網(wǎng)絡(luò)黑灰產(chǎn)已近千億 個(gè)人信息泄露是源頭

在浙江義烏，一個(gè)小商家的老板剛剛上班，查看前一天的監(jiān)控視頻發(fā)現(xiàn)，凌晨有人翻墻入室，但奇怪的是，店內(nèi)并沒(méi)有什么物品失竊。再仔細(xì)查看一遍視頻，才發(fā)現(xiàn)這名偷偷潛入的神秘人操作了店內(nèi)的電腦就走了。

對(duì)于這種情況，商家也很疑惑，不知是否算是入室盜竊案，因此也就沒(méi)有報(bào)警。但沒(méi)過(guò)多長(zhǎng)時(shí)間，這位小商家的交易記錄和訂單數(shù)據(jù)就出現(xiàn)在了“網(wǎng)絡(luò)黑市”里。

原來(lái)，神秘人在這位小商家的電腦上插入了一個(gè)經(jīng)過(guò)改造的U盤“Bad USB”,里面裝有可以封閉執(zhí)行的木馬病毒，將其拷貝到電腦后，神秘人可以遠(yuǎn)程控制這臺(tái)電腦，從而獲取商家的交易記錄和大量的用戶真實(shí)信息，甚至影響資金安全。而且，神秘人也可以將商家數(shù)據(jù)和個(gè)人信息轉(zhuǎn)手售賣給網(wǎng)絡(luò)詐騙組織，造成更多威脅。

此乃網(wǎng)絡(luò)黑灰產(chǎn)犯罪案的典型。所謂網(wǎng)絡(luò)黑灰產(chǎn)，指的是電信詐騙、釣魚(yú)網(wǎng)站、木馬病毒、黑客勒索等利用網(wǎng)絡(luò)開(kāi)展違法犯罪活動(dòng)的行為。稍有不同的是，“黑產(chǎn)”指的是直接觸犯國(guó)家法律的網(wǎng)絡(luò)犯罪，“灰產(chǎn)”則是游走在法律邊緣，往往為“黑產(chǎn)”提供輔助的爭(zhēng)議行為。

上述案例的背后，也隱現(xiàn)著當(dāng)前網(wǎng)絡(luò)黑灰產(chǎn)治理中的難點(diǎn)和痛點(diǎn)：行為隱秘，用戶、商家很難注意到；分工明確，已經(jīng)形成產(chǎn)業(yè)鏈；涉及多方，但往往難以明確各方責(zé)任；安全威脅深遠(yuǎn)，但現(xiàn)行法律難以消除……

網(wǎng)絡(luò)黑灰產(chǎn)已近千億規(guī)模

網(wǎng)絡(luò)黑灰產(chǎn)有多大的威脅？這個(gè)問(wèn)題恐怕沒(méi)有絕對(duì)準(zhǔn)確的答案。

據(jù)南都大數(shù)據(jù)研究院等機(jī)構(gòu)發(fā)布的《2018網(wǎng)絡(luò)黑灰產(chǎn)治理研究報(bào)告》估算，2017年我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模為450多億元，而黑灰產(chǎn)已達(dá)近千億元規(guī)模；全年因垃圾短信、詐騙信息、個(gè)人信息泄露等造成的經(jīng)濟(jì)損失估算達(dá)915億元，而且電信詐騙案每年以20%~30%的速度在增長(zhǎng)。

該報(bào)告還指出，黑灰產(chǎn)共有四種類型：虛假賬號(hào)注冊(cè)等源頭性黑灰產(chǎn)；用于進(jìn)行非法交易、交流的平臺(tái)；木馬植入、釣魚(yú)網(wǎng)站、各類惡意軟件等；大多以惡意注冊(cè)、虛假認(rèn)證、盜號(hào)等形式實(shí)現(xiàn)的網(wǎng)絡(luò)黑賬號(hào)。

