找回密码
 注册

扫一扫,访问微社区

查看: 2022|回复: 1

个人信息交易揭秘:一万个账号50元 可免费试用

[复制链接]
发表于 2012-4-6 00:34:08 | 显示全部楼层 |阅读模式
  接到莫名其妙的推销电话,邮箱、QQ甚至网银密码被盗……到底是谁出卖了我们的信息?我们的个人信息通过什么渠道扩散的?在互联网日益发达的今天,我们时不时产生这样的疑问。其实在一个特殊的群体看来,个人信息的买卖早已是家常便饭。有人编程、有人攻击网站盗取个人信息,有人网上叫卖,有人从中进行倒卖。成千上万的个人信息就这样无声地流动着,并为这些人带来滚滚财富。这个特殊的群体中间既有黑客,也有专门的公司从事这项业务。近日,记者接近了这个特殊的群体,了解个人信息交易背后的一些真相。
  1 黑客
  分工合作按约定分成
  "拖库",是指从数据库导出数据,这个名词以前只是在程序员中间被熟知,但在去年CSDN用户数据泄露事件以后,"拖库"作为威胁互联网安全的最大隐患,也为普通网友所熟知。
  360公司网络工程师小雷告诉记者,有能力通过攻击服务器"拖库"的"黑客",分"黑帽"和"白帽",黑帽就是利用网络漏洞制作攻击病毒获利的这部分人。"他们一般不直接露面,也不直接攻击网站,主要是卖技术。"一位网名为Ferry的知情人士告诉记者,现在网络黑客基本是通过拖库、挂黑链(简单地说,就是在被黑网站上链接自己指定的网站)赚钱。他们平时主要聚集在QQ群或者论坛,通过网络进行交易。
  Ferry告诉记者,因为有利可图才会有人干这行。卖力的"黑帽",一个月就靠卖"黑链"、卖恶意代码,多的可以获利十几万,赚上万元则是很普遍的。
  圈子内把黑客不法获利的组织结构比喻成海星状。Ferry说,这些交易往往见不得光,交易隐蔽性非常强。有的"黑帽"采取团队合作。他们从网上论坛建立联系,分工合作,获利后按照约定分成。越高级的技术人员分得越多。"一个团队可能来自全国各地,也可能从境外潜入,一般的网站很难防御。"
  而这些人之间的合作,基本上用的是虚拟的身份,有一套固定的交易模式,一般人无法渗透其中,也难以掌握这些合作者的真实身份。"也许干完一次,就转服务器换IP,这也是网络安全部门执法中常遇到的困难。"
  2 脚本小子
  用别人的病毒攻击网站
  360公司网络工程师小雷说,对于大型有组织的攻击,一个人无法完成,需要大规模的合作。拖库、扫描漏洞、交易数据库等等,他们分工明确。其中人数最多的一类被称作"脚本小子",他们并不真正掌握编写病毒技术,主要用别人编好的工具去攻击网站。掌握这些手法很容易,在很短的时间里上网拜师或者从地下论坛购买工具就能操作。 若以具体比例估计,每1000名黑客对应的脚本小子会超过10万人。
  据网络工程师小张介绍,在对一个网站攻击前,需要通过扫描了解这个网站安装了什么软件、有什么"后门"、安全性如何。这个步骤大部分就是"脚本小子"来做。常用的工具是一种漏洞扫描器,扫哪个网站有漏洞,可以去攻击它,获取用户个人信息数据。
