年關將至,又到小偷、黑客衝業績的日子了,今天筆者帶大家揭秘黑色數據產業鏈,希望對大家在日常生活和工作中,對於如何防範黑產所帶來的危害有所啟發。
筆者相信大家都有過以下經歷:
- QQ被盜,被人冒充向好友借錢;
- 郵箱被盜,本尊需要找回密碼才能登陸;
- 在某平臺申請貸款後,收到不同貸款平臺的信息轟炸,再後來是各行各業的信息轟炸;
- 銀行卡賬號被盜,血汗錢不翼而飛;
- ……
實際上:以上只是我們跟「黑產」親密接觸的冰山一角。在信息爆炸的網絡時代,個人信息不再是「隱私」,各種黑客、騙局和攻擊不斷滲透我們的生活。
我們所謂的隱私,已經成為黑市廉價的「交易品」。據一名資深黑客介紹:中國公民身份證價值是很低,僅為「2毛錢/個」,黑客經過加工,如增加姓名和電話號碼碼後,也只能賣到1元/個。
一、何為黑客?
看過《教父》的朋友或許瞭解,片中的黑幫家族不僅組織嚴密,更是將一些地下產業實現了商業化運作。網絡黑產也是如此,且發展至今地下「黑客產業鏈」已是極其「龐大且分工明確」,黑客可以根據自己的專長,專門負責某個環節,每個環節一般不超過3個人,喜歡單幹。
那麼,何為黑客?
根據百度詞條的定義,黑客一詞源於英文Hacker,最初曾指熱心於計算機技術、水平高超的「電腦專家」,尤其是程序設計人員,後逐漸區分為白帽、灰帽、黑帽等,其中黑帽(blackhat)就是cracker。
cracker是指利用公共通訊網路,如互聯網和電話系統,在「未經許可」的情況下,載入對方系統的人員,也即本次文章的主角。
國際上頂尖的黑客主要來自「中國、美國和俄羅斯」 。比如MobilePwn2Own2017世界黑客大賽就是被中國團隊摘得「桂冠」。儘管他們稱之為白客,但是從中可以看出中國黑客的「技術水平」之高。
因此,中國有很多黑色產業鏈也不足為奇,而今天主要討論黑色數據產業鏈。
二、數據黑產生態鏈成員
數據黑色產業鏈的主要「參與者」有哪些?
1. 黑客(黑帽子)
通過入侵企業服務器、網遊服務器、網站,或製作木馬病毒「竊取」商業信息、用戶信息(包括各類賬號信息)等收集信息,後通過直接出售獲利,或通過洗錢、發送垃圾郵件等形式獲利。
2. 脫洗撞需求定製化
黑客把用戶的賬戶等信息出售給下游後,進入脫洗撞需求定製化流程,大概流程如下:
- 脫庫:入侵有價值的網站,把數據盜走;
- 洗庫:通過技術手段清洗數據,將價值用戶數據變現;
- 撞庫:用數據嘗試其他網站的登陸,如你的微博賬號密碼被破解之後,黑客會嘗試用同一套賬戶體系登陸京東、淘寶、天貓等。
3. 數據上游定製方
目前數據的交易模式主要有兩種:
- 定製化模式:現有的下游客戶指定某一家網站,聘請黑客脫庫,脫庫後獲得佣金(按需生產);
- 交易化模式:黑客去網站脫庫,脫庫後直接在黑市上尋找買家。
由於交易化模式「風險」較高,因此目前80%以上的交易會以「定製化模式」為主,即黑客接到定製方的命令後進行脫庫洗庫,之後與定製方談判價格並完成交易流程。
三、為什麼需要洗庫(數據清洗分類)?
因為不同的數據類型「價值」不一樣,如淘寶訂單的數據比身份證信息價格更高。
1. 數據黑市
數據交易的場所,當然這個場所也有可能是虛擬的,比如線上交易。
2. 數據下游需求方
涵蓋各行各業,一切需要購買數據的企業都可以是需求方,如金融業(證券、理財、P2P、信用卡等)、旅遊行業、遊戲業、醫療業等。
客戶的來源比例大概如下:
傳統行業包括學校、醫院、五金、製造業等。
有些讀者可能會好奇,為什麼傳統行業對數據的需求量這麼大?