另?yè)?jù)阿里安全歸零實(shí)驗(yàn)室統(tǒng)計(jì)，2017年4月至12月共監(jiān)測(cè)到電信詐騙數(shù)十萬(wàn)起，案發(fā)資金損失過(guò)億元，涉及受害人員數(shù)萬(wàn)人，電信詐騙案件居高不下，規(guī)模化不斷升級(jí)。2018年，活躍的專業(yè)技術(shù)黑灰產(chǎn)平臺(tái)多達(dá)數(shù)百個(gè)。

雖然數(shù)額驚人，但許多人并不知道自己是如何被黑灰產(chǎn)盯上的。據(jù)阿里安全歸零實(shí)驗(yàn)室高級(jí)專家功夫介紹，網(wǎng)絡(luò)黑產(chǎn)人員經(jīng)常利用綽號(hào)“大菠蘿”的一種路由器偽裝成免費(fèi)WIFI，只要用戶連接就可以竊取個(gè)人信息，監(jiān)視用戶的瀏覽記錄；可同時(shí)管理十余張電話卡的“貓池”設(shè)備，經(jīng)常被用來(lái)在電商平臺(tái)上注冊(cè)垃圾賬戶“薅羊毛”；他們還經(jīng)常利用總成本不足百元的2G短信嗅探設(shè)備，獲取周邊任何人的短信內(nèi)容，從而盜刷信用卡。

而在這些設(shè)備背后，黑灰產(chǎn)已經(jīng)形成了分工明確的產(chǎn)業(yè)鏈。功夫以假冒公檢法的電信詐騙為例介紹：詐騙團(tuán)伙頭目建設(shè)窩點(diǎn)、招募詐騙成員后，會(huì)通過(guò)黑市購(gòu)買一些用戶的個(gè)人信息；再由招募的一線話務(wù)員扮演電信運(yùn)營(yíng)商和銀行，根據(jù)這些個(gè)人信息欺騙用戶；再由二三線話務(wù)員扮演公安、檢察人員，博取用戶信任，將錢款轉(zhuǎn)至指定的“安全賬戶”；最終由團(tuán)伙其他人在全國(guó)多個(gè)銀行網(wǎng)點(diǎn)幾乎同時(shí)取款。

“頭目詐騙成功后，大概能拿到59%左右的資金，一線騙子大概只能提5%，二線、三線騙子大概能提8%。”功夫表示，許多團(tuán)伙已經(jīng)分工非常細(xì)致，這給今后打擊黑灰產(chǎn)帶來(lái)了不小的挑戰(zhàn)。

個(gè)人信息泄露是黑灰產(chǎn)源頭

在電信詐騙等許多網(wǎng)絡(luò)黑灰產(chǎn)行為中，用戶的個(gè)人信息是源頭之一。功夫也告訴中國(guó)青年報(bào)·中青在線記者，作為網(wǎng)絡(luò)灰產(chǎn)的個(gè)人信息泄露，是許多違法犯罪行為發(fā)生的源頭，但無(wú)論是企業(yè)還是監(jiān)管部門，都很難完全治理好這個(gè)問(wèn)題。

中國(guó)信息通信研究院在今年1月發(fā)布的《電信和互聯(lián)網(wǎng)用戶權(quán)益保護(hù)白皮書(shū)》提到，該院2017年上半年的調(diào)查數(shù)據(jù)顯示，電信和互聯(lián)網(wǎng)用戶的個(gè)人信息安全感知評(píng)分為6.5分，與2013年相比幾乎沒(méi)有提升。影響個(gè)人信息安全感知的最主要因素包括個(gè)人信息泄露、過(guò)度收集個(gè)人信息、未經(jīng)同意收集使用，其中近80%的用戶認(rèn)為隱私泄露嚴(yán)重，超過(guò)50%的用戶認(rèn)為應(yīng)用軟件“偷偷收集個(gè)人信息”。

