號。這就在下游衍生出一個專門對微信號進行美化的“養號”產業。

  2019年6月,在廣東警方破獲的一處微信號商工作室,號商給幾百臺正在養號的手機,安裝上觸控精靈,將數據放在電腦腳本,通過后臺指令手機每天自動登陸微信、掃碼添加好友,發朋友圈。近期最典型的“殺豬盤”正是利用虛擬賬號進行的網絡戀愛賭博騙局。詐騙者通過微信、世紀佳緣、珍愛網、探探等社交賬號,長期與受害者交往,為達到一定量級,號商還會向客戶提供“定制服務”,在程序中輸入指定圖片、文字做出與人設相匹配的回復。

  如果遇到用戶注冊登錄時,需要實名制、輸入手機實時驗證碼的情況,上游“卡商”完備的生態鏈也可幫助輕易搞定,據一位從業多年的卡商透露,一些接碼平臺甚至入駐微信,黑產人員只需通過卡商和接碼平臺即可獲得驗證碼,再利用自動化程序工具,完成整個流程。“目前我自己手里握有幾百萬張手機SIM卡,可為上萬個平臺、網站提供服務。”

  與黑賬號不同,黑軟件實施違法行為最關鍵的角色就是黑客,以黑產活躍的游戲領域為例,黑客通常會對知名App做二次打包,將木馬程序插入安裝包,掛在各大網站供免費下載,只要用戶下載了軟件,手機自然就會被黑客操縱,進行暗扣話費、刷流量、盜號圈錢等非法行為,甚至復制仿冒銀行等大型App,引誘用戶提供賬號密碼等敏感信息,進而利用釣魚網站竊取受害人資產。

  黑客也瞄準了App的廣告收益,一般來講,App用了廣告聯盟的插件計算流量進行廣告分成。“一個瀏覽幾毛錢或幾元錢,一天上下好幾百萬元的廣告收益。在交易過程中,黑客會做成木馬小游戲嵌入其中,污染軟件并將廣告收益賬號篡改為黑客自己的賬號,從中劫持絕大部分廣告收益分成。”張雪松說。

  除了黑賬號、黑軟件的肆意猖獗,惡意平臺也是互聯網黑灰產業鏈鏈接上下游的運轉核心。據調查,各類資源、工具以及犯罪手段、經驗,都需要通過“惡意平臺”來交流、運轉。目前,惡意平臺分為三類,惡意網站、惡意論壇和惡意群組。以空包交易平臺為例,賣家為提高店鋪信譽,聯合刷手(刷單平臺)進行虛假交易時,產生大量非真實的快遞訂單;惡意論壇則將黑灰產技術、信息賣家與買家聚集在一起,用于存放著大量黑灰產更新資源,成為黑灰產滋生各種犯罪行為的溫床。

  有案例報道,一個論壇管理員在一個月內通過論壇發布付費教程,非法牟利了近10萬元。張雪松提醒,只要脫離幾個大牌的App或平臺,原則上都應該謹慎。“像趣步涉嫌金融詐騙被立案調查,根本上是拉人頭傳銷,包裝得很前衛,做得也很隱晦,還會和網貸、理財、選股、棋牌等非法網站平臺合作,一茬茬地割韭菜。”

  據阿里安全歸零實驗室統計,2018年活躍的專業技術黑灰產平臺多達數百個。服務專業化使得犯罪技術更加平民化,低廉價格也使得黑灰產技術犯罪的成本逐步降低。


找漏洞:技術解決不了全部問題


  張雪松接觸過各行各業的黑產案例,至今擁有10年網絡安全研究經驗。他認為,徹底打破網絡黑產鏈條,應該從上游“個人信息如何獲取”層面上著手解決。而處在互聯網技術極速發展的今天,如何鏟除“黑賬號”生長的土壤,恰恰是掐斷源頭的關鍵。

  “個人信息失守的核心在于漏洞,黑客的技術正是嫁接在漏洞之上,利用漏洞實現更多權限謀取暴利。”張雪松說,漏洞銀行的初衷就是通過眾包模式為企業客戶尋找漏洞,幫助其用低成本建立起 SRC(安全響應)中心。

