你是否经历过刚刚在网店下单,随后诈骗电话就追过来的窘境?
你是否经历过刚刚在某网站申请信用卡或贷款后,各种贷款的电话就纷至沓来的尴尬?
你是否经历过实名注册某网站的时候,网站提示该身份信息已注册的慌乱?
你是否经历过微信“来自通讯录”的好友申请,而你确想不起来这个“好友”是谁?
你是否经历过......
如果你有过以上遭遇,那我告诉你,你的个人信息被黑产卖了!
我的哪些信息被卖了?
- 身份证正反面照片、手持照片、银行卡照片(俗称身份信息四件套)
- 网购物流信息,含家庭住址、姓名、电话、网购物品名称、店铺名称
- 贷款信息,姓名、性别、家庭住址、工作单位、电话、常用联系人姓名电话、贷款金额、还款方式、收款银行及卡号
- 学籍信息
- 车辆信息
- 银行存款信息、个人征信、CVV信用卡数据
- QQ、微信、支付宝、京东、邮箱、苹果ID、12306等账号密码
- ......
想想看,你的个人信息还有什么是黑产所不知道的?
有图有真相!
特别说明:
为了保证文章的真实性,小编深入龙潭虎穴费尽九牛二虎之力套路来了真实样本数据,
这些数据在截图取证后均已销毁。黑产警惕性非常高,有些证据实在是难以取得,请大家见谅。
北京民生银行金卡用户信息
股民账户信息
京东账户及密码
开房信息
身份证正反面、手持、银行卡
应有尽有,只有你想不到的,没有不卖的!
触目惊心,冷汗淋漓!这些隐私信息堂而皇之的在网上被明码标价的售卖。
哪里有售?
在我以往的文章评论区有人曾戏称“把QQ关掉停运,公安机关一半人可以放一年假”。这虽然是一句玩笑话,但是也可以想象QQ这个社交工具为黑产交易提供了多么便捷的服务。
QQ群、QQ空间、QQ说说等功能,已经彻底沦陷!
随便搜索例如“渗透”、“灰产”、“社工”等词汇众多的群及个人批量呈现,里面充斥着大量违法广告,赌博、黑客技术、诈骗、人肉、高利贷其中更不乏个人信息贩卖等黑产。
- Telegram(电报)
QQ、微信等“墙内”工具毕竟有被监测的风险,于是大量黑产转移到了TG上,而TG正是以匿名加密著称,所以TG上更是肆无忌惮的明码标价大卖特卖!
只要你提供身份证号码、手机号、姓名等基础资料,可以查询户籍信息、车辆信息、保险信息、实时行动轨迹、开房信息等。
更为可怕的是,从截图来看这明明是公安局的户籍系统啊......
- 暗网
不科普了,直接上图。
公民的个人信息泄露、盗取,严重危害社会的安全稳定,称之为“万恶之源”一点都不过分。
黑产无孔不入如上交易方式只是冰山一角,我们不禁会问,这些信息从哪来的?
以案释法,追根溯源
2019年1月2日,我们在中国裁判文书网检索到近五年共50份判决书后发现,在侵犯公民个人信息的案件中,犯罪嫌疑人盗取公民个人信息的主要渠道有二:
1、职务犯罪,监守自盗
案例一:
2018年2月9日,江西省余干县人民法院审理的一起案件中,江苏滨海县公安局交警大队八滩中队辅警李某舟利用工作便利,偷偷使用同事的数字证书进入“全国综合查询平台”、“全国人口信息查询平台”、“全国车辆管理信息查询平台”获取公民身份信息及车辆信息140万条,并出售给他人非法获利240616元。经李某舟之手流出的信息,后被“黄牛”用来在12306网站注册账号帮他人抢票,并从中获利。
案例二:
湖北麻城市中级人民法院2018年二审的一起判决中,被告人孙立飞通过华为公司业务员肖某购买了大量包含用户姓名、电话号码和移动积分在内的移动用户个人信息资料,并将其中50万条信息以5万元的价格并出售给开设公司、盗取移动用户积分的李少辉。
随后,李少辉在南昌市注册创办了一家网络公司,从2016年9月开始,指派公司话务员冒充移动公司客服骗取用户移动积分,兑换成电子券牟利。
从2016年10月23日到2016年11月24日,仅用了一个月,这家公司的成单量就达到2500多单,12月的成单量近4000单。
为规避一些用户的屏蔽,李少辉与同案被告人何建福购买了80多部手机和大量电话卡,一旦被屏蔽就立刻换号。
“每天下班前,话务员都会把已兑换的积分打成清单,客户资料上还会有标记,‘2’就是打过两遍电话,‘3’就是打了三遍”,该公司话务员何建福说。
