鳳凰網(wǎng)《風(fēng)暴眼》出品
文|文驊 洄野
爆料郵箱|all_cj@ifeng.com
(相關(guān)資料圖)
編者按:
社工庫,在大眾眼里是一個陌生的詞匯。它隱匿在黑市中,堂而皇之地窺伺我們每個人的生活,有人把它比作互聯(lián)網(wǎng)的“天眼”。它,是一個數(shù)據(jù)庫,但如果有必要,它能觸及每個人的一切信息。
說來荒誕,想試驗社工庫有多強(qiáng)大時,我們在查詢的對象上有點(diǎn)犯難。編輯部的選題會上,有人建議查自己,有人說查領(lǐng)導(dǎo),還有人提出查查前男友。這是一個有意思的話題,也從背后折射出隱私裸奔的今天:盡管我們總是強(qiáng)調(diào)保護(hù)自己的隱私,卻對別人的隱私充滿好奇。
01 每個人都在裸奔
初聽“社工庫”時,由大腦神經(jīng)中樞發(fā)出的顫栗信號傳遍了全身——它幾乎能透視個人所有的信息,還明碼標(biāo)價售賣給有需要的人。
一位從未謀面的網(wǎng)友,在5月的一天發(fā)來一條信息:社工庫,你聽過嗎?只要一個手機(jī)號,就能把你所有收貨地址全查出來(所有包括淘寶、京東等一切網(wǎng)購平臺),是不是很獵奇,很勁爆?
數(shù)據(jù)隱私的話題并不陌生,但是像他說的那樣俱全,還是讓人大吃一驚。林清做了數(shù)十年的藥品跨境電商,自認(rèn)對各種隱秘的門路頗為熟識。后來我們約定第二天電話詳談,不過他最終爽約了,原因是他覺得這個話題太敏感,擔(dān)心報道后,我會遭人報復(fù),被人扒個底朝天。
當(dāng)然,這是后話。在社工庫那個無所不包的隱秘世界里,我們每個人都被一串串字符賦予精準(zhǔn)的畫像:名字、地址、年齡、學(xué)籍、社交賬戶,乃至許多法律禁止交易的信息——身份證號碼、某地某時和人居于某家酒店的記錄、網(wǎng)購商品、社保信息乃至所有的社會關(guān)系和實時定位軌跡,只要有人愿意花錢,誰都可以隨心所欲地窺伺我們的一舉一動,甚至知曉我們多晚沒有回家,何時點(diǎn)了一份外賣,有沒有加辣。
這些翔實的數(shù)據(jù),大多來自公開報道中的黑客攻擊造成的泄漏。雅虎曾在2013年遭到黑客攻擊,泄漏的賬戶超過30億;淘寶網(wǎng)于2019年11月也遭到黑客爬蟲,涉及11億條用戶數(shù)據(jù);職業(yè)網(wǎng)絡(luò)巨頭領(lǐng)英曾有7億條數(shù)據(jù)被散播在暗網(wǎng)論壇上;新浪微博在2020年也被曝出,5.38億微博用戶及其個人信息被黑客獲??;網(wǎng)易郵箱于2015年10月,也疑似有過億用戶信息,在暗網(wǎng)售賣(盡管網(wǎng)易辟謠,但是網(wǎng)上相關(guān)泄漏說法不絕于耳)。
網(wǎng)站數(shù)據(jù)泄漏的案例不勝枚舉。最近的一次史詩級泄漏是Resecurity公司今年2月發(fā)布的報告,報告稱黑客組織入侵了亞洲最大的兩家數(shù)據(jù)中心,悄悄潛伏2年之久,影響范圍包括阿里巴巴、騰訊、華為、蘋果、微軟、亞馬遜、沃爾瑪、高盛、寶馬等國際巨頭在內(nèi)的2000多家企業(yè)。
持續(xù)不斷的數(shù)據(jù)泄漏讓我們裸奔在網(wǎng)絡(luò)世界里。這為社工庫提供了天然的便利。它可以無限地集納信息,如滾雪球一般不斷擴(kuò)容壯大。4月24日,某社工庫發(fā)布通知:“目前總?cè)霂鞌?shù)據(jù)1.5億,還有七億數(shù)據(jù)正在披星趕月上傳中?!币灿猩绻熳苑Q綜合數(shù)據(jù)量有150億條以上,另一社工庫則自曝總數(shù)據(jù)450G,人口數(shù)據(jù)有8億條以上,包含2011-2022年知名公司泄漏的大數(shù)據(jù)。
社工庫機(jī)器人打出收數(shù)據(jù)廣告
“數(shù)據(jù)量存儲達(dá)到億級別都是小菜一碟。”汪德嘉在《身份危機(jī)》中寫到。社工庫的信息雜糅多樣。在一些社工頻道里,散播的信息十分細(xì)致,包括中國臺灣省人民戶籍信息(300MB的txt版本和118MB的csv格式本),戶籍登記信息十分詳細(xì),包括名字、身份證號、年齡和住址,還有某市19萬人口的詳細(xì)信息、2020某保險10w信息、2018年農(nóng)村低保名單、某銀行金卡帶身份證、某銀行數(shù)據(jù)金卡用戶、某省監(jiān)獄數(shù)據(jù)信息,甚至聲稱新增2.2G在逃人員數(shù)據(jù)……
