揭密/黑色產業鏈:駭客技術千元拜師 15天學會

駭客技術千元拜師,15天學會。

網路駭客盜取個人資訊已經並非新聞,但媒體近日曝出駭客竊取個人資訊已經達到『無孔不入』的地步,甚至連當事人的位置都可以隨時定位。

根據新京報報導,記者搜索發現,目前不僅個人隱私資訊的兜售可以在網上隨處可見,連竊取別人隱私的『黑技術』都可以出售,而且可以在線教學,『零起點,包學包會』。記者透過與這些『掌握技術』的駭客接觸之後發現,想要獲取黑技術以及透過這些黑技術再去竊取他人隱私資訊並非難事。

200元人民幣『拜師』 15天學會

駭客們在互聯網上的蹤跡並不隱蔽。記者透過QQ檢索,就能找到大量駭客或駭客交流群。

駭客們在此招攬生意,有的暱稱就是『實力承接一切業務』,在個人說明中寫著『承接破解各類密碼/微信部落格/聊天記錄/定位找人/查手機簡訊內容』等業務範疇。

駭客小T是『白帽』和『黑帽』通吃的駭客。他既承接駭客業務,也有償教學駭客技術。Web滲透、PHP代碼審計等讓普通人摸不著頭腦的名詞,都出現在小T的教學目錄上。

記者以拜師名義向小T詢問,零基礎可否學習竊取網站資料。小T答覆15天內包學會,學費200元(以人民幣計算,以下同)。

當記者對其身分提出質疑時,小T發來一段影片,顯示他邊操作『某採購管理平台』,邊說這是他成功入侵的網站。只見在螢幕上,小T熟練地點開一家供應商的採購管理頁面,螢幕上立刻出現一列供應商的名稱、位址、聯繫人、行動電話、銀行帳號等商業敏感資訊。接著,他又點擊採購審批查詢,又顯示出申請單號、申請日期、操作員姓名等企業內部資訊。『這些姓名等東西,都是我入侵進去看到的。』

在小T的空間,展示著貸款資料、車主資料等眾多表格。記者撥通貸款資料中的一個電話號碼,其中姓名、郵箱等個人內容都得到了電話那邊當事人的確認,而當事人並不知道自己的申請貸款的資訊已經洩露。

在支付『學費』後,小T先提供了一些基礎的教學影片,並承諾之後再教學撞庫、SQL注入等獲取資料的駭客技術。小T承諾15天學過後可月入過萬。

好資料只在可信賴圈子交流

隨著京東用戶資料洩露的消息流傳,駭客群裡不時有人索求京東資料文件。記者詢問『京東資料用來幹嗎?』有人稱『用來撞庫。』

業內人士解釋稱,『撞庫就是用已知密碼去嘗試未知密碼。』通俗地說,一個人有不同的帳號,但是密碼可能是一樣的,如果駭客已知他的一個密碼,就有可能登錄他的其他帳號。撞庫是透過技術手段來反覆嘗試登錄。

記者聯繫的小T則表示,『撞庫技術』是在進行基礎學習之後掌握的『技術』,就技術本身而言並非很難。

業內人士透露,每逢重大數據洩露,駭客群很快會有簡單的資料出現在群共用。普通人在網路上找到駭客『水群』容易,進入灰黑色地帶卻很難。業內人士透露,『好的資料往往是在(駭客)可信賴的圈子中交流。』

獲取帳號密碼『像嗑瓜子一樣簡單』

『隨性』也是一名駭客,賣資料是他的收入來源。『為了一個QQ密碼,有人給我開出5000塊,我二話沒說就成交了。』『隨性』表示,獲得一個帳號密碼『像嗑瓜子一樣簡單』。

技術不難,一學就會,這似乎是『隨性』走上『駭客之路』的寫照。他告訴記者,成為駭客是一次巧遇。2012年,他正好20歲,待業在家,處在『人生迷茫期』,在網咖玩遊戲打發時間。偶然瞥見鄰座一位大哥的電腦螢幕上一條條字元,似乎與網咖的環境很不相稱。從這位大哥的言語中,『隨性』得知他正用易語言編寫軟體。

此前,『隨性』只在學校學過最簡單的C語言編程。『當時覺得很神奇,以後搞這個肯定不錯。』『隨性』很快向身旁的大哥示好,請他上網,給他買飲料。『大哥也爽快,第二天就同意了,我就拉他上我家從基礎教學。』他說。『後來大哥沒教完,我們就沒聯繫了。』

