上图:见猎心喜的薅羊毛头目。 漫画/崔泓
下图:2019年6月,在广东警方破获的一处微信号商工作室,号商给几百台正在养号的手机,安装上触控精灵,将数据放在电脑脚本,通过后台指令手机每天自动登陆微信、扫码添加好友,发朋友圈。
上图:与黑账号不同,黑软件实施违法行为最关键的角色就是黑客。
上图:非法获取、贩卖个人信息的网络黑产需严厉打击。
监管与黑产是一个长期斗争,法律层面还需从哪方面补足?
记者|吴 雪
“能不能别帮我值机,我机票都刷不出来了。”11月4日,艺人李汶翰更新了微博,吐槽个人信息被泄露一事。显然,有粉丝购买了李汶翰的身份证信息,帮他在网上“值机”选座位,且不止一人这么做,才会导致机票信息被锁定,票证信息无法显示。
李汶翰的苦恼,同样发生在普通人中间,“信息泄露”的无形之手无孔不入,售卖个人信息只是冰山一角。当你刚刚跨境大额消费,手机立马接到贷款、理财等推销电话;和好友沉浸在游戏里刷夜开黑,突然手机弹出自动扣款信息;甚至,无论等候多提前、操作多快,网上挂号、秒杀产品通通与你绝缘……
生活中看似毫无破绽的小事,实际背后暗藏玄机。2019年国家网络安全宣传周上,有专家指出,数据非法售卖、浏览器主页劫持、恶意程序等违法行为背后,暗藏着一条长长的网络黑色产业链,统称为“网络黑产”。据《电子商务生态安全白皮书》显示,数十亿对账号密码关系被地下黑色产业链掌握,被用来进行黑色交易,衍生出电信诈骗、虚假注册认证、虚假交易等违法获利行为。
更惊人的是,根据测算,中国“网络黑产”从业人员已超过150万,他们专业化程度高,成组织化、公司化运作,分布在国内及东南亚等海外地区,市场规模高达千亿元级别。而我们每个人,每一天都在遭受着网络黑产的攻击,据不完全统计,仅2016年在黑市上泄露的个人信息就达到65亿条次,我国平均每个人的个人信息被至少泄露了5次。
一直被严打,始终难根除。面对日益猖獗、方法手段不断翻新的网络黑产,如何才能实现有效治理,个人信息保护利用的界限在哪里?监管与黑产是一个长期斗争,法律层面还需从哪方面补足?华东政法大学大数据政策法律研究中心主任高富平在接受《新民周刊》采访时表示,目前打击信息犯罪的技术手段已经很成熟,但真正的解决之道并不止于此。
谋暴利:
“网络黑产”抱团运作
漏洞银行联合创始人、CTO张雪松在接受《新民周刊》采访时表示,网络黑产分为不同环节和阶段,站在一个黑产链条上来说,中上游先负责手机黑产资源、定制平台、账号、木马病毒等做基础和工具,下游则将黑产活动“成果”进行交易变现,譬如,羊毛党、网赚党、打码党就是执行变现动作的人。
张雪松认为,通常,源头上获取个人信息的途径有两种。首先通过黑客黑掉网站,获取用户名、密码及账号权限,行业内称之为“社工库”,接着拿这些信息进行“撞库”,试试是不是同一个用户名和密码,从而一举攻下支付宝、微信、邮箱等平台的信息,或者通过劫持网络w ifi,盗取大型网站信息库,一夜之间赚取几百万、几千万元。
其次,个人信息还可通过外采得到。张雪松透露,目前市面上某些不阳光的数据公司,表面上做信息安全业务,私下却在搞“买盒子”“买信封”的信息交易。“他们有一个很全的总库,专门做数据生意。比如,一个信封包着一个账号,一个盒子则包含几百个账号,价格上一手比较高,最贵达到几毛一个,如果几百万、几千万地批量购买,价格可低至2分钱。”