中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室信息安全部副主任寧華曾表示，如今個(gè)人信息保護(hù)出現(xiàn)了新的挑戰(zhàn)：以往用戶感知到自己的隱私信息被泄露、利用需要一周甚至一個(gè)月，但現(xiàn)在可能只需要幾個(gè)小時(shí)就能感知到，隱私信息體現(xiàn)在了廣告、購(gòu)物網(wǎng)站上；以往很多隱私信息是用戶主動(dòng)提供的，但如今很多用戶并未主動(dòng)提供的信息，也被商家或平臺(tái)收集、利用了。

針對(duì)個(gè)人信息保護(hù)的新挑戰(zhàn)，公安等監(jiān)管部門也在努力。截至2017年12月20日，全國(guó)公安機(jī)關(guān)當(dāng)年累計(jì)偵破侵犯公民個(gè)人信息案件4911起，抓獲犯罪嫌疑人15463名，打掉涉案公司164個(gè)。但是，網(wǎng)絡(luò)黑灰產(chǎn)已經(jīng)在大量利用個(gè)人信息，開(kāi)展電信詐騙等違法犯罪行為。

據(jù)功夫介紹，在各方打擊下，許多黑灰產(chǎn)人員所利用的隱私信息“四件套”（身份證、銀行卡、手機(jī)卡、銀行U盾）被逐漸查封，導(dǎo)致“四件套”的價(jià)格已經(jīng)從100多元上漲到1500元，但即便如此，黑灰產(chǎn)依然可以通過(guò)“暗網(wǎng)”的諸多渠道獲取大量用戶的隱私信息。

魔高一尺，道高一丈。功夫認(rèn)為，針對(duì)依然猖獗的黑灰產(chǎn)行為，還需要掌握技術(shù)的企業(yè)、平臺(tái)，與公安等監(jiān)管部門協(xié)同治理。例如通過(guò)企業(yè)提供的大數(shù)據(jù)能力，幫助公安、電信運(yùn)營(yíng)商建設(shè)統(tǒng)一的號(hào)碼識(shí)別平臺(tái)，將詐騙號(hào)碼推送到每個(gè)用戶的手機(jī)上，避免被騙。

工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全管理處副處長(zhǎng)袁春陽(yáng)也曾表示，數(shù)據(jù)安全與個(gè)人信息保護(hù)問(wèn)題涉及移動(dòng)互聯(lián)網(wǎng)的多個(gè)環(huán)節(jié)，需要加強(qiáng)產(chǎn)業(yè)合作，強(qiáng)化協(xié)同安全，有關(guān)企業(yè)要切實(shí)履行主體安全責(zé)任，相關(guān)行業(yè)組織和安全廠商，要發(fā)揮組織和技術(shù)優(yōu)勢(shì)，健全完善行業(yè)自律和網(wǎng)絡(luò)安全協(xié)作機(jī)制，共筑網(wǎng)絡(luò)安全防線，共同提高網(wǎng)絡(luò)安全保障合力。

協(xié)同治理不能模糊責(zé)任

協(xié)同治理，是近年來(lái)討論網(wǎng)絡(luò)安全問(wèn)題時(shí)經(jīng)常被許多人提及的一個(gè)關(guān)鍵詞。與之相伴而生的是，網(wǎng)絡(luò)安全涉事各方該如何承擔(dān)相應(yīng)責(zé)任？

“以前大家都講黑灰產(chǎn)治理要聯(lián)合起來(lái)做事情。這句話是非常正確的，但是聯(lián)合也容易變成沒(méi)有人負(fù)責(zé)?！卑⒗锇踩抠Y深總監(jiān)張玉東認(rèn)為，治理網(wǎng)絡(luò)黑灰產(chǎn)不能因協(xié)同治理而迷糊各方責(zé)任，應(yīng)該從問(wèn)題根源入手，分析各方責(zé)任，相互督促各方解決問(wèn)題。

