Skip to content

日薪10萬起?個人信息販賣灰黑產大起底

編者按:

社工庫,在大眾眼裏是一個陌生的詞匯。它隱匿在黑市中,堂而皇之地窺伺我們每個人的生活,有人把它比作互聯網的“天眼”。它,是一個數據庫,但如果有必要,它能觸及每個人的一切信息。

說來荒誕,想試驗社工庫有多強大時,我們在查詢的對象上有點犯難。編輯部的選題會上,有人建議查自己,有人說查領導,還有人提出查查前男友。這是一個有意思的話題,也從背後折射出隱私裸奔的今天:盡管我們總是強調保護自己的隱私,卻對別人的隱私充滿好奇。

01 每個人都在裸奔

初聽“社工庫”時,由大腦神經中樞發出的顫栗信號傳遍了全身——它幾乎能透視個人所有的信息,還明碼標價售賣給有需要的人。

一位從未謀麵的網友,在5月的一天發來一條信息:社工庫,你聽過嗎?隻要一個手機號,就能把你所有收貨地址全查出來(所有包括淘寶、京東等一切網購平台),是不是很獵奇,很勁爆?

數據隱私的話題並不陌生,但是像他說的那樣俱全,還是讓人大吃一驚。林清做了數十年的藥品跨境電商,自認對各種隱秘的門路頗為熟識。後來我們約定第二天電話詳談,不過他最終爽約了,原因是他覺得這個話題太敏感,擔心報道後,我會遭人報複,被人扒個底朝天。

當然,這是後話。在社工庫那個無所不包的隱秘世界裏,我們每個人都被一串串字符賦予精準的畫像:名字、地址、年齡、學籍、社交賬戶,乃至許多法律禁止交易的信息——身份證號碼、某地某時和人居於某家酒店的記錄、網購商品、社保信息乃至所有的社會關係和實時定位軌跡,隻要有人願意花錢,誰都可以隨心所欲地窺伺我們的一舉一動,甚至知曉我們多晚沒有回家,何時點了一份外賣,有沒有加辣。

這些翔實的數據,大多來自公開報道中的黑客攻擊造成的泄漏。雅虎曾在2013年遭到黑客攻擊,泄漏的賬戶超過30億;淘寶網於2019年11月也遭到黑客爬蟲,涉及11億條用戶數據;職業網絡巨頭領英曾有7億條數據被散播在暗網論壇上;新浪微博在2020年也被曝出,5.38億微博用戶及其個人信息被黑客獲取;網易郵箱於2015年10月,也疑似有過億用戶信息,在暗網售賣(盡管網易辟謠,但是網上相關泄漏說法不絕於耳)。

網站數據泄漏的案例不勝枚舉。最近的一次史詩級泄漏是Resecurity公司今年2月發布的報告,報告稱黑客組織入侵了亞洲最大的兩家數據中心,悄悄潛伏2年之久,影響範圍包括阿裏巴巴、騰訊、華為、蘋果、微軟、亞馬遜、沃爾瑪、高盛、寶馬等國際巨頭在內的2000多家企業。

持續不斷的數據泄漏讓我們裸奔在網絡世界裏。這為社工庫提供了天然的便利。它可以無限地集納信息,如滾雪球一般不斷擴容壯大。4月24日,某社工庫發布通知:“目前總入庫數據1.5億,還有七億數據正在披星趕月上傳中。”也有社工庫自稱綜合數據量有150億條以上,另一社工庫則自曝總數據450G,人口數據有8億條以上,包含2011-2022年知名公司泄漏的大數據。

BF1DF1F04CB157EC74C877FECC204A16B0436365 size480 w1080 h1361

社工庫機器人打出收數據廣告

“數據量存儲達到億級別都是小菜一碟。”汪德嘉在《身份危機》中寫到。社工庫的信息雜糅多樣。在一些社工頻道裏,散播的信息十分細致,包括中國台灣省人民戶籍信息(300MB的txt版本和118MB的csv格式本),戶籍登記信息十分詳細,包括名字、身份證號、年齡和住址,還有某市19萬人口的詳細信息、2020某保險10w信息、2018年農村低保名單、某銀行金卡帶身份證、某銀行數據金卡用戶、某省監獄數據信息,甚至聲稱新增2.2G在逃人員數據……

數據庫積累到一定級別,查詢功能會非常強大。通常情況下,隻需要知道一個手機號,就能在社工庫裏查詢到所有的社交平台注冊賬戶、家庭住址等;甚至有社工庫聲稱,隻需要知道一個QQ號,就能反查出所有的信息,譬如身份證、戶籍、手機號、微信號、定位軌跡,名下的汽車和駕駛證,最後一次快遞信息和最後一次外賣信息。技術的升級迭代,還可以通過一張照片,借助人臉識別技術,追蹤到照片中人的名字、身份信息等。