數(shù)據(jù)庫積累到一定級別,查詢功能會非常強(qiáng)大。通常情況下,只需要知道一個手機(jī)號,就能在社工庫里查詢到所有的社交平臺注冊賬戶、家庭住址等;甚至有社工庫聲稱,只需要知道一個QQ號,就能反查出所有的信息,譬如身份證、戶籍、手機(jī)號、微信號、定位軌跡,名下的汽車和駕駛證,最后一次快遞信息和最后一次外賣信息。技術(shù)的升級迭代,還可以通過一張照片,借助人臉識別技術(shù),追蹤到照片中人的名字、身份信息等。
某社工庫機(jī)器人項目介紹
當(dāng)然,如果只能提供模糊信息也不是不能查?!矮C魔技術(shù)”照樣可以幫助你精確找到具體的人?!敖o我一條信息就能關(guān)聯(lián)出一切?!币晃回溬u數(shù)據(jù)的人寫到,目前常規(guī)的獵魔思路為提供名字和籍貫上的模糊信息,獲取該人的身份證,然后結(jié)合精準(zhǔn)查詢的身份證反查獲得其他信息,從而找到要找的人。
即使不知道名字,只有一個人的抖音號,社工庫的社工們也并非束手無策。他們還可以通過翻閱抖音里面的電話或者微博鏈接,關(guān)聯(lián)出精確查詢。而獵魔技術(shù)也在龐大的弱關(guān)聯(lián)信息里,不斷探索,尋求強(qiáng)關(guān)聯(lián)。
社工庫里的結(jié)構(gòu)化數(shù)據(jù),是每個人在網(wǎng)上遺留痕跡的萃取和提純。但黑客當(dāng)初非法闖入時,利用的最大漏洞,不是技術(shù),而是“人性”。這在《欺騙的藝術(shù)》里描述得尤為精彩,被稱為“信息安全領(lǐng)域的比爾·蓋茨”的凱文·米特尼克寫到,如果黑客找到某個可信任用戶透漏一些信息,或者設(shè)法欺騙一個輕信的用戶為自己提供訪問許可。再安全的網(wǎng)絡(luò)技術(shù),也無法保護(hù)這家機(jī)構(gòu)。
欺騙的藝術(shù),包括而不限于,黑客如何說服職員,讓他們提供計算機(jī)用戶名和密碼,從而獲得機(jī)構(gòu)系統(tǒng)的入口,攻擊者如何誘騙一位女士下載一款軟件,從而借助軟件監(jiān)控女士的所有網(wǎng)絡(luò)行動。
02 被騙、群嘲和暴力
上當(dāng)受騙幾乎是所有初次接觸社工庫的人的必經(jīng)之路。梁文第一次使用社工庫就被騙了。他因為在某二手平臺購買一件價值數(shù)千的物品,付完錢后,對方不理他了。他很不甘心,于是想借助社工庫,查到對方的地址。
他在社交平臺隨意輸入“社工庫”,首先映入眼簾的就是一個有幾百人的社工庫群組。他翻了翻歷史聊天記錄,發(fā)現(xiàn)里面密密麻麻的都是一個個名字、一串串?dāng)?shù)字組成的手機(jī)號或者身份證號碼。在群里,任何人隨便丟進(jìn)一個手機(jī)號,機(jī)器人會自動拉出一堆信息,譬如姓名、身份證號碼、銀行卡號碼,有的甚至還有額外記錄,如“德陽 極速貸——全國,月光族:1000.0”。如果丟進(jìn)的手機(jī)號查不出來想要的信息,那么人工付費(fèi)查詢會給你答案。
價格根據(jù)實際查詢內(nèi)容而定。通過身份證號碼查詢姓名和戶籍地址、照片最便宜,收費(fèi)100元,如果想要查詢?nèi)覒艏畔?,?00元,借助手機(jī)號查詢相關(guān)信息和外賣地址,則要600-800不等,最貴的是通過微信號提取所有的好友,要價5600元。如果想查機(jī)主一個月的活動軌跡,要價5000元。
查詢的價格并不便宜,當(dāng)梁文猶豫不決時,“要查檔嗎?”一個名為“清風(fēng) 社工查檔”的人發(fā)來一條信息,還貼出一張查詢項目表,足有20來項,看起來很專業(yè)。
梁文表達(dá)訴求后,他回復(fù),可以查,220元。
這個價格要便宜得多,但梁文并不太放心,問了很多問題,清風(fēng)也很熱情地一一解答。他們雙方談得最多的還是清風(fēng)的社工庫——自己獨(dú)立運(yùn)作,有14億人的信息,每月固定差不多有上萬收入。他看起來很真誠,此外還習(xí)慣說一些頗能唬人的行話,如“獵魔技術(shù)”、“TG技術(shù)”,還說如果繳納660元,可以做代理,不僅會學(xué)到很多東西,還可以任意查詢。
這套說辭實在太誘人了,根本招架不住。更關(guān)鍵的是為了打消梁文的疑慮,清風(fēng)跟他聊了快2個小時關(guān)于社工庫的知識,這會很容易取信于人。他還告訴梁文,收費(fèi)賬戶是銀行卡,點(diǎn)對點(diǎn),實名制,有什么不放心呢?
