8.6億個人資訊被"偷" 網絡安全團隊曝光交易内幕

網際網路到底會洩露多少資訊？告訴你一個難以想象的資料，雨襲團資訊安全團隊輕松搜尋出高達8.6億條個人資訊資料。

2010年，雨襲團由南京人姚威發起，從事網絡安全工作。他們宣稱“不碰黑的東西”，圈内人美稱為“從事網絡資訊安全研究的國内知名資訊安全團隊”。 雨襲團是淩晨網絡科技有限公司旗下團隊，由7位有共同興趣的年輕人組成，最大的1985年，最小的1994年。

海量資料從何而來，公民資訊頻頻洩露，資料黑市的手到底伸得多長？2016國家網絡安全宣傳周将于19日開幕，交彙點記者獨家專訪雨襲團，揭開電信詐騙背後不為人知的秘密。

交彙點：你們是如何擷取到8.6億條個人資訊？涵蓋哪些内容？

雨襲團：通過搜尋獲得位居前列的是使用者資訊、賬号密碼。我們主要通過百度、搜狗等搜尋引擎，還有一些“黑客”站點、安全媒體網站、社工庫網站擷取資訊。

搜尋可以比你更了解自己。個人資訊最常見的樣式就是姓名、身份證、手機、家庭住址。經過大資料分析，可以一環套一環，關聯上其他資訊，比如汽車型号、發動機識别号、工作機關、網絡軌迹等。騙子能通過姓名查到聯系方式，再查到住哪個小區、幾棟幾單元，最近買了什麼車，車子發動機型号，買什麼保險。

交彙點：作為普通人，洩露資訊的管道有哪些？

雨襲團：超過四成人自己在不經意間洩露個人資訊。一個典型地方就是微信朋友圈，比如微信朋友圈發的性格測試，手機号碼兇吉測試、男女朋友感情測、運氣測試、抽獎等資訊，這些東西都被瘋狂轉載，閱讀量大多10w+，能輕松套取個人資訊。

據統計，中國公共場所wifi熱點覆寫至少超千萬，21%存在隐患。在連接配接wifi時，需填寫姓名、手機，離譜的還要填寫身份證号碼，隻有填了才給你聯網，一般使用者都會自主自願填寫，使用者資訊輕松被擷取。這兩年，出現一種寄生蟲熱點，寄生在安全wifi上，名稱一樣，ip位址也一樣，使用者根本無法識别。一旦連接配接上，惡意程式就會不斷的捕捉和篡改使用者的資訊。

有些智能手機app會讀取使用者資訊，包括通訊錄，通話記錄，短信内容等資訊，這也為詐騙者謀求了一個便利，況且資料更精準。

交彙點：有人說，現在人人“裸奔”，是否任何資訊都可以被擷取？

雨襲團：我覺得這個答案是肯定的，我們可能是最後一群有隐私的人。比如徐玉玉的電信詐騙案，徐玉玉的個人資訊被摸得一清二楚。說真的，其實這個不難，一個團隊幾分鐘就能入侵進教育系統。一旦黑客發現某個學校的網站出現漏洞，很快能将資料庫套出來。很多時候，一個地區的學校都在使用一家網絡公司伺服器，很容易全部陣亡。比如，學生的個人資訊及其父母資訊被摸清，經過大資料分析，有多少大學生、多少研究所學生、多少考英語四六級、國語證書，這些資料被篩選、分拆、賣錢。

交彙點：據不完全統計，中國網絡黑産“從業者”已超40萬，形成了一個完整的産業鍊。資料黑市裡，采集到銷售各環節如何運作？

雨襲團：網上流行一句話，“别以為自己很牛逼，你就值一分錢”。在黑産利益鍊上，很多個人資訊被打包出售，低到一分錢一條。部分資料販子稱，他們手上有各地區各行業的各類資料，學生的電話資料、股民的賬戶資料、機票資料、網絡購物資料、新生兒資料、保健資料、淘寶資料、老人資料……資訊成為無本經營的“秘訣”。

資料黑市分工細緻、完善，形成“源頭——中間商——非法使用人員”的交易模式。從資料采集到資料販賣有一條很完整的利益鍊，一部分黑客黑進網站擷取資訊後，在一些論壇、社交群中販賣資訊。此外，黑客也會入侵地方門戶網站、寫“爬蟲”偷盜使用者個人資訊。

