在浙江義烏,一個小商家的老板剛剛上班,查看前一天的監(jiān)控視頻發(fā)現(xiàn),凌晨有人翻墻入室,但奇怪的是,店內(nèi)并沒有什么物品失竊。再仔細(xì)查看一遍視頻,才發(fā)現(xiàn)這名偷偷潛入的神秘人操作了店內(nèi)的電腦就走了。
對于這種情況,商家也很疑惑,不知是否算是入室盜竊案,因此也就沒有報警。但沒過多長時間,這位小商家的交易記錄和訂單數(shù)據(jù)就出現(xiàn)在了“網(wǎng)絡(luò)黑市”里。
原來,神秘人在這位小商家的電腦上插入了一個經(jīng)過改造的U盤“Bad USB”,里面裝有可以封閉執(zhí)行的木馬病毒,將其拷貝到電腦后,神秘人可以遠(yuǎn)程控制這臺電腦,從而獲取商家的交易記錄和大量的用戶真實信息,甚至影響資金安全。而且,神秘人也可以將商家數(shù)據(jù)和個人信息轉(zhuǎn)手售賣給網(wǎng)絡(luò)詐騙組織,造成更多威脅。
此乃網(wǎng)絡(luò)黑灰產(chǎn)犯罪案的典型。所謂網(wǎng)絡(luò)黑灰產(chǎn),指的是電信詐騙、釣魚網(wǎng)站、木馬病毒、黑客勒索等利用網(wǎng)絡(luò)開展違法犯罪活動的行為。稍有不同的是,“黑產(chǎn)”指的是直接觸犯國家法律的網(wǎng)絡(luò)犯罪,“灰產(chǎn)”則是游走在法律邊緣,往往為“黑產(chǎn)”提供輔助的爭議行為。
上述案例的背后,也隱現(xiàn)著當(dāng)前網(wǎng)絡(luò)黑灰產(chǎn)治理中的難點和痛點:行為隱秘,用戶、商家很難注意到;分工明確,已經(jīng)形成產(chǎn)業(yè)鏈;涉及多方,但往往難以明確各方責(zé)任;安全威脅深遠(yuǎn),但現(xiàn)行法律難以消除……
網(wǎng)絡(luò)黑灰產(chǎn)已近千億規(guī)模
網(wǎng)絡(luò)黑灰產(chǎn)有多大的威脅?這個問題恐怕沒有絕對準(zhǔn)確的答案。
據(jù)南都大數(shù)據(jù)研究院等機(jī)構(gòu)發(fā)布的《2018網(wǎng)絡(luò)黑灰產(chǎn)治理研究報告》估算,2017年我國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模為450多億元,而黑灰產(chǎn)已達(dá)近千億元規(guī)模;全年因垃圾短信、詐騙信息、個人信息泄露等造成的經(jīng)濟(jì)損失估算達(dá)915億元,而且電信詐騙案每年以20%~30%的速度在增長。
該報告還指出,黑灰產(chǎn)共有四種類型:虛假賬號注冊等源頭性黑灰產(chǎn);用于進(jìn)行非法交易、交流的平臺;木馬植入、釣魚網(wǎng)站、各類惡意軟件等;大多以惡意注冊、虛假認(rèn)證、盜號等形式實現(xiàn)的網(wǎng)絡(luò)黑賬號。
另據(jù)阿里安全歸零實驗室統(tǒng)計,2017年4月至12月共監(jiān)測到電信詐騙數(shù)十萬起,案發(fā)資金損失過億元,涉及受害人員數(shù)萬人,電信詐騙案件居高不下,規(guī)?;粩嗌墶?018年,活躍的專業(yè)技術(shù)黑灰產(chǎn)平臺多達(dá)數(shù)百個。
雖然數(shù)額驚人,但許多人并不知道自己是如何被黑灰產(chǎn)盯上的。據(jù)阿里安全歸零實驗室高級專家功夫介紹,網(wǎng)絡(luò)黑產(chǎn)人員經(jīng)常利用綽號“大菠蘿”的一種路由器偽裝成免費WIFI,只要用戶連接就可以竊取個人信息,監(jiān)視用戶的瀏覽記錄;可同時管理十余張電話卡的“貓池”設(shè)備,經(jīng)常被用來在電商平臺上注冊垃圾賬戶“薅羊毛”;他們還經(jīng)常利用總成本不足百元的2G短信嗅探設(shè)備,獲取周邊任何人的短信內(nèi)容,從而盜刷信用卡。
而在這些設(shè)備背后,黑灰產(chǎn)已經(jīng)形成了分工明確的產(chǎn)業(yè)鏈。功夫以假冒公檢法的電信詐騙為例介紹:詐騙團(tuán)伙頭目建設(shè)窩點、招募詐騙成員后,會通過黑市購買一些用戶的個人信息;再由招募的一線話務(wù)員扮演電信運營商和銀行,根據(jù)這些個人信息欺騙用戶;再由二三線話務(wù)員扮演公安、檢察人員,博取用戶信任,將錢款轉(zhuǎn)至指定的“安全賬戶”;最終由團(tuán)伙其他人在全國多個銀行網(wǎng)點幾乎同時取款。