但是當(dāng)梁文支付220元的查檔費(fèi)用后,清風(fēng)消失了,還刪除了群里的所有聊天信息。所謂的銀行卡實名收費(fèi),也是采用第三方代收,根本不是他本人。我也曾暗訪清風(fēng),套路說辭和梁文的經(jīng)歷大致相似,都是在建立信任后,誘導(dǎo)你去充值消費(fèi)。
梁文揭露自己被騙的當(dāng)天,先后還有兩個人自曝分別被清風(fēng)騙了300元和200元。
類似的騙局在社工庫俯拾即是。不時有人在群里分享自己被騙的經(jīng)歷。為了防止被騙,一個有4萬人的社工群干脆禁言,近期還在群里做了次小調(diào)查,征求意見——是否繼續(xù)群禁言——結(jié)果88%的人表示:我怕被騙,繼續(xù)禁言。
隨著不斷深入社工庫,你會發(fā)現(xiàn),找尋可靠的方式查檔,有很多的技巧需要學(xué)習(xí)。那些所謂擁有數(shù)萬人的群組也不靠譜。有人甚至組建了專門的詐騙群,名為“開房記錄|手機(jī)定位|同住信息”,但群里的6萬人,大部分是已經(jīng)注銷的賬戶。
即使是販賣數(shù)據(jù)的人也會被騙,行業(yè)俗稱“黑吃黑”。黎城組建了一個有3000多人的群,專門對接詐騙機(jī)構(gòu)或者社工庫的運(yùn)營者,他每天會在群里發(fā)布許多數(shù)據(jù)樣刊,所有人只需要繳納3萬元,可以固定享有一定的數(shù)據(jù)資源。
他的客戶多是代理商,但是遇到有人“白嫖”或者“盜取”信息,他都會在群里張貼大字報,控訴并語言侮辱和謾罵?!鞍祖巍痹谏绻炖锸莻€常見的詞匯。專做信息安全的藍(lán)橋信安技術(shù)人員李菁,也會深入社工庫,白嫖。
“這太正常了!”李菁告訴鳳凰網(wǎng)《風(fēng)暴眼》。他有時候為了工作需求查詢一個人的信息,會來到社工庫,假裝是一個有固定需求的客戶,然后要求賣家給予測試。當(dāng)對方發(fā)過來他想查的那個人手機(jī)號定位信息后,他會假裝不滿意,刪號走人。
販賣數(shù)據(jù)的“料商”也會趁機(jī)大宰一筆。做了多年安全工程師的王皓對這種事早已見怪不怪。 他舉了個例子,比如我有15萬高考考生的數(shù)據(jù),再通過機(jī)器生成15萬條數(shù)據(jù),這樣就可以按30萬條信息販賣了?!皼]有人會一條條去核對真實性的?!辟I家只能自認(rèn)倒霉。
這也導(dǎo)致社工庫的群組里,常常充滿戾氣。人人都窩著一團(tuán)火,普遍缺乏耐心。語言暴力和口舌之快,似乎是唯一泄憤的方法。因為技術(shù)隱匿性帶來的便利,讓人可以撤銷刪除所有的信息,任意注銷賬戶后重新再開一個即可,犯罪成本幾乎是零。而且因為完全匿身,上網(wǎng)使用的IP地址也是虛擬地址,根本很難追蹤到本人。
在社工庫的暗網(wǎng)江湖里,沒有秩序,不尊重規(guī)則,也不推崇任何價值觀念,只有新的“叢林法則”——金錢掌控一切。所以,借助一定的方法騙到人,似乎成了值得稱頌的事。而受騙的人,在他們看來,又“蠢”又“麻瓜”,根本不值得同情。
03 “內(nèi)鬼”日薪10萬起?
隱身在這場金錢支配暗網(wǎng)源頭的不只是黑客,還延伸到現(xiàn)實世界的各行各業(yè)。你很難想象,我們每個人的具體而私密的信息,在一些地下交易市場,會如此值錢。它甚至成為許多機(jī)構(gòu)內(nèi)部人的“搖錢樹”。這些機(jī)構(gòu),包括但不限于快遞行業(yè)、電商平臺,甚至銀行、社保機(jī)構(gòu)、公安等。
我抱持著半信半疑的態(tài)度,試圖測試金融機(jī)構(gòu)的信息安全。說來荒誕,在決定使用社工庫查誰時,我有點(diǎn)犯難。編輯部的選題會上,有人建議查自己,有人建議查領(lǐng)導(dǎo),還有人建議查查前男友。但最終,我決定查詢自己的銀行賬戶信息。(做出這個決定時,我們并不知道,在社工庫上查詢?nèi)魏稳说男畔⒍际沁`法的。)
我在一家社工庫潛伏兩天,在確認(rèn)該社工庫運(yùn)作正常后,最終點(diǎn)開了官方人工客服。
當(dāng)拋出要查詢銀行流水的問題時,“你要查詢哪家銀行?”對方很快回復(fù)。
這對他們而言,顯然是一個大單。通常查詢銀行流水的費(fèi)用,最低都要2500元。對方給出的價格單很詳細(xì),每家銀行因為建立的渠道成本不一樣,所以收費(fèi)標(biāo)準(zhǔn)也不同。農(nóng)業(yè)銀行查詢一個月流水需要2500元,三個月流水要3800元。這都是老關(guān)系,定價才會相對便宜;四大行外的銀行,價格更高,上述兩種流水價格分別要貴800元和1700元,開卡至今費(fèi)用更是高達(dá)17000元。
我有些擔(dān)心再次被騙,這可不是一筆小數(shù)字。不過客服再三保證,四大行四小行流水均可查詢,都是內(nèi)部人員從系統(tǒng)導(dǎo)出的表格,絕對真實可靠。他給出的證據(jù)是“我們有幾個出流水的固定客戶從沒反饋過有任何問題。”
社工庫客服承諾銀行渠道查詢信息保真
