数据拿来赚黑钱:网站漏洞带来的黑色产业
- 格式:doc
- 大小:20.44 KB
- 文档页数:13
下载文档原格式
合集下载
千亿产业链 那些你不知道的黑灰产
千亿产业链那些你不知道的黑灰产作者:来源:《科学大观园》2019年第04期我国黑灰产已经形成了一个年产值达千亿元级别的庞大“黑金”利益链。
拼多多事件,揭开了国内黑灰产“黑金”利益链的冰山一角。
数据显示,2017年我国黑产从业人员超过150万人,年产值达千亿元级别。
与之相比,我国的网络安全市场规模还不足400亿元。
从暗扣话费、广告流量变现、手机应用分发,到木马刷量、勒索病毒、控制肉鸡挖矿,网络黑产无处不在,而“薅羊毛”正是黑灰产的重要盈利模式之一。
薅上一天,够吃一年。
这句“羊毛党”中流行的口头禅日前再度上演。
在拼多多被“薅羊毛”事件中,有大牛一夜薅走54万多元,拼多多最终损失或达千万元。
这次事件,也揭开了国内黑灰产的冰山一角。
记者调查发現,我国黑灰产已经形成了一个年产值达千亿元级别的庞大“黑金”利益链,并通过上中下游的严密分工构建起了一个密切协作的网络,轻则让企业遭受数千万元损失,重则让企业直接破产。
而这,并不是危言耸听……360-ADLab安全专家陈卓健向记者介绍说:“我们把这些专门在互联网上伺机‘薅羊毛’的称作‘羊毛党’,他们一般会比较关注互联网中快速发展起来的公司,因为这些公司会做很多注册送优惠券的活动,黑产团伙发现漏洞后,会从接码平台中申请大量手机号进行注册获取优惠券,然后进行变现。
”“羊毛党”不仅仅是占小便宜那么简单,很多游走在违法犯罪的边缘。
据介绍:这次事件中的优惠券,是我们与江苏卫视《非诚勿扰》节目合作时因录制需要特殊生成的优惠券类型,仅供现场嘉宾使用,从未出现在平台正常的线上促销活动中,是黑产团伙通过非正常途径生成二维码扫码后获得,上海警方已经以涉嫌网络诈骗罪立案。
中招的不只是拼多多。
2018年12月17日,在星巴克上线的“星巴克APP注册新人礼”营销活动中,黑灰产利用大量手机号注册星巴克APP的虚假账号,领取活动优惠券。
随后,星巴克紧急下线了该活动。
网络安全厂商“威胁猎人”估计,短短一天半时间,如不及时止损,按普通中杯售价估算,星巴克损失可能达1000万元。
黑灰产业发展趋势
黑灰产业发展趋势标题:黑灰产业发展趋势——应对挑战并推动可持续发展摘要:随着技术的不断进步和全球经济的发展,黑灰产业在今天的社会中变得越来越普遍。
黑灰产业是指那些通过非法手段或操控漏洞等方式获取利益的非法产业,常常包括网络黑产、地下交易、偷税漏税等。
本文将探讨黑灰产业发展的趋势,并提出一些应对挑战的方案,以推动黑灰产业向可持续发展转型。
一、黑灰产业的定义和种类A. 黑灰产业的定义B. 常见的黑灰产业种类1.网络黑产2.地下交易3.偷税漏税4.其他二、黑灰产业发展的驱动力和原因A. 技术进步1.匿名技术的发展2.虚拟货币的使用3.黑客技术的进步B. 经济发展1.不公平分配2.腐败问题3.经济危机三、黑灰产业发展趋势A. 技术和创新的促进1.人工智能在黑灰产业中的应用2.区块链技术在地下交易中的使用3.网络安全技术的进一步发展B. 法规和执法的加强1.国际合作与数据共享2.加强监管机构和执法力量的建设3.打击犯罪组织的源头四、应对黑灰产业的挑战A. 合作与共享1.国际间的合作与交流2.与各行业合作打击黑灰产业B. 科技创新与应用1.发展更高级的安全技术2.提高公众的网络素养C. 加强法规和执法1.修订和完善相关法律法规2.加大对黑灰产业的打击力度五、推动黑灰产业可持续发展A. 倡导公平合理的经济模式B. 加强教育与宣传1.加强网络素养教育2.提高社会对黑灰产业的认知与警觉C. 建立全球合作与共同机制1.共享情报与数据2.制定共同的打击黑灰产业计划六、结论黑灰产业的存在对社会的稳定和可持续发展带来了巨大的威胁。
