你是否經歷過剛剛在網店下單,隨後詐騙電話就追過來的窘境?
你是否經歷過剛剛在某網站申請信用卡或貸款後,各種貸款的電話就紛至沓來的尷尬?
你是否經歷過實名註冊某網站的時候,網站提示該身份信息已註冊的慌亂?
你是否經歷過微信“來自通訊錄”的好友申請,而你確想不起來這個“好友”是誰?
你是否經歷過......
如果你有過以上遭遇,那我告訴你,你的個人信息被黑產賣了!
我的哪些信息被賣了?
- 身份證正反面照片、手持照片、銀行卡照片(俗稱身份信息四件套)
- 網購物流信息,含家庭住址、姓名、電話、網購物品名稱、店鋪名稱
- 貸款信息,姓名、性別、家庭住址、工作單位、電話、常用聯繫人姓名電話、貸款金額、還款方式、收款銀行及卡號
- 學籍信息
- 車輛信息
- 銀行存款信息、個人徵信、CVV信用卡數據
- QQ、微信、支付寶、京東、郵箱、蘋果ID、12306等賬號密碼
- ......
想想看,你的個人信息還有什麼是黑產所不知道的?
有圖有真相!
特別說明:
為了保證文章的真實性,小編深入龍潭虎穴費盡九牛二虎之力套路來了真實樣本數據,
這些數據在截圖取證後均已銷燬。黑產警惕性非常高,有些證據實在是難以取得,請大家見諒。
北京民生銀行金卡用戶信息
股民賬戶信息
京東賬戶及密碼
開房信息
身份證正反面、手持、銀行卡
應有盡有,只有你想不到的,沒有不賣的!
觸目驚心,冷汗淋漓!這些隱私信息堂而皇之的在網上被明碼標價的售賣。
哪裡有售?
在我以往的文章評論區有人曾戲稱“把QQ關掉停運,公安機關一半人可以放一年假”。這雖然是一句玩笑話,但是也可以想象QQ這個社交工具為黑產交易提供了多麼便捷的服務。
QQ群、QQ空間、QQ說說等功能,已經徹底淪陷!
隨便搜索例如“滲透”、“灰產”、“社工”等詞彙眾多的群及個人批量呈現,裡面充斥著大量違法廣告,賭博、黑客技術、詐騙、人肉、高利貸其中更不乏個人信息販賣等黑產。
- Telegram(電報)
QQ、微信等“牆內”工具畢竟有被監測的風險,於是大量黑產轉移到了TG上,而TG正是以匿名加密著稱,所以TG上更是肆無忌憚的明碼標價大賣特賣!
只要你提供身份證號碼、手機號、姓名等基礎資料,可以查詢戶籍信息、車輛信息、保險信息、實時行動軌跡、開房信息等。
更為可怕的是,從截圖來看這明明是公安局的戶籍系統啊......
- 暗網
不科普了,直接上圖。
公民的個人信息洩露、盜取,嚴重危害社會的安全穩定,稱之為“萬惡之源”一點都不過分。
黑產無孔不入如上交易方式只是冰山一角,我們不禁會問,這些信息從哪來的?
以案釋法,追根溯源
2019年1月2日,我們在中國裁判文書網檢索到近五年共50份判決書後發現,在侵犯公民個人信息的案件中,犯罪嫌疑人盜取公民個人信息的主要渠道有二:
1、職務犯罪,監守自盜
案例一:
2018年2月9日,江西省餘干縣人民法院審理的一起案件中,江蘇濱海縣公安局交警大隊八灘中隊輔警李某舟利用工作便利,偷偷使用同事的數字證書進入“全國綜合查詢平臺”、“全國人口信息查詢平臺”、“全國車輛管理信息查詢平臺”獲取公民身份信息及車輛信息140萬條,並出售給他人非法獲利240616元。經李某舟之手流出的信息,後被“黃牛”用來在12306網站註冊賬號幫他人搶票,並從中獲利。
案例二:
湖北麻城市中級人民法院2018年二審的一起判決中,被告人孫立飛通過華為公司業務員肖某購買了大量包含用戶姓名、電話號碼和移動積分在內的移動用戶個人信息資料,並將其中50萬條信息以5萬元的價格並出售給開設公司、盜取移動用戶積分的李少輝。
隨後,李少輝在南昌市註冊創辦了一家網絡公司,從2016年9月開始,指派公司話務員冒充移動公司客服騙取用戶移動積分,兌換成電子券牟利。
從2016年10月23日到2016年11月24日,僅用了一個月,這家公司的成單量就達到2500多單,12月的成單量近4000單。
為規避一些用戶的屏蔽,李少輝與同案被告人何建福購買了80多部手機和大量電話卡,一旦被屏蔽就立刻換號。
“每天下班前,話務員都會把已兌換的積分打成清單,客戶資料上還會有標記,‘2’就是打過兩遍電話,‘3’就是打了三遍”,該公司話務員何建福說。