我最終選擇了一個最低的收費(fèi)項目——查詢一個月流水。在對方給出支付方式u幣支付和支付寶時,我選擇了后者,不過需要額外支付10%的手續(xù)費(fèi),一共支付了2750元。不到四個小時,我收到了一份詳細(xì)的Excel表格,里面列出了我的銀行卡里某月每筆交易記錄,包括交易時間、交易款、余額、交易對方等信息。
為了驗證信息真?zhèn)危以谑謾C(jī)銀行里調(diào)取自己的消費(fèi)記錄,一一核對后,信息完全吻合。
盡管提前做了各種預(yù)設(shè),但結(jié)果還是讓人大吃一驚!貌似穩(wěn)固如磐的金融系統(tǒng),顯得如此脆弱不堪。實際上,為了加強(qiáng)流程上信息泄漏的管控,銀行已經(jīng)設(shè)置嚴(yán)格的查詢流程。
“銀行內(nèi)部工作人員,查詢個人流水明細(xì),除了司法查詢和繼承需要外,是不允許未經(jīng)個人授權(quán)私自查的。而且即使查詢,也需要個人上傳資料,后臺通過集中授權(quán)系統(tǒng)授權(quán)柜員查詢,才能查。查詢的結(jié)果,也通常是以加密文件的形式發(fā)到客戶指定郵箱或者當(dāng)面交給查詢?nèi)??!痹诮ㄐ泄ぷ鞫嗄甑墓駟T王付敏也感到詫異。為了搞明白,她還特意跑到主管那里咨詢,最后她認(rèn)真地告訴我,他們也一頭霧水。
不只農(nóng)行,實際上各大行因為未經(jīng)授權(quán)泄漏出來的個人信息,在網(wǎng)上比比皆是。
“內(nèi)鬼”身份隱秘,很難發(fā)現(xiàn)。即使是身邊同事,也不易發(fā)覺。李菁為企業(yè)做過許多漏洞排查。在他的實際工作中,最難發(fā)現(xiàn)的不是黑客攻擊的技術(shù)漏洞,而是自己人在技術(shù)上做的“手腳”。有些技術(shù)開發(fā)人員會在系統(tǒng)里故意留個“后門”——相當(dāng)于一個管理員超級賬號——這個后門設(shè)置有多種方式,比如在內(nèi)存里留一個托管賬戶,在成千上萬條的程序代碼里故意設(shè)置一個接口,不深入排查的話,根本不易發(fā)現(xiàn)。
李菁也服務(wù)過銀行客戶,但不是銀行內(nèi)部人信息泄漏的案例。在他看來,根據(jù)最小接觸原則,柜員肯定是擁有最小權(quán)限的人。什么樣的人才能做“內(nèi)鬼”?擁有權(quán)限級別越高的人越可能。級別高的領(lǐng)導(dǎo),還有技術(shù)開發(fā)人員。他舉例說,技術(shù)開發(fā)人員在金融系統(tǒng)上做手腳,還是有很多種方式。譬如,任何一個系統(tǒng),包括銀行,通常上線前都有一個預(yù)生產(chǎn)環(huán)境,用來測試系統(tǒng)是否正常運(yùn)行。上線前,系統(tǒng)內(nèi)部的部分真實數(shù)據(jù)也會同步到預(yù)生產(chǎn)環(huán)境里,相關(guān)的開發(fā)人員和測試人員都擁有接觸這些數(shù)據(jù)的權(quán)限。而大部分系統(tǒng)經(jīng)常要迭代升級,所以預(yù)生產(chǎn)環(huán)境的使用也很頻繁。
信息保護(hù)最為嚴(yán)苛的銀行都難以避免內(nèi)鬼泄漏,更何況其他行業(yè)。每個社工庫里都能看到客服丟出的查詢圖片樣例,有戶籍查詢帶著明顯的標(biāo)識“PLC·公安部全國人口信息庫”,還有“美團(tuán)配送烽火臺”“蜂鳥即配”平臺內(nèi)部查詢圖片等。餓了么、美團(tuán)外賣、淘寶、京東、圓通都是內(nèi)部人泄露的重災(zāi)區(qū)。
社工庫中曬出的公安系統(tǒng)數(shù)據(jù)信息
社工庫中曬出美團(tuán)后臺查詢截圖
“世界上根本沒有絕對安全的系統(tǒng)?!倍辔蛔黾夹g(shù)安全的人都告訴過我類似的話,尤其是考慮到人的因素后。因為人會被利誘,進(jìn)而讓堅固的系統(tǒng),裂變出多道縫隙來。
有社工庫在尋人時,會隱晦地表示,“在警察局、銀行旅館、酒店只要是在職人員可查信息都可來找,一天可以賺到一個月的錢?!币灿腥烁纱嘀苯淤N出誘人的收入:誠尋公安渠道,優(yōu)質(zhì)刑偵、網(wǎng)偵權(quán)限,業(yè)內(nèi)5年資源積累,保量保安全。日薪10萬人民幣起。
即使是普通的租房中介,似乎也能日入上萬。我曾偽裝成某租房中介公司內(nèi)部人,聯(lián)系了某社工庫人員。
“如果你能夠從租房中介公司隨時查全部數(shù)據(jù),那賺錢就會非常簡單”。對方回復(fù),畢竟冒險越高,收益越高嘛!他似乎急于開拓渠道,還給出查詢價格,查一單給我提成20元,一天穩(wěn)定有上百單。如果能夠達(dá)到500單,就能日入萬元了。
對方開出的“誘惑”,外人無法辨別真?zhèn)?,但是在販賣個人隱私的以身試法中,許多內(nèi)部人身敗名裂。比如原中國建設(shè)銀行余姚城建支行行長沈靜沖,從2017年起就利用職務(wù)之便,將辦理過房貸的銀行客戶信息提供給某裝飾公司。案發(fā)后,沈靜沖不僅被罰款6000元,判處有期徒刑三年,緩刑三年,而且被禁業(yè)5年。
