jod 2017-09-06
本文作者2015年入职腾讯,从事互联网安全工作,投身挖掘互联网黑色产业,探寻网络安全世界的风云变幻。文章于2016年8月26日在“腾讯技术工程官方号”公众号上首发。
今年(2016年,编者注)9月1日即将踏入大学的18岁临沂罗庄女孩徐玉玉,19日接到了一通诈骗电话,结果被骗走了上大学的费用9900元。得知被骗后,徐玉玉伤心欲绝,郁结于心,最终导致心脏骤停,虽经医院全力抢救,但仍不幸于21日离世,让人扼腕。
18岁的临沂姑娘尸骨未寒,临沭县的大二学生宋振宁也在18日接到一个来自济南的陌生电话,遭遇电信诈骗后,23日凌晨心脏骤停,不幸离世。
18岁少女之死,罪魁祸首难道只是诈骗分子?
如果没有那通电话,正值18岁豆蔻年华的山东女孩徐玉玉,此刻应该正在收拾行囊,准备前往向往已久的大学报道,展开一段全新的人生旅途。但就在前几天的下午,徐玉玉接到了一个声称是教育局人员的电话。在这之前,这位家境潦落但品学兼优的女孩,确实凭自己的努力获得了教育局的奖学金。于是她按照电话指示在ATM上进行操作,将全家东拼西凑的9900元学费转了出去。从派出所报案出来后,这个爱笑懂事的女孩,一头栽倒在父亲的三轮车上,心脏骤停,从此再也没有醒来……所有满载憧憬的象牙塔生活,所有令人期待的锦绣前程,都因为这通诈骗电话,戛然而止。面对惨剧,我们悲怆、痛惜、愤怒,同时我们也不禁思考,究竟是什么导致了悲剧的发生?
被打开的潘多拉盒子:数据泄漏之殇
其实,徐玉玉所遭遇的诈骗并非是个案。就在同一天,也是在山东临沂,数名准大学生都反馈说接到了来自“教育局”的电话,说是要发放助学金,对方能够一字无误地报出自己的姓名、学校和家庭住址。其中,还有另一名女学生也不幸陷入骗局,家里辛辛苦苦攒下来的6800元学费全被骗光。在我们忍不住痛骂骗子的丧尽天良,为年轻性命的逝去而痛心疾首时,我们也不禁疑惑:骗子是怎样获得这些准大学生和家长的电话号码的?为什么会知道他们正在领国家补贴?为什么每年高考结束后都有这么多诈骗案件?这些问题的答案,都不约而同地指向同一个现象——数据泄漏。
数据泄漏究竟有多严重?骗子到底有多猖獗?对此相信我们每一个人都深有体会:刚在网上下单购物,“网购退款”的电话就打过来了;刚买了房子,装修公司的电话就打过来了;刚开户炒股票,各种股票软件公司、私募机构、期货贵金属交易的电话,通通都来了。这些,都是源自那个被打开的数据泄漏的潘多拉盒子。
实际上,在过去互联网飞速发展的十年里,数据泄漏的阴影从未消散。据调查,个人身份信息是过去十年里泄漏最多的数据类型,包括姓名、身份证号、住址、出生日期、电话号码、帐号密码等。据统计,在过去的一年里,平均每5小时就有一起数据泄漏事件发生,一年的泄漏量累积达到24亿。而这数十亿的泄漏信息里,不知道包含了多少像徐玉玉这样莘莘学子的个人信息。
泄漏数据,源于何处?用于何罪?
很明显,数据泄漏已成为当前互联网安全的主要矛盾之一,成为威胁用户隐私和财产安全的重患。那么,这些被泄漏的数据都到哪里去了?根据安全平台部情报侧调查,这里面牵涉到一个庞大而复杂的黑产帝国,按照具体的黑产活动,可分为数据源头、数据交易、数据买方三大产业链条。
1、数据是如何泄漏的?
