在浙江義烏,一個(gè)小商家的老板剛剛上班,查看前一天的監(jiān)控視頻發(fā)現(xiàn),凌晨有人翻墻入室,但奇怪的是,店內(nèi)并沒(méi)有什么物品失竊。再仔細(xì)查看一遍視頻,才發(fā)現(xiàn)這名偷偷潛入的神秘人操作了店內(nèi)的電腦就走了。
對(duì)于這種情況,商家也很疑惑,不知是否算是入室盜竊案,因此也就沒(méi)有報(bào)警。但沒(méi)過(guò)多長(zhǎng)時(shí)間,這位小商家的交易記錄和訂單數(shù)據(jù)就出現(xiàn)在了“網(wǎng)絡(luò)黑市”里。
原來(lái),神秘人在這位小商家的電腦上插入了一個(gè)經(jīng)過(guò)改造的U盤(pán)“Bad USB”,里面裝有可以封閉執(zhí)行的木馬病毒,將其拷貝到電腦后,神秘人可以遠(yuǎn)程控制這臺(tái)電腦,從而獲取商家的交易記錄和大量的用戶(hù)真實(shí)信息,甚至影響資金安全。而且,神秘人也可以將商家數(shù)據(jù)和個(gè)人信息轉(zhuǎn)手售賣(mài)給網(wǎng)絡(luò)詐騙組織,造成更多威脅。
此乃網(wǎng)絡(luò)黑灰產(chǎn)犯罪案的典型。所謂網(wǎng)絡(luò)黑灰產(chǎn),指的是電信詐騙、釣魚(yú)網(wǎng)站、木馬病毒、黑客勒索等利用網(wǎng)絡(luò)開(kāi)展違法犯罪活動(dòng)的行為。稍有不同的是,“黑產(chǎn)”指的是直接觸犯國(guó)家法律的網(wǎng)絡(luò)犯罪,“灰產(chǎn)”則是游走在法律邊緣,往往為“黑產(chǎn)”提供輔助的爭(zhēng)議行為。
上述案例的背后,也隱現(xiàn)著當(dāng)前網(wǎng)絡(luò)黑灰產(chǎn)治理中的難點(diǎn)和痛點(diǎn):行為隱秘,用戶(hù)、商家很難注意到;分工明確,已經(jīng)形成產(chǎn)業(yè)鏈;涉及多方,但往往難以明確各方責(zé)任;安全威脅深遠(yuǎn),但現(xiàn)行法律難以消除……
網(wǎng)絡(luò)黑灰產(chǎn)已近千億規(guī)模
網(wǎng)絡(luò)黑灰產(chǎn)有多大的威脅?這個(gè)問(wèn)題恐怕沒(méi)有絕對(duì)準(zhǔn)確的答案。
據(jù)南都大數(shù)據(jù)研究院等機(jī)構(gòu)發(fā)布的《2018網(wǎng)絡(luò)黑灰產(chǎn)治理研究報(bào)告》估算,2017年我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模為450多億元,而黑灰產(chǎn)已達(dá)近千億元規(guī)模;全年因垃圾短信、詐騙信息、個(gè)人信息泄露等造成的經(jīng)濟(jì)損失估算達(dá)915億元,而且電信詐騙案每年以20%~30%的速度在增長(zhǎng)。
該報(bào)告還指出,黑灰產(chǎn)共有四種類(lèi)型:虛假賬號(hào)注冊(cè)等源頭性黑灰產(chǎn);用于進(jìn)行非法交易、交流的平臺(tái);木馬植入、釣魚(yú)網(wǎng)站、各類(lèi)惡意軟件等;大多以惡意注冊(cè)、虛假認(rèn)證、盜號(hào)等形式實(shí)現(xiàn)的網(wǎng)絡(luò)黑賬號(hào)。