事实上,员工们也曾对公司的业务产生过怀疑。话务员张瑛曾发现一些用户反映没有收到积分兑换礼品,充值话费也没有到账,还有一些员工在微信群里提出公司存在诈骗嫌疑。可是,由于福利待遇还不错,张瑛并没有选择离开。
最终,截至李少辉归案,他的公司共骗取移动用户积分逾三千万分。
案例三:
在淄博市张店区人民法院2017年4月24日的一起判决中,被告人詹耿彬就是一名在东莞市公安局大朗分局刑警大队工作的辅警。
作为伏击组辅警内勤,詹耿彬平时便可以经常接触公安内网。利用伏击组民警梁某平时放在单位抽屉里的数字证书,詹耿彬动起了歪脑筋。通过公安内网,詹耿彬可以直接获取公民身份信息、出入境信息、护照照片、户籍照片等个人信息。
在发现了这一“致富手段”后,詹耿彬便堂而皇之在QQ上声称出售“一手信息”。通过一段时间的交易,他积累起了5名“下线”,经常与他们达成交易,每天动辄盗取1000条左右的公民个人信息。
詹耿彬出售公民个人信息一条的价格是1.7元至5元不等,他的下线却将这些信息加价数倍之多。同案被告张学鹏出售从詹耿彬处购买的护照信息,一条的价格在10到15元,共获利5万元左右。
案例四:
在湖北省黄冈市中级人民法院2018年6月12日一起二审裁定中,多名在不同地区交警大队、车管所、公安局担任协警、工作人员的嫌疑人利用职务便利,盗取并出售了公安内网中大量公民信息。
此案中,被告人李进和师丽娜作为“中间人”扮演了关键角色。通过联系在公安局、车管所等单位工作的协警、民警,2016年起两人建立起了从公安机关获取车档信息、公民信息,再转手进行售卖的关系网。
获取信息的过程中,李进通常会以每条十几元到几十元的价格对前来购买信息的“下线”收取“查询费”。与此同时,他付给“上线”即负责查询的民警的查询费则为每条3到5元。而李进的下线,则进一步将从李进处购得的信息加价15元一条,继续出售。
这起大型案件中,涉案的协警、公安局工作人员多达9人。作为“中间人”的李进,利用公民信息非法牟利数额高达24万余元。
2、黑客入侵
除了监守自盗外,一些精通计算机的犯罪嫌疑人也能通过技术手段从外部直接盗取数据库里的公民个人信息。
案例一:
在上海市浦东新区人民法院2018年的一起判决中,被告人王某某通过黑客手段入侵了上海世基投资顾问有限公司等金融公司网站,被告人牟某某则通过黑客手段入侵了安徽省中小学学籍管理系统网站。
2014年到2017年间,受雇于一家荐股公司的王某某结识了一些网络黑客,其中包括同案被告牟某某。2017年2月开始,王某某开始指使包括牟某某在内的两名黑客入侵了世基公司的网站,查看并获取了上万组该公司的用户数据,并出售给中鑫公司上海分公司。
经世基公司方面证实,该公司被入侵的服务器位于浦东新区灵山路世基分公司机房内,服务器上没有客户数据,入侵者系通过远程互联网控制服务器,并通过内网IP获取了内网其他电脑上保存的客户信息。
盗取信息的过程中,王某某向两名黑客支付了51万元“工资”。得手后,王某某再将信息出售给中鑫公司上海分公司和瑜广公司等“下游”,每一次动辄收入四五万元。
而对被告牟某某而言,受雇于王某某并非唯一的“业务”。2017年6月初,有人在QQ上找到他,提供了安徽省中小学学籍管理系统的权限,并让牟某某攻击渗透该网站。
牟某某从学籍管理系统获取了600多万条包含学生姓名、身份证、籍贯、家长姓名、联系电话等信息的数据,按地市分类导出。
案例二:
在黑客技术之外,购买“扫号”软件并用大量数据进行“撞库”的手段也出现在近年来一些重大侵犯公民个人信息案件中。
江苏省仪征市人民法院2018年的一起判决中,被告人王群便通过“撞库”成功获取了他人QQ用户名及密码,用于销售获利。
在王群的非法牟利链条中,他所购买的“扫号”软件由同案被告李陈龙编写,用途是获取他人的QQ邮箱账号和密码。随后,王群又从软件销售者林佐楼处购买,并将此前购买的500多万组邮箱账号密码数据导入软件运行,采取对QQ软件数据库“撞库”手段,获取了大量QQ邮箱用户的个人信息。
通过销售撞库获取的QQ账号和密码,王群累计获利41.8万余元。而销售方林佐楼通过售卖非法软件,销售额高达40.5万余元,个人获利9.4万余元。编写软件并出售的李陈龙,非法获利则为3.4万余元。
除了上述数据来源,还有更加狗血的方式,例如内鬼间谍!