事實上,員工們也曾對公司的業務產生過懷疑。話務員張瑛曾發現一些用戶反映沒有收到積分兌換禮品,充值話費也沒有到賬,還有一些員工在微信群裡提出公司存在詐騙嫌疑。可是,由於福利待遇還不錯,張瑛並沒有選擇離開。
最終,截至李少輝歸案,他的公司共騙取移動用戶積分逾三千萬分。
案例三:
在淄博市張店區人民法院2017年4月24日的一起判決中,被告人詹耿彬就是一名在東莞市公安局大朗分局刑警大隊工作的輔警。
作為伏擊組輔警內勤,詹耿彬平時便可以經常接觸公安內網。利用伏擊組民警梁某平時放在單位抽屜裡的數字證書,詹耿彬動起了歪腦筋。通過公安內網,詹耿彬可以直接獲取公民身份信息、出入境信息、護照照片、戶籍照片等個人信息。
在發現了這一“致富手段”後,詹耿彬便堂而皇之在QQ上聲稱出售“一手信息”。通過一段時間的交易,他積累起了5名“下線”,經常與他們達成交易,每天動輒盜取1000條左右的公民個人信息。
詹耿彬出售公民個人信息一條的價格是1.7元至5元不等,他的下線卻將這些信息加價數倍之多。同案被告張學鵬出售從詹耿彬處購買的護照信息,一條的價格在10到15元,共獲利5萬元左右。
案例四:
在湖北省黃岡市中級人民法院2018年6月12日一起二審裁定中,多名在不同地區交警大隊、車管所、公安局擔任協警、工作人員的嫌疑人利用職務便利,盜取並出售了公安內網中大量公民信息。
此案中,被告人李進和師麗娜作為“中間人”扮演了關鍵角色。通過聯繫在公安局、車管所等單位工作的協警、民警,2016年起兩人建立起了從公安機關獲取車檔信息、公民信息,再轉手進行售賣的關係網。
獲取信息的過程中,李進通常會以每條十幾元到幾十元的價格對前來購買信息的“下線”收取“查詢費”。與此同時,他付給“上線”即負責查詢的民警的查詢費則為每條3到5元。而李進的下線,則進一步將從李進處購得的信息加價15元一條,繼續出售。
這起大型案件中,涉案的協警、公安局工作人員多達9人。作為“中間人”的李進,利用公民信息非法牟利數額高達24萬餘元。
2、黑客入侵
除了監守自盜外,一些精通計算機的犯罪嫌疑人也能通過技術手段從外部直接盜取數據庫裡的公民個人信息。
案例一:
在上海市浦東新區人民法院2018年的一起判決中,被告人王某某通過黑客手段入侵了上海世基投資顧問有限公司等金融公司網站,被告人牟某某則通過黑客手段入侵了安徽省中小學學籍管理系統網站。
2014年到2017年間,受僱於一家薦股公司的王某某結識了一些網絡黑客,其中包括同案被告牟某某。2017年2月開始,王某某開始指使包括牟某某在內的兩名黑客入侵了世基公司的網站,查看並獲取了上萬組該公司的用戶數據,並出售給中鑫公司上海分公司。
經世基公司方面證實,該公司被入侵的服務器位於浦東新區靈山路世基分公司機房內,服務器上沒有客戶數據,入侵者系通過遠程互聯網控制服務器,並通過內網IP獲取了內網其他電腦上保存的客戶信息。
盜取信息的過程中,王某某向兩名黑客支付了51萬元“工資”。得手後,王某某再將信息出售給中鑫公司上海分公司和瑜廣公司等“下游”,每一次動輒收入四五萬元。
而對被告牟某某而言,受僱於王某某並非唯一的“業務”。2017年6月初,有人在QQ上找到他,提供了安徽省中小學學籍管理系統的權限,並讓牟某某攻擊滲透該網站。
牟某某從學籍管理系統獲取了600多萬條包含學生姓名、身份證、籍貫、家長姓名、聯繫電話等信息的數據,按地市分類導出。
案例二:
在黑客技術之外,購買“掃號”軟件並用大量數據進行“撞庫”的手段也出現在近年來一些重大侵犯公民個人信息案件中。
江蘇省儀徵市人民法院2018年的一起判決中,被告人王群便通過“撞庫”成功獲取了他人QQ用戶名及密碼,用於銷售獲利。
在王群的非法牟利鏈條中,他所購買的“掃號”軟件由同案被告李陳龍編寫,用途是獲取他人的QQ郵箱賬號和密碼。隨後,王群又從軟件銷售者林佐樓處購買,並將此前購買的500多萬組郵箱賬號密碼數據導入軟件運行,採取對QQ軟件數據庫“撞庫”手段,獲取了大量QQ郵箱用戶的個人信息。
通過銷售撞庫獲取的QQ賬號和密碼,王群累計獲利41.8萬餘元。而銷售方林佐樓通過售賣非法軟件,銷售額高達40.5萬餘元,個人獲利9.4萬餘元。編寫軟件並出售的李陳龍,非法獲利則為3.4萬餘元。
除了上述數據來源,還有更加狗血的方式,例如內鬼間諜!