這樣的案例不勝枚舉,據(jù)公開信息,2016年6月,江蘇徐州公安機(jī)關(guān)摧毀了一條以黑客和快遞公司內(nèi)部員工為泄露源頭的倒賣快遞信息的黑色產(chǎn)業(yè)鏈,查扣各類快遞信息500余萬條,犯罪嫌疑人非法獲利30余萬元。同一時間,內(nèi)蒙古赤峰一起案例中,犯罪團(tuán)伙利用“快遞單號生成器”等軟件篩選快遞單號,通過快遞公司內(nèi)部人員查詢對應(yīng)的公民個人信息7萬余條,非法獲利3萬余元。
04 跳蚤、找魚和抓奸套餐
個人的隱私,成為商品,從在社工庫里明碼標(biāo)價的那天起,黑色產(chǎn)業(yè)鏈漸臻成熟。
在這個剛剛過去的白色情人節(jié)當(dāng)天,各大社工庫主推的是“5·20為愛出擊,安心查詢”活動——查詢開房記錄。甚至有社工庫貼心地打出一條頗為熟悉的廣告語:xx社工庫,520伴你同行。
社工庫利用情人節(jié)打廣告引流
還有人在微信朋友圈發(fā)出明顯的暗示邀約,“過兩天找我報開房的應(yīng)該很多。老大們,節(jié)日快樂。”
為了引流,社工庫的人使盡了渾身解數(shù)。他們?nèi)缣榘銤摲诙兑簟⒖焓?、知乎、QQ等各種社交平臺。他們把一切有關(guān)社工庫的信息,都據(jù)為己用。做網(wǎng)絡(luò)信息安全科普長達(dá)七年之久的瀟瀟,對此甚是煩惱。他越來越發(fā)現(xiàn),自己科普社工庫危害的視頻,卻成了社工庫人員天然的引流渠道。
淘寶上的個人信息查詢服務(wù)商
就在那期社工庫危害的科普視頻下面,有149條評論,其中多人在暗示自身的社工庫身份,可以幫人查檔。他們甚至一個人可能注冊多個賬號,在該視頻下,舉薦名為CAI情報員、社工滲透員、滲透情報員喪彪、Cia數(shù)據(jù)對接查檔、Hack 情報員等賬戶。但當(dāng)我循著賬戶公布的QQ群號潛入群里時,我發(fā)現(xiàn)舉薦人和被舉薦的人,都同屬一個組織,他們是至少4個不同QQ群里的管理員。無奈之下,瀟瀟在評論處多次留言,不要相信這里的其他人。他還強(qiáng)調(diào),保護(hù)信息尤為重要,請認(rèn)真對待!但收效甚微?!斑@些名字中帶有‘黑客’、‘情報’等字眼的人,很大程度上是騙子。”
知乎上設(shè)置“社工庫”的話題,顯示瀏覽量有2626萬,討論量有1.7萬。位居頭條的就是一篇關(guān)于《社工庫雜談》的轉(zhuǎn)載,文章非常翔實地記載了社工庫如何進(jìn)行數(shù)據(jù)撞庫,并給予演示案例。這篇文章獲得723條點(diǎn)贊,近百人評論。
谷歌搜索瀏覽器輸入關(guān)鍵詞“社工庫”,會產(chǎn)生250萬條結(jié)果。無人能精確統(tǒng)計,網(wǎng)絡(luò)世界里隱藏著多少家社工庫,多少人以業(yè)余或者全職的方式投身其中。因為許多社工庫還隱藏在“暗網(wǎng)”里,普通用戶根本搜不到。
社工庫的信息鏈條往上溯源,也異常復(fù)雜。在社工庫里,信息的價格以它自身的價值而定。
而價值,通常由供需兩端的大商戶協(xié)商。流向社工庫的數(shù)據(jù),已經(jīng)是在市場上被多方榨取后的數(shù)據(jù),價格已經(jīng)非常便宜。
在地下黑市,黑客攻擊獲得的數(shù)據(jù),為一手?jǐn)?shù)據(jù),經(jīng)過清洗后,會打有模糊的標(biāo)簽:譬如女性、母嬰、金融、中產(chǎn)階級、華僑群體等,這樣的數(shù)據(jù)通常最值錢,買主大多是詐騙集團(tuán)或者商業(yè)競爭對手。后者會對數(shù)據(jù)的真實性做測試,比如,黑客會給500個人的聯(lián)系方式,買方會挨個打電話,如果有50%的轉(zhuǎn)化率,這個數(shù)據(jù)都會非常值錢。
數(shù)據(jù)如甘蔗,經(jīng)過“商業(yè)組織”的咀嚼后,原本顏色鮮亮的甘蔗已經(jīng)干澀了,當(dāng)被人拿到黑市二次或者多次流通后,就只剩下干燥的漿狀纖維,這時才會流通到社工庫。
“數(shù)據(jù)經(jīng)過的交易次數(shù)越多,價格越便宜?!睘t瀟告訴我,有些一手?jǐn)?shù)據(jù)可能每條5元,上萬條的數(shù)據(jù)就高達(dá)數(shù)萬元。等到社工庫購買時,價格可能會低到0.1元/條。他記得很清楚,當(dāng)時有家社工庫,購買12億條快遞公司的數(shù)據(jù),只花了5000元。
但是,當(dāng)這些被多次利用的數(shù)據(jù)流入社工庫,面向普通零散用戶后,那些無差別的信息,突然因為被人“點(diǎn)名搜索”而變得立體起來。這個人圓臉還是方臉,住在何處,與何人交往, 資產(chǎn)在哪,點(diǎn)外賣是否加辣,喜歡住酒店還是家里,咖啡里是否加糖。因為它滿足了個人無法熨帖的現(xiàn)實,價格便陡然躥升了。
譬如,因為對情人的不滿,想要查詢相關(guān)信息,以泄私憤;因為生意被騙,主謀逃之夭夭;譬如金融大佬卷款逃跑,徒留一批追債無門的投資人;因為情感糾紛,分割家產(chǎn),想要雇傭偵探查詢對方不利的證據(jù)。