78EE85AE05F0587DABA26DDEB7A79A0173CBE694 size596 w1080 h1618

某社工庫機器人項目介紹

當然,如果隻能提供模糊信息也不是不能查。“獵魔技術”照樣可以幫助你精確找到具體的人。“給我一條信息就能關聯出一切。”一位販賣數據的人寫到,目前常規的獵魔思路為提供名字和籍貫上的模糊信息,獲取該人的身份證,然後結合精準查詢的身份證反查獲得其他信息,從而找到要找的人。

即使不知道名字,隻有一個人的抖音號,社工庫的社工們也並非束手無策。他們還可以通過翻閱抖音裏麵的電話或者微博鏈接,關聯出精確查詢。而獵魔技術也在龐大的弱關聯信息裏,不斷探索,尋求強關聯。

社工庫裏的結構化數據,是每個人在網上遺留痕跡的萃取和提純。但黑客當初非法闖入時,利用的最大漏洞,不是技術,而是“人性”。這在《欺騙的藝術》裏描述得尤為精彩,被稱為“信息安全領域的比爾·蓋茨”的凱文·米特尼克寫到,如果黑客找到某個可信任用戶透漏一些信息,或者設法欺騙一個輕信的用戶為自己提供訪問許可。再安全的網絡技術,也無法保護這家機構。

欺騙的藝術,包括而不限於,黑客如何說服職員,讓他們提供計算機用戶名和密碼,從而獲得機構係統的入口,攻擊者如何誘騙一位女士下載一款軟件,從而借助軟件監控女士的所有網絡行動。

02 被騙、群嘲和暴力

上當受騙幾乎是所有初次接觸社工庫的人的必經之路。梁文第一次使用社工庫就被騙了。他因為在某二手平台購買一件價值數千的物品,付完錢後,對方不理他了。他很不甘心,於是想借助社工庫,查到對方的地址。

他在社交平台隨意輸入“社工庫”,首先映入眼簾的就是一個有幾百人的社工庫群組。他翻了翻曆史聊天記錄,發現裏麵密密麻麻的都是一個個名字、一串串數字組成的手機號或者身份證號碼。在群裏,任何人隨便丟進一個手機號,機器人會自動拉出一堆信息,譬如姓名、身份證號碼、銀行卡號碼,有的甚至還有額外記錄,如“德陽
極速貸——全國,月光族:1000.0”。如果丟進的手機號查不出來想要的信息,那麽人工付費查詢會給你答案。

價格根據實際查詢內容而定。通過身份證號碼查詢姓名和戶籍地址、照片最便宜,收費100元,如果想要查詢全家戶籍信息,要700元,借助手機號查詢相關信息和外賣地址,則要600-800不等,最貴的是通過微信號提取所有的好友,要價5600元。如果想查機主一個月的活動軌跡,要價5000元。

查詢的價格並不便宜,當梁文猶豫不決時,“要查檔嗎?”一個名為“清風
社工查檔”的人發來一條信息,還貼出一張查詢項目表,足有20來項,看起來很專業。

梁文表達訴求後,他回複,可以查,220元。

這個價格要便宜得多,但梁文並不太放心,問了很多問題,清風也很熱情地一一解答。他們雙方談得最多的還是清風的社工庫——自己獨立運作,有14億人的信息,每月固定差不多有上萬收入。他看起來很真誠,此外還習慣說一些頗能唬人的行話,如“獵魔技術”、“TG技術”,還說如果繳納660元,可以做代理,不僅會學到很多東西,還可以任意查詢。

這套說辭實在太誘人了,根本招架不住。更關鍵的是為了打消梁文的疑慮,清風跟他聊了快2個小時關於社工庫的知識,這會很容易取信於人。他還告訴梁文,收費賬戶是銀行卡,點對點,實名製,有什麽不放心呢?

