在互联网江湖上,每天都在上演一场场无形的攻防战,那里是互联网企业与黑客们的角斗场。黑客们,像一只非洲草丛中的猎豹,隐匿而嗜血,靠着的,他们疯狂的向互联网企业发动一次次撞库、拖库,为雇主窃取信息。
而进攻的策动者,则是利益熏陶的金主—竞争对手、广告主、诈骗集团,黑客在他们眼中,是撞开财富宝库大门的攻城重器,用完即扔。
曾经,盗取企业用户信息,是一个一本万利、无需担当风险的掘金地。但随着法律量刑出台,畅通无阻的舞台,变得满地荆棘。
我现在一分钱都没有,生活开销都是跟朋友借的 ,石女士,北交硕士、管理咨询顾问、某互联网金融公司战略部高级研究员、金融从业多年,光鲜的标签支撑着她的北漂梦, 生活是美好的,有奔头。 然而十月初,一个自称京东客服的电话,把石女士小确幸的生活撕得稀巴烂。
被骗了 33 万,骗子到底怎么知道我在京东上的订单信息 ,电话沟通的那一头,石女士言语沮丧,充满着阵阵愠怒。毫无疑问,京东订单信息的泄露,是撞开她线的一记重锤, 以后不敢在在京东买东西了。
2017 年月 8 日,美国三大征信局艾可菲,被黑客盗走 1. 43 亿美国消费者的个人信息 ; 同年 3 月,京东因内鬼监守自盗, 50 亿条个人信息流向黑产 ; 2016 年 12 月,京东被曝 12G 的用户数据包在黑产市场买卖 ; 2015 年,网易 163、 126 邮箱被曝漏洞,近 5 亿邮箱账号、密码数据泄露 ; 2014 年 12 月, 超过 13 万条的 12306 网站用户信息在互联网上疯传 ; 同年年,小米论坛遭黑客拖库, 800 万用户注册信息遭泄露
互联网公司阵地频频失手,个人用户信息大量外泄。而攻城拔寨、功绩彪炳的则是活跃在无形战场上的黑客, 安全工程师的薪酬待遇比较高,做内鬼不值当 ,百度安全负责人黄正向猎云网表示,互联网企业真正的来自外部的黑客进攻。
在网络世界里,他们是草原霸主,无所忌惮、无孔不入,大肆互联网企业,盗取用户信息。即便是网络安全专家也未能幸免。 有一次我去国外,连接过公共 WIFI,结果被别人克隆出跟我一摸一样的 QQ 号,冒充我向我的朋友借钱 ,向猎云网回忆时,资深安全专家大 Z 不免寒栗。
拖库简单,入侵网站后,直接获取数据库中用户的全部数据,在黑客面前,企业的城防如此薄弱。 只要我在里面的厕所蹲上一个礼拜,我就能把这些格子间的信息全部拿到 ,谈到网络入侵,某互联网企业技术负责人指着 SOHO 办公楼,不无得意, 有点像狙击手,要潜伏等待,扣动扳机,一击致命。
攻破城防的核心在于获取获取管理员权限,因此多数黑客寻找漏洞,植入病毒、建立伪基站等方式,取得管理员权限,查看源码。 黑客们只需建造伪基站,挟持流量,从流量中就能分析出用户的账号、密码 ,黄正指出拖库的进攻线,只要获取管理员权限就能看到整个网站的密码,企业用户信息就这样被黑客于鼓掌。
拖库看似直插企业命门、深不可测,其实并非黑客的独门秘籍。 拖一个数据库,只需要几万块钱,不论数据库的规模 ,黑客爱好者小 M 向猎云网介绍到。
对信息安全防护不重视,系统老旧,为黑客大开城门。据猎云网了解,艾可菲数据库被黑客攻破,主要是因为系统老旧,黑客从网上找到相应托库工具, 很多系统都用通用拖库工具,拖库没有想象的那么富有技术。
如果说拖库是一剑封口的精准点杀,那么撞库则黑客们的地毯轰炸,利用用户在其他网站上已经泄露的账号密码,去各个网站上登陆验证。 黑客从其他渠道获取信息,比如之前已经泄露的信息,或是小网站的账号密码,在利用这些数据去撞库 ,黄正指出。
2017 年 7 月,百度网盘遭受黑客撞库,部分用户网盘数据被清空,用户账号、密码信息泄露 ; 2016 年 7 月,黑客用撞库方法在大麦网上购买商品,试试欺诈, 39 名用户被骗近 150 万 ; 2015 年 3 月,黑客实施撞库,窃取用户信息,用户被骗
多数用户比较懒,账号密码都是同一个,成功率相当大 ,对于撞库,小 M 颇为自信,屡试不爽,原因是多数用户对个人信息不重视。为此,为加固城防,防止黑客大规模撞库,互联网公司纷纷加入验证码,识别网络请求的发起方是人类,而不是机器。 验证码是对机器访问,撞库,破解非常好的一种抵御方式 ,某安全专家表示。
但魔高一丈,黑客们要么利用系统漏洞,绕开验证码校验,要么与打码平台合作,黑客将账号密码信息输入撞库软件,发动登录请求,撞库软件将受到验证码图片发送给打码平台,并将图片信息为文字信息。