为了应对这个挑战,国际社会应加强合作与共同努力,通过技术创新、法规和执法的加强以及推动黑灰产业向可持续发展转型,以确保社会的公平与稳定。
注:以上仅为一篇6000字以上的提纲,具体内容需要进一步展开、论证和丰富。
网络安全黑产
网络安全黑产
网络安全黑产横行,危害日益加重。
网络黑产指的是通过非法手段获得利益的行为,如网络病毒攻击、个人信息泄露、金融诈骗等。
近年来,网络黑产愈发猖獗,给个人和企业的网络安全带来极大威胁。
黑客利用漏洞攻击网站,窃取用户的个人信息,甚至进行身份盗窃。
个人信息的泄露给个人隐私带来极大危害,有可能导致财产损失和信用卡被盗刷等问题。
此外,网络黑产还广泛涉及到金融诈骗,如钓鱼网站、网络赌博等非法活动。
黑客通过技术手段伪造银行网站,引诱用户输入密码和账号,然后盗取用户的财产。
另外,网络赌博网站也成为黑产的重要渠道之一,不少人因为赌博而导致家庭破裂、沉迷网络。
网络黑产对企业的威胁同样不容忽视。
黑客利用网络安全漏洞入侵企业数据库,窃取公司机密信息、客户资料甚至财务数据。
这对企业形象和商业利益都造成了严重损失。
尤其是大型企业和金融机构更是网络黑产的主要攻击对象,他们拥有更多的财务数据和用户信息,对黑客来说更有吸引力。
为了保护个人和企业的网络安全,我们需要采取一系列措施。
个人用户应加强网络安全意识,不随便点击可疑链接,加强密码管理,定期更新软件和系统补丁。
企业也应加强网络安全建设,定期进行漏洞扫描和安全评估,建立完善的网络安全政策和培训计划。
网络安全黑产已经成为一个全球性的问题,需要政府、企业和个人共同努力来解决。
只有加强法律监管、提高技术水平、加强安全教育,才能有效应对网络黑产的威胁,保护网络安全。
揭秘灰色暴利项目支付漏洞 直击支付类冷门暴利行业
揭秘灰色暴利项目支付漏洞直击支付类冷门暴利行业----1ca81b64-715f-11ec-a8b7-7cb59b590d7d揭秘灰色暴利项目支付漏洞直击支付类冷门暴利行业问题是,一个网民在网上购买了一个VPN代理并支付了费用。
付款时显示3元,如图所示。
问题是,输完验证码了竟然被扣了1900块钱。
从那以后,他再次搜索了支付宝账户。
这个暗示并不存在。
我来完全给大家说说其中的套路和细节,以及防骗攻略。
1.很多人想知道为什么是1900元,因为1900元不足以立案,2000元足以立案,所以说谎者已经做了足够的功课。
2.他是下载的app,而这个app在支付时修改你看到的数据,也就是眼睛看到的是3元,其实是1900元。
3.支付宝绑定邮箱,作弊者成功更改绑定邮箱,无法找到信息。
1.查看网站备案,有备案的相对比较安全,但并非绝对,点击这里查询网站备案2.检查支付URL,查看支付宝是否为官方网站。
3.付款最后确认的时候(输入密码的这一步),请打开手机支付宝,点击账单,看看金额是否一致。
4.不要下载奇怪的应用程序。
手机比电脑脆弱得多。
12岁学生成最小黑客曾花1分钱买2500元东西事实上,任何三流黑客都能处理这条几乎没有技术内容的新闻。
三流也许都算高了,我这不入流的水平,多年前就尝试过了,用软件就可以搞定。
该软件有两种选择a:fiddler2(操作简单,功能略少,中英文界面都有)b:Burpusuite(英文界面,功能强大)我之前的录得一个修改手机号的教程,用的就是burpsuite,主要的原理就是抓包改包。
每次我们点击网站上的一个按钮,基本上就是向服务器提交数据。
这时候用软件将这个数据拦截下来,假如这个数据里包含我要支付的金额,那么把100元改成0.01元,真正支付的时候我只支付1分钱,支付宝反回支付成功,网站一看确实支付成功了,于是你就购买成功。
这个漏洞曾经很普遍,但现在基本上得到了修补。
少部分网站依旧存在。
你如何控制这个漏洞?搜索:“软件名+教程”每个人都可以掌握,网上教程很多。
