網(wǎng)絡(luò)黑灰產(chǎn)已近千億 個人信息泄露是源頭

在浙江義烏，一個小商家的老板剛剛上班，查看前一天的監(jiān)控視頻發(fā)現(xiàn)，凌晨有人翻墻入室，但奇怪的是，店內(nèi)并沒有什么物品失竊。再仔細查看一遍視頻，才發(fā)現(xiàn)這名偷偷潛入的神秘人操作了店內(nèi)的電腦就走了。

對于這種情況，商家也很疑惑，不知是否算是入室盜竊案，因此也就沒有報警。但沒過多長時間，這位小商家的交易記錄和訂單數(shù)據(jù)就出現(xiàn)在了“網(wǎng)絡(luò)黑市”里。

原來，神秘人在這位小商家的電腦上插入了一個經(jīng)過改造的U盤“Bad USB”,里面裝有可以封閉執(zhí)行的木馬病毒，將其拷貝到電腦后，神秘人可以遠程控制這臺電腦，從而獲取商家的交易記錄和大量的用戶真實信息，甚至影響資金安全。而且，神秘人也可以將商家數(shù)據(jù)和個人信息轉(zhuǎn)手售賣給網(wǎng)絡(luò)詐騙組織，造成更多威脅。

此乃網(wǎng)絡(luò)黑灰產(chǎn)犯罪案的典型。所謂網(wǎng)絡(luò)黑灰產(chǎn)，指的是電信詐騙、釣魚網(wǎng)站、木馬病毒、黑客勒索等利用網(wǎng)絡(luò)開展違法犯罪活動的行為。稍有不同的是，“黑產(chǎn)”指的是直接觸犯國家法律的網(wǎng)絡(luò)犯罪，“灰產(chǎn)”則是游走在法律邊緣，往往為“黑產(chǎn)”提供輔助的爭議行為。

上述案例的背后，也隱現(xiàn)著當前網(wǎng)絡(luò)黑灰產(chǎn)治理中的難點和痛點：行為隱秘，用戶、商家很難注意到；分工明確，已經(jīng)形成產(chǎn)業(yè)鏈；涉及多方，但往往難以明確各方責任；安全威脅深遠，但現(xiàn)行法律難以消除……

網(wǎng)絡(luò)黑灰產(chǎn)已近千億規(guī)模

網(wǎng)絡(luò)黑灰產(chǎn)有多大的威脅？這個問題恐怕沒有絕對準確的答案。

據(jù)南都大數(shù)據(jù)研究院等機構(gòu)發(fā)布的《2018網(wǎng)絡(luò)黑灰產(chǎn)治理研究報告》估算，2017年我國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模為450多億元，而黑灰產(chǎn)已達近千億元規(guī)模；全年因垃圾短信、詐騙信息、個人信息泄露等造成的經(jīng)濟損失估算達915億元，而且電信詐騙案每年以20%~30%的速度在增長。

該報告還指出，黑灰產(chǎn)共有四種類型：虛假賬號注冊等源頭性黑灰產(chǎn)；用于進行非法交易、交流的平臺；木馬植入、釣魚網(wǎng)站、各類惡意軟件等；大多以惡意注冊、虛假認證、盜號等形式實現(xiàn)的網(wǎng)絡(luò)黑賬號。

另據(jù)阿里安全歸零實驗室統(tǒng)計，2017年4月至12月共監(jiān)測到電信詐騙數(shù)十萬起，案發(fā)資金損失過億元，涉及受害人員數(shù)萬人，電信詐騙案件居高不下，規(guī)模化不斷升級。2018年，活躍的專業(yè)技術(shù)黑灰產(chǎn)平臺多達數(shù)百個。

雖然數(shù)額驚人，但許多人并不知道自己是如何被黑灰產(chǎn)盯上的。據(jù)阿里安全歸零實驗室高級專家功夫介紹，網(wǎng)絡(luò)黑產(chǎn)人員經(jīng)常利用綽號“大菠蘿”的一種路由器偽裝成免費WIFI，只要用戶連接就可以竊取個人信息，監(jiān)視用戶的瀏覽記錄；可同時管理十余張電話卡的“貓池”設(shè)備，經(jīng)常被用來在電商平臺上注冊垃圾賬戶“薅羊毛”；他們還經(jīng)常利用總成本不足百元的2G短信嗅探設(shè)備，獲取周邊任何人的短信內(nèi)容，從而盜刷信用卡。