這完全成了私欲里揣摩挖掘人性的流量生意。社工庫里除了細(xì)碎的查詢服務(wù)外,推出了與之相應(yīng)的套餐,出軌抓奸調(diào)查套餐5000元,起訴套餐7000元,抓人套餐(票務(wù)監(jiān)控、實時定位)6000元,報復(fù)套餐(封禁賬號、手機(jī)轟炸)3500元。
社工庫的運(yùn)營者從中賺得盆滿缽滿。教授黑客攻擊技術(shù)的一位網(wǎng)絡(luò)技術(shù)人員,委婉地告訴我,有些人依靠社工庫,可以輕松地年入百萬。
收入真假無法核實。不過,在許多裁判文書里,確實可以發(fā)現(xiàn)它的利誘有多大。2014年,山西人牛強(qiáng)通過網(wǎng)上搜索等途徑獲取公民個人信息,購買了一臺服務(wù)器,將服務(wù)器架設(shè)在呂梁市興縣的老家,在服務(wù)器上用MYSQL寫入數(shù)據(jù),搭建了QQ華景機(jī)器人自動查詢社工庫。此后一直到2018年,他為充值的會員提供了84億多條個人信息,發(fā)展了6000多個有效會員,賺了25萬多元。
2017年以來,郝帥通過互聯(lián)網(wǎng)上搜集了70多億條公民個人信息并建立“社工庫”,他的QQ群里每人收取10-198元的入群費(fèi)用,在群中不定期開放社工庫查詢,群員壯大到600多人。通過出售公民個人信息,他賺了5萬元。
一些不懂社工庫但又想分羹的人會尋求成為社工庫的代理,負(fù)責(zé)下游尋找潛在客戶。這些代理的行為,在業(yè)內(nèi)叫“找魚”。
代理環(huán)節(jié)已經(jīng)相當(dāng)邊緣了,并沒有什么統(tǒng)一行規(guī),可謂魚龍混雜。但這對社工庫而言,幾乎是穩(wěn)賺不賠的生意——代理需要繳納代理費(fèi),然后在“找魚”的過程中,收取提成。
我也曾以做代理的名義咨詢,其中一位客服發(fā)來的一份代理價格表顯示,代理需要根據(jù)不同項目交納不同數(shù)額的代理費(fèi)。訂單為身份證正反照、婚姻史、疫苗接種預(yù)留地址電話時,代理費(fèi)為60元,而個人社保、工作單位相關(guān)信息的訂單,代理費(fèi)為150元。提價賣出之后,代理無需費(fèi)神,就可以輕松賺數(shù)百元。
一個社工庫的人則建議我可以嘗試做群組的管理員。他給出的誘惑是,做代理只能四處找“魚”,“一條魚分50元”。而做管理員,則只需要交200元,就可以在群里自己接單、發(fā)廣告,賺錢后只需要給社工庫分紅10%?!耙粋€客戶能賺二三十元,運(yùn)氣好的話一天能賺四五百元?!?/p>
從上游的數(shù)據(jù)源頭到社工庫的從業(yè)者及其下游的代理們,究竟有多少人,外界無法判斷。但是在相關(guān)的網(wǎng)絡(luò)黑產(chǎn)上,人員龐雜。根據(jù)互聯(lián)網(wǎng)經(jīng)濟(jì)2018年報道,截至當(dāng)時,國內(nèi)網(wǎng)絡(luò)“黑產(chǎn)”的直接從業(yè)者超過40萬人,若計入網(wǎng)絡(luò)“黑產(chǎn)”輔助性質(zhì)的上下游人員,從業(yè)者超過160萬人,網(wǎng)絡(luò)“黑產(chǎn)”年產(chǎn)值約1100億元。
05 貓鼠鏖戰(zhàn)
實際上,這個看似“錢景輝煌”的行當(dāng),早已是《網(wǎng)絡(luò)安全法》里明令禁止的了。
2017年6月,《網(wǎng)絡(luò)安全法》正式頒布實施,其中有一條明確提出,嚴(yán)禁任何個人和組織竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。違反者,尚不構(gòu)成犯罪的,由公安機(jī)關(guān)沒收違法所得,并處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。
這次網(wǎng)絡(luò)安全法頒布前,發(fā)生了一起震驚全國的事件——來自山東的18歲女孩徐玉玉,因為把9900元學(xué)費(fèi)打到騙子的賬戶而發(fā)生心源性休克,不幸去世。一位花季少女原本即將開啟人生中最美好而自由的生活,卻因為數(shù)據(jù)泄漏被犯罪分子盯上而隕落,這激起全國人民的憤慨。
許多公司的安全反詐團(tuán)隊,主動聯(lián)系警方,使用自身的技術(shù)向警方提供線索。警方也給予最強(qiáng)力度的投入,創(chuàng)造了“10天”擊破詐騙團(tuán)伙的記錄,該案件還入選了“2017年推動法治進(jìn)程十大案件”。
做了多年網(wǎng)絡(luò)安全工程師的王皓至今對徐玉玉案記憶猶新。山東60萬考生信息泄漏,它帶來的危害,已經(jīng)不只是金錢的損失,還危及了人的性命安全,以及為當(dāng)事人家庭帶來嚴(yán)重的精神創(chuàng)傷,這種惡劣影響已經(jīng)無法用數(shù)字衡量。
數(shù)據(jù)隱私泄漏,天然地為詐騙分子提供沃土。網(wǎng)絡(luò)反詐就是與犯罪分子在網(wǎng)絡(luò)上斗智斗勇。在隱匿的網(wǎng)絡(luò)空間,網(wǎng)絡(luò)安全工程師蹲守在電腦一端,試圖攻破犯罪分子的“巢穴”。