另?yè)?jù)阿里安全歸零實(shí)驗(yàn)室統(tǒng)計(jì),2017年4月至12月共監(jiān)測(cè)到電信詐騙數(shù)十萬(wàn)起,案發(fā)資金損失過(guò)億元,涉及受害人員數(shù)萬(wàn)人,電信詐騙案件居高不下,規(guī)模化不斷升級(jí)。2018年,活躍的專(zhuān)業(yè)技術(shù)黑灰產(chǎn)平臺(tái)多達(dá)數(shù)百個(gè)。
雖然數(shù)額驚人,但許多人并不知道自己是如何被黑灰產(chǎn)盯上的。據(jù)阿里安全歸零實(shí)驗(yàn)室高級(jí)專(zhuān)家功夫介紹,網(wǎng)絡(luò)黑產(chǎn)人員經(jīng)常利用綽號(hào)“大菠蘿”的一種路由器偽裝成免費(fèi)WIFI,只要用戶(hù)連接就可以竊取個(gè)人信息,監(jiān)視用戶(hù)的瀏覽記錄;可同時(shí)管理十余張電話(huà)卡的“貓池”設(shè)備,經(jīng)常被用來(lái)在電商平臺(tái)上注冊(cè)垃圾賬戶(hù)“薅羊毛”;他們還經(jīng)常利用總成本不足百元的2G短信嗅探設(shè)備,獲取周邊任何人的短信內(nèi)容,從而盜刷信用卡。
而在這些設(shè)備背后,黑灰產(chǎn)已經(jīng)形成了分工明確的產(chǎn)業(yè)鏈。功夫以假冒公檢法的電信詐騙為例介紹:詐騙團(tuán)伙頭目建設(shè)窩點(diǎn)、招募詐騙成員后,會(huì)通過(guò)黑市購(gòu)買(mǎi)一些用戶(hù)的個(gè)人信息;再由招募的一線(xiàn)話(huà)務(wù)員扮演電信運(yùn)營(yíng)商和銀行,根據(jù)這些個(gè)人信息欺騙用戶(hù);再由二三線(xiàn)話(huà)務(wù)員扮演公安、檢察人員,博取用戶(hù)信任,將錢(qián)款轉(zhuǎn)至指定的“安全賬戶(hù)”;最終由團(tuán)伙其他人在全國(guó)多個(gè)銀行網(wǎng)點(diǎn)幾乎同時(shí)取款。
“頭目詐騙成功后,大概能拿到59%左右的資金,一線(xiàn)騙子大概只能提5%,二線(xiàn)、三線(xiàn)騙子大概能提8%。”功夫表示,許多團(tuán)伙已經(jīng)分工非常細(xì)致,這給今后打擊黑灰產(chǎn)帶來(lái)了不小的挑戰(zhàn)。
個(gè)人信息泄露是黑灰產(chǎn)源頭
在電信詐騙等許多網(wǎng)絡(luò)黑灰產(chǎn)行為中,用戶(hù)的個(gè)人信息是源頭之一。功夫也告訴中國(guó)青年報(bào)·中青在線(xiàn)記者,作為網(wǎng)絡(luò)灰產(chǎn)的個(gè)人信息泄露,是許多違法犯罪行為發(fā)生的源頭,但無(wú)論是企業(yè)還是監(jiān)管部門(mén),都很難完全治理好這個(gè)問(wèn)題。
中國(guó)信息通信研究院在今年1月發(fā)布的《電信和互聯(lián)網(wǎng)用戶(hù)權(quán)益保護(hù)白皮書(shū)》提到,該院2017年上半年的調(diào)查數(shù)據(jù)顯示,電信和互聯(lián)網(wǎng)用戶(hù)的個(gè)人信息安全感知評(píng)分為6.5分,與2013年相比幾乎沒(méi)有提升。影響個(gè)人信息安全感知的最主要因素包括個(gè)人信息泄露、過(guò)度收集個(gè)人信息、未經(jīng)同意收集使用,其中近80%的用戶(hù)認(rèn)為隱私泄露嚴(yán)重,超過(guò)50%的用戶(hù)認(rèn)為應(yīng)用軟件“偷偷收集個(gè)人信息”。