而在這些設(shè)備背后，黑灰產(chǎn)已經(jīng)形成了分工明確的產(chǎn)業(yè)鏈。功夫以假冒公檢法的電信詐騙為例介紹：詐騙團伙頭目建設(shè)窩點、招募詐騙成員后，會通過黑市購買一些用戶的個人信息；再由招募的一線話務(wù)員扮演電信運營商和銀行，根據(jù)這些個人信息欺騙用戶；再由二三線話務(wù)員扮演公安、檢察人員，博取用戶信任，將錢款轉(zhuǎn)至指定的“安全賬戶”；最終由團伙其他人在全國多個銀行網(wǎng)點幾乎同時取款。

“頭目詐騙成功后，大概能拿到59%左右的資金，一線騙子大概只能提5%，二線、三線騙子大概能提8%?！惫Ψ虮硎?，許多團伙已經(jīng)分工非常細致，這給今后打擊黑灰產(chǎn)帶來了不小的挑戰(zhàn)。

個人信息泄露是黑灰產(chǎn)源頭

在電信詐騙等許多網(wǎng)絡(luò)黑灰產(chǎn)行為中，用戶的個人信息是源頭之一。功夫也告訴中國青年報·中青在線記者，作為網(wǎng)絡(luò)灰產(chǎn)的個人信息泄露，是許多違法犯罪行為發(fā)生的源頭，但無論是企業(yè)還是監(jiān)管部門，都很難完全治理好這個問題。

中國信息通信研究院在今年1月發(fā)布的《電信和互聯(lián)網(wǎng)用戶權(quán)益保護白皮書》提到，該院2017年上半年的調(diào)查數(shù)據(jù)顯示，電信和互聯(lián)網(wǎng)用戶的個人信息安全感知評分為6.5分，與2013年相比幾乎沒有提升。影響個人信息安全感知的最主要因素包括個人信息泄露、過度收集個人信息、未經(jīng)同意收集使用，其中近80%的用戶認為隱私泄露嚴重，超過50%的用戶認為應(yīng)用軟件“偷偷收集個人信息”。

中國信息通信研究院泰爾終端實驗室信息安全部副主任寧華曾表示，如今個人信息保護出現(xiàn)了新的挑戰(zhàn)：以往用戶感知到自己的隱私信息被泄露、利用需要一周甚至一個月，但現(xiàn)在可能只需要幾個小時就能感知到，隱私信息體現(xiàn)在了廣告、購物網(wǎng)站上；以往很多隱私信息是用戶主動提供的，但如今很多用戶并未主動提供的信息，也被商家或平臺收集、利用了。

針對個人信息保護的新挑戰(zhàn)，公安等監(jiān)管部門也在努力。截至2017年12月20日，全國公安機關(guān)當年累計偵破侵犯公民個人信息案件4911起，抓獲犯罪嫌疑人15463名，打掉涉案公司164個。但是，網(wǎng)絡(luò)黑灰產(chǎn)已經(jīng)在大量利用個人信息，開展電信詐騙等違法犯罪行為。

據(jù)功夫介紹，在各方打擊下，許多黑灰產(chǎn)人員所利用的隱私信息“四件套”（身份證、銀行卡、手機卡、銀行U盾）被逐漸查封，導(dǎo)致“四件套”的價格已經(jīng)從100多元上漲到1500元，但即便如此，黑灰產(chǎn)依然可以通過“暗網(wǎng)”的諸多渠道獲取大量用戶的隱私信息。

魔高一尺，道高一丈。功夫認為，針對依然猖獗的黑灰產(chǎn)行為，還需要掌握技術(shù)的企業(yè)、平臺，與公安等監(jiān)管部門協(xié)同治理。例如通過企業(yè)提供的大數(shù)據(jù)能力，幫助公安、電信運營商建設(shè)統(tǒng)一的號碼識別平臺，將詐騙號碼推送到每個用戶的手機上，避免被騙。

工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全管理處副處長袁春陽也曾表示，數(shù)據(jù)安全與個人信息保護問題涉及移動互聯(lián)網(wǎng)的多個環(huán)節(jié)，需要加強產(chǎn)業(yè)合作，強化協(xié)同安全，有關(guān)企業(yè)要切實履行主體安全責任，相關(guān)行業(yè)組織和安全廠商，要發(fā)揮組織和技術(shù)優(yōu)勢，健全完善行業(yè)自律和網(wǎng)絡(luò)安全協(xié)作機制，共筑網(wǎng)絡(luò)安全防線，共同提高網(wǎng)絡(luò)安全保障合力。