舉個栗子:病人看病需要先在網上掛號,看病過程中醫生會將病人的症狀、使用藥物等錄入系統,而醫院的服務器一般安全等級較低、沒有專業的攻防設備,這些消費者信息一旦被黑客獲取,那麼下游的製藥公司、售藥公司等都會成為需求方。
總結起來:這條黑色產業鏈的主要參與方有多個,但不是每筆交易都必須全員參與,如黑客獲取數據後,也可以不經過脫洗撞等環節直接拿到黑市售賣。
如下圖所示:
3. 數據交易
黑客獲取數據之後,通常的處理方式有幾種:
- 把不同類型的用戶數據賣給互聯網生態中早期發展同類用戶定位的公司;
- 把不同類型的客戶數據賣給互聯網生態中對應的變現公司;
- 把核心數據包裝後在自己公司產品生態中的下游公司獲利;
- 自己公司產品平臺的B端數據在不同的B端流通變現。
既然是數據,就有準確與否的區別,即數據的「質量」。由於黑客販賣的數據通常數量較多,無法一一校驗,因此通常會用抽查的方法來檢測數據的準確性,從而確定數據的價格。
同時,由於前端買家有「源源不斷」的數據需求,為了降低數據的重合度,就會對賣家提出更高要求,賣家需要源源不斷地獲取新數據,這樣就形成了市場的「需求驅動」 。
因此也不難理解,數據被販賣的次數越多,質量越差,價格也就越低。當然,以上處理方式主要是針對普通情況,如果黑客拿到「知名公司」的數據,套路就會有所不同。
通常,黑客拿到數據後,會首先拿著數據向該公司索要「封口費」,知名公司若是不”從“,則黑客會拿出一定比例數據,如10%進行「撕票」(公佈數據),給公司製造公關壓力,剩下的數據會進入黑市進行地下交易。
由於大公司的數據量巨大,因此黑客的收入也是非常「可觀」的。
4. 數據的應用——羊毛黨
下游需求方購買數據之後,除了直接進行廣告轟炸之外,也有可能是另外一條黑鏈的開始。
因此提到數據黑產,不得不提互聯網上一個非常活躍的群體——「羊毛黨」!互聯網時代,紅包、補貼、抽獎、優惠券等花式獲客拉新,催生了一條特殊的產業鏈,以及一批特殊的職業人群——羊毛黨。羊毛黨們分工合作,環環相扣,他們的主要角色有以下幾種:
(1)職業刷客——專注各種漏洞日常主要蹲守在各大羊毛黨集聚的論壇、網站等,找出有漏洞的活動,確定下手目標,這種論壇或網站隨處可見。
如:
(2)卡商——養卡
各大運營商的代理商每月都有開卡任務,而卡商則需要手機卡薅羊毛,兩者一拍即合,相互勾結。
至於實名制,由於每個身份證名下能開5張卡,因此卡商只要從黑市購買用戶身份證並提供給代理商即可完成開卡,目前開卡成本大約為15元/張。
除了買卡,卡商還需要養卡。養卡需要專業的設備,如“貓池”和“卡池”。貓池需要放在卡池中,聯動操作。一些大卡商,手裡養著幾十萬張卡,也算是實現了規模經濟。
(3)黑客集散地——開發軟件
如果說,在羊毛黨的產業鏈中,刷客和卡商屬於體力勞動者,那麼負責開發軟件的黑客則屬於腦力勞動者。他們負責瀏覽各個平臺的優惠活動,找出漏洞,然後開發出軟件方便刷客批量操作,實現規模獲利。
開發完成之後會掛到網站售賣,吸引刷客和卡商購買。
以上幾個角色構成了羊毛黨「產業鏈」的主體,那麼具體如何操作呢?
