在浙江义乌,一个小商家的老板刚刚上班,查看前一天的监控视频发现,凌晨有人翻墙入室,但奇怪的是,店内并没有什么物品失窃。再仔细查看一遍视频,才发现这名偷偷潜入的神秘人操作了店内的电脑就走了。
对于这种情况,商家也很疑惑,不知是否算是入室盗窃案,因此也就没有报警。但没过多长时间,这位小商家的交易记录和订单数据就出现在了“网络黑市”里。
原来,神秘人在这位小商家的电脑上插入了一个经过改造的U盘“Bad USB”,里面装有可以封闭执行的木马病毒,将其拷贝到电脑后,神秘人可以远程控制这台电脑,从而获取商家的交易记录和大量的用户真实信息,甚至影响资金安全。而且,神秘人也可以将商家数据和个人信息转手售卖给网络诈骗组织,造成更多威胁。
此乃网络黑灰产犯罪案的典型。所谓网络黑灰产,指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是,“黑产”指的是直接触犯国家法律的网络犯罪,“灰产”则是游走在法律边缘,往往为“黑产”提供辅助的争议行为。
上述案例的背后,也隐现着当前网络黑灰产治理中的难点和痛点:行为隐秘,用户、商家很难注意到;分工明确,已经形成产业链;涉及多方,但往往难以明确各方责任;安全威胁深远,但现行法律难以消除……
网络黑灰产已近千亿规模
网络黑灰产有多大的威胁?这个问题恐怕没有绝对准确的答案。
据南都大数据研究院等机构发布的《2018网络黑灰产治理研究报告》估算,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模;全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元,而且电信诈骗案每年以20%~30%的速度在增长。
该报告还指出,黑灰产共有四种类型:虚假账号注册等源头性黑灰产;用于进行非法交易、交流的平台;木马植入、钓鱼网站、各类恶意软件等;大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。
另据阿里安全归零实验室统计,2017年4月至12月共监测到电信诈骗数十万起,案发资金损失过亿元,涉及受害人员数万人,电信诈骗案件居高不下,规模化不断升级。2018年,活跃的专业技术黑灰产平台多达数百个。
虽然数额惊人,但许多人并不知道自己是如何被黑灰产盯上的。据阿里安全归零实验室高级专家功夫介绍,网络黑产人员经常利用绰号“大菠萝”的一种路由器伪装成免费WIFI,只要用户连接就可以窃取个人信息,监视用户的浏览记录;可同时管理十余张电话卡的“猫池”设备,经常被用来在电商平台上注册垃圾账户“薅羊毛”;他们还经常利用总成本不足百元的2G短信嗅探设备,获取周边任何人的短信内容,从而盗刷信用卡。
而在这些设备背后,黑灰产已经形成了分工明确的产业链。功夫以假冒公检法的电信诈骗为例介绍:诈骗团伙头目建设窝点、招募诈骗成员后,会通过黑市购买一些用户的个人信息;再由招募的一线话务员扮演电信运营商和银行,根据这些个人信息欺骗用户;再由二三线话务员扮演公安、检察人员,博取用户信任,将钱款转至指定的“安全账户”;最终由团伙其他人在全国多个银行网点几乎同时取款。
“头目诈骗成功后,大概能拿到59%左右的资金,一线骗子大概只能提5%,二线、三线骗子大概能提8%。”功夫表示,许多团伙已经分工非常细致,这给今后打击黑灰产带来了不小的挑战。
个人信息泄露是黑灰产源头
在电信诈骗等许多网络黑灰产行为中,用户的个人信息是源头之一。功夫也告诉中国青年报·中青在线记者,作为网络灰产的个人信息泄露,是许多违法犯罪行为发生的源头,但无论是企业还是监管部门,都很难完全治理好这个问题。
中国信息通信研究院在今年1月发布的《电信和互联网用户权益保护白皮书》提到,该院2017年上半年的调查数据显示,电信和互联网用户的个人信息安全感知评分为6.5分,与2013年相比几乎没有提升。影响个人信息安全感知的最主要因素包括个人信息泄露、过度收集个人信息、未经同意收集使用,其中近80%的用户认为隐私泄露严重,超过50%的用户认为应用软件“偷偷收集个人信息”。