  簡言之,就是在社區里聚集一群“白帽子”,讓這些“白帽子”解決企業提出的安全檢測需求。“根據安全漏洞大小和數量,對白帽展開定價懸賞,金額從幾千元到十余萬元不等。”張雪松說,截至目前,平臺已有近千家企業和3萬余名白帽入駐“漏洞銀行”。

  當企業遭遇黑客攻擊時,這群白帽將從“管理漏洞、邏輯漏洞、技術漏洞、機制漏洞、防護漏洞”幾個方面找問題。以管理漏洞為例,最經典的攻擊方式就是客服攻擊,因為有很多網站提供了客服人工的密碼修改、賬號忘記等申訴,黑客通過收集大量被攻擊者的信息,利用社會工程學的方法,讓客服把目標賬號的密碼重置,從而獲得重要賬號。

  張雪松舉例,有一個“1元購iPhone”的案例,是明顯的邏輯漏洞。“當時網站開發時,企業沒有很好的流程設計,黑客通過篡改付費訂單數據包,在傳輸過程中將999的價格改為1元,發送訂單給客戶,最后真的購買成功了。”張雪松說,我們在測試時建議這家企業,必須做二次驗證和比對,防止薅羊毛行為發生。

  《2018網絡黑灰產治理研究報告》(以下簡稱:《報告》)也剖析了治理網絡黑產的新方法。2017年下半年,阿里巴巴釣魚網站檢測系統開始對已知風險進行及時防控阻斷,2018上半年各釣魚風險呈下降趨勢,電商類欺詐下降94%,公檢法欺詐下降48.9%。

  對于“拖庫”、“撞庫”等多種網絡犯罪行為,《報告》指出,阿里安全專門進行了日常化布防和攔截,一旦發生拖庫撞庫,從數據上就能感知。阿里巴巴數據顯示,目前其識別出的機器行為彈出打擾率已控制在極低范圍內。同時,阿里巴巴DDoS防御系統也已覆蓋了阿里整體生態業務,僅2017年就累積防御了2400多次攻擊。

  那么,除了第三方安全機構,平臺、用戶、供應商該如何系統性地防范黑產攻擊風險?張雪松認為,從企業安全角度分析,一方面企業要建立用戶行為的分析監控措施,對于不活躍、異常的用戶進行降級、降權處理,甚至通過深度認證、條件鎖定、手勢刷臉等方式聯動規避,比如羊毛黨賬號,通常會有“集中性”“批量化”等通用規律,篩選出來,標記為異常賬號,定期監控從而提高安全性。

  當然,企業在做個人信息處理時,還可分別存儲、隔離,將身份信息和其他可識別信息,區分開來,降低危險系數。比如,一些大平臺已經采取“虛擬號隱藏”“騷擾號屏蔽”的方法了,但在高富平教授看來,打擊黑灰產的關鍵仍在于,各方一定要把自己的員工管好,防止“內鬼”。

  “如果沒有內鬼泄露信息,黑客純粹是少數,像騰訊、阿里等大平臺對數據看得很緊,但因合作的產業鏈條很長,真正泄露的環節還是在合作伙伴。”高富平說,一旦數據交給合作伙伴,就會失控,單靠遵循法律及合同,本質上是一個不確定的事情。

  據媒體報道,2018年破獲的一起驗證碼黑產案件中,網絡黑灰產團伙就涉及與廣西、貴州、四川等多省份運營商“內鬼”勾結,利用未投入市場未激活的“空號卡”,搭建平臺連通運營商服務器用以注冊賬號、收發驗證碼。而這類運營商如果能被打掉的話,對于黑產來說,無疑是“斬首行動”。

  站在用戶角度,為防止賬號泄露,要養成良好的上網習慣。比如不輕易注冊賬號、不要一個賬號登錄多個網站、公眾wifi不要亂用、密碼要定期修改等。此外,準備一個保護身份,在不重要的網站登錄時,使用虛假身份、虛假姓名等,有必要時,還可準備一個副號,對外提供副號,從源頭上就可做好信息安全篩選的第一關。


補法規:重新定義個人信息流通界限


  既然防范的技術已經十分成熟,網絡黑產為何仍然屢禁不止,無法徹底鏟除?