舉個栗子:
總的來說:黑客先選擇“獵物”,之後通過卡商買卡(也可以租),再通過黑客集散中心購買操作軟件,然後去目標網站批量刷獎,再將戰利品套現,從而完成獲利流程。
筆者幾年前曾在一家P2P平臺任職,在舉辦營銷活動時與羊毛黨有過幾次「短兵相接」,如比較常見的“以老帶新”活動,規則是每推薦一名新用戶,且新用戶購買新手標之後即可獎勵推薦人10元/人。
該活動推出後半小時,由於網站併發訪問量大導致「服務器崩潰」,之後我們通過分析發現很多用戶的IP地址高度相似,打電話之後對方支支吾吾不願意多說,甚至在我們提出“由於您存在刷獎嫌疑,我們決定取消本次獎勵”之後也無異議,明顯「做賊心虛」。
筆者之前還接觸過一個金融集團,該集團旗下有多個互聯網金融業務,包括支付、理財、徵信等,營銷活動很多且力度大,成為羊毛黨的重點關注對象。
曾與某電商平臺聯合搞春節促銷活動,新用戶消費滿額立減40元,支付時直接抵扣,而Bug在於,用戶退貨之後全額退款,這樣用戶每操作一單即可套現40元,整場活動下來被薅「千萬」以上!痛定思痛後該集團專門成立了「營銷活動風控團隊」,對每場活動規則都進行嚴格審核,找出「漏洞」,避免歷史重演。
事實上:凡是讓利活動,都不存在堅不可摧的活動規則,但是策劃者可以在准入門檻、獎勵發放條件和形式、獎勵封頂等環節提高羊毛黨的
「操作成本」,在活動吸引力及被薅羊毛之間取平衡值,從而篩選出真正「有需要」的用戶來體驗和使用產品。四、個人應該如何防範
面對如此強大的黑客組織,我們在生活中有哪些技巧可以儘量減少信息洩露和財產損失呢?前文提到,當黑客獲得用戶的數據,如身份證號、手機號、郵箱等之後,就會隨意DIY進行「密碼破解」,只要猜出一組密碼,黑客就會利用這組密碼去嘗試登陸其他網站,即「撞庫」。
因此,從用戶使用安全的角度看,每組賬戶都應「設置不同密碼」。
然而事實很少人如此,為什麼呢?
因為即使天才級的用戶,記住密碼的形式也不會超過6組,而普通人一般只能記住1-2組!因此大多數人習慣用「固定」的1-2套密碼登陸所有系統,給不法分子以可趁之機。
事實上,現在有很多網站,通過輸入用戶手機號碼就可以查詢該號碼在哪些網站已經註冊了賬號,如:
因此,建議用戶註冊時,為方便記憶可以保持賬戶不變,密碼則採用固定密碼+動態密碼的形式,即先設一套固定密碼,增加網站名的拼音簡稱(舉例)插入固定碼的固定位置,形成新的密碼組合。
由於很多網站在前端進行了流量控制,導致爆力破解(運用專業軟件使用窮舉法進行逐個推算直到找出真正的密碼為止,運算速度極快)的方式較少使用,因此採用固定密碼+動態密碼的形式,可以大大降低黑客撞庫的成功率,從而有效保護用戶的隱私信息。
另外,相信很多讀者都有被黑客用盜用的朋友微信號或QQ號借錢的經歷,很多朋友警惕性比較高,會要求朋友發語音信息確認,實際上:微信語音已經被破解!現在有一種變聲器可以模仿人的聲音,從而達到以假亂真的效果,因此凡是重要的信息,務必打電話確認!打電話確認!打電話確認!(重要的事情說三遍)
五、結語
隨著技術的發展,我們在防範黑客攻擊的手段和技術上不斷成熟,但是黑客的技術也同樣在不斷更新迭代,任何企業或個人都有可能成為受害者,如支付寶近期推出的邀請你瓜分10億紅包活動,就被人靠垃圾短信獲利數十萬。
因此如何減少甚至杜絕黑產的侵蝕,是個大話題,更需要多方「共同參與」,方可成事。
本文由 @姑婆那些事兒 授權發佈於人人都是產品經理。未經許可,禁止轉載。
題圖來自 Unsplash ,基於CC0協議。
閱讀更多 人人都是產品經理 的文章