  不过,哼哼(用户名)不希望别人叫他脚本小子,他说,在圈子里这个称呼似乎带有技术歧视性。"我就是黑客,你们的电脑只要我有兴趣就能进去。"今年26岁的他,大学毕业以后,有了正规工作,但每月的收入却不能维持他的生活追求。"我第一次收别人钱是挂黑链。"哼哼还记得,一家卖性药的网站需要提升权重,他开价1000元,后来860元成交。
  3 销售
  1万个账号可卖50元
  哼哼们的电脑连接着的另一端就是庞大的网络信息消费群体。
  小雷举例说,按照保守估计,CSDN泄露的600万用户信息,若其中10%有效,那么就有60万网络用户信息被黑客掌握。获取这些信息以后,可以直接侵入别人账号、邮箱获取有用的信息,也可以在网上打包销售。购买者主要会用于网络推销、电信垃圾广告、电商垃圾邮件。
  "有客户需要利用微博来刷广告,那么就有人针对微博编写一个程序,只要把数据库套入就能自动批量试。"小张一脸轻松地说,测试成功的就添加成新的库在网上转卖。"其实这个很简单,几乎是零成本。"据一些网络高手曾经测试的结果看,CSDN泄露出来的密码成功登录同一用户的另一个账号,成功概率高达20%。
  交易也非常简单,在网络上有专门的地下黑客论坛或者通过QQ聊天交易。小张曾经在网站上看到一则消息,有人拿到了300万的数据库销售。他试着与这个黑客取得联系,"1万个账号50元,对方为了让你相信,还会先给你10个免费测试是否好用。"
  这种形式贩卖网络用户信息,获利非常大。小张说,别小看这几十块钱的1万个信息,掌握这样库的黑客,手里都有上百万的用户信息,可以多次销售给不同的人。
  4 产业
  银行商场有人也卖信息
  今年27岁的王旭,在沈阳有过一段"话务营销"经历。"话务营销"是业内术语,现在有了更时髦叫法:信息咨询营销。说白了就是买卖个人信息。从网络等途径买到的个人信息,在他们手中成为倒卖的商品。
  2005年,他加入了沈阳市一个小型的"话务营销"公司,他主要工作是与"客户"接头交易。他们卖的信息有很多类,既有业主信息、车主信息,甚至还有一些大企业或是政府工作人员的信息。"普通业主信息、车主信息是一般货,卖不了多少钱。如果有某一个行业的管理人员信息、政府人员的信息,这就是'牛货',能卖大价。"
  王旭所指的"大价"指的是3000元甚至更高,一般信息100到800元不等。
  "话务公司"的信息是从哪里来的呢?王旭说,一般"话务公司"在各行业或者企业内部有自己的"线人"。"像银行、商场、4S店,这些企业有很多个人信息。公司会给这些线人钱,让他们透露一些出来。"对于具体的价格,王旭并不清楚,但在他的印象中,应该至少有五位数。
  另一个获得信息的渠道是从同行处购买或者交换。"现在的这些公司叫信息咨询公司。这些公司在网络上互相买卖交换各地的个人信息。"由于现在做这个行当的公司很多,信息的价格骤降,10万条信息也就几百块。不过,这个买卖的渠道行内人并不十分看好,因为不能保证"质量",很多都是假的或者是过时的。王旭回忆,2008年,他所在的公司大多数的收入来自网络销售,部分是线下销售,一家14个人公司,最高的一个月纯利润达到40多万元。"因为现在查的很紧,生意没以前那么好做了。"
  从3月中旬至月底,记者试图以买主的身份联系几家北京和外地的信息咨询公司,但是得到的回答都是"风声紧"、"过一段时间再说"的回复。
  如何让我们的密码更安全

