機房360首頁
                  當前位置:首頁 ? 安全資訊 ? 網絡黑灰產業已近千億 個人信息泄露是源頭

                  網絡黑灰產業已近千億 個人信息泄露是源頭

                  來源:中國青年報 作者:DJ編輯 更新時間:2018/10/9 10:01:09

                  摘要:在浙江義烏,一個小商家的老板剛剛上班,查看前一天的監控視頻發現,凌晨有人翻墻入室,但奇怪的是,店內并沒有什么物品失竊。再仔細查看一遍視頻,才發現這名偷偷潛入的神秘人操作了店內的電腦就走了。

                    在浙江義烏,一個小商家的老板剛剛上班,查看前一天的監控視頻發現,凌晨有人翻墻入室,但奇怪的是,店內并沒有什么物品失竊。再仔細查看一遍視頻,才發現這名偷偷潛入的神秘人操作了店內的電腦就走了。

                    對于這種情況,商家也很疑惑,不知是否算是入室盜竊案,因此也就沒有報警。但沒過多長時間,這位小商家的交易記錄和訂單數據就出現在了“網絡黑市”里。

                    原來,神秘人在這位小商家的電腦上插入了一個經過改造的U盤“Bad USB”,里面裝有可以封閉執行的木馬病毒,將其拷貝到電腦后,神秘人可以遠程控制這臺電腦,從而獲取商家的交易記錄和大量的用戶真實信息,甚至影響資金安全。而且,神秘人也可以將商家數據和個人信息轉手售賣給網絡詐騙組織,造成更多威脅。

                    此乃網絡黑灰產犯罪案的典型。所謂網絡黑灰產,指的是電信詐騙、釣魚網站、木馬病毒、黑客勒索等利用網絡開展違法犯罪活動的行為。稍有不同的是,“黑產”指的是直接觸犯國家法律的網絡犯罪,“灰產”則是游走在法律邊緣,往往為“黑產”提供輔助的爭議行為。

                    上述案例的背后,也隱現著當前網絡黑灰產治理中的難點和痛點:行為隱秘,用戶、商家很難注意到;分工明確,已經形成產業鏈;涉及多方,但往往難以明確各方責任;安全威脅深遠,但現行法律難以消除……

                    網絡黑灰產已近千億規模

                    網絡黑灰產有多大的威脅?這個問題恐怕沒有絕對準確的答案。

                    據南都大數據研究院等機構發布的《2018網絡黑灰產治理研究報告》估算,2017年我國網絡安全產業規模為450多億元,而黑灰產已達近千億元規模;全年因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元,而且電信詐騙案每年以20%~30%的速度在增長。

                    該報告還指出,黑灰產共有四種類型:虛假賬號注冊等源頭性黑灰產;用于進行非法交易、交流的平臺;木馬植入、釣魚網站、各類惡意軟件等;大多以惡意注冊、虛假認證、盜號等形式實現的網絡黑賬號。

                    另據阿里安全歸零實驗室統計,2017年4月至12月共監測到電信詐騙數十萬起,案發資金損失過億元,涉及受害人員數萬人,電信詐騙案件居高不下,規模化不斷升級。2018年,活躍的專業技術黑灰產平臺多達數百個。

                    雖然數額驚人,但許多人并不知道自己是如何被黑灰產盯上的。據阿里安全歸零實驗室高級專家功夫介紹,網絡黑產人員經常利用綽號“大菠蘿”的一種路由器偽裝成免費WIFI,只要用戶連接就可以竊取個人信息,監視用戶的瀏覽記錄;可同時管理十余張電話卡的“貓池”設備,經常被用來在電商平臺上注冊垃圾賬戶“薅羊毛”;他們還經常利用總成本不足百元的2G短信嗅探設備,獲取周邊任何人的短信內容,從而盜刷信用卡。

                    而在這些設備背后,黑灰產已經形成了分工明確的產業鏈。功夫以假冒公檢法的電信詐騙為例介紹:詐騙團伙頭目建設窩點、招募詐騙成員后,會通過黑市購買一些用戶的個人信息;再由招募的一線話務員扮演電信運營商和銀行,根據這些個人信息欺騙用戶;再由二三線話務員扮演公安、檢察人員,博取用戶信任,將錢款轉至指定的“安全賬戶”;最終由團伙其他人在全國多個銀行網點幾乎同時取款。

                    “頭目詐騙成功后,大概能拿到59%左右的資金,一線騙子大概只能提5%,二線、三線騙子大概能提8%。”功夫表示,許多團伙已經分工非常細致,這給今后打擊黑灰產帶來了不小的挑戰。

                    個人信息泄露是黑灰產源頭

                    在電信詐騙等許多網絡黑灰產行為中,用戶的個人信息是源頭之一。功夫也告訴中國青年報·中青在線記者,作為網絡灰產的個人信息泄露,是許多違法犯罪行為發生的源頭,但無論是企業還是監管部門,都很難完全治理好這個問題。

                    中國信息通信研究院在今年1月發布的《電信和互聯網用戶權益保護白皮書》提到,該院2017年上半年的調查數據顯示,電信和互聯網用戶的個人信息安全感知評分為6.5分,與2013年相比幾乎沒有提升。影響個人信息安全感知的最主要因素包括個人信息泄露、過度收集個人信息、未經同意收集使用,其中近80%的用戶認為隱私泄露嚴重,超過50%的用戶認為應用軟件“偷偷收集個人信息”。

