“网络小偷”猖獗横行 探秘信息数据黑产链

本篇文章2645字，读完约7分钟

许多从业人员表示，利用黑色产业链进行欺诈的特点是分散和隐蔽，很难追踪上下游并锁定证据链。一些案件甚至发生在非洲、东南亚等全国各地，相关信息保护法律不完善，存在诸多困难。

随着电子商务和移动支付的普及，消费者随身携带的现金越来越少，人们开玩笑说“小偷要失业了。”

然而，在互联网上，盗取用户电子账户资金和虚拟资产的“网络窃贼”十分猖獗。

通过各种渠道泄露的个人信息被处理和转卖，并被用于电信欺诈或盗窃，形成了一个巨大的黑色产业体系，成为互联网世界中的一颗隐形毒瘤。

“我们有业务团队潜伏在各种数据黑市进行观察，而在中国进行职业欺诈的团伙非常尴尬。”前海信用信息总经理邱含介绍。业内许多人都同意这一点。

根据赛门铁克2016年年度互联网安全威胁报告，在互联网数据的黑市中，有多达160万个专门从事网络欺诈的黑市，在黑市中有多达6亿个用户档案在流通。据行业估计，中国每年因黑色产品造成的经济损失近1000亿元。

最近，《21世纪经济报道》记者采访了许多互联网风险控制和技术人员，试图探索网络世界背后的黑色生产链。

黑客、特洛伊木马、“内部幽灵”和购买用户数据

“如果您习惯使用相同的用户名和密码，我建议您必须更改它，至少为了确保有足够的钱，您不能使用相同的用户名和密码。”在许多场合，邱含提出了上述建议。

随着电子商务和互联网的普及，越来越多的用户行为数据和交易信息存储在互联网上。由于大多数用户难以记住太多的网站登录账号名称和密码，他们倾向于使用一些相同或相似的用户名和密码，这带来了方便，但也存在一定的隐患。

邱含介绍说，互联网公司在数据安全方面有不同的标准和投资。有些网站可能以纯文本格式保存用户名和密码，或者不进行任何加密或防火墙阻止。当系统稍有漏洞时，就会被黑客入侵和窃取。用户数据，然后是“冲突库”，也就是说，使用这些帐户名和密码尝试登录许多其他网站。一旦使用相同的帐户名和密码，它们将“崩溃”到帐户中，然后被盗。

信息盗窃是黑色产业中最基本的环节。除了黑客攻击、木马病毒、机构中的幽灵、社会工作者的图书馆等方式，用户信息的泄露可以说是难以防范。

山东学生徐玉玉被发现死于电信诈骗。黑客利用在线注册系统的漏洞上传木马，入侵系统，窃取了60多万名候选人的信息，并在网上出售。因此，徐玉玉的个人信息从黑客流向了骗子。

受利益驱动，一些员工参与销售客户数据。银监会在《关于银行业金融机构个人信息披露案件风险警示的通知》中指出，部分银行存在“内部鬼”出售客户信息谋取非法利益。

基于100万份调查问卷的《中国个人信息安全与隐私保护报告》指出，个人信息披露严重，但缺乏自我保护意识。在生活中，55%的受访者没有指出证书副本的目的，34%的参与者没有确认使用免费wifi。

公安部透露，在网络犯罪的黑色行业中，各种钓鱼网站、手机木马、窃取用户个人信息的犯罪最为猖獗。2015年，仅地方公安部门就破获了1000多起相关案件，涉案金额超过10亿元。

Lending Bao副总裁、风险控制部负责人王绍强对《21世纪经济报道》记者表示，在传统的黑数据行业中，上游黑客从用户那里获取敏感信息，挤压有用信息，然后将数据出售给下游用户，而数据分销商赚取差价，将数据出售给黑数据用户。新的黑色产业是一个终端渠道，深入到第三、第四甚至农村地区。它以20元到50元不等的价格购买用户的手机号码、身份证、手持身份证照片、银行卡信息甚至u盾等全套信息，并要求卖家不要挂失。上述材料显示，这些用户中的大多数人一辈子都没有离开过他们的居住地，他们的身份信息向上游流动，并成为社会、电子商务、互联网金融和其他产品的注册用户，掌握在黑人生产者手中。他们有良好的购物记录和小额贷款记录，但他们只是不知道什么时候会借一大笔贷款。这种欺诈技术从台湾传入大陆，并在东南沿海甚至内陆传播。

识别用户是关键

"黑色产业的本质是实现相应的利益."京东消费金融部风险管理高级总监成建波告诉《21世纪经济报道》。

目前，大型网站和机构一般都有识别和抵制异常账户的机制。黑房产从业者会选择在小网站上反复尝试“撞入数据库”，在意识到之前获取用户相对完整的个人信息。

成建波介绍说，京东作为一个高频交易平台，经常成为黑市交易的目标。然而，此类攻击并不特定于任何平台，行业中的所有机构都可能面临此类欺诈风险。

“黑人制作从业者是一个非常现实的群体。如果他们能变成钱，他们就会变成钱。如果他们不能成为钱，他们将使用它为自己。”成建波说，他们已经实现了多种产品，主要是虚拟产品，如游戏币和充值，这样的产品已经形成了一个相对成熟的实现路径；实物中有手机，甚至还有饼干和内衣。

王绍强表示，目前市场上大多数欺诈案件的根源是用户个人账户信息的泄露，但平台无法识别该请求是用户自己发起的，还是欺诈者发起的，导致用户流失。据不完全统计，市场上银行卡的四大要素(姓名、身份证号码、银行卡号码、预留手机号码)的信息超过一千万，甚至五大要素(四大要素加银行取款密码)的信息也超过一百万。

在电信诈骗案件中，由于犯罪团伙掌握了用户的详细个人信息，他们也会扮演角色，改变说话技巧，这是很难防止的。

该组织负责人向《21世纪经济报道》表示，虽然特定平台上的黑色产业造成的损失不算太大，但对平台的信息安全、用户信心和声誉都有很大影响，风险防范技术的投资在平台支出中占很大比例。

“我们的风险防范和技术研发人员占业务团队的50%以上。”成建波介绍道。为了识别交易是否是用户自己发起的，京东金融开发的风险控制系统记录了用户的每一个行为，包括注册、账户登录、信息修改、申请借据、开通快速支付等。当发现设备型号或送货地址的异常信息时，后台天网订单系统会识别并判断交易中是否有问题，从而拦截送货订单或要求货到付款。

王绍强还介绍说，与领先的人脸识别技术公司合作将降低欺诈注册的风险。

黑色产业是这个产业的公敌。

一些从业人员表示，黑产品的欺诈性使用具有分散性和隐蔽性的特点，很难追踪上下游并锁定证据链。一些案件甚至发生在非洲、东南亚等全国各地，相关信息保护法律不完善，存在诸多困难。

《21世纪经济报道》记者了解到，行业内许多信息共享平台相继建立，如由腾讯财付通、京东财经、蚂蚁财经、百度财经、美团公众评论发起的“金融风险信息共享联盟”，以及由中国互联网(爱基、净值、信息)金融协会牵头的互联网金融业信用信息共享平台即将投入运营。在行业内共享欺诈和非法交易信息的同时，还将进行联合处罚。