協(xié)同治理不能模糊責任

協(xié)同治理，是近年來討論網(wǎng)絡(luò)安全問題時經(jīng)常被許多人提及的一個關(guān)鍵詞。與之相伴而生的是，網(wǎng)絡(luò)安全涉事各方該如何承擔相應(yīng)責任？

“以前大家都講黑灰產(chǎn)治理要聯(lián)合起來做事情。這句話是非常正確的，但是聯(lián)合也容易變成沒有人負責。”阿里安全部資深總監(jiān)張玉東認為，治理網(wǎng)絡(luò)黑灰產(chǎn)不能因協(xié)同治理而迷糊各方責任，應(yīng)該從問題根源入手，分析各方責任，相互督促各方解決問題。

張玉東分析，網(wǎng)絡(luò)黑灰產(chǎn)需一般會先通過手機號碼了解用戶隱私等基本情況；其次通過社交網(wǎng)絡(luò)、電話、短信等進一步靠近用戶，騙取其信任，最后與用戶產(chǎn)生直接聯(lián)系，從而騙取信任實施詐騙。

根據(jù)這個流程，張玉東認為電信運營商、社交網(wǎng)絡(luò)平臺也應(yīng)該在治理黑灰產(chǎn)中承擔更大責任。他舉例稱，許多電信詐騙、釣魚網(wǎng)站詐騙都是誘騙用戶連接偽裝過的免費WIFI，或攔截、嗅探短信來實現(xiàn)的?！叭绻\營商這個問題不解決，永遠有一個環(huán)節(jié)是可以造假的，這個問題就不能根治”。

另外，他也關(guān)注到更隱蔽但更大量的涉及用戶個人隱私的數(shù)據(jù)泄露。他呼吁，發(fā)揮網(wǎng)絡(luò)基礎(chǔ)設(shè)施作用的平臺級企業(yè)應(yīng)該率先示范，首先行動起來，保護用戶數(shù)據(jù)和個人信息免遭泄露。“各家自掃門前雪，把自己的事先解決，這是第一步。”

不過，作為網(wǎng)絡(luò)安全從業(yè)者，他也明白當前推動企業(yè)投入大量成本去保護用戶數(shù)據(jù)和個人信息的挑戰(zhàn)。因此，他希望制度層面可以進一步對企業(yè)在這方面的責任和投入作出要求。

360公司董事長兼CEO周鴻祎也曾向中國青年報·中青在線記者表示，個人信息保護是網(wǎng)絡(luò)安全法等法律的重點議題，但在具體執(zhí)行中還需要更多細則。尤其是針對掌握大量用戶數(shù)據(jù)的互聯(lián)網(wǎng)公司，他建議制度層面可以針對這類企業(yè)如何處理、轉(zhuǎn)賣、交換用戶數(shù)據(jù)作出更加詳細的規(guī)定，對企業(yè)收集、保存用戶數(shù)據(jù)也應(yīng)作出相應(yīng)規(guī)定，保證涉隱私數(shù)據(jù)不能明文存放，而是加密存儲，以避免被人輕易利用。

觀韜中茂(上海)律師事務(wù)所合伙人王渝偉律師認為，近年來頻頻發(fā)生的企業(yè)數(shù)據(jù)和個人信息泄露事件說明，一方面很多企業(yè)在技術(shù)和管理層面仍然不能達到法律法規(guī)的要求，對數(shù)據(jù)泄露仍然存在規(guī)避責任的僥幸心理，沒有切實履行作為個人信息控制者、網(wǎng)絡(luò)運營者的義務(wù)；另一方面也說明對個人信息泄露事件的責任主體的監(jiān)管和懲罰力度不到位，縱容了企業(yè)的僥幸心理。

“網(wǎng)絡(luò)安全和個人信息保護需要企業(yè)和政府的共同努力來構(gòu)造，制定完善規(guī)則，并且貫徹執(zhí)行，這肯定是首先要考慮的?！蓖跤鍌ズ粲酰瑹o論是監(jiān)管機構(gòu)還是具體企業(yè)，都要真正行動起來。