网络黑灰产治理研究报告
网络黑灰产治理研究报告一、引言在当今数字化高速发展的时代,网络已经深度融入人们的生活、工作和社会的各个领域。
然而,伴随着网络的普及和应用,网络黑灰产也如影随形,日益猖獗。
网络黑灰产不仅给个人带来了财产损失和隐私泄露的风险,也对企业的正常运营和社会的稳定发展构成了严重威胁。
因此,深入研究网络黑灰产的治理问题,具有重要的现实意义和紧迫性。
二、网络黑灰产的定义与分类(一)网络黑产网络黑产是指通过网络利用非法手段获取利益的黑色产业链,常见的有网络诈骗、网络盗窃、网络赌博、黑客攻击等。
(二)网络灰产网络灰产则处于合法与非法之间的模糊地带,如刷好评、恶意注册账号、薅羊毛等。
三、网络黑灰产的特点(一)隐蔽性强网络黑灰产从业者往往利用技术手段隐藏自己的真实身份和行踪,使得追踪和打击难度加大。
(二)产业化程度高从上游的技术提供、数据买卖,到中游的实施犯罪,再到下游的洗钱销赃,已经形成了完整的产业链。
(三)技术更新快随着网络技术的不断发展,网络黑灰产也在不断更新作案手段和工具,以逃避监管和打击。
(四)跨地域作案借助网络的无边界性,网络黑灰产可以在全球范围内实施犯罪,增加了执法的难度。
四、网络黑灰产的危害(一)对个人的危害导致个人财产损失、隐私泄露、名誉受损,甚至危及生命安全。
(二)对企业的危害破坏企业的正常运营秩序,造成经济损失,损害企业的品牌形象。
(三)对社会的危害扰乱市场经济秩序,影响社会公平正义,威胁国家安全和社会稳定。
五、网络黑灰产的治理现状(一)法律法规不断完善我国相继出台了一系列法律法规,如《网络安全法》《刑法修正案(九)》等,为打击网络黑灰产提供了法律依据。
(二)执法部门加大打击力度公安、网信等部门联合开展专项行动,破获了一批重大网络黑灰产案件。
(三)企业加强自身防范互联网企业纷纷加强技术研发,提高平台的安全防护能力。
(四)社会公众意识有所提高通过宣传教育,公众对网络黑灰产的认识和防范意识有了一定程度的提升。
黑暗世界的黑客产业链 数据加密挺身应战
黑暗世界的黑客产业链数据加密挺身应战互联网时代,黑客攻击日益猖獗,相当一部分的个人以及企业都遭遇了严重的损失,但这些损失却成为了别人手中的牟利手段。
随着黑客得手的几率越来越大,收获的资料价值越来越高,指望通过不法途径赚钱的人群数量也壮大了起来,逐渐这样的团体变的有组织起来,构成了现在的黑客产业链。
下面就和信息安全方面的专家山丽网安一起来了解一下这所谓的黑客产业链以及其基本种类吧。
什么是黑客产业链?黑客产业链就是通过黑客技术入侵服务器获取站点权限以及各类账户信息并从中谋取经济利益的一条产业链。
这条产业链很健全而且利益丰厚,但是并不是整个黑客产业链都充斥着黑客行为,黑客行为只是为黑客产业链提供技术支持的手段。
黑客产业链里的黑客们来钱非常快。
一般的网络安全研究人员,月薪5万已经非常高了,可是黑客产业链里的黑客们一个星期就可以赚到这么多的钱。
黑客产业链基本可以分为以下几类1.流量类型(网络博彩、外贸营销、黑链买卖交易、寄生虫站群、广告作弊......)2.僵尸网络(木马后门、DDOS攻击......)3.私服外挂4.数据买卖交易(网站数据库、信用卡盗刷、票据信息诈骗......)5.其他(0day买卖、商业飞单偷单)斩断黑客产业链从根本保护数据安全是关键我们已经知道了黑客行为只是黑客产业链中提供技术支持的一环,只有黑客通过技术入侵目标的服务器或网络窃取到了数据资料才能进行产业链中之后的环节,这也说明了黑客行为可以说是在这个产业链中最重要的一环。
这样一来,要打击整个黑客产业链,只要让他们失去了可以用以谋取经济利益的来源即可,如此可见,只要企业以及个人保证了网络系统的安全,保证了重要数据的安全,断了黑客攻击成功的可能性,便可以在很大程度上给予这个产业链一个重创。