但是當梁文支付220元的查檔費用後,清風消失了,還刪除了群裏的所有聊天信息。所謂的銀行卡實名收費,也是采用第三方代收,根本不是他本人。我也曾暗訪清風,套路說辭和梁文的經曆大致相似,都是在建立信任後,誘導你去充值消費。

梁文揭露自己被騙的當天,先後還有兩個人自曝分別被清風騙了300元和200元。

類似的騙局在社工庫俯拾即是。不時有人在群裏分享自己被騙的經曆。為了防止被騙,一個有4萬人的社工群幹脆禁言,近期還在群裏做了次小調查,征求意見——是否繼續群禁言——結果88%的人表示:我怕被騙,繼續禁言。

隨著不斷深入社工庫,你會發現,找尋可靠的方式查檔,有很多的技巧需要學習。那些所謂擁有數萬人的群組也不靠譜。有人甚至組建了專門的詐騙群,名為“開房記錄|手機定位|同住信息”,但群裏的6萬人,大部分是已經注銷的賬戶。

即使是販賣數據的人也會被騙,行業俗稱“黑吃黑”。黎城組建了一個有3000多人的群,專門對接詐騙機構或者社工庫的運營者,他每天會在群裏發布許多數據樣刊,所有人隻需要繳納3萬元,可以固定享有一定的數據資源。

他的客戶多是代理商,但是遇到有人“白嫖”或者“盜取”信息,他都會在群裏張貼大字報,控訴並語言侮辱和謾罵。“白嫖”在社工庫裏是個常見的詞匯。專做信息安全的藍橋信安技術人員李菁,也會深入社工庫,白嫖。

“這太正常了!”李菁告訴鳳凰網《風暴眼》。他有時候為了工作需求查詢一個人的信息,會來到社工庫,假裝是一個有固定需求的客戶,然後要求賣家給予測試。當對方發過來他想查的那個人手機號定位信息後,他會假裝不滿意,刪號走人。

販賣數據的“料商”也會趁機大宰一筆。做了多年安全工程師的王皓對這種事早已見怪不怪。
他舉了個例子,比如我有15萬高考考生的數據,再通過機器生成15萬條數據,這樣就可以按30萬條信息販賣了。“沒有人會一條條去核對真實性的。”買家隻能自認倒黴。

這也導致社工庫的群組裏,常常充滿戾氣。人人都窩著一團火,普遍缺乏耐心。語言暴力和口舌之快,似乎是唯一泄憤的方法。因為技術隱匿性帶來的便利,讓人可以撤銷刪除所有的信息,任意注銷賬戶後重新再開一個即可,犯罪成本幾乎是零。而且因為完全匿身,上網使用的IP地址也是虛擬地址,根本很難追蹤到本人。

在社工庫的暗網江湖裏,沒有秩序,不尊重規則,也不推崇任何價值觀念,隻有新的“叢林法則”——金錢掌控一切。所以,借助一定的方法騙到人,似乎成了值得稱頌的事。而受騙的人,在他們看來,又“蠢”又“麻瓜”,根本不值得同情。

03 “內鬼”日薪10萬起?

隱身在這場金錢支配暗網源頭的不隻是黑客,還延伸到現實世界的各行各業。你很難想象,我們每個人的具體而私密的信息,在一些地下交易市場,會如此值錢。它甚至成為許多機構內部人的“搖錢樹”。這些機構,包括但不限於快遞行業、電商平台,甚至銀行、社保機構、公安等。

我抱持著半信半疑的態度,試圖測試金融機構的信息安全。說來荒誕,在決定使用社工庫查誰時,我有點犯難。編輯部的選題會上,有人建議查自己,有人建議查領導,還有人建議查查前男友。但最終,我決定查詢自己的銀行賬戶信息。(做出這個決定時,我們並不知道,在社工庫上查詢任何人的信息都是違法的。)

我在一家社工庫潛伏兩天,在確認該社工庫運作正常後,最終點開了官方人工客服。

當拋出要查詢銀行流水的問題時,“你要查詢哪家銀行?”對方很快回複。

這對他們而言,顯然是一個大單。通常查詢銀行流水的費用,最低都要2500元。對方給出的價格單很詳細,每家銀行因為建立的渠道成本不一樣,所以收費標準也不同。農業銀行查詢一個月流水需要2500元,三個月流水要3800元。這都是老關係,定價才會相對便宜;四大行外的銀行,價格更高,上述兩種流水價格分別要貴800元和1700元,開卡至今費用更是高達17000元。

我有些擔心再次被騙,這可不是一筆小數字。不過客服再三保證,四大行四小行流水均可查詢,都是內部人員從係統導出的表格,絕對真實可靠。他給出的證據是“我們有幾個出流水的固定客戶從沒反饋過有任何問題。”

441C1804CF051385A89ECF0722E66AEBBCC6C4B2 size375 w1080 h939

社工庫客服承諾銀行渠道查詢信息保真

我最終選擇了一個最低的收費項目——查詢一個月流水。在對方給出支付方式u幣支付和支付寶時,我選擇了後者,不過需要額外支付10%的手續費,一共支付了2750元。不到四個小時,我收到了一份詳細的Excel表格,裏麵列出了我的銀行卡裏某月每筆交易記錄,包括交易時間、交易款、餘額、交易對方等信息。

