网络黑产的大数据阴谋(2)_数据分析师培训

“撞库”做大数据库

对黑产链条上的人而言，通过拖库、洗库得到数据并不意味着此番劫掠的结束，还会有黑产链条上的人将得到的数据在其他网站上进行尝试登录，业内称其为“撞库”。2014年12月25日，中国铁路购票网12306网站被曝出泄露用户数据，其时超过13万条用户隐私数据在互联网上疯传，用户账号、密码、身份证号、注册邮箱等数据被大范围流传、买卖。事后经国内安全企业推断，此次数据泄露，并非黑客攻击12306所为，乃是撞库成功.

   万涛对法治周末记者解释，撞库就是黑客用其他渠道泄露的用户名和密码尝试登录12306，结果登录成功。登录成功后，就可以获得用户在12306订票时所需的身份证号等个人信息由于很多用户为了方便记忆，会在不同网站使用相同的用户名和密码，这就大大增加了黑客撞库成功的概率。“在12306网站上撞库成功后，黑客也会尝试去撞其他的库，比如去登录淘宝、京东这样的电商网站，如果同样撞库成功的话，黑客又会多了用户个人支付账号、消费记录等数据。”万涛表示，撞库可反复操作，而每一次撞库成功，都会获得用户更多维度的数据。而黑客每次撞库并非像普通用户想象的拿一组用户名和密码手工操作。TOMslnsight公司的报告显示，黑客可以使用自己开发的工具、直接数据库匹配登录技术以及配合黑色产业链中的打码机制(利用人工智能大量输入验证码)对很多网站进行批量撞库。 作为雷霆行动的负责人，腾讯安全管理部总经理朱劲松对此深有体会。他对法治周末记者表示，通过警方破获的一些案件来看，一些黑产人员会把通过不同渠道得到的数据库整合成一个庞大的社工库，大量网络用户的隐私信息、上网的行为和个人金融财产安全相关的数据都会被黑产分子重新进行整合。“这其实做的就是大数据。”朱劲松说。

 以2014年广东省破获的“海燕3号”专案为例，据《南方都市报》报道，当时年仅17岁的黑客通过自编软件攻击招聘类网站，因该招聘网站只需输入邮箱号和密码就可登录，为此获取了数百万条公民的个人信息，并将这些信息与其他途径获取的大数据自行整理成数据库，通过使用一套数据整理软件，自动匹配成完整的银行卡用户的核心信息。

      截至案发，警方统计得出，该黑客所建数据库中包括各类公民信息、银行卡信息达800万条，其中包含身份证号、登录密码、手机号码和银行卡账号信息齐全的共有19万条，可用于直接盗刷，对应的银行账号金额达14.98亿元。

       朱劲松还透露，目前整个黑产圈里已经有人开始利用大量的社工库数据所成立的查询平台，一个黑产人员只要花十几元钱，就可以通过这种平台去查询到一个用户的姓名、手机号码、身份证号码和银行卡号核心四要素。随着拖库、撞库的网站不断增加，用于诈骗分子诈骗的社工库也日益完善，对于用户的潜在威胁也越来越大。       “有了这些多维度的海量信息，也会让网络诈骗变得更有针对性和迷惑性。”朱劲松说。

1个上游端供养10个犯罪团伙

黑客的拖库、撞库举动只是整个黑产链条的一个环节。“生活中很多精准式诈骗的场景背后，都是有一整套的网络黑色产业链的团伙在相互协作，形成对用户进行各类侵害的利益链条。”朱劲松说。朱劲松对这一链条进行了梳理：在整个产业链的上端是技术含量最高、也是最为隐蔽的群体，他们以职业黑客为主，通过挖掘漏洞、编写木马来实施入侵 产业链的中间环节，则是一个更为庞大的进行欺诈的犯罪团伙，他们通常具备比较高的情商，能够熟练地应用社会工程学(它集合了心理学、社会心理学、组织行为学等一系列的学科，可利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击)的理论和知识来对用户实施具体的欺诈行为；在整个产业链的下游，是支撑整个黑色产业链各种周边的组织。如取钱、洗钱团伙、收卡团伙、贩卖身份证团伙等。

       近日，腾讯发布的《网络黑色产业链年度报告》揭示，平均一个上游端就可长期供养10个以上网络黑产犯罪团伙。以辽宁网安部门破获的一起非法入侵韩国网站盗取韩国网民银行存款的特大团伙为例，其中就有黑帽开发制作木马、包马人进行代理木马，然后入侵韩国网站挂马，在韩国网民浏览网站时窃取网银账户密码；在网银账号和密码得手后，网络盗窃黑产团伙便会入侵受害人网银；随后洗钱团伙跟进，将受害人存款转移至韩国银行卡，最后再由下游的取钱团伙，通过ATM机、游戏点卡、充值卡等提现。仅半年时间，由34人组成的犯罪团伙就先后对110余家韩国网站实施入侵，盗窃韩国网民银行账号密码4000余组，涉案金额折合人民币1000余万元。