互联网数据泄露背后的黑色产业链及发展趋势分析

侯林

摘要：以计算机网络为工具，利用网络安全漏洞，窃取用户数据的犯罪组织，已经发展成为一个有组织、分工明确的黑色产业链。技术含量最高、最为隐蔽的职业黑客居于产业链的上流，运用社会工程学理论进行数据分销的中介和实施诈骗的犯罪团伙居于中游，取钱、洗钱、收卡、贩卖身份证等产业链周边组织居于下游。文章通过剖析黑产组织的结构体系和伴生关系，推断犯罪主体、交易模式和侵害目标的变化趋势。

关键词：数据泄露；网络犯罪；黑色产业链；社会工程学

在“互联网+”的时代，政府机关、电商、网上银行、保险公司、教育考试机构、旅馆等机构将公民的身份信息、金融信息、社会关系信息存储在服务器或云端，使人们足不出户即可享受购物、订票、转账等服务，人们的生活从未像今天这样便捷。但互联网背后隐藏着一个黑色产业链，它利用网络漏洞，窃取服务器上用户数据资料，在黑产群里公开叫卖。据最新的安全报告估测，到2019年，由于数据泄露给全球网络用户造成的损失可能达到2.1万亿，相比2015年增长近4侮无论是总量还是增长速度都将是一个非常可怕的量级。

1 近年来数据安全泄露事件与数据泄露基本模式介绍

1.1 近年来出现的重大数据安全泄露事件

2013年10月，一批宾馆酒店的旅客住宿信息在网上泄露，网民可以从网络论坛中下载一个名称为“2000w开房数据”的文件，其中包含2000万条旅客开房住宿的数据，可以精确查到登记开房的时间、房号、旅客姓名、性别、户籍地址、身份证号、电话号码等个人隐私信息。据安全监测平台披露，事件的起因可能是与这些酒店有合作关系的浙江慧达驿站公司网站上有安全漏洞，服务器被黑客攻击导致信息泄露。

2014年12月，铁道部提供火车票网上订票服务的12306网站爆发了用户数据信息泄漏风波。据称，当时12306用户数据被大量泄露，甚至在互联网上出现公共传播售卖的情况，所泄露的包括了账号、明文密码、信用卡信息、购买记录、邮箱等个人信息，涉及用户数超过13万条。

2015年8月，湖北武汉警方破获一起高考考生信息泄露案件，武汉警方在此案中抓捕了2名主要嫌疑人，在其住处清查出约5公斤重的纸质高考考生信息，包括考生姓名、考试分数、学校、详细家庭地址和联系电话等重要内容，涉及四川、湖北、贵州、河南、重庆、甘肃、陕西等13个省区市的10多万名考生。不法分子以平均0.1元每条的价格购买信息后，雇人充当话务员与这些考生联系，进行招生诈骗。

2014年8月12日，有1400万条个人信息在网络上被层层转卖。警方调查发现，信息包含：快递编码、收货和发货双方的姓名、电话号码、住址等个人隐私信息。据犯罪嫌疑人供述，其用黑客工具检测到快递公司网站存在安全漏洞时，即非法侵入网站数据库，下载用户个人信息，在被警方破获时，嫌疑人电脑中总计有1400万条个人信息。

2015年8月，中国最大的网上票务营销平台大麦网再次被发现存在安全漏洞，600余万用户账户密码遭到泄露，在互联网社区上被公开售卖。

近年来的信息泄露事件涉及政府政务信息公开平台、教育考试机构、医疗挂号平台、电子商务、快递、票务、论坛社区等各类网站，它的背后隐藏着一个功能强大、组织严密的利益链条，可以将个人隐私转化为犯罪分子诈骗或不良商家牟利的工具。

1.2 数据泄露的基本模式

总的来讲，数据泄露事件可以分为9种模式：入侵POS、盗刷支付卡、利用Web应用开展攻击、恶意软件、网络间谍、拒绝服务攻击、内部盗窃、物理性损失、其他错误。

入侵POS指的就是对正在运行POS程序的主机或者是服务器进行攻击，并从中获得相关交易信息。盗刷支付卡，通过在ATM，POS等刷卡设备上加装装置，从而截获支付卡数据。这2种泄露方式多发生在银行、零售业、酒店、医院等拥有大量POS设备的行业。

Web应用攻击、恶意软件、网络间谍、拒绝服务攻击等行为均是指攻击者利用技术手段，如木马、病毒、窃听、渗透、Rootkit等，向计算机系统的漏洞发起攻击，破解系统保护后，从计算机系统内部窃取重要数据。