“黑账号”的接盘对象正是黑产从业者,在一家专门批发微信号的网站,记者注意到,号商针对不同从业者需求将微信号分为国内号、国外号、私人号、满月号、站街号等。比方说,涉赌者怕被封号,需要买一个新微信号,最低一档35元;色情行业则购买“站街号”,240元,因注册时间长、发过朋友圈,就算发布精确位置,也能轻松躲过平台风控监管。
由于使用时间越长、越像正常的微信账号,越不容易被人察觉。一些洗钱诈骗集团为了把钱洗白,则需要用到大批量带有支付功能的微信号。这就在下游衍生出一个专门对微信号进行美化的“养号”产业。
2019年6月,在广东警方破获的一处微信号商工作室,号商给几百台正在养号的手机,安装上触控精灵,将数据放在电脑脚本,通过后台指令手机每天自动登陆微信、扫码添加好友,发朋友圈。近期最典型的“杀猪盘”正是利用虚拟账号进行的网络恋爱赌博骗局。诈骗者通过微信、世纪佳缘、珍爱网、探探等社交账号,长期与受害者交往,为达到一定量级,号商还会向客户提供“定制服务”,在程序中输入指定图片、文字做出与人设相匹配的回复。
如果遇到用户注册登录时,需要实名制、输入手机实时验证码的情况,上游“卡商”完备的生态链也可帮助轻易搞定,据一位从业多年的卡商透露,一些接码平台甚至入驻微信,黑产人员只需通过卡商和接码平台即可获得验证码,再利用自动化程序工具,完成整个流程。“目前我自己手里握有几百万张手机SIM卡,可为上万个平台、网站提供服务。”
与黑账号不同,黑软件实施违法行为最关键的角色就是黑客,以黑产活跃的游戏领域为例,黑客通常会对知名App做二次打包,将木马程序插入安装包,挂在各大网站供免费下载,只要用户下载了软件,手机自然就会被黑客操纵,进行暗扣话费、刷流量、盗号圈钱等非法行为,甚至复制仿冒银行等大型App,引诱用户提供账号密码等敏感信息,进而利用钓鱼网站窃取受害人资产。
黑客也瞄准了App的广告收益,一般来讲,App用了广告联盟的插件计算流量进行广告分成。“一个浏览几毛钱或几元钱,一天上下好几百万元的广告收益。在交易过程中,黑客会做成木马小游戏嵌入其中,污染软件并将广告收益账号篡改为黑客自己的账号,从中劫持绝大部分广告收益分成。”张雪松说。
除了黑账号、黑软件的肆意猖獗,恶意平台也是互联网黑灰产业链链接上下游的运转核心。据调查,各类资源、工具以及犯罪手段、经验,都需要通过“恶意平台”来交流、运转。目前,恶意平台分为三类,恶意网站、恶意论坛和恶意群组。以空包交易平台为例,卖家为提高店铺信誉,联合刷手(刷单平台)进行虚假交易时,产生大量非真实的快递订单;恶意论坛则将黑灰产技术、信息卖家与买家聚集在一起,用于存放着大量黑灰产更新资源,成为黑灰产滋生各种犯罪行为的温床。
有案例报道,一个论坛管理员在一个月内通过论坛发布付费教程,非法牟利了近10万元。张雪松提醒,只要脱离几个大牌的App或平台,原则上都应该谨慎。“像趣步涉嫌金融诈骗被立案调查,根本上是拉人头传销,包装得很前卫,做得也很隐晦,还会和网贷、理财、选股、棋牌等非法网站平台合作,一茬茬地割韭菜。”
据阿里安全归零实验室统计,2018年活跃的专业技术黑灰产平台多达数百个。服务专业化使得犯罪技术更加平民化,低廉价格也使得黑灰产技术犯罪的成本逐步降低。
找漏洞:
技术解决不了全部问题
张雪松接触过各行各业的黑产案例,至今拥有10年网络安全研究经验。他认为,彻底打破网络黑产链条,应该从上游“个人信息如何获取”层面上着手解决。而处在互联网技术极速发展的今天,如何铲除“黑账号”生长的土壤,恰恰是掐断源头的关键。
“个人信息失守的核心在于漏洞,黑客的技术正是嫁接在漏洞之上,利用漏洞实现更多权限谋取暴利。”张雪松说,漏洞银行的初衷就是通过众包模式为企业客户寻找漏洞,帮助其用低成本建立起 SRC(安全响应)中心。