黑產團伙不惜重金安插“間諜”進入購物平臺大賣家的公司入職,其目的可不是掙那份工資,而是為了網購數據而來。
拋開案件,我們來分析一下這些敏感信息的來源
1、我們坐航班、住酒店、寄快遞、註冊APP,經常都要填寫大量個人信息。這些信息儲存在對應的航空公司、酒店集團和互聯網公司系統數據庫裡面,一般情況下是沒有問題的。
但是,這些公司數據庫的安全程度其實並沒有我們想的那麼高。
很多公司對隱私數據的重視程度非常低,經常犯諸如數據庫密碼設置的非常簡單、核心數據不加密存儲等低級錯誤。
對技術到位的黑客來說,弄到這些數據的難度其實並不高。
僅在過去的2018年,國內就暴露了很多起大規模的數據洩露事件:
2018年6月,暗網上有人公開兜售圓通快遞1億條快遞信息數據,售價1比特幣。
2018年6月,知名視頻網站A站遭拖庫,近千萬用戶數據洩露。
2018年7月,順豐快遞3億用戶信息外洩。
2018年8月,華住集團旗下超過10家連鎖酒店品牌用戶數據洩露,總數超過5億條。
2018年9月,萬豪旗下喜達屋酒店集團約5億人次顧客預訂信息被洩露。
2018年10月,國泰航空940萬用戶隱私數據洩露。
……
這還僅是已經暴露出來、規模比較巨大的數據洩露事件。更多小型公司、平臺的數據哪怕被洩露了,也未被公眾關注,甚至無人得知。
2、內鬼倒賣
2017年,荊州市公安局破獲一起個人隱私信息洩露案件。
警察最後發現,信息洩露者汪媛媛原本是某知名快遞公司的倉庫管理員。
在數據販子的勸誘下,汪媛媛在一個月左右時間裡,以2元/條的價格向數據販子累計倒賣超過4000條公民快遞信息,共獲利超過8000元。
類似的案件近年在國內發生的頻率越來越高。
公民的個人隱私信息看似不起眼,但在別有用心的組織手裡,卻可以通過精準營銷、電話詐騙等方式獲取高額利潤,因此這些組織很早就開始將木目光投向了掌握信息的公司內部。
航空公司、酒店集團、快遞公司、電商平臺,這些年都曾經爆出過內部人員倒賣數據的案件。
3、數據販子
個人隱私信息買賣早已經在國內形成了一個龐大的地下產業鏈,其中最大的一個群體就是數據販子。
數據販子手裡往往有一批獨家數據資源,然後通過交換、購買等方式不斷擴大數據量,最後將數據兜售給各類營銷公司、詐騙集團牟取暴利。
除此之外,這群人還嫻熟地掌握了許多黑客技巧,擅長通過已經有的數據產生新的數據。比如說最常見的一個操作叫”撞庫“。
撞庫的原理其實非常簡單:現在許多人為了貪圖方便,經常在不同平臺都使用同樣的用戶名和密碼。
現在黑客想要獲取到某大平臺A裡面的用戶數據,但是平臺A的安全措施非常嚴密,無法直接獲取數據。
這時候黑客就會採取繞路策略,先攻破漏洞比較多的B平臺,得到許多用戶的用戶名和密碼,再將這些信息一一到A平臺去嘗試能否登錄,只要可以登錄,黑客就得到了一條A平臺的有效數據。
洩露數據的平臺越來越多,黑客手裡的數據就越來越全,攻破新的平臺就更加容易。到今天為止,一個令人悲觀的事實是:很可能我們每個人都無法倖免。
個人信息洩露的危害
在中國網絡通訊行業發展繁榮的今天,用戶隱私數據一直被黑產垂涎,虎視眈眈。17年上市剛滿一年的瑞智華勝,通過操縱賬戶進行微博、抖音、公眾號等平臺的加粉、刷量,年盈利過千萬!而國內電信詐騙則以年均20%~30%的速度快速增長,因垃圾短信、詐騙信息、信息洩露等造成的財產損失預估915億元,受害網民高達6.88億!據不完全統計,2017年我國黑產的從業人員在百萬級以上,每年造成的損失達千億元級規模。
正如文章開頭所列出的情景,我們的一舉一動都被黑產掌握,那我們的安全從何談起?