當然，不排除一些占有使用者資訊的人士或者第三方平台法律觀念不強，将客戶資訊倒賣。比如公職人員将合法采集的公民資訊對外銷售，快遞員販賣快遞資料，樓房銷售人員将登記的業主資訊販賣給裝修公司等。

拿到一套資料庫，意味着被多次利用、多次倒賣。黑客擷取到一手資料，轉賣給中間商，中間商便宜點分銷給下級中間商，一層層倒賣，在利益鍊最末端，還會賣給群發資訊的人，一個使用者多次收到買房、投資、考證的短信和騷擾電話，就是這個原因。

交彙點：那麼有了這些資料之後，電信詐騙是如何做到的？

雨襲團：精準詐騙越來越多，可以說是“量身定制”。

首先，騙子占有大量資訊，能做到比你更了解你自己。在各大資料交易論壇和qq群，黑市交易異常熱鬧。有的自稱“高品質資料，每周更新，資料量很大”，有的稱“手下有黑客朋友，幫忙攻擊網站”，還有的“收購壯陽一天資料”……花樣繁多。這些資訊落到騙子手裡，精準詐騙變得輕而易舉。

在資料販子處購得個人資訊，騙子即可對使用者布下圈套。曾經碰到過一個案例：一位男士在網上買了一瓶價值600元的“偉哥”，轉身他的購買資料（姓名、聯系方式、位址、所購物品、付款方式）即被賣掉，使用者選擇“貨到付款”方式，騙子拿到這個資訊，定位到位址，會與顧客電話聯系，假裝快遞提前送貨。使用者此事還蒙在鼓裡，拿到的商品包裝沒問題，但裡面裝得就可能是被替換掉的安眠藥或其他廉價藥品。

當然，電信詐騙也要抓熱點和時間段，且精準定位對象。開學季多找大學生下手，這個時段學生用錢交學費，這個群體又比較單純，中招得多。對于老人，保健品則是他們的命門，加上老人容易上鈎、且防禦能力不強。

交彙點：黑客發起一次攻擊成本多少？能賺多少？

雨襲團：黑客一定是預期回報遠大于投入的。有人做過一次統計，黑客月入達54萬元。黑客發起一次攻擊需要做好準備工作以及物資采購：

付費通道購買：3000美元一個月

檢測逃脫服務：20美元*30天=600美元

攻擊工具包：500美元一個月

流量：300美元*6=1800美元

共計：5900美元/月

投入總計大約5900美元一個月，那麼黑客可以賺到多少錢？

在觀測到的資料上再做保守估算，平均每天有2萬人點選惡意連結，一般大概有10%的幾率被感染，如果用了勒索軟體，大概又有0.5%的受害者付費。這意味着，黑客日收入大概是3,000美元，除去前期支出，月收入高達8,4000美元。

在黑客産業鍊的支援下，一個不需要有多高技術能力的黑客可以輕易通過攻擊活動賺得盆滿缽盈，這也是目前網絡安全事件異常猖獗的主要原因。

交彙點：國外是否也面臨這種困擾？公民如何保護自己？

雨襲團：在國外，資訊洩露同樣是困擾人們的難題。今年4月，近5000萬名土耳其公民個人資訊在網上曝光，包括了土耳其公民的名和姓、身份證号碼、其父母的名字、性别、出生城市、生日、完整的住址及id注冊城市和地區。資料的來源很有可能是某個處理使用者資訊的公共管理機構。去年，俄羅斯約會網站洩露2000萬使用者資料，引發全社會恐慌。

如何結束“裸奔”現狀，建議加強網絡安全意識教育，從根源抓起，提升個人資訊保護意識。目前，國内外網絡安全技術沒有高下差別，關鍵是公民資訊保護意識強弱之分。比如有些人喜歡曬火車票、機票，卻不打碼，火車票隐藏着四位生日，很容易能推算出來，機票上面有更多個人資訊。

資訊安全的攻防戰一直在打，但保護個人資訊最終要靠大家。對于職能部門而言，做好安全把控與法律制度管控；對于廠商而言，需要把關好自己産品安全性；對于開發者而言，需要寫好自己的代碼，把關程式漏洞問題；對于網際網路安全從業者，幫助客戶維護好相應産品的安全性。也許這樣才能在源頭上防止資訊漏洞，杜絕各種詐騙的發生。

本文轉自d1net（轉載）