中国信息通信研究院泰尔终端实验室信息安全部副主任宁华曾表示,如今个人信息保护出现了新的挑战:以往用户感知到自己的隐私信息被泄露、利用需要一周甚至一个月,但现在可能只需要几个小时就能感知到,隐私信息体现在了广告、购物网站上;以往很多隐私信息是用户主动提供的,但如今很多用户并未主动提供的信息,也被商家或平台收集、利用了。
针对个人信息保护的新挑战,公安等监管部门也在努力。截至2017年12月20日,全国公安机关当年累计侦破侵犯公民个人信息案件4911起,抓获犯罪嫌疑人15463名,打掉涉案公司164个。但是,网络黑灰产已经在大量利用个人信息,开展电信诈骗等违法犯罪行为。
据功夫介绍,在各方打击下,许多黑灰产人员所利用的隐私信息“四件套”(身份证、银行卡、手机卡、银行U盾)被逐渐查封,导致“四件套”的价格已经从100多元上涨到1500元,但即便如此,黑灰产依然可以通过“暗网”的诸多渠道获取大量用户的隐私信息。
魔高一尺,道高一丈。功夫认为,针对依然猖獗的黑灰产行为,还需要掌握技术的企业、平台,与公安等监管部门协同治理。例如通过企业提供的大数据能力,帮助公安、电信运营商建设统一的号码识别平台,将诈骗号码推送到每个用户的手机上,避免被骗。
工信部网络安全管理局网络与数据安全管理处副处长袁春阳也曾表示,数据安全与个人信息保护问题涉及移动互联网的多个环节,需要加强产业合作,强化协同安全,有关企业要切实履行主体安全责任,相关行业组织和安全厂商,要发挥组织和技术优势,健全完善行业自律和网络安全协作机制,共筑网络安全防线,共同提高网络安全保障合力。
协同治理不能模糊责任
协同治理,是近年来讨论网络安全问题时经常被许多人提及的一个关键词。与之相伴而生的是,网络安全涉事各方该如何承担相应责任?
“以前大家都讲黑灰产治理要联合起来做事情。这句话是非常正确的,但是联合也容易变成没有人负责。”阿里安全部资深总监张玉东认为,治理网络黑灰产不能因协同治理而迷糊各方责任,应该从问题根源入手,分析各方责任,相互督促各方解决问题。
张玉东分析,网络黑灰产需一般会先通过手机号码了解用户隐私等基本情况;其次通过社交网络、电话、短信等进一步靠近用户,骗取其信任,最后与用户产生直接联系,从而骗取信任实施诈骗。
根据这个流程,张玉东认为电信运营商、社交网络平台也应该在治理黑灰产中承担更大责任。他举例称,许多电信诈骗、钓鱼网站诈骗都是诱骗用户连接伪装过的免费WIFI,或拦截、嗅探短信来实现的。“如果运营商这个问题不解决,永远有一个环节是可以造假的,这个问题就不能根治”。
另外,他也关注到更隐蔽但更大量的涉及用户个人隐私的数据泄露。他呼吁,发挥网络基础设施作用的平台级企业应该率先示范,首先行动起来,保护用户数据和个人信息免遭泄露。“各家自扫门前雪,把自己的事先解决,这是第一步。”
不过,作为网络安全从业者,他也明白当前推动企业投入大量成本去保护用户数据和个人信息的挑战。因此,他希望制度层面可以进一步对企业在这方面的责任和投入作出要求。
360公司董事长兼CEO周鸿祎也曾向中国青年报·中青在线记者表示,个人信息保护是网络安全法等法律的重点议题,但在具体执行中还需要更多细则。尤其是针对掌握大量用户数据的互联网公司,他建议制度层面可以针对这类企业如何处理、转卖、交换用户数据作出更加详细的规定,对企业收集、保存用户数据也应作出相应规定,保证涉隐私数据不能明文存放,而是加密存储,以避免被人轻易利用。
观韬中茂(上海)律师事务所合伙人王渝伟律师认为,近年来频频发生的企业数据和个人信息泄露事件说明,一方面很多企业在技术和管理层面仍然不能达到法律法规的要求,对数据泄露仍然存在规避责任的侥幸心理,没有切实履行作为个人信息控制者、网络运营者的义务;另一方面也说明对个人信息泄露事件的责任主体的监管和惩罚力度不到位,纵容了企业的侥幸心理。
“网络安全和个人信息保护需要企业和政府的共同努力来构造,制定完善规则,并且贯彻执行,这肯定是首先要考虑的。”王渝伟呼吁,无论是监管机构还是具体企业,都要真正行动起来。