中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室信息安全部副主任寧華曾表示,如今個(gè)人信息保護(hù)出現(xiàn)了新的挑戰(zhàn):以往用戶(hù)感知到自己的隱私信息被泄露、利用需要一周甚至一個(gè)月,但現(xiàn)在可能只需要幾個(gè)小時(shí)就能感知到,隱私信息體現(xiàn)在了廣告、購(gòu)物網(wǎng)站上;以往很多隱私信息是用戶(hù)主動(dòng)提供的,但如今很多用戶(hù)并未主動(dòng)提供的信息,也被商家或平臺(tái)收集、利用了。
針對(duì)個(gè)人信息保護(hù)的新挑戰(zhàn),公安等監(jiān)管部門(mén)也在努力。截至2017年12月20日,全國(guó)公安機(jī)關(guān)當(dāng)年累計(jì)偵破侵犯公民個(gè)人信息案件4911起,抓獲犯罪嫌疑人15463名,打掉涉案公司164個(gè)。但是,網(wǎng)絡(luò)黑灰產(chǎn)已經(jīng)在大量利用個(gè)人信息,開(kāi)展電信詐騙等違法犯罪行為。
據(jù)功夫介紹,在各方打擊下,許多黑灰產(chǎn)人員所利用的隱私信息“四件套”(身份證、銀行卡、手機(jī)卡、銀行U盾)被逐漸查封,導(dǎo)致“四件套”的價(jià)格已經(jīng)從100多元上漲到1500元,但即便如此,黑灰產(chǎn)依然可以通過(guò)“暗網(wǎng)”的諸多渠道獲取大量用戶(hù)的隱私信息。
魔高一尺,道高一丈。功夫認(rèn)為,針對(duì)依然猖獗的黑灰產(chǎn)行為,還需要掌握技術(shù)的企業(yè)、平臺(tái),與公安等監(jiān)管部門(mén)協(xié)同治理。例如通過(guò)企業(yè)提供的大數(shù)據(jù)能力,幫助公安、電信運(yùn)營(yíng)商建設(shè)統(tǒng)一的號(hào)碼識(shí)別平臺(tái),將詐騙號(hào)碼推送到每個(gè)用戶(hù)的手機(jī)上,避免被騙。
工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全管理處副處長(zhǎng)袁春陽(yáng)也曾表示,數(shù)據(jù)安全與個(gè)人信息保護(hù)問(wèn)題涉及移動(dòng)互聯(lián)網(wǎng)的多個(gè)環(huán)節(jié),需要加強(qiáng)產(chǎn)業(yè)合作,強(qiáng)化協(xié)同安全,有關(guān)企業(yè)要切實(shí)履行主體安全責(zé)任,相關(guān)行業(yè)組織和安全廠(chǎng)商,要發(fā)揮組織和技術(shù)優(yōu)勢(shì),健全完善行業(yè)自律和網(wǎng)絡(luò)安全協(xié)作機(jī)制,共筑網(wǎng)絡(luò)安全防線(xiàn),共同提高網(wǎng)絡(luò)安全保障合力。
協(xié)同治理不能模糊責(zé)任
協(xié)同治理,是近年來(lái)討論網(wǎng)絡(luò)安全問(wèn)題時(shí)經(jīng)常被許多人提及的一個(gè)關(guān)鍵詞。與之相伴而生的是,網(wǎng)絡(luò)安全涉事各方該如何承擔(dān)相應(yīng)責(zé)任?