就目前看来,可以有效防止数据被非法窃取的加密技术是最好的选择。
加密直接作用于数据本身,在最坏的情况下,即使系统遭黑客入侵,文件被窃取,加密防护依然为数据起保护作用,在解密算法的实现愈加困难的当下,可以保证被加密的内容不让外人所知。
行业黑产攻击手段及应对措施
行业黑产攻击手段及应对措施随着技术的不断发展,黑产(黑色产业)在互联网行业中逐渐兴起,成为一个全球性的问题。
黑产指的是非法组织或个人利用互联网技术手段从事违法犯罪活动,包括网络攻击、网络诈骗、网络侵权等行为。
这些攻击手段给企业造成了巨大损失,因此提出了有效的应对措施是至关重要的。
一、常见的行业黑产攻击手段1. 电信诈骗电信诈骗是黑产中最常见的一种攻击手段。
诈骗分子通过电话、短信、社交媒体等渠道,冒充政府部门、银行或公司工作人员,以获取个人敏感信息为目的,从而实施诈骗行为。
2. 垃圾邮件垃圾邮件是通过发送大量的未经请求的电子邮件或者广告信息,给用户带来骚扰、病毒感染等问题。
垃圾邮件的内容往往包含假冒的商业广告、虚假信息等,目的是引诱用户点击链接、购买产品或者提供个人信息。
3. 网络钓鱼网络钓鱼是黑产中常见的一种攻击方式,诈骗分子通过伪造合法网站的形式,诱使用户输入个人账号、密码等敏感信息,从而盗取用户的财产或者身份信息。
4. 恶意软件恶意软件是黑产利用计算机病毒、木马、蠕虫等方式,通过网络传播并感染用户设备的一种攻击手段。
恶意软件可以窃取用户的个人信息,破坏用户的数据或者控制用户的设备。
5. 网络攻击网络攻击包括分布式拒绝服务攻击(DDoS)、黑客入侵等手段。
攻击者通过发送大量流量,使服务器无法正常运行,从而造成网络中断,给企业及用户带来巨大的损失。
二、行业黑产应对措施1. 提高员工意识企业应加强对员工的安全意识教育培训,使员工了解黑产攻击手段,学会辨别诈骗信息,避免错误操作。
员工应被告知如何处理疑似钓鱼邮件、垃圾邮件等,避免不必要的信息泄露。
2. 加强系统安全企业应使用最新的安全软件和防火墙来保护其网络系统,及时更新和修补系统漏洞。
同时,应定期备份数据,以便在遭受攻击时能够迅速恢复系统。
3. 强化密码安全企业应要求员工使用强密码,并定期更换密码。
推行多因素认证,例如指纹识别、短信验证码等,以提高账户的安全性。
互联网的黑色产业
互联网的黑色产业互联网的发展给人们生活带来了诸多便利,但同时也孕育出一些不法之徒利用网络进行犯罪活动,形成了互联网的黑色产业。
这些黑色产业以其隐蔽性、高效性和跨国性等特点,给社会带来了巨大的危害。
本文将从网络赌博、网络盗窃、网络色情等几个方面来探讨互联网的黑色产业。
一、网络赌博互联网的普及使得网络赌博成为一种随处可见的形式。
通过在网络上开设赌博网站,黑色产业链可以迅速建立起来,吸引无数赌徒参与其中。
网络赌博的特点是隐蔽性强,参与者只需通过手机号或虚假身份信息就能够进行赌博,很难被抓获。
而且由于涉及跨境操作,侦破难度也较大。
网络赌博给社会稳定和人民的财产安全带来了威胁,需要社会各界的共同努力来加大打击力度。
二、网络盗窃随着互联网的普及,网络盗窃也随之而来。
黑客利用技术手段侵入个人或企业的电脑系统,窃取其重要信息和财物。
这种形式的黑色产业不仅给个人和企业带来了损失,还对社会的经济稳定和信息安全构成了严重威胁。
网络盗窃的手段多种多样,包括网络钓鱼、病毒攻击、黑客攻击等。
黑客们借助技术手段,往往能够穿透复杂的网络安全防线,给用户和企业带来重大损失。
因此,保护个人和企业的网络安全显得尤为重要,加强网络防护能力,提高对网络盗窃的打击力度是当务之急。
三、网络色情网络色情作为互联网的黑色产业之一,给社会治理和儿童健康成长带来了严重挑战。
不法分子通过互联网发布色情信息,煽动色情交易,并通过网络平台进行非法传播。
这不仅对社会风气造成了恶劣影响,还对未成年人的身心健康产生了极大威胁。