為了驗證信息真偽,我在手機銀行裏調取自己的消費記錄,一一核對後,信息完全吻合。

盡管提前做了各種預設,但結果還是讓人大吃一驚!貌似穩固如磐的金融係統,顯得如此脆弱不堪。實際上,為了加強流程上信息泄漏的管控,銀行已經設置嚴格的查詢流程。

“銀行內部工作人員,查詢個人流水明細,除了司法查詢和繼承需要外,是不允許未經個人授權私自查的。而且即使查詢,也需要個人上傳資料,後台通過集中授權係統授權櫃員查詢,才能查。查詢的結果,也通常是以加密文件的形式發到客戶指定郵箱或者當麵交給查詢人。”在建行工作多年的櫃員王付敏也感到詫異。為了搞明白,她還特意跑到主管那裏谘詢,最後她認真地告訴我,他們也一頭霧水。

不隻農行,實際上各大行因為未經授權泄漏出來的個人信息,在網上比比皆是。

“內鬼”身份隱秘,很難發現。即使是身邊同事,也不易發覺。李菁為企業做過許多漏洞排查。在他的實際工作中,最難發現的不是黑客攻擊的技術漏洞,而是自己人在技術上做的“手腳”。有些技術開發人員會在係統裏故意留個“後門”——相當於一個管理員超級賬號——這個後門設置有多種方式,比如在內存裏留一個托管賬戶,在成千上萬條的程序代碼裏故意設置一個接口,不深入排查的話,根本不易發現。

李菁也服務過銀行客戶,但不是銀行內部人信息泄漏的案例。在他看來,根據最小接觸原則,櫃員肯定是擁有最小權限的人。什麽樣的人才能做“內鬼”?擁有權限級別越高的人越可能。級別高的領導,還有技術開發人員。他舉例說,技術開發人員在金融係統上做手腳,還是有很多種方式。譬如,任何一個係統,包括銀行,通常上線前都有一個預生產環境,用來測試係統是否正常運行。上線前,係統內部的部分真實數據也會同步到預生產環境裏,相關的開發人員和測試人員都擁有接觸這些數據的權限。而大部分係統經常要迭代升級,所以預生產環境的使用也很頻繁。

信息保護最為嚴苛的銀行都難以避免內鬼泄漏,更何況其他行業。每個社工庫裏都能看到客服丟出的查詢圖片樣例,有戶籍查詢帶著明顯的標識“PLC·公安部全國人口信息庫”,還有“美團配送烽火台”“蜂鳥即配”平台內部查詢圖片等。餓了麽、美團外賣、淘寶、京東、圓通都是內部人泄露的重災區。

AB4160AF02AF00484A007E582276D615634BDF24 size222 w1080 h829

社工庫中曬出的公安係統數據信息

D534831B9BFD908F9CE2C48673AC4B49F2A3E6D9 size249 w1079 h925

社工庫中曬出美團後台查詢截圖

“世界上根本沒有絕對安全的係統。”多位做技術安全的人都告訴過我類似的話,尤其是考慮到人的因素後。因為人會被利誘,進而讓堅固的係統,裂變出多道縫隙來。

有社工庫在尋人時,會隱晦地表示,“在警察局、銀行旅館、酒店隻要是在職人員可查信息都可來找,一天可以賺到一個月的錢。”也有人幹脆直接貼出誘人的收入:誠尋公安渠道,優質刑偵、網偵權限,業內5年資源積累,保量保安全。日薪10萬人民幣起。

即使是普通的租房中介,似乎也能日入上萬。我曾偽裝成某租房中介公司內部人,聯係了某社工庫人員。

“如果你能夠從租房中介公司隨時查全部數據,那賺錢就會非常簡單”。對方回複,畢竟冒險越高,收益越高嘛!他似乎急於開拓渠道,還給出查詢價格,查一單給我提成20元,一天穩定有上百單。如果能夠達到500單,就能日入萬元了。

對方開出的“誘惑”,外人無法辨別真偽,但是在販賣個人隱私的以身試法中,許多內部人身敗名裂。比如原中國建設銀行餘姚城建支行行長沈靜衝,從2017年起就利用職務之便,將辦理過房貸的銀行客戶信息提供給某裝飾公司。案發後,沈靜衝不僅被罰款6000元,判處有期徒刑三年,緩刑三年,而且被禁業5年。