                    中國信息通信研究院泰爾終端實驗室信息安全部副主任寧華曾表示,如今個人信息保護出現了新的挑戰:以往用戶感知到自己的隱私信息被泄露、利用需要一周甚至一個月,但現在可能只需要幾個小時就能感知到,隱私信息體現在了廣告、購物網站上;以往很多隱私信息是用戶主動提供的,但如今很多用戶并未主動提供的信息,也被商家或平臺收集、利用了。

                    針對個人信息保護的新挑戰,公安等監管部門也在努力。截至2017年12月20日,全國公安機關當年累計偵破侵犯公民個人信息案件4911起,抓獲犯罪嫌疑人15463名,打掉涉案公司164個。但是,網絡黑灰產已經在大量利用個人信息,開展電信詐騙等違法犯罪行為。

                    據功夫介紹,在各方打擊下,許多黑灰產人員所利用的隱私信息“四件套”(身份證、銀行卡、手機卡、銀行U盾)被逐漸查封,導致“四件套”的價格已經從100多元上漲到1500元,但即便如此,黑灰產依然可以通過“暗網”的諸多渠道獲取大量用戶的隱私信息。

                    魔高一尺,道高一丈。功夫認為,針對依然猖獗的黑灰產行為,還需要掌握技術的企業、平臺,與公安等監管部門協同治理。例如通過企業提供的大數據能力,幫助公安、電信運營商建設統一的號碼識別平臺,將詐騙號碼推送到每個用戶的手機上,避免被騙。

                    工信部網絡安全管理局網絡與數據安全管理處副處長袁春陽也曾表示,數據安全與個人信息保護問題涉及移動互聯網的多個環節,需要加強產業合作,強化協同安全,有關企業要切實履行主體安全責任,相關行業組織和安全廠商,要發揮組織和技術優勢,健全完善行業自律和網絡安全協作機制,共筑網絡安全防線,共同提高網絡安全保障合力。

                    協同治理不能模糊責任

                    協同治理,是近年來討論網絡安全問題時經常被許多人提及的一個關鍵詞。與之相伴而生的是,網絡安全涉事各方該如何承擔相應責任?

                    “以前大家都講黑灰產治理要聯合起來做事情。這句話是非常正確的,但是聯合也容易變成沒有人負責。”阿里安全部資深總監張玉東認為,治理網絡黑灰產不能因協同治理而迷糊各方責任,應該從問題根源入手,分析各方責任,相互督促各方解決問題。

                    張玉東分析,網絡黑灰產需一般會先通過手機號碼了解用戶隱私等基本情況;其次通過社交網絡、電話、短信等進一步靠近用戶,騙取其信任,最后與用戶產生直接聯系,從而騙取信任實施詐騙。

                    根據這個流程,張玉東認為電信運營商、社交網絡平臺也應該在治理黑灰產中承擔更大責任。他舉例稱,許多電信詐騙、釣魚網站詐騙都是誘騙用戶連接偽裝過的免費WIFI,或攔截、嗅探短信來實現的。“如果運營商這個問題不解決,永遠有一個環節是可以造假的,這個問題就不能根治”。

                    另外,他也關注到更隱蔽但更大量的涉及用戶個人隱私的數據泄露。他呼吁,發揮網絡基礎設施作用的平臺級企業應該率先示范,首先行動起來,保護用戶數據和個人信息免遭泄露。“各家自掃門前雪,把自己的事先解決,這是第一步。”

                    不過,作為網絡安全從業者,他也明白當前推動企業投入大量成本去保護用戶數據和個人信息的挑戰。因此,他希望制度層面可以進一步對企業在這方面的責任和投入作出要求。

                    360公司董事長兼CEO周鴻祎也曾向中國青年報·中青在線記者表示,個人信息保護是網絡安全法等法律的重點議題,但在具體執行中還需要更多細則。尤其是針對掌握大量用戶數據的互聯網公司,他建議制度層面可以針對這類企業如何處理、轉賣、交換用戶數據作出更加詳細的規定,對企業收集、保存用戶數據也應作出相應規定,保證涉隱私數據不能明文存放,而是加密存儲,以避免被人輕易利用。

                    觀韜中茂(上海)律師事務所合伙人王渝偉律師認為,近年來頻頻發生的企業數據和個人信息泄露事件說明,一方面很多企業在技術和管理層面仍然不能達到法律法規的要求,對數據泄露仍然存在規避責任的僥幸心理,沒有切實履行作為個人信息控制者、網絡運營者的義務;另一方面也說明對個人信息泄露事件的責任主體的監管和懲罰力度不到位,縱容了企業的僥幸心理。

                    “網絡安全和個人信息保護需要企業和政府的共同努力來構造,制定完善規則,并且貫徹執行,這肯定是首先要考慮的。”王渝偉呼吁,無論是監管機構還是具體企業,都要真正行動起來。

                    責任編輯:DJ編輯

                  機房360微信公眾號訂閱
                  掃一掃,訂閱更多數據中心資訊

                  本文地址:http://www.qcgiw.icu/news/2018109/n9182108962.html 網友評論: 閱讀次數:
                  版權聲明:凡本站原創文章,未經授權,禁止轉載,否則追究法律責任。
                  相關評論
                  正在加載評論列表...
                  評論表單加載中...
                  • 我要分享
                  推薦圖片
                  竞彩推荐软件