简言之,就是在社区里聚集一群“白帽子”,让这些“白帽子”解决企业提出的安全检测需求。“根据安全漏洞大小和数量,对白帽展开定价悬赏,金额从几千元到十余万元不等。”张雪松说,截至目前,平台已有近千家企业和3万余名白帽入驻“漏洞银行”。
当企业遭遇黑客攻击时,这群白帽将从“管理漏洞、逻辑漏洞、技术漏洞、机制漏洞、防护漏洞”几个方面找问题。以管理漏洞为例,最经典的攻击方式就是客服攻击,因为有很多网站提供了客服人工的密码修改、账号忘记等申诉,黑客通过收集大量被攻击者的信息,利用社会工程学的方法,让客服把目标账号的密码重置,从而获得重要账号。
张雪松举例,有一个“1元购iPhone”的案例,是明显的逻辑漏洞。“当时网站开发时,企业没有很好的流程设计,黑客通过篡改付费订单数据包,在传输过程中将999的价格改为1元,发送订单给客户,最后真的购买成功了。”张雪松说,我们在测试时建议这家企业,必须做二次验证和比对,防止薅羊毛行为发生。
《2018网络黑灰产治理研究报告》(以下简称:《报告》)也剖析了治理网络黑产的新方法。2017年下半年,阿里巴巴钓鱼网站检测系统开始对已知风险进行及时防控阻断,2018上半年各钓鱼风险呈下降趋势,电商类欺诈下降94%,公检法欺诈下降48.9%。
对于“拖库”、“撞库”等多种网络犯罪行为,《报告》指出,阿里安全专门进行了日常化布防和拦截,一旦发生拖库撞库,从数据上就能感知。阿里巴巴数据显示,目前其识别出的机器行为弹出打扰率已控制在极低范围内。同时,阿里巴巴DDoS防御系统也已覆盖了阿里整体生态业务,仅2017年就累积防御了2400多次攻击。
那么,除了第三方安全机构,平台、用户、供应商该如何系统性地防范黑产攻击风险?张雪松认为,从企业安全角度分析,一方面企业要建立用户行为的分析监控措施,对于不活跃、异常的用户进行降级、降权处理,甚至通过深度认证、条件锁定、手势刷脸等方式联动规避,比如羊毛党账号,通常会有“集中性”“批量化”等通用规律,筛选出来,标记为异常账号,定期监控从而提高安全性。
当然,企业在做个人信息处理时,还可分别存储、隔离,将身份信息和其他可识别信息,区分开来,降低危险系数。比如,一些大平台已经采取“虚拟号隐藏”“骚扰号屏蔽”的方法了,但在高富平教授看来,打击黑灰产的关键仍在于,各方一定要把自己的员工管好,防止“内鬼”。
“如果没有内鬼泄露信息,黑客纯粹是少数,像腾讯、阿里等大平台对数据看得很紧,但因合作的产业链条很长,真正泄露的环节还是在合作伙伴。”高富平说,一旦数据交给合作伙伴,就会失控,单靠遵循法律及合同,本质上是一个不确定的事情。
据媒体报道,2018年破获的一起验证码黑产案件中,网络黑灰产团伙就涉及与广西、贵州、四川等多省份运营商“内鬼”勾结,利用未投入市场未激活的“空号卡”,搭建平台连通运营商服务器用以注册账号、收发验证码。而这类运营商如果能被打掉的话,对于黑产来说,无疑是“斩首行动”。
站在用户角度,为防止账号泄露,要养成良好的上网习惯。比如不轻易注册账号、不要一个账号登录多个网站、公众w ifi不要乱用、密码要定期修改等。此外,准备一个保护身份,在不重要的网站登录时,使用虚假身份、虚假姓名等,有必要时,还可准备一个副号,对外提供副号,从源头上就可做好信息安全筛选的第一关。
补法规:重新定义个人信息流通界限
既然防范的技术已经十分成熟,网络黑产为何仍然屡禁不止,无法彻底铲除?