“頭目詐騙成功后,大概能拿到59%左右的資金,一線騙子大概只能提5%,二線、三線騙子大概能提8%?!惫Ψ虮硎荆S多團(tuán)伙已經(jīng)分工非常細(xì)致,這給今后打擊黑灰產(chǎn)帶來了不小的挑戰(zhàn)。
個人信息泄露是黑灰產(chǎn)源頭
在電信詐騙等許多網(wǎng)絡(luò)黑灰產(chǎn)行為中,用戶的個人信息是源頭之一。功夫也告訴中國青年報·中青在線記者,作為網(wǎng)絡(luò)灰產(chǎn)的個人信息泄露,是許多違法犯罪行為發(fā)生的源頭,但無論是企業(yè)還是監(jiān)管部門,都很難完全治理好這個問題。
中國信息通信研究院在今年1月發(fā)布的《電信和互聯(lián)網(wǎng)用戶權(quán)益保護(hù)白皮書》提到,該院2017年上半年的調(diào)查數(shù)據(jù)顯示,電信和互聯(lián)網(wǎng)用戶的個人信息安全感知評分為6.5分,與2013年相比幾乎沒有提升。影響個人信息安全感知的最主要因素包括個人信息泄露、過度收集個人信息、未經(jīng)同意收集使用,其中近80%的用戶認(rèn)為隱私泄露嚴(yán)重,超過50%的用戶認(rèn)為應(yīng)用軟件“偷偷收集個人信息”。
中國信息通信研究院泰爾終端實驗室信息安全部副主任寧華曾表示,如今個人信息保護(hù)出現(xiàn)了新的挑戰(zhàn):以往用戶感知到自己的隱私信息被泄露、利用需要一周甚至一個月,但現(xiàn)在可能只需要幾個小時就能感知到,隱私信息體現(xiàn)在了廣告、購物網(wǎng)站上;以往很多隱私信息是用戶主動提供的,但如今很多用戶并未主動提供的信息,也被商家或平臺收集、利用了。
針對個人信息保護(hù)的新挑戰(zhàn),公安等監(jiān)管部門也在努力。截至2017年12月20日,全國公安機(jī)關(guān)當(dāng)年累計偵破侵犯公民個人信息案件4911起,抓獲犯罪嫌疑人15463名,打掉涉案公司164個。但是,網(wǎng)絡(luò)黑灰產(chǎn)已經(jīng)在大量利用個人信息,開展電信詐騙等違法犯罪行為。
據(jù)功夫介紹,在各方打擊下,許多黑灰產(chǎn)人員所利用的隱私信息“四件套”(身份證、銀行卡、手機(jī)卡、銀行U盾)被逐漸查封,導(dǎo)致“四件套”的價格已經(jīng)從100多元上漲到1500元,但即便如此,黑灰產(chǎn)依然可以通過“暗網(wǎng)”的諸多渠道獲取大量用戶的隱私信息。
魔高一尺,道高一丈。功夫認(rèn)為,針對依然猖獗的黑灰產(chǎn)行為,還需要掌握技術(shù)的企業(yè)、平臺,與公安等監(jiān)管部門協(xié)同治理。例如通過企業(yè)提供的大數(shù)據(jù)能力,幫助公安、電信運營商建設(shè)統(tǒng)一的號碼識別平臺,將詐騙號碼推送到每個用戶的手機(jī)上,避免被騙。
工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全管理處副處長袁春陽也曾表示,數(shù)據(jù)安全與個人信息保護(hù)問題涉及移動互聯(lián)網(wǎng)的多個環(huán)節(jié),需要加強(qiáng)產(chǎn)業(yè)合作,強(qiáng)化協(xié)同安全,有關(guān)企業(yè)要切實履行主體安全責(zé)任,相關(guān)行業(yè)組織和安全廠商,要發(fā)揮組織和技術(shù)優(yōu)勢,健全完善行業(yè)自律和網(wǎng)絡(luò)安全協(xié)作機(jī)制,共筑網(wǎng)絡(luò)安全防線,共同提高網(wǎng)絡(luò)安全保障合力。
協(xié)同治理不能模糊責(zé)任
協(xié)同治理,是近年來討論網(wǎng)絡(luò)安全問題時經(jīng)常被許多人提及的一個關(guān)鍵詞。與之相伴而生的是,網(wǎng)絡(luò)安全涉事各方該如何承擔(dān)相應(yīng)責(zé)任?