“以前大家都講黑灰產(chǎn)治理要聯(lián)合起來(lái)做事情。這句話(huà)是非常正確的,但是聯(lián)合也容易變成沒(méi)有人負(fù)責(zé)。”阿里安全部資深總監(jiān)張玉東認(rèn)為,治理網(wǎng)絡(luò)黑灰產(chǎn)不能因協(xié)同治理而迷糊各方責(zé)任,應(yīng)該從問(wèn)題根源入手,分析各方責(zé)任,相互督促各方解決問(wèn)題。
張玉東分析,網(wǎng)絡(luò)黑灰產(chǎn)需一般會(huì)先通過(guò)手機(jī)號(hào)碼了解用戶(hù)隱私等基本情況;其次通過(guò)社交網(wǎng)絡(luò)、電話(huà)、短信等進(jìn)一步靠近用戶(hù),騙取其信任,最后與用戶(hù)產(chǎn)生直接聯(lián)系,從而騙取信任實(shí)施詐騙。
根據(jù)這個(gè)流程,張玉東認(rèn)為電信運(yùn)營(yíng)商、社交網(wǎng)絡(luò)平臺(tái)也應(yīng)該在治理黑灰產(chǎn)中承擔(dān)更大責(zé)任。他舉例稱(chēng),許多電信詐騙、釣魚(yú)網(wǎng)站詐騙都是誘騙用戶(hù)連接偽裝過(guò)的免費(fèi)WIFI,或攔截、嗅探短信來(lái)實(shí)現(xiàn)的。“如果運(yùn)營(yíng)商這個(gè)問(wèn)題不解決,永遠(yuǎn)有一個(gè)環(huán)節(jié)是可以造假的,這個(gè)問(wèn)題就不能根治”。
另外,他也關(guān)注到更隱蔽但更大量的涉及用戶(hù)個(gè)人隱私的數(shù)據(jù)泄露。他呼吁,發(fā)揮網(wǎng)絡(luò)基礎(chǔ)設(shè)施作用的平臺(tái)級(jí)企業(yè)應(yīng)該率先示范,首先行動(dòng)起來(lái),保護(hù)用戶(hù)數(shù)據(jù)和個(gè)人信息免遭泄露。“各家自?huà)唛T(mén)前雪,把自己的事先解決,這是第一步。”
不過(guò),作為網(wǎng)絡(luò)安全從業(yè)者,他也明白當(dāng)前推動(dòng)企業(yè)投入大量成本去保護(hù)用戶(hù)數(shù)據(jù)和個(gè)人信息的挑戰(zhàn)。因此,他希望制度層面可以進(jìn)一步對(duì)企業(yè)在這方面的責(zé)任和投入作出要求。
360公司董事長(zhǎng)兼CEO周鴻祎也曾向中國(guó)青年報(bào)·中青在線(xiàn)記者表示,個(gè)人信息保護(hù)是網(wǎng)絡(luò)安全法等法律的重點(diǎn)議題,但在具體執(zhí)行中還需要更多細(xì)則。尤其是針對(duì)掌握大量用戶(hù)數(shù)據(jù)的互聯(lián)網(wǎng)公司,他建議制度層面可以針對(duì)這類(lèi)企業(yè)如何處理、轉(zhuǎn)賣(mài)、交換用戶(hù)數(shù)據(jù)作出更加詳細(xì)的規(guī)定,對(duì)企業(yè)收集、保存用戶(hù)數(shù)據(jù)也應(yīng)作出相應(yīng)規(guī)定,保證涉隱私數(shù)據(jù)不能明文存放,而是加密存儲(chǔ),以避免被人輕易利用。
觀(guān)韜中茂(上海)律師事務(wù)所合伙人王渝偉律師認(rèn)為,近年來(lái)頻頻發(fā)生的企業(yè)數(shù)據(jù)和個(gè)人信息泄露事件說(shuō)明,一方面很多企業(yè)在技術(shù)和管理層面仍然不能達(dá)到法律法規(guī)的要求,對(duì)數(shù)據(jù)泄露仍然存在規(guī)避責(zé)任的僥幸心理,沒(méi)有切實(shí)履行作為個(gè)人信息控制者、網(wǎng)絡(luò)運(yùn)營(yíng)者的義務(wù);另一方面也說(shuō)明對(duì)個(gè)人信息泄露事件的責(zé)任主體的監(jiān)管和懲罰力度不到位,縱容了企業(yè)的僥幸心理。
“網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)需要企業(yè)和政府的共同努力來(lái)構(gòu)造,制定完善規(guī)則,并且貫徹執(zhí)行,這肯定是首先要考慮的。”王渝偉呼吁,無(wú)論是監(jiān)管機(jī)構(gòu)還是具體企業(yè),都要真正行動(dòng)起來(lái)。(作者:王林)
轉(zhuǎn)自:中國(guó)青年報(bào)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀(guān)點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。
延伸閱讀