我接觸的第一個人,是朋友介紹的據說做”黑客“的老K。
老K見我後說的第一句話就是:給我3分鐘,我就能查到你90%的資料。
他在一臺筆記本電腦上噼裡啪啦演示操作,以我的一個實名登記的手機號碼為起點,在一個數據庫里老K輕而易舉地找到了我的真實姓名。
然後通過姓名+手機號,他很快找到了我的身份證號碼,再然後就是QQ號、微信號、開房記錄……
最後,老K甚至拿到了我在很多網站的登錄賬號和密碼。
為了驗證這些密碼的準確性,他當著我的面登錄了我的網易雲音樂以及人人網賬號。
人生中第一次,我感覺到自己就像被剝光了衣服暴露在全世界面前,渾身發冷。
對此老K說,”別以為只有你這樣,其實在中國,數億人都在裸奔!“
更可怕的是,整個過程中老K其實並沒有展示什麼高深的黑客技巧。自始至終,他只是在幾個數據庫和網站裡面查詢了一下數據。
這些網站是公開的,這些數據庫也只需要花不多的錢就能在很多渠道購買到。
換句話來說,只要有心的話任何一個普通人都可以複製老K的操作,查找到很多人的隱私信息。
早在2016年的時候,南方都市報的記者就曾經做過一個相關調查。
讓他非常吃驚的是,他只花了700元,就查到了自己同事的海量信息:
這些信息包括了開房記錄、上網記錄,以及航班信息、銀行卡信息等,令人不寒而慄。
直到今天,在谷歌和百度,通過某些特定關鍵詞仍然能找到很多提供隱私信息查詢服務的網站和組織。
阿何大概只花了5分鐘,就找到了一個可以免費查詢相關信息的網站,裡面提供了開房信息查詢、網站信息以及密碼信息查詢等功能:
在“某商城數據庫”頁面,我隨便輸入自己曾經用過的一個網站用戶名,結果非常驚悚地發現,這個網站搜索出了我真實的姓名、郵箱和電話數據:
下一步,利用這些數據,我通過“密碼庫”功能,找到了自己常見的一個密碼(經過md5加密)。這個網站還把是哪個平臺將我的密碼洩漏出來也顯示出來了:
後面按圖索驥,我還找到了自己的開房數據、身份證號碼等更加隱私的數據,而且都是真實的……
這樣的平臺還有很多很多。它們中有的可以通過一個QQ號碼,查詢到你的QQ好友,你加過的QQ群;有的可以查詢到你都在哪些網站、APP註冊過賬號,用戶名是什麼;
還有的可以查詢到你的快遞地址、購物信息……
也就是說,只要有一兩條開始的線索(你的常用用戶名、手機號碼、郵箱等),你在網絡上基本就無處遁形了!
國人70%的人經歷過至少一次的隱私數據洩露
在中國,已經有超過70%的人最少經歷過一次個人隱私數據洩露,這個比例還在逐年遞增。
再考慮到有些年幼、年老群體並不是網民,基本可以說每個人都遭遇過隱私數據洩漏!