為了協(xié)助警方攻破一個詐騙網(wǎng)站,網(wǎng)絡(luò)安全工程師李菁與團(tuán)隊的兩三個人員和“黑客”反復(fù)拉扯了一周多的時間。最開始,他們認(rèn)為這是一家小網(wǎng)站,可能不懂黑客技術(shù)。但在交鋒幾次后,發(fā)現(xiàn)對方對他們的滲透,反應(yīng)很迅速。每次交鋒,當(dāng)他們即將攻下網(wǎng)站系統(tǒng),總是被黑客及時發(fā)現(xiàn),然后剔除出去。
李菁團(tuán)隊另想辦法,直攻不行,改用社會工程學(xué)的技巧,打心理戰(zhàn)術(shù)。他們找到黑客的真實QQ號,然后偽裝身份,加了好友,和其閑聊,建立信任關(guān)系,期間得知黑客對監(jiān)控軟件的興趣,便利用交流技術(shù)的契機(jī),給對方發(fā)了一個偽裝的木馬病毒。對方雖然很謹(jǐn)慎,但還是下載安裝了文件。這幫助李菁團(tuán)隊很快鎖定到黑客上線使用的服務(wù)器ip地址,也最終幫助警方迅速抓捕犯罪嫌疑人。
貓鼠大戰(zhàn)中,激烈對抗聽起來驚心動魄。但大多數(shù)情況,因為現(xiàn)實社會中隱匿在另一個端點(diǎn)的敵人會制造種種障礙,讓追蹤者無功而返。
地方一線辦案人員宋峰,入職5年以來,接觸過不少信息販賣的違法案件。他記得一起很典型的快遞信息泄漏案例。一家快遞公司的工作人員日常檢查時發(fā)現(xiàn),公司倉庫電腦被人裝了監(jiān)控軟件,對公司信息安全產(chǎn)生威脅,于是立即報案。
警方立案偵查后,鎖定到一名犯罪嫌疑人身上,嫌疑人曾經(jīng)做過快遞員,對快遞行業(yè)比較熟悉。警方研判,監(jiān)控軟件就是他購買的,服務(wù)器也是其用他人的身份證件租賃的,但他拒不承認(rèn),始終稱軟件是一個叫“林總”的人給他的,他沒有參與信息販賣。
“這怎么可能呢!所謂的‘林總’很可能是虛構(gòu)的。這個犯罪嫌疑人的手法很老練,而且有比較強(qiáng)的反偵查意識,整個犯罪過程中沒有留下任何直接指向自己的證據(jù)。”宋峰說,盡管沒有證據(jù)證實他就是“林總”本人,但是他仍然難逃懲罰——他非法獲取信息超過50000條,按照法律規(guī)定要判處三年以上有期徒刑。不過想追訴更多犯罪證據(jù),以及信息鏈條上的其他犯罪嫌疑人,公安和檢察機(jī)關(guān)卻一籌莫展。
其中有十分復(fù)雜的因素,比如,為了不讓“貓”捉到,“老鼠們”早已挖好地洞,變得更隱秘。從支付方式、渠道上設(shè)置層層環(huán)節(jié),即使追查到收款人,但收款人和實際犯罪人員中間還隔了很多人,而這些人之間根本不認(rèn)識。即使追查到源頭,若犯罪分子把服務(wù)器架設(shè)到海外,也很難緝捕。
精益求精的技術(shù)成了突破限制的關(guān)鍵。公安部為了提高網(wǎng)絡(luò)安全技術(shù)的偵查與反偵查能力,每年都會召集多家網(wǎng)絡(luò)安全公司進(jìn)行攻防方面的實戰(zhàn)演習(xí)。李菁公司每年都會參加。參與者會分成兩隊,一隊是專門攻擊網(wǎng)站的黑客,一隊是專門防守,俗稱白客。李菁通常會扮演“黑客”角色。
“這是紅藍(lán)陣營演練的模擬,目的是提高網(wǎng)絡(luò)安全人員的反偵查能力,也讓我們在不停的技術(shù)迭代中,不段反思安全技術(shù)的升級?!北M管在演習(xí)中,李菁所在的隊總能突破防守,拿到靶標(biāo)。但是他反而更加憂慮。因為模擬演練沒有輸贏之說,他所在陣營贏了,反而暴露了企業(yè)系統(tǒng)有多脆弱。
06 個人隱私保護(hù)成了“偽命題”?
這場技術(shù)、人性、利益的較量中,我們理應(yīng)學(xué)會保護(hù)自己隱私,免去受人詐騙的風(fēng)險。但是,現(xiàn)實生活中,大部分人對“隱私”已經(jīng)不在乎了。
這是因為個人在網(wǎng)絡(luò)空間里已經(jīng)“逃無可逃”。一直在參與全民網(wǎng)絡(luò)安全決戰(zhàn)的李菁,當(dāng)被問及如何保護(hù)個人隱私安全時,也流露出無奈的語氣?!叭粘I钪?,隱私被觸犯的場景太多了?!?/p>
他一口氣舉了許多例子,社交各平臺設(shè)置同一個密碼,很容易被黑客撞庫獲得;有人會專門守在一些固定的辦公大樓或小區(qū)搜集快遞信息,還有人會根據(jù)朋友圈圖片里的標(biāo)識建筑物等鎖定到你的具體地址……
日常不起眼的地方,更是隱藏著“違法抓取你的數(shù)據(jù)”的各種可能:譬如當(dāng)你正好在咖啡館或酒店看視頻時,擔(dān)心流量不夠用,想去連接開放式Wi-Fi;或者當(dāng)手機(jī)沒電了,恰好自己正在車站等車,車站服務(wù)中心共享充電寶觸手可及,李菁堅決地說,“不要使用,因為它們很可能會搜集你的身份信息和支付信息”。
但是考慮到實用和便利性,大部分人都會傾向犧牲安全性。這實在太難了!“魚與熊掌不可兼得,對吧?!崩钶及参课?。不過,他也認(rèn)為,在保護(hù)個人隱私上,普通用戶能做的還是極其有限,僅僅是在要求密碼的設(shè)置上,大部分用戶都很難在不同平臺設(shè)置不同的密碼。