這樣的案例不勝枚舉,據公開信息,2016年6月,江蘇徐州公安機關摧毀了一條以黑客和快遞公司內部員工為泄露源頭的倒賣快遞信息的黑色產業鏈,查扣各類快遞信息500餘萬條,犯罪嫌疑人非法獲利30餘萬元。同一時間,內蒙古赤峰一起案例中,犯罪團夥利用“快遞單號生成器”等軟件篩選快遞單號,通過快遞公司內部人員查詢對應的公民個人信息7萬餘條,非法獲利3萬餘元。

04 跳蚤、找魚和抓奸套餐

個人的隱私,成為商品,從在社工庫裏明碼標價的那天起,黑色產業鏈漸臻成熟。

在這個剛剛過去的白色情人節當天,各大社工庫主推的是“5·20為愛出擊,安心查詢”活動——查詢開房記錄。甚至有社工庫貼心地打出一條頗為熟悉的廣告語:xx社工庫,520伴你同行。

2F84314A6A80B56203AF628B8B732F6044D38A03 size287 w1080 h802

社工庫利用情人節打廣告引流

還有人在微信朋友圈發出明顯的暗示邀約,“過兩天找我報開房的應該很多。老大們,節日快樂。”

為了引流,社工庫的人使盡了渾身解數。他們如跳蚤般潛伏在抖音、快手、知乎、QQ等各種社交平台。他們把一切有關社工庫的信息,都據為己用。做網絡信息安全科普長達七年之久的瀟瀟,對此甚是煩惱。他越來越發現,自己科普社工庫危害的視頻,卻成了社工庫人員天然的引流渠道。

B3A03B9746324BB3FCCDBF7FDF33039BEB324C3B size604 w1080 h1600

淘寶上的個人信息查詢服務商

就在那期社工庫危害的科普視頻下麵,有149條評論,其中多人在暗示自身的社工庫身份,可以幫人查檔。他們甚至一個人可能注冊多個賬號,在該視頻下,舉薦名為CAI情報員、社工滲透員、滲透情報員喪彪、Cia數據對接查檔、Hack
情報員等賬戶。但當我循著賬戶公布的QQ群號潛入群裏時,我發現舉薦人和被舉薦的人,都同屬一個組織,他們是至少4個不同QQ群裏的管理員。無奈之下,瀟瀟在評論處多次留言,不要相信這裏的其他人。他還強調,保護信息尤為重要,請認真對待!但收效甚微。“這些名字中帶有‘黑客’、‘情報’等字眼的人,很大程度上是騙子。”

知乎上設置“社工庫”的話題,顯示瀏覽量有2626萬,討論量有1.7萬。位居頭條的就是一篇關於《社工庫雜談》的轉載,文章非常翔實地記載了社工庫如何進行數據撞庫,並給予演示案例。這篇文章獲得723條點讚,近百人評論。

穀歌搜索瀏覽器輸入關鍵詞“社工庫”,會產生250萬條結果。無人能精確統計,網絡世界裏隱藏著多少家社工庫,多少人以業餘或者全職的方式投身其中。因為許多社工庫還隱藏在“暗網”裏,普通用戶根本搜不到。

社工庫的信息鏈條往上溯源,也異常複雜。在社工庫裏,信息的價格以它自身的價值而定。

而價值,通常由供需兩端的大商戶協商。流向社工庫的數據,已經是在市場上被多方榨取後的數據,價格已經非常便宜。

在地下黑市,黑客攻擊獲得的數據,為一手數據,經過清洗後,會打有模糊的標簽:譬如女性、母嬰、金融、中產階級、華僑群體等,這樣的數據通常最值錢,買主大多是詐騙集團或者商業競爭對手。後者會對數據的真實性做測試,比如,黑客會給500個人的聯係方式,買方會挨個打電話,如果有50%的轉化率,這個數據都會非常值錢。

數據如甘蔗,經過“商業組織”的咀嚼後,原本顏色鮮亮的甘蔗已經幹澀了,當被人拿到黑市二次或者多次流通後,就隻剩下幹燥的漿狀纖維,這時才會流通到社工庫。

“數據經過的交易次數越多,價格越便宜。”瀟瀟告訴我,有些一手數據可能每條5元,上萬條的數據就高達數萬元。等到社工庫購買時,價格可能會低到0.1元/條。他記得很清楚,當時有家社工庫,購買12億條快遞公司的數據,隻花了5000元。

但是,當這些被多次利用的數據流入社工庫,麵向普通零散用戶後,那些無差別的信息,突然因為被人“點名搜索”而變得立體起來。這個人圓臉還是方臉,住在何處,與何人交往,
資產在哪,點外賣是否加辣,喜歡住酒店還是家裏,咖啡裏是否加糖。因為它滿足了個人無法熨帖的現實,價格便陡然躥升了。