黑产团伙不惜重金安插“间谍”进入购物平台大卖家的公司入职,其目的可不是挣那份工资,而是为了网购数据而来。
抛开案件,我们来分析一下这些敏感信息的来源
1、我们坐航班、住酒店、寄快递、注册APP,经常都要填写大量个人信息。这些信息储存在对应的航空公司、酒店集团和互联网公司系统数据库里面,一般情况下是没有问题的。
但是,这些公司数据库的安全程度其实并没有我们想的那么高。
很多公司对隐私数据的重视程度非常低,经常犯诸如数据库密码设置的非常简单、核心数据不加密存储等低级错误。
对技术到位的黑客来说,弄到这些数据的难度其实并不高。
仅在过去的2018年,国内就暴露了很多起大规模的数据泄露事件:
2018年6月,暗网上有人公开兜售圆通快递1亿条快递信息数据,售价1比特币。
2018年6月,知名视频网站A站遭拖库,近千万用户数据泄露。
2018年7月,顺丰快递3亿用户信息外泄。
2018年8月,华住集团旗下超过10家连锁酒店品牌用户数据泄露,总数超过5亿条。
2018年9月,万豪旗下喜达屋酒店集团约5亿人次顾客预订信息被泄露。
2018年10月,国泰航空940万用户隐私数据泄露。
……
这还仅是已经暴露出来、规模比较巨大的数据泄露事件。更多小型公司、平台的数据哪怕被泄露了,也未被公众关注,甚至无人得知。
2、内鬼倒卖
2017年,荆州市公安局破获一起个人隐私信息泄露案件。
警察最后发现,信息泄露者汪媛媛原本是某知名快递公司的仓库管理员。
在数据贩子的劝诱下,汪媛媛在一个月左右时间里,以2元/条的价格向数据贩子累计倒卖超过4000条公民快递信息,共获利超过8000元。
类似的案件近年在国内发生的频率越来越高。
公民的个人隐私信息看似不起眼,但在别有用心的组织手里,却可以通过精准营销、电话诈骗等方式获取高额利润,因此这些组织很早就开始将木目光投向了掌握信息的公司内部。
航空公司、酒店集团、快递公司、电商平台,这些年都曾经爆出过内部人员倒卖数据的案件。
3、数据贩子
个人隐私信息买卖早已经在国内形成了一个庞大的地下产业链,其中最大的一个群体就是数据贩子。
数据贩子手里往往有一批独家数据资源,然后通过交换、购买等方式不断扩大数据量,最后将数据兜售给各类营销公司、诈骗集团牟取暴利。
除此之外,这群人还娴熟地掌握了许多黑客技巧,擅长通过已经有的数据产生新的数据。比如说最常见的一个操作叫”撞库“。
撞库的原理其实非常简单:现在许多人为了贪图方便,经常在不同平台都使用同样的用户名和密码。
现在黑客想要获取到某大平台A里面的用户数据,但是平台A的安全措施非常严密,无法直接获取数据。
这时候黑客就会采取绕路策略,先攻破漏洞比较多的B平台,得到许多用户的用户名和密码,再将这些信息一一到A平台去尝试能否登录,只要可以登录,黑客就得到了一条A平台的有效数据。
泄露数据的平台越来越多,黑客手里的数据就越来越全,攻破新的平台就更加容易。到今天为止,一个令人悲观的事实是:很可能我们每个人都无法幸免。
个人信息泄露的危害
在中国网络通讯行业发展繁荣的今天,用户隐私数据一直被黑产垂涎,虎视眈眈。17年上市刚满一年的瑞智华胜,通过操纵账户进行微博、抖音、公众号等平台的加粉、刷量,年盈利过千万!而国内电信诈骗则以年均20%~30%的速度快速增长,因垃圾短信、诈骗信息、信息泄露等造成的财产损失预估915亿元,受害网民高达6.88亿!据不完全统计,2017年我国黑产的从业人员在百万级以上,每年造成的损失达千亿元级规模。
正如文章开头所列出的情景,我们的一举一动都被黑产掌握,那我们的安全从何谈起?
