黑客內鬼致個人成透徹人信息泄露渠道無孔不入
信息泄露黑灰產業鏈滋生巨大非法贏利空間
李小姐,您所買入的小區最近正在交房,您家裝修公司選好了嗎?
您好,我們銀行最近有裝修貸產品做活動,利率很優惠,您有需求嗎?
您家房本快下來了,您有考慮賣房嗎?
……
自從李小姐買了房,她的生活就像被跟蹤一般,裝修公司、吃角子老虎機優惠註冊銀行、中介的各種推銷電話每日各種轟炸。大多數人都有過和李小姐雷同的履歷。究其理由,正是信息泄露讓我們無形中變身透徹人。
《經濟參考報》查訪發明,從上游個人信息被非法獲取、到中游數據在各種暗盤買賣平臺被轉手和出售、再到下游各種隱私數據被用于詐騙、敲詐,個人信息泄露背后已然形成了一條完整的黑灰產業鏈,滋生著巨大的非法贏利空間,嚴重恐嚇著個人、企業甚至國家安全。
趙乃育繪
黑客難躲內鬼頻現泄露渠道無孔不入
個人信息到底是怎麼被泄露的呢?在諸多的信息泄露案背后,不乏黑客和內鬼的身影。
奇安信數據安全子公司擔當吃角子老虎機如何投注人姚磊對《經濟參考報》表示,黑客可利用在線系統漏洞拖庫、利用社工庫或者弱口令等撞庫,此前出現的群、163郵箱、海角、萬豪、華住等數據泄露事件,均和黑客進攻有關。部門黑客也可利用挪動終端操縱系統漏洞、公眾WIFI網絡漏洞、終端舊設施數據刪除不完全等,進攻終端企業數據,造成個人隱私數據泄露。他說。
除了黑客難躲,內鬼也頻現。北京市朝陽區人民查察院查察官助理陳瑩璐通知,就犯法主體來看,單位內部員工或離職人員,利用職務或工作便利,非法獲取或販賣公民個人信息案件時有發作。她舉例稱,被告人方某在某網絡公司任職時期,非法復制獲取公司系統服務器中的公民個人信息10萬余條,并出售贏利。后該公司在排查中發明該員工賬戶採用反常,下載大批涵蓋用戶信息姓名、地位證、電話等公民個人信息,故報案。據方某供述,其在公司利用爬蟲軟件獲取了數十萬條公民個人信息,經篩選、刪除敏感信息后,留下姓名、手機號,存入挪動硬盤,后從挪動硬盤中找信息賣出。
值得注意的是,現實生活中,一些信息泄露道路十分隱秘,無形之中我們就已然變身為透徹人。
無處不在的攝像頭已經成為獲取個人生物信息的主要渠道。業內專家表示,個人生物特征數據具有唯一性和不可再生性,一旦被盜取,無法追回和改變,將對個人隱私保衛帶來極大的、不可逆的風險角子老虎機必勝法實例。人臉信息明文傳輸,每次刷臉解鎖均會反復上傳,很容易發作泄露,且辨別可信性差,採用翻拍照片即可輕易破解。
另有,電信運營商、短信通道、第三方平臺等也已經成為近些年來不可忽視的泄露渠道。用戶拜訪客戶網站App的紀實被運營商泄露、用戶數據被第三方工具或平臺泄露、企業下發給用戶的短信被第三方短信通道泄露等,都時有發作。業務情報安全企業永安在線產品經理鄒洪志表示。
他對說,永安在線最近幫助某證券公司發明了一條數據資產泄露渠道,該證券公司的數據并不存在直接泄露,但與其客戶相關的資產數據在暗網或Telegram群被連續出售。
黑灰產人員可以獲取到拜訪過該證券公司官網的用戶手機號碼,有些還可以獲取到用戶姓名、運營商、省份、城市等相關數據。他說,運營商能拿到用戶的上網流量,可以通過用戶手機號-設施-流量對應上,然后通過內鬼或者某個接口泄露到第三方大數據營公司之類去賣。鄒洪志說,一些數據賣家明確表示只支援某一家電信運營商,也從側面證明這些賣家是與運營商合作的。
圖片來歷:永安在線
專家指出,實名制的深入實施讓個人信息常與設施、賬號綁定,進一步放大了信息泄露的風險。吃角子老虎機玩法介紹360集團手機安全研究員俞奎表示,某種水平上,地位信息、支付等校驗的是設施、賬號,而不是本人,即誰掌握了他人的信息,即可實現地位假冒。假如平臺受到黑客進攻,或有內鬼泄露,那麼用戶交付出去的個人信息用途并不可控。
層層加密無法追蹤暗網等平臺成信息交易大本營
在一些隱秘的角落,有關個人信息的非法買賣無時無刻都在進行。傳統的泄露數據大都在、以及地下論壇等買賣。然而,跟著國家對網絡空間治理和打擊力度的加大,越來越多的泄露數據在‘暗網’這種匿名、匿蹤的暗盤買賣平臺出售。姚磊說。