针对网络色情的打击需要从多个方面入手。
首先,加大对发布色情信息的惩罚力度,对相关违法行为进行严厉打击;其次,加强对网络平台的监管,建立健全机制,及时清查和关闭违法违规网站;此外,也需要通过家庭、学校等多方面合力,加强对未成年人的教育和引导,增强其网络素养和风险防范意识。
四、网络假货互联网的黑色产业中,还存在着大量的网络假货。
黑色产业链利用互联网平台销售假冒伪劣产品,给消费者的合法权益造成了伤害。
网络安全专业黑产
网络安全专业黑产网络安全专业黑产随着信息技术的发展和互联网的普及,网络安全问题日益突出,网络安全专业也因此成为热门行业。
然而,网络安全专业也不幸成为了一些黑产人士的钓鱼网。
首先,网络安全专业黑产主要表现为黑客活动。
黑客利用其专业知识和技术手段,侵入他人的计算机系统,窃取和篡改他人的信息。
他们通过控制被感染的计算机,进行分布式拒绝服务攻击,导致目标系统无法正常运行。
而对于黑客来说,大量的计算机资源意味着巨大的收益。
黑客还可以以出售私人信息、进行网络勒索等方式牟取利益。
这些黑客活动不仅危害了个人的隐私安全,也对社会和经济秩序造成了严重的破坏。
其次,网络安全专业黑产还表现为网络钓鱼和网络诈骗。
网络钓鱼是指黑产人士冒充合法机构或个人,通过电子邮件、短信、社交媒体等方式引导用户点击有害链接,进而窃取用户的个人信息。
网络钓鱼手法千变万化,包括仿冒网站、网络诱导等。
而网络诈骗是指利用网络平台进行欺诈行为,如虚假销售、虚假招聘、虚假投资等。
这些网络欺诈行为往往看似真实,但实则是诈骗者用来骗取钱财的手段。
网络钓鱼和网络诈骗通过技术手段和心理操控手法,使得受害人难以分辨真伪,造成了巨额经济损失。
最后,网络安全专业黑产还包括网络病毒和恶意软件。
网络病毒指通过网络传播的一种恶意软件,能够侵入计算机系统,破坏和篡改系统文件,造成计算机系统的崩溃和数据的丢失。
恶意软件则具有更多的攻击手段和危害性,包括远程控制、密钥记录、信息窃取等功能。
这些网络病毒和恶意软件不仅给个人和企业带来了严重的安全隐患,还造成了举足轻重的信息泄露和金融损失。
总之,网络安全专业因其特殊的性质和技术需求,成为黑产人士的温床。
黑客活动、网络钓鱼、网络诈骗以及网络病毒和恶意软件是网络安全专业黑产的主要表现形式。
要防范网络安全专业黑产,需要个人和机构都提高对网络安全的认识,加强安全防护措施,合理利用技术手段和法律手段对黑产人士进行打击。
只有共同努力,才能实现网络安全的目标。
互联网黑色产业
互联网黑色产业随着互联网的不断发展,互联网黑色产业也逐渐兴起。
所谓互联网黑色产业,指的是一系列非法活动,在互联网环境下进行的各种违法犯罪行为。
这些黑色产业通过网络平台的便利性,使得其发展迅猛,给社会治安和公共利益带来了极大的危害。
一、网络诈骗网络诈骗是互联网黑色产业中最为常见的一种犯罪行为。
诈骗分子利用网络虚拟身份,通过编造各种陷阱和谎言,诱骗他人提供个人信息或者转账支付等,从而非法获取财物。
常见的网络诈骗手段包括假冒银行、虚假购物网站、假冒公检法机关等,这些手段给互联网用户的财产安全带来了巨大的威胁。
二、网络赌博互联网黑色产业中的网络赌博也是一大问题。
通过互联网平台,赌博分子可以方便地进行赌博活动,无论是网络下注还是在线娱乐,都使得赌博行业犯罪活动的隐蔽性大大增加。
而网络赌博不仅仅对个人身心健康造成负面影响,更会导致家庭破裂、社会稳定性下降等严重后果。
三、网络侵权网络侵权是指在互联网上,侵犯他人知识产权、著作权、商标权等合法权益的行为。
通过网络平台,盗版、侵权、盗用他人作品的情况越来越严重。
同时,网络侵权也包括网络谣言的传播,通过虚假信息或者恶意造谣,给他人的声誉和人身安全带来不可挽回的损害。
四、网络色情在互联网黑色产业中,网络色情是一个长期存在的问题。
通过互联网平台,大量淫秽、低俗的色情信息泛滥,对未成年人的身心健康造成了严重影响。