高富平教授分析,除了技术层面对隐私的保护多集中在防范层面外,根源问题还在于整个社会的个人隐私文化的缺失。新浪曾发起一个微博投票,话题是关于百度CEO李彦宏的观点“中国人愿意用隐私换便利,你认可吗?”,投票结果有高达82.4%的人认为“我的隐私不容任何侵犯”。但实践证明,中国网民对个人隐私的保护意识往往是缺乏的,排除App供应商以无法正常使用App而逼迫用户同意隐私条款的情况,多数用户就算点击了“同意”,也会出于懒、省事,鲜少点开细究其中的条文细则,这必然会导致源头上的失控。
另一个根源在于当前经济转型发展,提倡“万众创新、大众创业”,在数据驱动的时代背景下,人工智能、数据经济等新概念产生,并基于客户信息的整合分析,重新定义商业模式,信息必然是其中重要一环。
“这就产生了强大的需求,尤其一些创业公司,正是建立在不择手段地获取数据的基础上,一轮轮融资做大,最终形成大数据资产,但大多都倒在了上市的路上。”那么在个人隐私文化缺失,又无法忽略社会需求十分旺盛的背景下,个人信息如何规避网络黑产的侵害?
回答这个问题之前,必须首先精准了解“网络黑产”的两大类。一类是黑产,非法获取、贩卖个人信息,进而非法获利甚至用于欺诈等行为,目的不合法,行为不合法,形式上也完全违法,需严厉打击;另一类是灰产,获取个人信息可能不合法,但他从别人手里买来后,用于商业目的、经营行为,这些行为本身又是合法的,灰产则亟待规制。
基于此,黑灰产应该分开打击或规制,而我国目前的法律条文,并未达到理想状态且存在一定漏洞。2016年11月通过的《网络安全法》规定,搜集使用个人信息都必须经过个人同意。个人同意规则成为收集使用个人信息一律要遵循的一般性规则。
但问题是,那么多的个人信息未经授权被使用,你告过谁侵权吗?显然没有,执法机构也同样会存在“普遍违法、选择性执法”的困惑,“打击面过宽,不具体,如果公安机关认真执法,很多企业会被查出非法获取信息的问题,只能靠严打,每年多次突击检查等方式来处罚。”
高富平认为,网络黑产链条最大的危害是,公民身份证、微信、电话、地址等个人身份信息被滥用。从源头上看,如果我们把身份信息保护好,不随意流通,诈骗风险就会相对小很多。但个人信息是社会活动中的自然生态,不由个人单独创造和控制。如果你不是生活在鲁滨逊岛上,就必然要允许个人信息的正常流通。
“国家应该制定一部个人信息保护法,重新梳理,把个人信息流通利用的规则确立起来,在个人信息立法上,应主要解决以下问题:在什么情形下能搜集多少信息;怎么样使用;在使用的过程中能保存多少时间,是永久地保存,还是有删除的权利等等。”
目前,利用大数据、人工智能等进行新的商业探索,如同过去传统发邮件一样,只要保护好信息,根据各自的行业特征,隔离范围内正确利用信息数据,将是一个趋势,也是人们必须要面对和接受的事实。“现在流行个性化分析的用户画像,如果平台基于用户ID的基本信息,进行一些商品的推送,非及时通讯,是可以被允许的。”高富平举例。
反观2018年欧盟发布的《统一数据保护条例》,以个人控制个人信息为基础构建的一套体系,本质上来说,忽略了个人信息在社会流通中的使用场景和重要性,完全不适应时代的需要,也限制了社会发展与进步。今天,我们处在一个十字路口,要重新抉择保护个人信息的界限到底在哪。