譬如,因為對情人的不滿,想要查詢相關信息,以泄私憤;因為生意被騙,主謀逃之夭夭;譬如金融大佬卷款逃跑,徒留一批追債無門的投資人;因為情感糾紛,分割家產,想要雇傭偵探查詢對方不利的證據。

這完全成了私欲裏揣摩挖掘人性的流量生意。社工庫裏除了細碎的查詢服務外,推出了與之相應的套餐,出軌抓奸調查套餐5000元,起訴套餐7000元,抓人套餐(票務監控、實時定位)6000元,報複套餐(封禁賬號、手機轟炸)3500元。

社工庫的運營者從中賺得盆滿缽滿。教授黑客攻擊技術的一位網絡技術人員,委婉地告訴我,有些人依靠社工庫,可以輕鬆地年入百萬。

收入真假無法核實。不過,在許多裁判文書裏,確實可以發現它的利誘有多大。2014年,山西人牛強通過網上搜索等途徑獲取公民個人信息,購買了一台服務器,將服務器架設在呂梁市興縣的老家,在服務器上用MYSQL寫入數據,搭建了QQ華景機器人自動查詢社工庫。此後一直到2018年,他為充值的會員提供了84億多條個人信息,發展了6000多個有效會員,賺了25萬多元。

2017年以來,郝帥通過互聯網上搜集了70多億條公民個人信息並建立“社工庫”,他的QQ群裏每人收取10-198元的入群費用,在群中不定期開放社工庫查詢,群員壯大到600多人。通過出售公民個人信息,他賺了5萬元。

一些不懂社工庫但又想分羹的人會尋求成為社工庫的代理,負責下遊尋找潛在客戶。這些代理的行為,在業內叫“找魚”。

代理環節已經相當邊緣了,並沒有什麽統一行規,可謂魚龍混雜。但這對社工庫而言,幾乎是穩賺不賠的生意——代理需要繳納代理費,然後在“找魚”的過程中,收取提成。

我也曾以做代理的名義谘詢,其中一位客服發來的一份代理價格表顯示,代理需要根據不同項目交納不同數額的代理費。訂單為身份證正反照、婚姻史、疫苗接種預留地址電話時,代理費為60元,而個人社保、工作單位相關信息的訂單,代理費為150元。提價賣出之後,代理無需費神,就可以輕鬆賺數百元。

一個社工庫的人則建議我可以嚐試做群組的管理員。他給出的誘惑是,做代理隻能四處找“魚”,“一條魚分50元”。而做管理員,則隻需要交200元,就可以在群裏自己接單、發廣告,賺錢後隻需要給社工庫分紅10%。“一個客戶能賺二三十元,運氣好的話一天能賺四五百元。”

從上遊的數據源頭到社工庫的從業者及其下遊的代理們,究竟有多少人,外界無法判斷。但是在相關的網絡黑產上,人員龐雜。根據互聯網經濟2018年報道,截至當時,國內網絡“黑產”的直接從業者超過40萬人,若計入網絡“黑產”輔助性質的上下遊人員,從業者超過160萬人,網絡“黑產”年產值約1100億元。

05 貓鼠鏖戰

實際上,這個看似“錢景輝煌”的行當,早已是《網絡安全法》裏明令禁止的了。

2017年6月,《網絡安全法》正式頒布實施,其中有一條明確提出,嚴禁任何個人和組織竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。違反者,尚不構成犯罪的,由公安機關沒收違法所得,並處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。

這次網絡安全法頒布前,發生了一起震驚全國的事件——來自山東的18歲女孩徐玉玉,因為把9900元學費打到騙子的賬戶而發生心源性休克,不幸去世。一位花季少女原本即將開啟人生中最美好而自由的生活,卻因為數據泄漏被犯罪分子盯上而隕落,這激起全國人民的憤慨。

許多公司的安全反詐團隊,主動聯係警方,使用自身的技術向警方提供線索。警方也給予最強力度的投入,創造了“10天”擊破詐騙團夥的記錄,該案件還入選了“2017年推動法治進程十大案件”。

做了多年網絡安全工程師的王皓至今對徐玉玉案記憶猶新。山東60萬考生信息泄漏,它帶來的危害,已經不隻是金錢的損失,還危及了人的性命安全,以及為當事人家庭帶來嚴重的精神創傷,這種惡劣影響已經無法用數字衡量。