陳瑩璐表示,暗網被稱為躲藏的服務器,其域名數目到達表層網絡的400-500倍,運營環節具有全方向的程序保衛和復雜的登錄方式。犯法分子借助暗網匿名、無法追蹤等特點,并採用賭博平臺、虛擬錢幣進行買賣,層層加密為游走在暗網的犯法分子提供了專業上的保衛色。
《經濟參考報》從業內人士了解到,暗網提供各種查檔、定位服務,查檔指查詢公民的住宿、出行、戶籍、車輛、犯法紀實、學籍等各種隱私信息。定位則是指可查詢各種App位置信息。
通過有關渠道獲取到一張暗網發表帖子的截圖。發帖人稱,全國幼兒園至高中、職校以及相關教育機構老師數據,一手出新74800條,數據內容極度詳細。該截圖顯示,這些個人信息包含有老師姓名、手機、郵箱、結業院校、任講授科、任講授校、教齡等共16個維度的數據。隨機挑選了兩位老師的信息,經電話求證,信息均為其個人真實信息。該帖子發表于2024年1月9日,截至3月25日,該定價為99美元的數據包已有4單成交。
實際上,暗網已成個人信息交易大本營。姚磊介紹,2024年以來,在暗網出售的部門主要數據包含有:2024年1月,印度支付公司Juspay超1億用戶的借記卡、信用卡信息在暗網上銷售;2024年8月,黑客在暗網出售美國186億選民數據;2024年4月,超50萬Zoom用戶賬戶在暗網出售;2024年3月,538億條微博用戶信息在暗網出售,包含有用戶、微博數、粉絲數、關注數、地理位置、手機號等。
滋生詐騙、敲詐信息泄露成精準犯法助推器
陳瑩璐表示,跟著經濟的快速發展和信息網絡的廣泛遍及,公民個人信息的經濟價值日益凸顯,導致侵犯公民個人信息的犯法屢打不絕,且成為了滋生電信網絡詐騙、綁架、勒索敲詐等下游犯老虎機怎麼玩贏錢法的源頭,社會危害日益突出并多發,已經史無前例地成為陰礙個人甚至國家安全的主要疑問。
中國司法大數據研究院社會治理研究中央主任李俊慧對《經濟參考報》表示,通常而言,交易個人信息,從買入一方來看,一定有特殊用途,不論是進行業務推廣,或是實施詐騙犯法等。因此,個人信息欠妥泄露或非法交易一定會給下游犯法提供協助。他舉例稱,在一起個人信息非法交易案件中,不法分子成立了一家書息咨詢公司,通過買入股民電話號碼,進行虛假股票營銷牟利。公安機關在該公司現場查獲股民電話號碼約12萬條。
囿于違法所得金額的限制,對于涉公民個人信息犯法違法所得的追繳與罰金的財產性處罰,卻遠不足以填平公民個人信息泄露造成的次生危害。北京市第三中級人民法院副院長辛尚民表示。實踐中,行為人利用非法獲取的公民個人信息實施的犯法重要有詐騙罪,比如向不特定對象發送中獎信息;合同詐騙罪,比如利用某些理財軟件漏洞騙取財物;勒索敲詐罪,比如利用旅店開房紀實等住宿信息對相關人員進行敲詐。
值得注意的是,數據泄露及販賣正從單純的買賣數據演變到買賣數據拜訪權限。網絡犯法分子已將注意力從個人信息遷移到了更龐大的數據庫——工業企業數據庫。黑客利用漏洞盜取企業要點數據,并通過敲詐軟件加密企業相關設施。隨后,這些數據將被進行雙重敲詐,假如不支付贖金不予解鎖,同時會泄露被盜數據。尤其是在制造業智能化水平大幅提高的底細下,智能化工控系統已成為黑客進攻的目標。
閃捷信息安全戰略研究中央發表的《2024年度數據泄漏態勢解析教導》顯示,2024年受敲詐進攻而造成數據泄露事件占所有數據安全事件的15%,成為常態化的數據安全事件。
據此前江蘇省南通市警方通報,在凈網2024行動中,勝利偵破一起由公安部督辦的特大制作、採用敲詐病毒毀壞算計機信息系統從而實施網絡勒索敲詐的案件,非法贏利的比特幣折合人民幣500余萬元。
華順信安的創始人、CEO趙武表示,黑客已單純索取數據行為轉向敲詐,通過敲詐病毒對企業關鍵信息庫加密的方式索要高額虛擬錢幣,可以短時間獲得暴利,又因虛擬錢幣的匿名性而保衛地位不曝光。企業差異于個人,企業不支付贖金,黑客便泄露企業敏感數據、盜取其知識產權。極端場合下,最嚴重的進攻可能對制造商工廠和設施造成永久性損失,對企業陰礙難以估量。趙武說。