泄漏数据的来源复杂多样,并且纵横交错。在这里我们分为几种:第一,黑客入侵。也就是黑客通过各种渗透手段拖走企业数据;第二,钓鱼和木马盗号。坏人通过钓鱼链接,结合木马软件窃取用户信息,是帐号类数据被泄漏的常见手法。除了以上两种,内鬼泄漏数据也是近年来愈趋严重的现象,也就是机构或公司内部员工监守自盗,暗地出售数据以获利。相比于黑客拖库的数据,内鬼数据的品类则要丰富得多,例如电商订单类、教育培训类、金融类、妇幼类等。而徐玉玉同学的奖学金和个人信息之所以被骗子所掌握,初步判断很有可能是源于相关部门内部人员的泄漏。
2、泄漏的数据在黑市中如何流转?
上游数据出来后,就轮到“数据贩子”上场了,他们会把数据进行分类整合再打包出售。在去年某快递公司3万订单泄漏事件中,犯罪分子把客户信息以每条1元的价格在黑市中公开出售,获利3万余元。而最近泄漏的MySpace3亿6000万数据,也被黑客以2800美元的价格挂牌出售。有时候,买方也会把用过的数据拿出来转卖,因此黑市上有一手二手数据的说法。而在这些黑产人员中,有将近一半是专门进行实名信息交易的团伙。图:黑市数据交易
3、泄漏的数据会被用来做什么?
据调查,黑市中的数据买方也是形形色色,例如泄漏库站长、社工论坛站长、精准营销团伙、专项黑产团伙和进行撞库攻击的黑客。其中,诈骗团伙是这些数据最主要的买家。随着数据泄漏的日渐猖獗,相关黑产链条也是日新月异,银行卡盗刷、网购订单诈骗,这些都是基于用户隐私的诈骗手法。而随着互联网征信、贷款的不断发展,用户隐私信息可被利用的作恶途径也会更多,危害更大。
勠力同心,共捍卫亿万用户的安全与幸福
数据泄漏,是用户之殇,更是整个产业必须共同面对的难题。保护用户的隐私安全,整治数据泄漏问题,这是一场势在必行的持久战斗。这场战斗,需要团结一切可以团结的力量,从政府的治理,到企业之间的协作,再到用户的自我防范,每一环都缺一不可。然而,能力越大,责任越大,当公司成为拥有八亿用户的互联网服务商,我们的一举一动都可能影响数亿用户的信息和财产安全。因此,我们必须率先承担起这份义不容辞的责任,不遗余力地保护好用户的数据安全。要保护好用户和企业存放在我们公司的数据,有两个思路可以参考。其一,必须对数据的整个生命周期进行由始至终的保护,梳理每一个环节面临的风险,遵循公司的《敏感数据加固保护标准》;其二,从数据被读取的环节就做好监控,要求每一条数据流出的时候,都有一个操作日志。有了这个日志,再加以安全团队多年的对抗经验,就可能感知短时间内高频、大量的数据窃取行为,及时阻断数据窃取行为。
现在,腾讯也对外积极推进行业与政府之间,行业与行业之间,行业与用户之间的合作,共同整治数据泄漏问题,建立安全生态环境,如成立守护者联盟。对内,安全平台部也联合微信、QQ、安管、客服等多个业务和安全团队组成反欺诈联合团队,并肩战斗,致力于对抗数据泄漏所带来的安全难题。
写在最后
诚然,我们无法彻底消除人心的贪欲和恶念,但我们可以为捍卫他人的安全和幸福而战。安全平台部期望和公司各大业务和安全团队一起努力,竭力瓦解邪恶力量为非作歹的念头,保护用户的利益不受侵害。这是我们的责任,也是我们永恒的使命。愿通过我们共同的努力,让惨剧不再发生,让这个世界比我们来时更好,让互联网的奇迹,能够继续惠及更多的人。