數據隱私泄漏,天然地為詐騙分子提供沃土。網絡反詐就是與犯罪分子在網絡上鬥智鬥勇。在隱匿的網絡空間,網絡安全工程師蹲守在電腦一端,試圖攻破犯罪分子的“巢穴”。

為了協助警方攻破一個詐騙網站,網絡安全工程師李菁與團隊的兩三個人員和“黑客”反複拉扯了一周多的時間。最開始,他們認為這是一家小網站,可能不懂黑客技術。但在交鋒幾次後,發現對方對他們的滲透,反應很迅速。每次交鋒,當他們即將攻下網站係統,總是被黑客及時發現,然後剔除出去。

李菁團隊另想辦法,直攻不行,改用社會工程學的技巧,打心理戰術。他們找到黑客的真實QQ號,然後偽裝身份,加了好友,和其閑聊,建立信任關係,期間得知黑客對監控軟件的興趣,便利用交流技術的契機,給對方發了一個偽裝的木馬病毒。對方雖然很謹慎,但還是下載安裝了文件。這幫助李菁團隊很快鎖定到黑客上線使用的服務器ip地址,也最終幫助警方迅速抓捕犯罪嫌疑人。

貓鼠大戰中,激烈對抗聽起來驚心動魄。但大多數情況,因為現實社會中隱匿在另一個端點的敵人會製造種種障礙,讓追蹤者無功而返。

地方一線辦案人員宋峰,入職5年以來,接觸過不少信息販賣的違法案件。他記得一起很典型的快遞信息泄漏案例。一家快遞公司的工作人員日常檢查時發現,公司倉庫電腦被人裝了監控軟件,對公司信息安全產生威脅,於是立即報案。

警方立案偵查後,鎖定到一名犯罪嫌疑人身上,嫌疑人曾經做過快遞員,對快遞行業比較熟悉。警方研判,監控軟件就是他購買的,服務器也是其用他人的身份證件租賃的,但他拒不承認,始終稱軟件是一個叫“林總”的人給他的,他沒有參與信息販賣。

“這怎麽可能呢!所謂的‘林總’很可能是虛構的。這個犯罪嫌疑人的手法很老練,而且有比較強的反偵查意識,整個犯罪過程中沒有留下任何直接指向自己的證據。”宋峰說,盡管沒有證據證實他就是“林總”本人,但是他仍然難逃懲罰——他非法獲取信息超過50000條,按照法律規定要判處三年以上有期徒刑。不過想追訴更多犯罪證據,以及信息鏈條上的其他犯罪嫌疑人,公安和檢察機關卻一籌莫展。

其中有十分複雜的因素,比如,為了不讓“貓”捉到,“老鼠們”早已挖好地洞,變得更隱秘。從支付方式、渠道上設置層層環節,即使追查到收款人,但收款人和實際犯罪人員中間還隔了很多人,而這些人之間根本不認識。即使追查到源頭,若犯罪分子把服務器架設到海外,也很難緝捕。

精益求精的技術成了突破限製的關鍵。公安部為了提高網絡安全技術的偵查與反偵查能力,每年都會召集多家網絡安全公司進行攻防方麵的實戰演習。李菁公司每年都會參加。參與者會分成兩隊,一隊是專門攻擊網站的黑客,一隊是專門防守,俗稱白客。李菁通常會扮演“黑客”角色。

“這是紅藍陣營演練的模擬,目的是提高網絡安全人員的反偵查能力,也讓我們在不停的技術迭代中,不段反思安全技術的升級。”盡管在演習中,李菁所在的隊總能突破防守,拿到靶標。但是他反而更加憂慮。因為模擬演練沒有輸贏之說,他所在陣營贏了,反而暴露了企業係統有多脆弱。

06 個人隱私保護成了“偽命題”?

這場技術、人性、利益的較量中,我們理應學會保護自己隱私,免去受人詐騙的風險。但是,現實生活中,大部分人對“隱私”已經不在乎了。

這是因為個人在網絡空間裏已經“逃無可逃”。一直在參與全民網絡安全決戰的李菁,當被問及如何保護個人隱私安全時,也流露出無奈的語氣。“日常生活中,隱私被觸犯的場景太多了。”

他一口氣舉了許多例子,社交各平台設置同一個密碼,很容易被黑客撞庫獲得;有人會專門守在一些固定的辦公大樓或小區搜集快遞信息,還有人會根據朋友圈圖片裏的標識建築物等鎖定到你的具體地址……

日常不起眼的地方,更是隱藏著“違法抓取你的數據”的各種可能:譬如當你正好在咖啡館或酒店看視頻時,擔心流量不夠用,想去連接開放式Wi-Fi;或者當手機沒電了,恰好自己正在車站等車,車站服務中心共享充電寶觸手可及,李菁堅決地說,“不要使用,因為它們很可能會搜集你的身份信息和支付信息”。