内部失窃和物理性损失多是由于管理方的疏漏，造成数据存储介质的损坏、丢失或失窃，在一些公共事业性机构容易发生此类数据泄露事件。

2 黑色产业链分析

所谓网络黑色产业链，是指以计算机网络为工具，运用计算机和网络技术实施的以盈利为目的，有组织、分工明确的团伙式犯罪行为。它可被细分为以职业黑客为主的产业链的上游，以职业中介为主的中游，由取钱、洗钱、收卡、贩卖身份证等团伙组成的下游。而这个产业链又是围绕“社会工程学数据库（社工库）”运作的。

2.1 黑色产业链的基础：社会工程学与社会工程学数据库

简单来讲，社会工程学就是艺术与窍门的集合体。社会工程学利用的是人性上存在的弱点与心理上存在的缺陷，通过顺从意愿、满足欲望的方式让人们上当，或者是将这些作为攻击的入口。社会工程学的窍门也蕴涵了各式各样灵活的构思与变化因素，利用人的弱点如人的本能反应、好奇心、信任、贪便宜等进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科，由于其非法性在很多国家地区都被严厉地打击，社会工程学也变成了一个见不得光的学派。

社会工程学数据库，即黑客在运用社会工程学进行攻击的时候，积累的各方面数据的结构化数据库。社工库是一个记录黑客攻击手段和攻击方法的数据库，这个数据库里的信息包罗万象，如网民在各类网站上的登录账号、登录密码、分享的照片、社交软件的聊天记录、信用卡刷卡记录、机票车票订购记录、通话记录、短信微信内容等。互联网上存在着大量此类可以查询社工库、买卖数据、交流犯罪方法的论坛和网站。

2.2 黑色产业链上游：数据盗取

黑色产业链上游是以技术含量最高、最为隐蔽的职业黑客为主，他们通过攻击系统安全漏洞，编写木马实施入侵，获取数据，这一过程可分为3个阶段：拖库、洗库和撞库。

拖库也被称为“脱库”，是黑色产业的一个术语，黑客利用漏洞入侵有价值的网站，盗走目标数据库。2014年5月，小米官方论坛800万用户的账户信息被拖库。拖库成功后，黑客接着会进行洗库工作，即利用技术手段清洗、筛选数据资料，提炼出有价值的用户数据，以便将来用于变现。通过拖库、洗库得到用户数据资料后，一些黑客拿着这些用户数据在其他网站尝试登录，称为撞库。因为不少人习惯于在不同的网站使用相同或相似的用户账号和密码进行注册，这就为用“撞库”的方式获得更多的数据提供了可能。2014年12月，中国铁路购票网12306网站曾遭遇黑客撞库攻击，超过13万条客户数据在互联网上被疯狂传播。一旦撞库成功，黑客们可能会接着撞击京东、携程、苏宁等网站，最终黑客们拿到更多的个人支付账号、消费记录等数据。

2.3 黑色产业链中游：数据分销与实施诈骗

黑产链条的中游有一个庞大的中介组织，专门为上游黑客从事分销，寻找目标买家或帮买家寻找黑客。还有一种犯罪团伙，他们利用购买到的网络犯罪产品，结合社会工程学的理论和知识对用户实施盗窃、诈骗、敲诈勒索。

社工库论坛是一个交流平台，盗取的账号和密码信息，在此被公开兜售。在一些社工库论坛上，只要输入“数据买卖”“数据交易”等关键字，就会检索到大量的专门从事数据交易的QQ群，一般以“数据交易群”“淘宝数据交易”来命名，每条数据的价格从几毛钱到几十元不等。

中介组织对用户数据采用多种方式解析，再层层转卖，以求数据价值的最大化。如：首先，提取虚拟装备和虚拟货币类信息，提取网游、支付宝和QQ的账号。第二步，提取整理身份类信息，转卖给一些隐私交易机构。第三步，提取通讯号码，卖给转发垃圾短信的组织。最终，普通网民见到时，基本已经算是“公开”信息，这样的数据，只要用几个金币（1金币等值于1元钱）的价钱就可以购买到大量数据，甚至可以免费下载。

2.4 黑色产业链下游：各种周边的组织

产业链的下游是服务于整个黑色产业链的各种周边组织，比如贩卖身份证、收卡、取钱、洗钱等犯罪团伙。这些犯罪环节目前分工也已经相当精细，由不同的团伙组织完成特定的环节。

就搜集身份信息来说，办卡公司有着“专业”的方式。如，某家公司的老板每隔两三个月，便前往商场、车站等人流密集地区，向服务员、环卫工人收购他人遗失的身份证，每张大概40元或50元，然后再以每张100元以上的价格出售。或者卡贩子到农民工聚集的地方，借用他们的身份证到银行开户办卡，农民工们风险意识不强，为了挣几十块钱倒也愿意。