  "请输入账号密码……"这个我们在众多网站司空见惯的模式,一不小心,就成为出卖我们信息最大的凶手。伴随着互联网诞生第一天就出现的个人密码,在今天依然是普通用户、网站管理员和黑客之间斗争的永恒对象。如何保证密码不被黑客盗取?没有最安全的密码,但我们至少可以让自己的密码变得更安全。
  泄密探因
  密码要经过一段旅途
  为什么会发生如此大规模的密码泄露事件?中国软件评测中心高级工程师朱璇表示,问题出在两个方面,使用者的密码设置过于简单,网站管理出了问题。
  当我们登录一个普通网站时,密码要经过这样的一段旅途:我们先在键盘上输入密码,网站将其上传到服务器,然后在服务器中保存,当我们丢失密码时,需要通过某种验证才能重新获得密码。
  这每一个环节,都可能被黑客攻击,获得密码。
  在输入密码阶段,黑客只需攻击个人计算机终端,当计算机中了木马病毒时,键盘里敲击的密码就可能被黑客截获,病毒也可能搜索计算机文件,获得里面和密码相关的信息。
  在密码上传阶段,朱璇表示,密码信息上传到服务器,这段旅途虽短,但很多网站,包括一些论坛,都没有把密码明文加密的习惯,成为黑客攻击的薄弱环节。
  如果上传的密码过于简单,也很容易被黑客用"暴力攻击"的形式获得,最常用的是"词典式攻击"。黑客手中会有一个海量密码的词典,如果用户使用简单的信息,如姓名、生日、电话等,黑客可以设计一个小程序,计算出来。因此,很多网站在登录密码页面会使用验证码,防止电脑的词典式攻击。
  服务器保存
  明文保存密码相当危险
  密码到达终点,即网站服务器,它的保存方式也被黑客盯上。此次密码泄露,就是因为很多网站以明文形式保存用户的密码,而没有任何加密,当黑客攻击进入服务器后,就可以直接看到裸露的密码原文。
  果壳网"死理性派"主编吴苏介绍,明文保存密码相当危险,黑客只要获得了密码数据库,再复杂的密码,都可以看到。
  他介绍,现在网站服务器已经有了很普遍的加密方法,叫做哈希函数。比如,英文里"狐狸在冰上跑"和"狐狸在冰上走"两句话,通过哈希函数一转化,很快变成了完全让人摸不着头脑的组合"52ED879E"和"46042841"。
  但即使用了哈希函数加密,也不代表无懈可击。
  密码分析学家阮风光说,如果一串被哈希过的密码被盗,只要密码过于简单,黑客同样可以获得。
  通常,黑客手中,都有一份很长的列表,称为"碰撞库",里面储存的是很多常用密码对应的哈希值。朱璇介绍,现在网上有专门的网站对哈希值进行破解,根据密码难度进行收费。"比如要破解admin123,属于最常用的前1万个密码,你只要花1毛钱,如果密码是123456,就可以给你免费破。""万恶之源是密码过于简单。"朱璇说。
  密码矛盾
  安全和便利不可兼得
  "互联网安全问题分成管理层面和技术层面,密码安全横跨两个层面。"朱璇说。
  对于网站而言需要考虑的安全因素太多了。比如,开发代码中是否存在漏洞,服务器所处的地理位置是否足够安全,服务器是否有密码,操作系统是否打了补丁,等等,任何一个环节出了漏洞,其他环节再安全,也可能被黑客攻进。
  "一切都是需要花钱的,"阮风光说,"比如你要在服务器中对密码进行加密,就可能需要雇用有安全背景的人来写软件。"
  目前,科学家和工程师们也在尽量让身份识别变得更为容易,如生物指纹、或视网膜鉴别等等方式,但即使这些额外的保护措施,同样需要花钱。"人们得意识到,更高的安全度,就意味着更多的钱。"阮风光说。
  他表示,计算机科学技术发展到今天,人们也一直没解决密码安全性和便利性的矛盾,始终没有完美的解决方式。原则上,密码越长,越安全,可是也越难记住,哪怕记在电脑或者纸上也是不安全的。此外,用户如果在不同网站使用不同的密码,也更安全,但是却很不方便,很难记住这么多的密码。"要安全,就得舍弃方便,要舍弃麻烦而图便利,就可能不安全。"
  密码防盗指南
  1 有足够的安全意识,避免在社会层面受到密码诈骗。