學了些基礎知識後,『隨性』靠租遊戲帳號嘗到了甜頭。『每天能賺50元,當時已經覺得很不錯了。』此後,他憑藉東拼西湊的技術並最終盈利走上駭客道路。

『隨性』以此謀生後,除非『客戶』主動告知,絕不會詢問其購買資料的目的。不過,『隨性』從一個出高價的顧客的話語中得知『客戶』找他是為離婚找出軌證據。『黑色產業就像一個生態鏈條。』他說,下游有需求,駭客就會出動,什麼賺錢就幹什麼。『犯不犯法都是對方的事,反正不會找上我,我在網路上就像穿了「隱身衣」』。

解讀
『產業鏈完整』 駭客分工精細

網路安全研究員劉彥碩表示,駭客盜取用戶個人資訊的方法一般有兩種。一種是非法入侵資料庫、後台管理系統,比如進入某賓館的後台管理系統,來瞭解某人的開房情況。另一種方法是,賄賂掌握用戶資料內部人員,透過這些人來獲悉你所需要的資訊。

早在2014年初,支付寶被曝有內部人員洩露用戶資訊。新京報此前報導,超過20G的海量用戶資訊被前員工李某在後台下載並售賣。據悉,犯罪嫌疑人李某已於2013年11月底被刑拘。劉彥碩稱,除了透過『內鬼』的形式盜取資料,一些單位內部管理系統安全防範系數較低,駭客很容易入侵。『他們入侵之後,往往會植入病毒,方便他們收集並實施監測用戶資訊。』劉彥碩稱。

電腦技術愛好者自發成立的非營利性組織——中國紅客聯盟負責人邵彤先生告訴記者,目前,個人資訊的盜取、收集和售賣已形成完整的『黑色產業鏈』。『這個產業鏈上有需求者、中間人和駭客三方。』邵彤稱,需求者可能是公司,也可能是個人;中間人的手中掌握駭客資源,是兩者中間的『紐帶』;而駭客則透過非法入侵、賄賂內部人員等方式,獲取需求者所需要的個人資訊。

『現在駭客分工很精細,獲取私人資訊的速度也極快。』邵彤稱,中間人手中會有一批駭客資源,這些駭客中有負責盜取賓館酒店資訊的、有負責入侵航空資料庫的,也有專門侵入電商網站的。『你如果想查詢一個人的資訊,就把這個人的姓名、身分證號、電話號碼等資訊發給中間人,中間人會把「業務」分散給多個駭客,一天時間內,這個人的通話記錄、開房記錄、交易記錄等私人資訊都可以獲取。

邵彤稱,也有些駭客會結成組織,一手做駭客培訓,發展人手;另一手去頻繁入侵一些公司的資料庫,盜取用戶資訊。掌握一定的資訊量後,他們會透過中間人售賣給需求者,以此獲利。

說法
盜取買賣個人資訊擔刑責

北京康達律師事務所韓驍律師表示,依據《侵權責任法》第二條公民依法享有隱私權,因此盜取、出賣個人資訊首先違反了侵權責任法,侵害了公民的隱私權。

依據《刑法》第二百五十三條之一【侵犯公民個人資訊罪】違反國家有關規定,向他人出售或者提供公民個人資訊,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。

此外,韓律師表示,購買個人資訊者也將面臨刑事處罰。依據刑法第二百五十三條之一規定了非法獲取公民個人資訊罪,即竊取或者以其他方法非法獲取公民個人資訊,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。

鏈結
公安部:整治行動延至2017年底

針對媒體報導互聯網灰黑產業鏈猖獗未得到有效抑制,公安部回應稱,今(2016)年4月底,公安部網安局牽頭全國公安機關開展了為期六個月的打擊整治網路侵犯公民個人資訊犯罪專項行動。全國公安機關已偵破案件1868起,抓獲犯罪嫌疑人4219人,其中各行業內鬼391人、駭客98人,查獲各類公民個人資訊305億條。雖然行動取得階段成效,但網路侵犯公民個人資訊犯罪尚未得到根本解決。大陸公安部網安局決定將打擊整治網路侵犯公民個人資訊專項行動延長至2017年12月底。