  高富平教授分析,除了技術層面對隱私的保護多集中在防范層面外,根源問題還在于整個社會的個人隱私文化的缺失。新浪曾發起一個微博投票,話題是關于百度CEO李彥宏的觀點“中國人愿意用隱私換便利,你認可嗎?”,投票結果有高達82.4%的人認為“我的隱私不容任何侵犯”。但實踐證明,中國網民對個人隱私的保護意識往往是缺乏的,排除App供應商以無法正常使用App而逼迫用戶同意隱私條款的情況,多數用戶就算點擊了“同意”,也會出于懶、省事,鮮少點開細究其中的條文細則,這必然會導致源頭上的失控。

  另一個根源在于當前經濟轉型發展,提倡“萬眾創新、大眾創業”,在數據驅動的時代背景下,人工智能、數據經濟等新概念產生,并基于客戶信息的整合分析,重新定義商業模式,信息必然是其中重要一環。

  “這就產生了強大的需求,尤其一些創業公司,正是建立在不擇手段地獲取數據的基礎上,一輪輪融資做大,最終形成大數據資產,但大多都倒在了上市的路上。”那么在個人隱私文化缺失,又無法忽略社會需求十分旺盛的背景下,個人信息如何規避網絡黑產的侵害?

  回答這個問題之前,必須首先精準了解“網絡黑產”的兩大類。一類是黑產,非法獲取、販賣個人信息,進而非法獲利甚至用于欺詐等行為,目的不合法,行為不合法,形式上也完全違法,需嚴厲打擊;另一類是灰產,獲取個人信息可能不合法,但他從別人手里買來后,用于商業目的、經營行為,這些行為本身又是合法的,灰產則亟待規制。

  基于此,黑灰產應該分開打擊或規制,而我國目前的法律條文,并未達到理想狀態且存在一定漏洞。2016年11月通過的《網絡安全法》規定,搜集使用個人信息都必須經過個人同意。個人同意規則成為收集使用個人信息一律要遵循的一般性規則。

  但問題是,那么多的個人信息未經授權被使用,你告過誰侵權嗎?顯然沒有,執法機構也同樣會存在“普遍違法、選擇性執法”的困惑,“打擊面過寬,不具體,如果公安機關認真執法,很多企業會被查出非法獲取信息的問題,只能靠嚴打,每年多次突擊檢查等方式來處罰。”

  高富平認為,網絡黑產鏈條最大的危害是,公民身份證、微信、電話、地址等個人身份信息被濫用。從源頭上看,如果我們把身份信息保護好,不隨意流通,詐騙風險就會相對小很多。但個人信息是社會活動中的自然生態,不由個人單獨創造和控制。如果你不是生活在魯濱遜島上,就必然要允許個人信息的正常流通。

  “國家應該制定一部個人信息保護法,重新梳理,把個人信息流通利用的規則確立起來,在個人信息立法上,應主要解決以下問題:在什么情形下能搜集多少信息;怎么樣使用;在使用的過程中能保存多少時間,是永久地保存,還是有刪除的權利等等。”

  目前,利用大數據、人工智能等進行新的商業探索,如同過去傳統發郵件一樣,只要保護好信息,根據各自的行業特征,隔離范圍內正確利用信息數據,將是一個趨勢,也是人們必須要面對和接受的事實。“現在流行個性化分析的用戶畫像,如果平臺基于用戶ID的基本信息,進行一些商品的推送,非及時通訊,是可以被允許的。”高富平舉例。

  反觀2018年歐盟發布的《統一數據保護條例》,以個人控制個人信息為基礎構建的一套體系,本質上來說,忽略了個人信息在社會流通中的使用場景和重要性,完全不適應時代的需要,也限制了社會發展與進步。今天,我們處在一個十字路口,要重新抉擇保護個人信息的界限到底在哪。

編輯推薦
精彩圖文
俱樂部專區 / CLUB EVENT
2018最准的特马网站 免费
装修行业卖什么最赚钱 湖北十一选五 多乐彩票网站 围棋棋谱直播 山东体彩手机在线app 上海快三开今天结果 双色球复式6+1投注表 大赢家即时比分...即时比分90 十大良心卡牌手游 江苏时时彩开奖