网络色情还涉及到拐卖人口、卖淫嫖娼等犯罪行为,给社会带来了危害。
五、网络恶意软件网络黑色产业中常见的还有恶意软件的制作和传播。
黑客通过编写恶意代码,传播病毒软件、木马病毒等,盗取个人隐私信息,甚至掌控他人电脑。
这种行为不仅影响个人的信息安全,还会威胁国家的网络安全。
面对互联网黑色产业的威胁,我们不能袖手旁观。
政府应当加大力度打击互联网黑色产业,加强监管,完善相关法律法规,提高对违法犯罪行为的处罚力度。
同时,互联网企业也应承担起社会责任,加强信息安全保护,提升平台的可信度和安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据拿来赚黑钱:网站漏洞带来的黑色产业在大数据和云计算的时代,互联网正在重构整个制造业和服务业的运行体系,买方和卖方的对接越来越依赖于大数据,而不是实体的店面、中介。
数据库的作用越来越重要,但安全却难有保障。
本专题中的调查试图呈现互联网数据泄露中环环相扣的链条,而对案例的分析则试图呈现公民个人维权之难,这有赖于互联网法治建设的推进。
天微微亮,大鸟(化名)结束了一晚上的任务,他用凉水洗了一把脸,起身,去公司上班。
在白天,他是某互联网公司的程序员。
晚上,他是互联网论坛上活跃的“白帽子”。
“白帽子”是业内的俗称,即正面黑客,他们通过识别计算机系统或网络系统中的安全漏洞,发出漏洞警告,从而提醒企业或其他单位在被黑客侵入前修补漏洞。
由于白天工作时间不允许,大鸟只能用晚上的时间做“白帽子”的工作。
这让他很疲惫,如果进入到了活动状态,大鸟可能会有很长一段时间都在高度紧张的精神状态中度过。
除了在论坛中得到被同行赞许的快感,很多时候,他们面对的是一群对漏洞不屑的人。
因为每次被曝出漏洞之后,许多企业的第一反应是“辟谣”,而不是直面问题。
在大数据和云计算的时代,互联网正在重构整个制造业和服务业的运行体系,买方和卖方的对接越来越依赖于大数据,而不是实体的店面、中介。
数据库的作用越来越重要,但安全却难有保障。
或许因为企业对漏洞不屑的态度,一些技术人员会警告企业——既然你不屑,我就干一单给你看。
一些技术人员拿着漏洞去要挟企业,换取报酬,涉及利益巨大,一些人甚至很短时间就完成原始资本积累。
白帽子是以其行为来判断,但也有可能在某些时间里,变成真正的黑客。
在国内,目前逐渐形成了一些漏洞举报的平台,如乌云网、360都建立了举报漏洞的机制,方法各不相同。
国家互联网应急中心也建立了漏洞共享平台,每周发布信息安全漏洞周报。
一些企业的态度也变得开明起来,如1月14日,特斯拉的官方订购平台被白帽子发现漏洞,原价30万元的预订金,白帽子可以在后台将之修改为一元钱。
特拉斯得知后迅速修复了该漏洞,并承认该笔订单有效,同时还从总部邮寄了官方纪念品送给白帽子。
21世纪经济报道记者通过半个月的调查,接近了多位白帽子,他们中的部分不愿意透露真实姓名;同时,21世纪经济报道记者也试图从被业内称之为“社会学工程库”的论坛,寻找活跃在数据买卖链条上的人。
此外,通过分析已有的案例和司法判决,也可以探寻这个庞大黑色产业在互联网时代日益形成的安全隐患。
入侵“你不要社我啊。
”这是一句从事网络安全程序员们的“行话”。
“社”是指社会学工程库,他们把获取海量的个人信息称为社会学工程分析。
在社工论坛上,你可以找到各式各样的卖家和买家。
他们明目张胆地买卖各种个人信息资料,如开房资料、考研学生资料、公积金信息等,一般都是几十上百万条信息打包出售,他们将这些打包出售的数据库俗称为“裤子”。
而“社”一个人,则意味着在网络上挖掘与这个人有关的各种资料,通过不同网站的海量数据,破解密码、下载资料……一般而言,第一步需要入侵某个网站的后台系统。
这个过程并不复杂,对一个电脑迷而言,一个刚入行的中学生就可能有能力侵入一个普通网站。