張玉東分析，網(wǎng)絡(luò)黑灰產(chǎn)需一般會(huì)先通過(guò)手機(jī)號(hào)碼了解用戶隱私等基本情況；其次通過(guò)社交網(wǎng)絡(luò)、電話、短信等進(jìn)一步靠近用戶，騙取其信任，最后與用戶產(chǎn)生直接聯(lián)系，從而騙取信任實(shí)施詐騙。

根據(jù)這個(gè)流程，張玉東認(rèn)為電信運(yùn)營(yíng)商、社交網(wǎng)絡(luò)平臺(tái)也應(yīng)該在治理黑灰產(chǎn)中承擔(dān)更大責(zé)任。他舉例稱，許多電信詐騙、釣魚(yú)網(wǎng)站詐騙都是誘騙用戶連接偽裝過(guò)的免費(fèi)WIFI，或攔截、嗅探短信來(lái)實(shí)現(xiàn)的?！叭绻\(yùn)營(yíng)商這個(gè)問(wèn)題不解決，永遠(yuǎn)有一個(gè)環(huán)節(jié)是可以造假的，這個(gè)問(wèn)題就不能根治”。

另外，他也關(guān)注到更隱蔽但更大量的涉及用戶個(gè)人隱私的數(shù)據(jù)泄露。他呼吁，發(fā)揮網(wǎng)絡(luò)基礎(chǔ)設(shè)施作用的平臺(tái)級(jí)企業(yè)應(yīng)該率先示范，首先行動(dòng)起來(lái)，保護(hù)用戶數(shù)據(jù)和個(gè)人信息免遭泄露?！案骷易話唛T前雪，把自己的事先解決，這是第一步?！?/p>

不過(guò)，作為網(wǎng)絡(luò)安全從業(yè)者，他也明白當(dāng)前推動(dòng)企業(yè)投入大量成本去保護(hù)用戶數(shù)據(jù)和個(gè)人信息的挑戰(zhàn)。因此，他希望制度層面可以進(jìn)一步對(duì)企業(yè)在這方面的責(zé)任和投入作出要求。

360公司董事長(zhǎng)兼CEO周鴻祎也曾向中國(guó)青年報(bào)·中青在線記者表示，個(gè)人信息保護(hù)是網(wǎng)絡(luò)安全法等法律的重點(diǎn)議題，但在具體執(zhí)行中還需要更多細(xì)則。尤其是針對(duì)掌握大量用戶數(shù)據(jù)的互聯(lián)網(wǎng)公司，他建議制度層面可以針對(duì)這類企業(yè)如何處理、轉(zhuǎn)賣、交換用戶數(shù)據(jù)作出更加詳細(xì)的規(guī)定，對(duì)企業(yè)收集、保存用戶數(shù)據(jù)也應(yīng)作出相應(yīng)規(guī)定，保證涉隱私數(shù)據(jù)不能明文存放，而是加密存儲(chǔ)，以避免被人輕易利用。

觀韜中茂(上海)律師事務(wù)所合伙人王渝偉律師認(rèn)為，近年來(lái)頻頻發(fā)生的企業(yè)數(shù)據(jù)和個(gè)人信息泄露事件說(shuō)明，一方面很多企業(yè)在技術(shù)和管理層面仍然不能達(dá)到法律法規(guī)的要求，對(duì)數(shù)據(jù)泄露仍然存在規(guī)避責(zé)任的僥幸心理，沒(méi)有切實(shí)履行作為個(gè)人信息控制者、網(wǎng)絡(luò)運(yùn)營(yíng)者的義務(wù)；另一方面也說(shuō)明對(duì)個(gè)人信息泄露事件的責(zé)任主體的監(jiān)管和懲罰力度不到位，縱容了企業(yè)的僥幸心理。

“網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)需要企業(yè)和政府的共同努力來(lái)構(gòu)造，制定完善規(guī)則，并且貫徹執(zhí)行，這肯定是首先要考慮的?！蓖跤鍌ズ粲?，無(wú)論是監(jiān)管機(jī)構(gòu)還是具體企業(yè)，都要真正行動(dòng)起來(lái)。