我接触的第一个人,是朋友介绍的据说做”黑客“的老K。
老K见我后说的第一句话就是:给我3分钟,我就能查到你90%的资料。
他在一台笔记本电脑上噼里啪啦演示操作,以我的一个实名登记的手机号码为起点,在一个数据库里老K轻而易举地找到了我的真实姓名。
然后通过姓名+手机号,他很快找到了我的身份证号码,再然后就是QQ号、微信号、开房记录……
最后,老K甚至拿到了我在很多网站的登录账号和密码。
为了验证这些密码的准确性,他当着我的面登录了我的网易云音乐以及人人网账号。
人生中第一次,我感觉到自己就像被剥光了衣服暴露在全世界面前,浑身发冷。
对此老K说,”别以为只有你这样,其实在中国,数亿人都在裸奔!“
更可怕的是,整个过程中老K其实并没有展示什么高深的黑客技巧。自始至终,他只是在几个数据库和网站里面查询了一下数据。
这些网站是公开的,这些数据库也只需要花不多的钱就能在很多渠道购买到。
换句话来说,只要有心的话任何一个普通人都可以复制老K的操作,查找到很多人的隐私信息。
早在2016年的时候,南方都市报的记者就曾经做过一个相关调查。
让他非常吃惊的是,他只花了700元,就查到了自己同事的海量信息:
这些信息包括了开房记录、上网记录,以及航班信息、银行卡信息等,令人不寒而栗。
直到今天,在谷歌和百度,通过某些特定关键词仍然能找到很多提供隐私信息查询服务的网站和组织。
阿何大概只花了5分钟,就找到了一个可以免费查询相关信息的网站,里面提供了开房信息查询、网站信息以及密码信息查询等功能:
在“某商城数据库”页面,我随便输入自己曾经用过的一个网站用户名,结果非常惊悚地发现,这个网站搜索出了我真实的姓名、邮箱和电话数据:
下一步,利用这些数据,我通过“密码库”功能,找到了自己常见的一个密码(经过md5加密)。这个网站还把是哪个平台将我的密码泄漏出来也显示出来了:
后面按图索骥,我还找到了自己的开房数据、身份证号码等更加隐私的数据,而且都是真实的……
这样的平台还有很多很多。它们中有的可以通过一个QQ号码,查询到你的QQ好友,你加过的QQ群;有的可以查询到你都在哪些网站、APP注册过账号,用户名是什么;
还有的可以查询到你的快递地址、购物信息……
也就是说,只要有一两条开始的线索(你的常用用户名、手机号码、邮箱等),你在网络上基本就无处遁形了!
国人70%的人经历过至少一次的隐私数据泄露
在中国,已经有超过70%的人最少经历过一次个人隐私数据泄露,这个比例还在逐年递增。
再考虑到有些年幼、年老群体并不是网民,基本可以说每个人都遭遇过隐私数据泄漏!