大鸟对我们讲述了他的故事。
第一次学习黑客技术是大一的暑假,他花了一个月的时间在寝室自学。
不久后,就已经可以进入学校网站的后台了。
从这一刻开始,数据就有了被泄露的危险。
大鸟不会将数据下载下来用于己用,仅用来检测网站是否存在漏洞,但他告诉21世纪经济报道记者,黑客入侵网站与白帽子检测网站,在技术路径上几乎是相同的。
大鸟不崇拜仪式感,他不喜欢称之为战斗,但这确实是一场战斗,虽然战利品只是为了满足一种孩童式的好奇、对技术偏执的渴望,但把它称之为一场发生在“入侵者”与技术“看守者”之间的战斗或许并不为过。
在大鸟的印象中,记忆最深的一次入侵行动是他在正式做一名职业白帽子之前。
那是一次比较复杂的行动。
大鸟发现了一家国外网站,对其原代码十分感兴趣,为了看到代码,他决定“入侵”这家网站。
大鸟先找拥有域名的这个人,查他的信息,发现此人是外国人。
因为不是中国人,所以不能掌握太多他的信息。
接下来寻找这个域名下的子域名。
经过分析,发现一些子域名放在几台普通VPS(Virtual Private Server 虚拟专用服务器)上,打开几个页面是空的。
扫了几个端口也没发现端倪,他知道从这几台VPS上很难找到问题,于是他决定找一下它的VPS提供商。
如果拿到VPS提供商的权限,就可以获取它所有VPS的权限,自然也就获取了该域名所指向的VPS权限。
随后他发现这个VPS服务商的运维配置有一些问题,一步一步渗透下去,最终找到了该VPS提供商所有用户控制面板的账号密码,最后找到了对应人的账户密码。
拿到用户密码后,大鸟登陆了对方的控制面板。
VPS是以控制面板进行操作的,进入控制面板就可以操控他服务器上的文件,但是没有文件打包编辑功能。
最后,大鸟上传一个了网页后门,便获得了它的代码。
经过十分复杂的程序,大鸟获取了这台服务器的权限,顺利看到了代码。
或许从技术上,这并不算很难,但对于大鸟来说,这次“入侵”的复杂性远远高于技术,经过一个多月的“战斗”,看到代码后,他选择让自己大睡一场,进入冬眠。
窃取数据对于白帽子而言,发现了网站的漏洞,他的工作就接近了尾声了。
可对于黑色产业链(简称“黑产”)上的人来说,任务才刚刚开始,他们的目的是拿到数据,进而转化成金钱。
业内人士透露,黑客的惯用手法有很多种,但路径上存在相似性:获得外网服务器权限、进入内网、判断核心业务范围、获取核心业务服务器权限,找到数据库密码、看到核心数据、下载核心数据、拿到最高权限、抹掉所有痕迹。
这是一个相对理想的操作链条,但并不意味所有的黑客都能完成上述步骤,比如“拿到最高权限”并不容易,因此有些黑客下载了所有核心数据,但痕迹仍被记录。
对于目标的寻找,一位接近黑产的人士称,有时是黑客主动寻找“含金量高”的网站,侵入网站,窃取数据。
这主要涉及的是一些与金钱交易有关的公共服务行业,如信用卡或网络支付、火车票购票网站、航空公司购票系统、网络购物网站等等。
还有一些则是接受定向委托,一般委托方来自商业竞争对手,需要获得竞争对手的客户数据,于是雇佣黑客。
在进入内网时,有时候黑客会直接查看对方的员工信息是否存在泄露,或根据常用密码top 100来进行测试,如果顺利登陆员工账号,就可以直接进入内网。
但对于需要核心数据的黑客而言,进入内网只是第一步,接下来,黑客需要对数据进行分析,判断核心数据所在位置,这就需要黑客对该网站的业务十分熟悉,甚至熟悉程度要高于网站运维人员,这样才能判断核心数据的子域名在哪一个IP段,进而找到核心数据。
当然,时机的选择十分重要,这一切都要在一个合适的时间里进行:一个网站流量大,看守者不容易发现的时间。
比如,一般的社交网站,上午十点和下午三点比较活跃。
在这样的时间里“拖库”相对不易被察觉。
“拖库”同样是行话,意思是将目标数据下载下来。
但在许多时候,他们并非需要经过复杂的入侵程序获得数据。