取钱环节，通常是诈骗组织与职业取款团伙约定合作方式，职业取款团伙出面将银行卡中的赃款取出，汇总后交给诈骗组织，收取一定比例的报酬。比如，福建一诈骗组织头目高某得手后，通常将赃款分批打给方某等掌握的200多张银行卡中，方某派人取出，数额较小时，转账给诈骗组织；数额较大时，双方直接见面，给付现金。交易完成后，取款团伙通常收取所取款项的5%作为酬金，某些情况下，可能达到8%～10%。

3 黑色产业链“繁荣”的原因

黑色产业的形成，在于公民个人信息有强大的市场需求，购买的原因和购买者的身份也各有不同，有看似正规的商业机构，也有隐藏于地下的专业犯罪组织。（1）商业机构是这个市场的强大需求方，它们为了获取潜在的客户资料、了解竞争对手的核心数据，从黑市购买数据。交通、医疗、教育、金融服务、酒店业、快递业等公共服务行业机构都掌握了大量的用户信息，使之成为上下游产业及类似机构觊觎的目标。这样的案例不胜枚举，比如，就新生婴儿信息泄露事件来说，是由于许多婴儿奶粉经销商、母婴保健机构、早教机构、儿童玩具经销商暗中不断购买此类信息。（2）电信诈骗作案人对数据的需求。早期的电信诈骗的侵害对象是非特定的，犯罪分子向某一个号段或者某一个地区拨打电话或者群发诈骗短信。但随着安全宣传加大，公民的防范意识增强，单纯的这个手法上当的人少了。于是，犯罪分子通过黑市购买到用户数据，对公民的身份、亲属关系、职业、近期活动分析后，再冒充上级、好友、电商实施精确诈骗，以提高犯罪成功率。（3）网络游戏是网络盗窃犯罪的高发地。虚拟的装备和金钱逐渐具备了现实的价值，窃取网游装备和游戏币，也有着庞大的潜在需求。比如，张某发等人通过在网上购买具有键盘记录功能和远程控制功能的木马病毒，以热门游戏“某某世界”玩家为目标，通过语音通讯工具，发送虚假链接，传播木马病毒，获取账号及密码，进而盗窃游戏装备及游戏币（元宝），然后销赃，仅仅1年多时间里，作案近千起，非法获利数十万元。

4 黑色产业链的变化趋势

4.1 黑客攻击犯罪呈现“平民化”趋势

在巨大经济利益的诱导下，一些资深黑客通过网站、QQ群、论坛创办黑客学校，传播攻击工具编程、木马免杀、黑客攻防技术。互联网黑市上还出现了专业制作贩卖木马的“造枪人”，他们可根据网络入侵的需要编写各种代码，将木马病毒作为一种商品销售给黑市上需要的“买枪人。黑客学校和“造枪人”产业的蓬勃发展降低了网络入侵的门槛，使网络入侵呈现“平民化”趋势，一个刚入行的中学生经过短期的培训就可能有能力侵入一个普通网站。

4.2 数据窃取过程正从交易化模式向定制化模式转变

在早期的互联网数据窃取过程中，拖库、洗库、撞库3个阶段通常由一个团队单独完成，而发展到今天，黑色产业链上各个组织更讲究分工协作，很少有人拖库、洗库、撞库一起做，按不同的协作方式衍生出不同的犯罪模式。当前，正在从交易化模式向定制化模式演变。

交易化模式就是当黑客攻击某一家网站，拖库成功后直接在黑市上销售，收取货款。这种模式的优点是数据可以多次出售，价格便宜、快捷，但是对于交易双方来说，交易过程中充满了骗局，数据新鲜度和真实度没有保障，风险会比较大，当前职业的犯罪团伙已经很少采用交易化模式。

定制化模式就是下游客户选择好一家特定网站，然后聘请黑客去拖库，拿到数据后支付佣金的模式。在定制化模式中，按黑产规则，数据属于下游客户，黑客不可以再次出售，或者在一定的窗口期内不能再次出售。

4.3 移动互联网成为网络黑色产业链的新兴市场

从入侵便利性看，2015年，中国智能手机用户接近6亿人，在全国共有10省市的移动电话普及率超过100部/百人，其中相当多的用户安全防范知识几乎为零。从价值上来看，手机里的电话本、通话记录、短信、地理位置等隐私数据，支付宝、网银、网络游戏账户，含“金”量高，都可以直接变现。从移动互联网的核心即智能终端操作系统上来看，目前主流的是苹果的IOS和谷歌的Android操作系统，都由国外机构把控，我国自主的操作系统还不成熟，我们也不能够从底层对手机信息进行保护。多方面的因素决定移动互联网终端在今后一段时间内都将是网络入侵的热点。