但是考慮到實用和便利性,大部分人都會傾向犧牲安全性。這實在太難了!“魚與熊掌不可兼得,對吧。”李菁安慰我。不過,他也認為,在保護個人隱私上,普通用戶能做的還是極其有限,僅僅是在要求密碼的設置上,大部分用戶都很難在不同平台設置不同的密碼。

“擁有數據開發能力或運營能力的公司應該有更多的擔當。”李菁說,譬如當用戶長期不更換密碼時,平台運營商應該給予提醒。還有在網站注冊賬戶時,提醒設置複雜的密碼。還要定期做安全測試、安全檢查、提升係統的健壯性。

很多網絡公司確實都在努力保護用戶的隱私。它們內部推出嚴格的數據保護措施。2021年,阿裏巴巴破除了原來的各平台數據打通。商家用戶原來可獲得訂單中的消費者具體數據,包括姓名、手機號、詳細地址等,但現在已經不可能了。每個用戶都有一個ID,阿裏在這個基礎上,添加了開放ID,這個開放ID會在每個店鋪中都不一樣,商戶隻能看到開放ID。微信也同樣有著複雜的ID標識,要求第三方開發者無法獲得用戶唯一的ID。

但是在隱私和技術的開放性平衡上,公司的表現依然很矛盾。阿裏的用戶ID在CRM係統裏的流轉邏輯,阻斷了商家在數據上的獲取,也間接影響商家私域業務受限,進而也會讓平台業務受損。

隱私保護過度也可能引起投資人的擔憂。美國數據專家帕夫洛·弗拉霍斯等人曾基於10萬個企業環境、社會與治理的非結構化數據,研究企業市值與隱私保護的關係。他們得出的結論是,企業在隱私保護上並非越嚴格越好,而是呈現“倒U形”關係。這表明,金融市場的看法是,一家公司要擁有用戶適當的數據隱私,過量容易給公司帶來負麵影響。但如果過少也不行,這可能會在商業競爭關係上處於劣勢。

大多數互聯網公司傾向認為,用戶是有隱私悖論的——盡管用戶聲稱關注隱私,但是他們的實際行為表示他們根本不在意——2018年,李彥宏曾在中國發展高層論壇上說,“中國人更加開放或者說對隱私問題沒那麽敏感,如果願意用隱私來交換便捷性或者效率的話,很多情況下中國人是願意這麽做的。”

這一觀點盡管頗受詬病,但也暗示了巨頭們公開搜集用戶數據的底層思維。

互聯網公司,本質上都是一個大數據公司,它們借此訪問了用戶爆炸級的數據,甚至借助大數據技術,進行更多的商業探索和創新。我們具體而微的痕跡,譬如瀏覽商品的類目、對話使用的稱謂、訪問頁麵的時長、搜索記錄等在它們那裏變成了有價值的信息。它們根據用戶足跡搭建模型,揣摩我們的心理,預測我們的行為,甚至灌輸給我們思想,誘導我們改變行為。

公司越來越了解我們。它們手握龐雜的數據,仿佛指揮我們的“遙控器”。2017年頒布的《網絡安全法》也默認了網絡運營者對用戶數據的收集、使用。前提有三個:平台明示收集、使用信息的目的;經用戶同意;收集的均是其提供服務有關的個人信息。

但在顧及商業創新的數據默許之上仍然有一個重要而無法回避的因素——人,隻要有人在操控一切,信息泄漏的風險就一直存在。這也是《欺騙的藝術》一書表達的最核心觀點。

顯而易見的事實是,盡管法律在公司保護個人隱私上要求無論多麽嚴格或者公司多麽強調保護隱私,現實中,我們的數據泄漏仍然在指數級增加。

一個直觀的感受是,為了保護信息安全,2017年網站實施實名認證以來,我們每登錄一個app,也意味著我們被網站收集的個人信息反而更精準了。而網站信息一旦泄露,黑產中流通的將是更齊全的用戶信息。

多位網絡安全工程師都表達過類似的擔憂,2017年網站要求實名認證以前,泄漏的信息其實是比較雜亂而模糊的。但是2017年要求實名後,泄漏的信息已經越來越具體了。

這似乎也意味著,數據失控將成為互聯時代的常態。“平台還是有很多作為空間的。”李菁說,平台也將邁入一個強監管的時代。

(應受訪者要求,文中李菁、瀟瀟、宋峰、林清、梁文、黎城、王皓、王付敏等均為化名。)