“擁有數(shù)據(jù)開發(fā)能力或運(yùn)營能力的公司應(yīng)該有更多的擔(dān)當(dāng)?!崩钶颊f,譬如當(dāng)用戶長期不更換密碼時,平臺運(yùn)營商應(yīng)該給予提醒。還有在網(wǎng)站注冊賬戶時,提醒設(shè)置復(fù)雜的密碼。還要定期做安全測試、安全檢查、提升系統(tǒng)的健壯性。
很多網(wǎng)絡(luò)公司確實都在努力保護(hù)用戶的隱私。它們內(nèi)部推出嚴(yán)格的數(shù)據(jù)保護(hù)措施。2021年,阿里巴巴破除了原來的各平臺數(shù)據(jù)打通。商家用戶原來可獲得訂單中的消費(fèi)者具體數(shù)據(jù),包括姓名、手機(jī)號、詳細(xì)地址等,但現(xiàn)在已經(jīng)不可能了。每個用戶都有一個ID,阿里在這個基礎(chǔ)上,添加了開放ID,這個開放ID會在每個店鋪中都不一樣,商戶只能看到開放ID。微信也同樣有著復(fù)雜的ID標(biāo)識,要求第三方開發(fā)者無法獲得用戶唯一的ID。
但是在隱私和技術(shù)的開放性平衡上,公司的表現(xiàn)依然很矛盾。阿里的用戶ID在CRM系統(tǒng)里的流轉(zhuǎn)邏輯,阻斷了商家在數(shù)據(jù)上的獲取,也間接影響商家私域業(yè)務(wù)受限,進(jìn)而也會讓平臺業(yè)務(wù)受損。
隱私保護(hù)過度也可能引起投資人的擔(dān)憂。美國數(shù)據(jù)專家帕夫洛·弗拉霍斯等人曾基于10萬個企業(yè)環(huán)境、社會與治理的非結(jié)構(gòu)化數(shù)據(jù),研究企業(yè)市值與隱私保護(hù)的關(guān)系。他們得出的結(jié)論是,企業(yè)在隱私保護(hù)上并非越嚴(yán)格越好,而是呈現(xiàn)“倒U形”關(guān)系。這表明,金融市場的看法是,一家公司要擁有用戶適當(dāng)?shù)臄?shù)據(jù)隱私,過量容易給公司帶來負(fù)面影響。但如果過少也不行,這可能會在商業(yè)競爭關(guān)系上處于劣勢。
大多數(shù)互聯(lián)網(wǎng)公司傾向認(rèn)為,用戶是有隱私悖論的——盡管用戶聲稱關(guān)注隱私,但是他們的實際行為表示他們根本不在意——2018年,李彥宏曾在中國發(fā)展高層論壇上說,“中國人更加開放或者說對隱私問題沒那么敏感,如果愿意用隱私來交換便捷性或者效率的話,很多情況下中國人是愿意這么做的。”
這一觀點(diǎn)盡管頗受詬病,但也暗示了巨頭們公開搜集用戶數(shù)據(jù)的底層思維。
互聯(lián)網(wǎng)公司,本質(zhì)上都是一個大數(shù)據(jù)公司,它們借此訪問了用戶爆炸級的數(shù)據(jù),甚至借助大數(shù)據(jù)技術(shù),進(jìn)行更多的商業(yè)探索和創(chuàng)新。我們具體而微的痕跡,譬如瀏覽商品的類目、對話使用的稱謂、訪問頁面的時長、搜索記錄等在它們那里變成了有價值的信息。它們根據(jù)用戶足跡搭建模型,揣摩我們的心理,預(yù)測我們的行為,甚至灌輸給我們思想,誘導(dǎo)我們改變行為。
公司越來越了解我們。它們手握龐雜的數(shù)據(jù),仿佛指揮我們的“遙控器”。2017年頒布的《網(wǎng)絡(luò)安全法》也默認(rèn)了網(wǎng)絡(luò)運(yùn)營者對用戶數(shù)據(jù)的收集、使用。前提有三個:平臺明示收集、使用信息的目的;經(jīng)用戶同意;收集的均是其提供服務(wù)有關(guān)的個人信息。
但在顧及商業(yè)創(chuàng)新的數(shù)據(jù)默許之上仍然有一個重要而無法回避的因素——人,只要有人在操控一切,信息泄漏的風(fēng)險就一直存在。這也是《欺騙的藝術(shù)》一書表達(dá)的最核心觀點(diǎn)。
顯而易見的事實是,盡管法律在公司保護(hù)個人隱私上要求無論多么嚴(yán)格或者公司多么強(qiáng)調(diào)保護(hù)隱私,現(xiàn)實中,我們的數(shù)據(jù)泄漏仍然在指數(shù)級增加。
一個直觀的感受是,為了保護(hù)信息安全,2017年網(wǎng)站實施實名認(rèn)證以來,我們每登錄一個app,也意味著我們被網(wǎng)站收集的個人信息反而更精準(zhǔn)了。而網(wǎng)站信息一旦泄露,黑產(chǎn)中流通的將是更齊全的用戶信息。
多位網(wǎng)絡(luò)安全工程師都表達(dá)過類似的擔(dān)憂,2017年網(wǎng)站要求實名認(rèn)證以前,泄漏的信息其實是比較雜亂而模糊的。但是2017年要求實名后,泄漏的信息已經(jīng)越來越具體了。
這似乎也意味著,數(shù)據(jù)失控將成為互聯(lián)時代的常態(tài)?!捌脚_還是有很多作為空間的。”李菁說,平臺也將邁入一個強(qiáng)監(jiān)管的時代。
(應(yīng)受訪者要求,文中李菁、瀟瀟、宋峰、林清、梁文、黎城、王皓、王付敏等均為化名。)