目前部分黑客已经为撞库进攻加入 AI 技术,今年 9 月,浙江警方查封打码平台 快啊 , 快啊 是黑市市场上最大的打码平台,能够识别市面上 98% 的验证码,在查封时,警方截获了 10 亿余组个人信息。
其实,与黑客的搏斗,并非想象中的你死我活、炮火连天,而是悄然无声的暗夜。黑客,就像狩猎前的猎豹,隐匿于无形,寻找企业服务器漏洞, 根本没有惊心动魄的攻防战,他要你,你都不知道什么时候 ,看着手头的工作,黄正感叹。
发现漏洞、利用漏斗,是黑客信息盗取的前提,就像古代武林高手对决,心有、稍不留神的一方必败无疑。
竞争对手、广告主、诈骗集团组成的买家,它才是数据黑市的始作俑者:提供需求、支付费用,而黑客、交易商,游戏的所有参与者都为其服务。在这里,买家是一切非法行为的源头,任何的黑客行为都会被贴上价格,只要有钱,就可以做任何事情。
2016 年 2 月,拉勾网员工通过黑客技术破解 BOSS 直聘所使用的企业邮箱管理员密码,该员工在腾讯企业邮箱后台、苹果 App 开发者后台,申请 App store 删除了 Boss 直聘 APP,恶意操作导致产品下架。
金三银四,招聘黄金月,在 App Store 搜索 Boss 直聘 时,索结果却为 Boss 在线 ,而 BOSS 在线 为拉勾网开发,与 Boss 直聘 无任何关系。在黑客的进攻导致 BOSS 招聘损失惨重, 重建了家园,努力降低损失,努力服务好正处于招聘求职旺季的用户 ,BOSS 招聘回应。
而对互联网创业公司来说,信息安全更为重要,不但关系输赢,更关乎。与大企业相比,创业者更愿意把钱花在营销和研发上,而不愿再安全上过多投入,但安全上的抠门,也可能成为创业公司的死穴。 某个创业公司老板,雇佣黑客,把竞争对手的数据库删得一干二净,原本势均力敌的关系瞬间打破 ,某公司创始人透露。
搞掉对手仅是买家意图的一角,有盗取的资料信息快速变现,催生买家的,就像寻着味而来的野狼。 外泄的个人用户数据,主要用于广告推送和电信诈骗 ,火绒网联合创始人马刚向猎云网表示。
而 BAT 因信息量大、价值高,成为黑客重点 照顾对象 。 7 月,百度网盘遭受黑客频繁撞库,战斗在一线的黄正承受的压力, 百度每天都会面对黑客的。
百度账号只能一个手机号,靠大量注册百度账号刷量,提高贴吧、百科等级成本太高,为此,犯罪团伙雇佣黑客,通过其他渠道收集到的信息频繁撞击百度网盘数据库。一旦成功,这些账号会被犯罪团伙用于刷帖等,从中牟利。
个人信息最核心的是要弄清楚,黑客侵入的真正目的是什么 ,与黑客反复的较量博弈,黄正有着自己的体会,在他看来网络安全,不是软件与软件的战争,背后的主导则是人与人的打斗。
据中国互联网协会发布的《中国网名权益调查报告 2016》显示:2016 年,数据黑市交易的个人信息达到 65 亿条次,因诈骗短信、信息泄露等者达 6.88 亿,造成的经济损失约为 915 亿元。
网络面前没有幸存者,黑客的互联网企业,纷纷成立行业组织,抱团取暖。今年云栖大会上,阿里联合 17 家企业,共同推动 数据安全合作伙伴计划 ; 9 月 24 日,网信办、工信部等部委发起,阿里巴巴、腾讯、百度等互联网企业签订《个人信息书》; 360 推出情报共享工程,自己的数据和能力
黑客与数据买主的肆意妄为,则是之前法律监管的缺失。 以前信息安全犯罪,只要不出人命,通常是缓刑 ,对于盗窃用户信息量刑过小,网络安全从业者小 G 愤愤不平。
高收益、低风险,利益,诈骗团伙等买家,寻着而来,雇佣黑客,一次又一次发动高频进攻。但随着开房记录数据泄露、徐玉玉因欺诈身亡、校园贷裸照外流 将矛头直指个人信息安全。
2016 年 11 月,《中华人民国网络安全法》发布 ; 2017 年 3 月,最高审判委员会全体会议通过《最高、最高人民检察院关于办理个人信息刑事案件适用法律若干问题的解释》,对非法买卖个人信息做出量刑处罚。
同时,重拳出击,对数据公司、黑产交易方严查死打:出售行踪轨迹、通信、财产、征信等信息五十条以上,处以三年以下有期徒刑 ; 因个人信息泄露,造成被害人死亡、重伤、失常或者被等严重后果,处以三年以上,七年以下有期徒刑。
在这场与防守的较量中,信息泄露量刑出台,胜负的天枰修正了轨迹,偏向了互联网企业。天气虽已变,黑客将不再像以往那样无所忌惮,但两者买主、黑客与互联网企业的角斗仍将持续。
延伸相关词:
陈小艺被曝姐弟恋,倒追小伙被当保姆,陆贞传奇演员表,人鱼情未了 电视剧,莫小棋三级,保拉的诱惑,李慧珍老公,luciano rivarola,如意剧情介绍电视猫,电视剧当狗爱上猫
网友评论 ()条 查看