近10亿人的数据在地下链条里流通交易,流向营销公司、数据贩子以及形形色色的诈骗团伙。
在这个链条里,我们每个人就是待宰的羔羊、赤裸裸的商品。
隐私数据泄露带来的危害,已经不再是影视作品里的设想,而是在现实世界里不断发生,很多人正在为此付出惨重的代价。
在百度上一搜,就有无数被害者的案例。小的是几百几千元的经济损失,大的则家破人亡。
曾经惊爆全国的徐玉玉案,就是一起典型的个人隐私数据泄漏引发的诈骗案。
2016年8月份,犯罪分子陈文辉等人通过攻破网络系统、网络购买等方式,获得了一批高考录取生的详细资料,然后挨个打电话通知这些人领取大学发放的“助学金”,之后采用各种手段实施诈骗。
2016年8月19日,刚刚被南京邮电大学录取的女生徐玉玉接到了这伙犯罪分子的诈骗电话,在犯罪分子的巧舌如簧下,单纯的徐玉玉将9900元学费全部存入骗子的账户。
徐玉玉出生在一个普通的家庭,9900元对她来说不仅是一笔巨款,还是人生的希望。
得知被骗后,仅仅2天后这名单纯的女孩就因为伤心欲绝,引发了器官衰竭而死亡。
尽管最后犯罪分子全部落网,可是逝去的生命却再也回不来了……类似的案件,在中国还有很多很多……有些被爆料出来,还有更多则沉在水底,或许我们永远无法得知。不要以为别人单纯所以才被骗,自己更加警惕就没事,犯罪分子其实比我们设想的还要更加狡猾精明。个人隐私数据被掌握,代表了什么呢?它代表犯罪分子对你的工作情况、家庭情况、社会关系了如指掌,不仅知道你的电话、姓名、经济状况,甚至连你的家人、领导、同学、朋友的资料也能被挖出来。这种情况下,骗子冒充你的家人、领导、同事或者其他亲近的人是轻而易举的事情。他们甚至可以根据你具体的处境、即将要做的事情去针对性设计骗术,哪怕是高学历的聪明人也难免中招。此外,哪怕我们可以避免自身被骗,也难以阻止他们用我们的数据冒充我们,然后去骗我们身边的人。权威机关的数据表明,国内从事个人隐私相关黑色产业链的人员已经达到150万规模,每年中国人因为个人隐私泄漏造成的损失接近1000亿元。这个数据,差不多是全球此类损失的三分之一!除了诈骗之外,更有些穷凶极恶的犯罪分子会利用普通人的裸照、开房数据、欠款记录等敏感信息直接进行敲诈勒索。
我们能做点什么?
了解越深入,我心里的寒气就越盛。
可以说,情况真的已经严峻到了十万火急的程度:相关的犯罪活动开始盛行,而我们的隐私数据又已经被大规模泄漏,如此场景,就像一群人在火海中裸奔。
国家一直都在严厉打击个人隐私相关的犯罪活动,力度每年都在加大。
但是和其他犯罪行为不同,这类网络犯罪更加隐秘、更加高科技,从而难以彻底根绝。
可以这么说,只要互联网还在,就无法彻底避免数据泄漏。
唯一能做的,就是我们要有警惕意识,加强自我保护。只要在源头上杜绝了信息泄漏,任黑客技术再高也无能为力。
根据大量相关资料,我给大家整理了几条避免个人信息泄漏的方法:
1、最好购买两个手机号码。一个用来注册账号、收快递、住宿等对外用途,一个只用来联系家人、朋友。将对外信息和对内信息做一个物理上的隔离。
2、不同的网站、APP,注册的时候一定要使用不同的用户名和密码。
3、快递单、火车票、机票等在面单上具有个人信息的票据,使用后务必将个人信息划掉,最好能粉碎销毁。
4、经久不用的网站、APP,一定要销毁原来使用的账号。
5、高隐私度的APP,如支付宝、网银、邮箱等,最好定期更换密码,避免长时间使用同一个密码。
6、只从官方网站下载APP,尽量不下载来路不明的APP。
7、网购的时候,不要填写真实姓名,最好填写花名以及只对外的手机号码。如果有条件,尽量地址填写代收点地址,而不是真实的家庭地址。
8、使用APP的时候,不给APP开启过多不必要的权限。
9、收到来路不明的短信,千万不要轻易点击短信里面的链接。微信、QQ等链接同理对待。
10、个人身份证、护照、户口本等敏感证件的照片绝不外传,办证需要的只给实体复印件,并且在上面标注好“仅供XXX使用”的字样。
11、手机丢失,要马上挂失手机号。类似的,微信、QQ等被盗,要马上举报,以及通知身边的人。
12、手机一定要设置密码,最好设置安全性更高的指纹解锁。相对来说,iPhone安全性比安卓手机高一些。
严格做到以上12点,能在90%程度上保证我们自身安全。当然,这样会给我们生活带来很多不便,但是和潜在损失相比,我认为完全是值得的。
愿终有一天,我们能不再裸奔,安心地行走在这片大地。朋友们你们还有什么好的建议呢?我们不妨来讨论一下 。
閱讀更多 網安 的文章