  2 不同安全等级的网站设不同强度的密码。对于网银等和个人利益直接相关的网站,一定要设置超强的密码。
  3 测试网站的密码安全性,在注册一个网站时,如果你输入密码"123456"也能通过,这个网站肯定不安全。同样,对密码长度没有要求,不能使用特殊字符,或者无法区分大小写的网站的安全性能也不高。
  4 减少使用常用的个人信息,尽量不用自己的生日作为密码。尽量使用和自己个人信息不相关,或者距离远的信息。
  5 利用经典密码学,设置自己的加密"函数"或规律。比如,你可以选取"不管三七二十一",抽出其中的数字"3721",对个别数字进行替换或移位,把"7"变成英文字母中的"L",把"1"变成英文字母"i",变成"3L2i",这样,密码就稍微复杂一点。
  6 多组合密码。搭配各类数字、字母、大小写、特殊符号的组合,比如一个10位长的随机密码,由于常用键一共有95个,因此一共会有(95的10次方)种组合,较难在短时间内被"暴力"破解。你可以把"3L2i"加上符号变成"3#L*2 i#"。
  7 在你的密码"3#L*2 i#"和另一个人的密码"123456"之间,黑客肯定首先盗取后者的密码,一旦一个网站的密码发生泄露,你可以比有着简单密码的后者拥有更多的时间进行密码修改。
  8 最后,隔一段时间,换一下自己的密码,总是能让密码更安全的。
  历史
  互联网开创密码伴生
  "互联网开创第一天,就有了密码。"清华大学高等研究院访问学者,密码分析学家阮风光说。上世纪60年代,互联网雏形初现,当时的计算机体形庞大,一台就占据整个机房。
  由于每台巨型计算机被很多人共享,为了辨别不同用户身份,需要设置密码,这也决定了此后互联网设置密码的目的:辨别使用者。
  事实上,密码学要比计算机的历史古老得多。从古罗马时期开始,各国打仗时就常常使用密文形式来传输信息,二战时密码技术更是突飞猛进。今天,在小说如《达芬奇密码》中,我们也时常能读到让人心驰神往的密码破译故事。
  中国软件评测中心高级工程师朱璇介绍,古典密码学主要有两个基本原理,即"移位"和"替换",比如,将数字往后移一位,3变成4, 7变成8,或者将字母A换成D,都可以起到加密作用。
  现代密码学建立在传统密码学基础上,但增加了大量数学、物理学、计算机科学的内容,其对当前互联网技术发展、军事及国家安全、以及商贸、金融等行业的发展起到了至关重要的作用。
  密码泄露案例
  国外发生过多起严重的密码泄露案件。
  1998年,互联网安全网站CERT发现黑客袭击了18.6万多个加密密码,其中,47642个密码被盗。
  2009年,社交网站Rockyou.com发生严重密码泄露,3200万个密码被盗,其密码以明文形式在服务器上存储。
  2011年,索尼公司连续遭受四轮黑客袭击,致使过亿用户信息泄露,这些个人信息中包括用户账号密码、电子邮箱、家庭住址、生日等信息。索尼公司公开致歉,美国联邦调查局介入。此事成为近年来最大的网络安全事件。
  2011年,第一个推行网络实名制的国家韩国发生个人信息泄露事件。韩国青瓦台、外交通商部、国家情报院等国家机构等共40个网站遭到攻击,造成大量用户信息外泄。去年年底,韩国广播通讯委员会提交报告,将逐步取消网络实名制。
发表于 2012-4-6 10:14:06 | 显示全部楼层
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

散聚堂:我们散户投资者的家园!上一条 /1 下一条

QQ|手机版|小黑屋|Archiver|散聚堂 ( 蜀ICP备05021043 )

GMT+8, 2019-9-22 14:18 , Processed in 1.126057 second(s), 9 queries , File On.

Powered by Discuz! X3.3

© 2001-2013 Comsenz Inc. Designed by 39TOP.COM

快速回复 返回顶部 返回列表