因为许多人在不同的网站注册信息时,会使用相同或相似的密码。
因此,这就存在利用“撞库”的方式获得更多的数据的可能。
2014年底发生的12306网站用户信息泄露的事件,起初就被指是“撞库”行为,即用户的用户名和密码在其他网站泄露了,黑客利用其他网站获得的用户数据包,自动登录另一个网站,匹配出部分用户信息,形成数据库。
不过,即使是通过“撞库”发生的信息泄露,相关网站也难脱其责,因为只有存在安全漏洞,网站才可能被“撞库”。
目前,12306网站用户信息泄露事件发生的原因仍不明,官方仍未公布调查进展,网络也曾一度流传出泄露不是“撞库”行为产生用户信息泄露的例证。
黑色产业链在数据被窃取之后,黑客不一定可以将这些数据销售出去。
职业“中介”应运而生。
黑产链条上,有人负责窃取数据,有人专门从事分销,寻找目标买家或帮买家寻找黑客。
21世纪经济报道记者试图寻找这样的人,于是在一些社工库论坛注册,发帖“雇佣黑客”,并且寻找一些专门从事数据交易的QQ群。
在QQ群搜索功能中,只要输入“数据买卖”、“数据交易”等关键字就会看到有大量的活跃群,它们的名字直白简单,一般以“数据交易群”、“淘宝数据交易”等字样为主。
21世纪经济报道记者伪装成买家进入了其中一个交易群,并与一位声称可以提供“进线数据(打进某个电话的数据)”的人进行对接。
该人士称,自己可以拿到每个行业里任意一家企业的进线数据。
通过进入机房,实时监控拨打该公司号码的电话,并将其截取下来,进行销售。
但陌生人的网络交易,确保交易安全是个难题,数据提供方可能提供假数据,而数据购买方也不希望自己的购买行为被记录下来。
对于这些疑问,该人士称,自己可以提供前一天的进线数据,并保证数据是一手信息。
交易的过程,需要买家先少量购买,付钱后再工作,如果买家对第一批数据满意,再进行下一步更多数据的交易。
至于交易价格,该人士说,每个行业的价格不同,21世纪经济报道记者问到餐饮行业的某家巨头企业,他称这些数据价格1条10元,而这个价格称得上是“不便宜”。
数据交易达成的半年内,买家和数据提供商为唯一拥有者,数据商保证不会泄露给第三方。
半年后,数据商就可以将数据打包销售,但此时数据已经大大贬值,一条的价格大概是几毛钱。
这时候,就产生了“二手数据”,二手数据一般会倒卖好几次,基本已经算是“公开”信息,这样的数据在一些社工网站上随处可见。
21世纪经济报道记者潜水几个社工论坛多天,发现每天都会有几条数据供应帖发出,论坛用户只需要支付几个金币(一金币一元钱)的价钱就可以购买到大量数据,有的数据(如个别企业内部通讯录)甚至可以免费下载。
另外,在交易群里,经常出现一些交易请求,有的在寻找数据商,有的在出售数据。
而在QQ群记录中,21世纪经济报道记者看到其中一条信息,涉及各公司大佬的手机号、邮箱等关键信息,该数据持有者将关键数字抹去,留下QQ号,吸引买家。
不过,拥有这类功能的QQ群有很多,21世纪经济报道记者申请进入数十个群,只有一个通过了请求。
上述知情人士表示,这种情况并不意外。
黑产链条上的中介人士面貌仍模糊不清。
一些接近这些人士的白帽子称,这些人的圈子很小,有些是“老乡带老乡”的方式发展。
而网络犯罪呈现的一些特征也印证了这个特征。
2014年12月6日,公安部网络安全保卫局法制工作处处长李菁菁在一次论坛上介绍,目前我国网络犯罪案件地域化明显,比如广西南宁QQ好友诈骗、福建安溪网络购物诈骗、海南儋州网络中奖诈骗等。
通过中国裁判文书网的公开检索也可以发现,这些地区相关案件判决书数量明显高于周边地区。
《刑法》第285条规定了非法入侵计算机信息系统罪,通过已判决的司法案件也可以窥视黑产业的状况。
2014年1月1日至今,中国裁判文书网公布了15份非法入侵计算机信息系统罪判决书,其中除少数目的为买卖国家机关证件和事业单位印章外,大多是为非法获取、买卖公民个人信息。