“以前大家都講黑灰產(chǎn)治理要聯(lián)合起來做事情。這句話是非常正確的,但是聯(lián)合也容易變成沒有人負(fù)責(zé)?!卑⒗锇踩抠Y深總監(jiān)張玉東認(rèn)為,治理網(wǎng)絡(luò)黑灰產(chǎn)不能因協(xié)同治理而迷糊各方責(zé)任,應(yīng)該從問題根源入手,分析各方責(zé)任,相互督促各方解決問題。
張玉東分析,網(wǎng)絡(luò)黑灰產(chǎn)需一般會先通過手機(jī)號碼了解用戶隱私等基本情況;其次通過社交網(wǎng)絡(luò)、電話、短信等進(jìn)一步靠近用戶,騙取其信任,最后與用戶產(chǎn)生直接聯(lián)系,從而騙取信任實施詐騙。
根據(jù)這個流程,張玉東認(rèn)為電信運營商、社交網(wǎng)絡(luò)平臺也應(yīng)該在治理黑灰產(chǎn)中承擔(dān)更大責(zé)任。他舉例稱,許多電信詐騙、釣魚網(wǎng)站詐騙都是誘騙用戶連接偽裝過的免費WIFI,或攔截、嗅探短信來實現(xiàn)的?!叭绻\營商這個問題不解決,永遠(yuǎn)有一個環(huán)節(jié)是可以造假的,這個問題就不能根治”。
另外,他也關(guān)注到更隱蔽但更大量的涉及用戶個人隱私的數(shù)據(jù)泄露。他呼吁,發(fā)揮網(wǎng)絡(luò)基礎(chǔ)設(shè)施作用的平臺級企業(yè)應(yīng)該率先示范,首先行動起來,保護(hù)用戶數(shù)據(jù)和個人信息免遭泄露?!案骷易話唛T前雪,把自己的事先解決,這是第一步?!?/p>
不過,作為網(wǎng)絡(luò)安全從業(yè)者,他也明白當(dāng)前推動企業(yè)投入大量成本去保護(hù)用戶數(shù)據(jù)和個人信息的挑戰(zhàn)。因此,他希望制度層面可以進(jìn)一步對企業(yè)在這方面的責(zé)任和投入作出要求。
360公司董事長兼CEO周鴻祎也曾向中國青年報·中青在線記者表示,個人信息保護(hù)是網(wǎng)絡(luò)安全法等法律的重點議題,但在具體執(zhí)行中還需要更多細(xì)則。尤其是針對掌握大量用戶數(shù)據(jù)的互聯(lián)網(wǎng)公司,他建議制度層面可以針對這類企業(yè)如何處理、轉(zhuǎn)賣、交換用戶數(shù)據(jù)作出更加詳細(xì)的規(guī)定,對企業(yè)收集、保存用戶數(shù)據(jù)也應(yīng)作出相應(yīng)規(guī)定,保證涉隱私數(shù)據(jù)不能明文存放,而是加密存儲,以避免被人輕易利用。
觀韜中茂(上海)律師事務(wù)所合伙人王渝偉律師認(rèn)為,近年來頻頻發(fā)生的企業(yè)數(shù)據(jù)和個人信息泄露事件說明,一方面很多企業(yè)在技術(shù)和管理層面仍然不能達(dá)到法律法規(guī)的要求,對數(shù)據(jù)泄露仍然存在規(guī)避責(zé)任的僥幸心理,沒有切實履行作為個人信息控制者、網(wǎng)絡(luò)運營者的義務(wù);另一方面也說明對個人信息泄露事件的責(zé)任主體的監(jiān)管和懲罰力度不到位,縱容了企業(yè)的僥幸心理。
“網(wǎng)絡(luò)安全和個人信息保護(hù)需要企業(yè)和政府的共同努力來構(gòu)造,制定完善規(guī)則,并且貫徹執(zhí)行,這肯定是首先要考慮的?!蓖跤鍌ズ粲?,無論是監(jiān)管機(jī)構(gòu)還是具體企業(yè),都要真正行動起來。