马树娟

2014年12月25日，中国铁路购票网12306网站遭遇“撞库”攻击，超过13万条用户隐私数据在互联网上疯传，用户账号、密码等数据被大范围流传、买卖；

130万条考研学生的详细个人信息，在一些黑产群里公开叫卖，只需15000元就可得手；

花费500元就可查询单个城市的开房记录；花费800元就可以查询全国的开房记录；输入姓名和身份证号，可以查询当事人最近3年的开房记录……

随着互联网不断深度介入人们的生活，网络上也在源源不断积累起大量数据，这些数据就像散落在互联网生态中的粒粒珍珠，闪耀着光芒，诱惑着网络黑产分子瞪大贪婪的双眼，伺机而动……

“拖库”成惯招

对于很多普通人而言，黑客是一个极为隐秘的群体，接触不多，而当网络上用户数据泄露事件不断被曝出时，人们不得不感叹这个群体能量的强大。

一般来说，黑客处在网络黑色产业链的上游，其会入侵有价值的网站，盗走用户数据库，这一过程在地下产业术语中被称为“拖库”，在过去一两年间，国内被爆拖库的公司不在少数，猫扑、天涯、人人网等都榜上有名。

2013年下半年以来，酒店行业的用户数据频频被泄露，当时媒体称超过2000万条酒店开放数据在网上恶性蔓延，这无疑给社会投下了一枚深水炸弹。

时至今日，记者仍能在网上查到“2000W条开房信息免费任你查”的网帖，输入常见的人名，即可显示大量同名人的详细个人信息：如姓名、性别、年龄、出生年月、身份证号、电话号码等。开房时间从2010年年初到2012年年底。

2014年5月，小米官方论坛也被曝拖库，约800万用户的数据被泄露，用户信息包括用户账号密码、邮箱和相关IP地址等。

互联网深度数据分析公司TOMslnsight在其最新的分析报告《互联网黑市分析：社工库的传说》中指出，全国流量排名前100的网站中，有近八成的用户数据库已被黑客盗取，变相为网络黑色产业链提供大数据来源。

被媒体称为“黑客教父”的万涛对这个报告表示认可，他表示：“目前媒体报道出来的数据泄露事件仅是冰山一角。”

国内漏洞报告平台——乌云创始人邬迪表示，随着互联网对人们生活的深度介入，用户会在互联网上留下大量的数据，这也让黑产链条上的黑客们有了更强的经济驱动力。

对于黑客而言，积累有大量用户数据的电商交易平台、订票类网站、招聘求职类网站等都是上好的“猎物”。邬迪介绍，目前乌云平台上披露了很多航空公司、招聘类网站的系统漏洞，其实等白帽子报告漏洞时，发现这些网站的“门早已被打开过”。

“世界上没有完美的网络，任何一个网络都会存在或大或小、或严重或轻微的漏洞，乌云平台每天都会接到多个有关漏洞的报告，只是对于白帽子（一般的黑客）而言，发现网站的漏洞，报告给厂商就意味着工作的结束；而对于黑色产业链上的黑客而言，行程才刚刚开始，他们的目的是拿到数据，进而转化成金钱。”邬迪对记者说。

“撞库”做大数据库

对黑产链条上的人而言，通过拖库、洗库得到数据并不意味着此番劫掠的结束，还会有黑产链条上的人将得到的数据在其他网站上进行尝试登录，业内称其为“撞库”。

2014年12月25日，中国铁路购票网12306网站被曝出泄露用户数据，其时超过13万条用户隐私数据在互联网上疯传，用户账号、密码、身份证号、注册邮箱等数据被大范围流传、买卖。

事后经国内安全企业推断，此次数据泄露，并非黑客攻击12306所为，乃是撞库成功所致。

万涛解释，撞库就是黑客用其他渠道泄露的用户名和密码尝试登录12306，结果登录成功。登录成功后，就可以获得用户在12306订票时所需的身份证号等个人信息。

由于很多用戶为了方便记忆，会在不同网站使用相同的用户名和密码，这就大大增加了黑客撞库成功的概率。

“在12306网站上撞库成功后，黑客也会尝试去撞其他的库，比如去登录淘宝、京东这样的电商网站，如果同样撞库成功的话，黑客又会多了用户个人支付账号、消费记录等数据。”万涛表示，撞库可反复操作，而每一次撞库成功，都会获得用户更多维度的数据。

而黑客每次撞库并非像普通用户想象的拿一组用户名和密码手工操作。TOMslnsight公司的报告显示，黑客可以使用自己开发的工具、直接数据库匹配登录技术以及配合黑色产业链中的打码机制（利用人工智能大量输入验证码）对很多网站进行批量撞库。

作为雷霆行动的负责人，腾讯安全管理部总经理朱劲松对此深有体会。他表示，通过警方破获的一些案件来看，一些黑产人员会把通过不同渠道得到的数据库整合成一个庞大的社工库，大量网络用户的隐私信息、上网的行为和个人金融财产安全相关的数据都会被黑产分子重新进行整合。

“这其实做的就是大数据。”朱劲松说。

以2014年广东省破获的“海燕3号”专案为例，据《南方都市报》报道，当时年仅17岁的黑客通过自编软件攻击招聘类网站，因该招聘网站只需输入邮箱号和密码就可登录，为此获取了数百万条公民的个人信息，并将这些信息与其他途径获取的大数据自行整理成数据库，通过使用一套数据整理软件，自动匹配成完整的银行卡用户的核心信息。

截至案发，警方统计得出，该黑客所建数据库中包括各类公民信息、银行卡信息达800万条，其中包含身份证号、登录密码、手机号码和银行卡账号信息齐全的共有19万条，可用于直接盗刷，对应的银行账号金额达14.98亿元。

朱劲松还透露，目前整个黑产圈里已经有人开始利用大量的社工库数据所成立的查询平台，一个黑产人员只要花十几元钱，就可以通过这种平台去查询到一个用户的姓名、手机号码、身份证号码和银行卡号核心四要素。

随着拖库、撞库的网站不断增加，用于诈骗分子诈骗的社工库也日益完善，对于用户的潜在威胁也越来越大。“有了这些多维度的海量信息，也会让网络诈骗变得更有针对性和迷惑性。”朱劲松说。

1个上游端供养10个犯罪团伙

黑客的拖库、撞库举动只是整个黑产链条的一个环节。“生活中很多精准式诈骗的场景背后，都是有一整套的网络黑色产业链的团伙在相互协作，形成对用户进行各类侵害的利益链条。”朱劲松说。

朱劲松对这一链条进行了梳理：在整个产业链的上端是技术含量最高、也是最为隐蔽的群体，他们以职业黑客为主，通过挖掘漏洞、编写木马来实施入侵；产业链的中间环节，则是一个更为庞大的进行欺诈的犯罪团伙，他们通常具备比较高的情商，利用人的弱点，对用户实施具体的欺诈行为；在整个产业链的下游，是支撑整个黑色产业链各种周边的组织。如取钱、洗钱团伙、收卡团伙、贩卖身份证团伙等。

近日，腾讯发布的《网络黑色产业链年度报告》揭示，平均一个上游端就可长期供养10个以上网络黑产犯罪团伙。

“在产业链的不同环节中，不同的团伙既独立作案，又能够在一定程度上形成相互协作的关系，就好像一群强盗在分食一条大鱼，有的团伙吃鱼头、有的团伙吃鱼身、有的团伙吃鱼尾，剩下的团伙喝鱼汤。”朱劲松如是形容黑产链条的运作。

摘编自2017年2月14日《法治周末》