文 / 陈根
个人信息被泄漏,隐私安全遭威胁,已经成为当下科技发展的焦点“负作用”。而基于市场经济平台,当数据成为商品,交易便是必然路径。那么,这些不合规不合法的买卖行为都是如何肆无忌惮地进行着?又是如何在高科技的支持下蔚然成风的呢?
数据黑市的“货源”从哪里来?
所谓数据黑市,是指法律明确禁止,或虽然法律没说,但在道德的层面上不允许公开的数据的交易市场。黑市上交易的个人信息数据,包括姓名、身份证、手机、家庭住址、邮箱,以及个人相关的账号密码、银行卡信息等。
在黑市上,这些数据信息都有明码标价。以个人信用卡和借记卡的信息为例,根据国度区域不同:美国约5~30美元,在英国约20~35美元,加拿大约20~40美元,澳大利亚约21~40美元,欧盟约25~45美元。
那么,这些可以称得上是个人“机密”的信息,都是怎么流入黑市“成就”了这个无所不有的庞大数据市场的呢?
首先,无孔不入的黑客,可谓是黑市数据非法获取的高级干将。炒得沸沸扬扬的雅虎用户信息被盗就是一个典型的例子。据外媒的最新说法,雅虎潜在被盗账户规模可能达到10亿之多。而这些信息被挂在黑客网站上公然叫卖,2亿个人账户信息,叫价为3比特币(当时约合1860美元)。
各种机构、网站的内部人士趁“职务”之便,在大量获取信息的同时监守自盗,然后通过数据黑市进行非法倒卖的。国内规模庞大的买卖出生证的黑色网络就是一个典型。一些正规医疗机构将真实的出生证明拿到“黑市上的中介”,以高达10万元左右的价格售出,以便让一些“来历不明”的孩子上户口。
此外,公共WiFi也是获取“资源”的重要通道。我国公共场所WiFi热点覆盖至少超千万个,其中21%有安全隐患,存在“钓鱼”个人信息的风险。用户一旦连上公共WiFi,填写了姓名、手机号、身份证号等内容,个人信息即可被轻松获取。
数据黑市的“产业链”效应
如果你觉得数据黑市,是个人之间的简单交易,那就错了。目前,仅中国“就业”于数据黑市的“从业者”就已经超过40多万人。数据黑市上的不少企业就像我们市面上正规公司一样,有完善的组织架构、细致的人员分工,以及规范的企业管理。而且,他们也非常注重服务意识和品牌信用。
以巴西某犯罪集团为例。该集团安营扎寨于里约热内卢市外的贫民窟,主要贩卖的软件DVD,里面有上万笔遭到骇客入侵取得的信用卡号和持卡人资讯。这些犯罪新创企业在把DVD卖给其他犯罪分子时,不仅实行购买量大能优惠的营销策略,还提供服务层级协议,保证这里面至少有80%的被盗信用卡号能用,否则“保证退款”。甚至,当买了软件的不法分子不知道怎么使用,或是使用上遇到困难的时候,这些巴西人还会提供电话技术支援!
整个数据黑市行业就像正规行业市场一样,由“货源供给商—中间商—非法使用人员”构成的交易模式,可谓是从数据采集到贩卖一条龙的完整产业利益链。
以黑客为例。黑客凭借其技术从各电脑终端或企业数据库非法获取一手数据,转卖给中间商,中间商分销给下级中间商,一层层倒卖,在利益链最末端,还有的会被卖给群发信息的人。而根据这些群发信息买家的“营业项目”性质不同,还可以将其分为用于广告推销的信息,该类信息占据群发短信的比例高达90%以上;另外还有10%不到的比例,则是违法诈骗短信。
透过数据黑市看地下网络犯罪
数据黑市交易,基于科技与网络发展衍生出来的违法行为,还仅仅只是地下网络犯罪的一小部分。根据联合国估计,跨国网络犯罪规模之大每年可获利超过2万亿美元,内容包括毒品交易、智慧财产盗窃、人口贩卖、产品仿冒、儿童色情、身份盗窃等。而这些犯罪行为大都基于具规模又严谨的犯罪集团公司;业务模式也不仅限于自营,更有外包和众筹。
犯罪机构的业务外包,基本上是把工作外包给完全不知道自己在干非法勾当的群众。
以通过邮件发送网络钓鱼攻击为例。犯罪分子需要新的电子邮件账户,以便他们不断发送垃圾邮件,但是CAPTCHA系统却会让他们束手束脚。为了解决这个问题,犯罪分子通过开发软件系统,设置“色情”诱因,便把问题外包出去了。
大致流程便是:犯罪公司建了十来个免费色情网站,告诉访客必须解决一个CAPTCHA,好证明他们已满18岁,才能进入;然后一群好色的群众为了看到色情片,便在不自知的情况下帮歹徒解决了要建立垃圾电子邮件账户的问题,一切都那么顺其自然,甚至可以说是“双赢”。免费、高品质的色情内容,换得不知情群众参与网络钓鱼骗局。
除了将工作外包之外,犯罪集团也进行群众募资,或者众筹。黑客针对苹果Touch ID的破解就曾进行过一次典型的成功募资。苹果在iPhone 5s上推出的指纹身份辨识感应器Touch ID,是苹果花了好几年时间、数百万美元,开发出来的专利生物辨识科技,号称是“方便且极度安全的手机使用方式”。
伴随着Touch ID功能的发布,全世界的安全专家和骇客都蠢蠢欲动,大家都很想知道,究竟会是谁、又需要花多少时间,第一个破解这套“极度安全”的系统?于是,骇客同时用上了群众募资和游戏化两个元素,先筹建一个名为“Touch ID被破解了吗”的网站,由所有骇客捐款提供2万美元奖金,并设有排行榜显示距离2万美元募资目标还有多远。
到最后,大奖落到了混沌电脑俱乐部代号为“Starbug”的骇客手中。他巧妙地想出:在手机真正的主人使用手机,在荧幕上留下指纹之后,Starbug就将指纹照成一张2400dpi的调解析度相片,输入Photoshop,清掉杂讯,黑白反相,再打印到描图纸上。经过蚀刻得到指纹后涂上白膠,在白膠干燥后,按到Touch ID感应器,就能为手机解锁。
看似简单,实则操作还是没那么容易的。所以,我们的消费者切勿因为贪小便宜而去买带锁的iPhone。一方面,这基本等于在变相地鼓励犯罪,毕竟这些产品来得不正当;另一方面,淘宝上专注于忽悠人的iPhone解锁,不管是“硬解”还是“软解”,基本上都是不太靠谱,结果难免落得“贪小便宜吃大亏”。