近10億人的數據在地下鏈條裡流通交易,流向營銷公司、數據販子以及形形色色的詐騙團伙。
在這個鏈條裡,我們每個人就是待宰的羔羊、赤裸裸的商品。
隱私數據洩露帶來的危害,已經不再是影視作品裡的設想,而是在現實世界裡不斷髮生,很多人正在為此付出慘重的代價。
在百度上一搜,就有無數被害者的案例。小的是幾百幾千元的經濟損失,大的則家破人亡。
曾經驚爆全國的徐玉玉案,就是一起典型的個人隱私數據洩漏引發的詐騙案。
2016年8月份,犯罪分子陳文輝等人通過攻破網絡系統、網絡購買等方式,獲得了一批高考錄取生的詳細資料,然後挨個打電話通知這些人領取大學發放的“助學金”,之後採用各種手段實施詐騙。
2016年8月19日,剛剛被南京郵電大學錄取的女生徐玉玉接到了這夥犯罪分子的詐騙電話,在犯罪分子的巧舌如簧下,單純的徐玉玉將9900元學費全部存入騙子的賬戶。
徐玉玉出生在一個普通的家庭,9900元對她來說不僅是一筆鉅款,還是人生的希望。
得知被騙後,僅僅2天后這名單純的女孩就因為傷心欲絕,引發了器官衰竭而死亡。
儘管最後犯罪分子全部落網,可是逝去的生命卻再也回不來了……類似的案件,在中國還有很多很多……有些被爆料出來,還有更多則沉在水底,或許我們永遠無法得知。不要以為別人單純所以才被騙,自己更加警惕就沒事,犯罪分子其實比我們設想的還要更加狡猾精明。個人隱私數據被掌握,代表了什麼呢?它代表犯罪分子對你的工作情況、家庭情況、社會關係瞭如指掌,不僅知道你的電話、姓名、經濟狀況,甚至連你的家人、領導、同學、朋友的資料也能被挖出來。這種情況下,騙子冒充你的家人、領導、同事或者其他親近的人是輕而易舉的事情。他們甚至可以根據你具體的處境、即將要做的事情去針對性設計騙術,哪怕是高學歷的聰明人也難免中招。此外,哪怕我們可以避免自身被騙,也難以阻止他們用我們的數據冒充我們,然後去騙我們身邊的人。權威機關的數據表明,國內從事個人隱私相關黑色產業鏈的人員已經達到150萬規模,每年中國人因為個人隱私洩漏造成的損失接近1000億元。這個數據,差不多是全球此類損失的三分之一!除了詐騙之外,更有些窮兇極惡的犯罪分子會利用普通人的裸照、開房數據、欠款記錄等敏感信息直接進行敲詐勒索。
我們能做點什麼?
瞭解越深入,我心裡的寒氣就越盛。
可以說,情況真的已經嚴峻到了十萬火急的程度:相關的犯罪活動開始盛行,而我們的隱私數據又已經被大規模洩漏,如此場景,就像一群人在火海中裸奔。
國家一直都在嚴厲打擊個人隱私相關的犯罪活動,力度每年都在加大。
但是和其他犯罪行為不同,這類網絡犯罪更加隱秘、更加高科技,從而難以徹底根絕。
可以這麼說,只要互聯網還在,就無法徹底避免數據洩漏。
唯一能做的,就是我們要有警惕意識,加強自我保護。只要在源頭上杜絕了信息洩漏,任黑客技術再高也無能為力。
根據大量相關資料,我給大家整理了幾條避免個人信息洩漏的方法:
1、最好購買兩個手機號碼。一個用來註冊賬號、收快遞、住宿等對外用途,一個只用來聯繫家人、朋友。將對外信息和對內信息做一個物理上的隔離。
2、不同的網站、APP,註冊的時候一定要使用不同的用戶名和密碼。
3、快遞單、火車票、機票等在面單上具有個人信息的票據,使用後務必將個人信息劃掉,最好能粉碎銷燬。
4、經久不用的網站、APP,一定要銷燬原來使用的賬號。
5、高隱私度的APP,如支付寶、網銀、郵箱等,最好定期更換密碼,避免長時間使用同一個密碼。
6、只從官方網站下載APP,儘量不下載來路不明的APP。
7、網購的時候,不要填寫真實姓名,最好填寫花名以及只對外的手機號碼。如果有條件,儘量地址填寫代收點地址,而不是真實的家庭地址。
8、使用APP的時候,不給APP開啟過多不必要的權限。
9、收到來路不明的短信,千萬不要輕易點擊短信裡面的鏈接。微信、QQ等鏈接同理對待。
10、個人身份證、護照、戶口本等敏感證件的照片絕不外傳,辦證需要的只給實體複印件,並且在上面標註好“僅供XXX使用”的字樣。
11、手機丟失,要馬上掛失手機號。類似的,微信、QQ等被盜,要馬上舉報,以及通知身邊的人。
12、手機一定要設置密碼,最好設置安全性更高的指紋解鎖。相對來說,iPhone安全性比安卓手機高一些。
嚴格做到以上12點,能在90%程度上保證我們自身安全。當然,這樣會給我們生活帶來很多不便,但是和潛在損失相比,我認為完全是值得的。
願終有一天,我們能不再裸奔,安心地行走在這片大地。朋友們你們還有什麼好的建議呢?我們不妨來討論一下 。
閱讀更多 網安 的文章
