2023年3月15日,康纳·布莱恩·菲兹帕特里克(Conor Brian Fitzpatrick)在纽约被FBI逮捕。年仅21岁的他,运营着世界上最⼤的⿊客论坛BreachForums。⿊客们聚集于此,贩卖⼿头来路各异的数据。2022年7月,就有⼀名⿊客ChinaDan在BreachForums上声称,⾃⼰取得了近10亿个⼈资料,并以10⽐特币(当时约合140万元⼈⺠币)的价格出售。
这些数据包含了近10亿公⺠的姓名、地址、出⽣地、身份证号码、⼿机号码等关键的个⼈隐私信息。不同化名的⼈在下⽅跟帖,讨论着数据的新鲜程度,是否包含⼈脸信息,还有⼈要求发帖者提供样本,以验证数据是否真实。这其中,会不会有你的数据?
通常,⿊客成功盗取你的信息后的第⼀步,是清点其中有价值的数据,包括姓名、电话号码、住址、身份证、财务信息等,并将它们录⼊到数据库中。他们⾸先会私下交易这些数据。
当线下交易到达瓶颈时,就会在⿊客论坛上发布,寻找更多买家。通过搜索引擎,你可以很轻松地进⼊类似BreachForums这样的公开⿊客论坛——是的,它就摆在明⾯上任由每个⼈进⼊(但⽬前BreachForums已关停)。也有⼀些更隐蔽的⼊⼝,⽐如所谓的暗⽹,需要通过洋葱浏览器这类匿名⼯具才能进⼊。
为了保证交易的公平,菲兹帕特⾥克制定了⼀整套交易规则,例如不能出售本来就公开的数据库;必须说明数据的来源是买来的还是⾃⼰盗取的;必须提供⾄少⼗个明⽂样本——即使在⿊客论坛这种地下交易中,钱货两讫、买卖公平的原则也是不变的。
在任何国家,⼤规模偷取公⺠信息并转卖的⾏为都是违法的。
这也是为什么论坛上的⼤部分交易都使⽤⽐特币来结算的原因——虽然⽐特币的所有交易记录都是透明的,但你只能知道某个地址的交易情况,⽽不知道地址背后的⼈是谁。同时,⼀个⼈还能拥有很多地址。整体⽽⾔,个⼈信息越完整,价格也就越⾼——毕竟后续买家实施诈骗也就更⽅便。
⽐如⿊客ChinaDan后续⼜卖了⼀次数据,这次它将数据分为了公⺠数据、交易记录数据等不同的数据库,获取全部数据库的价格为9万美元,其中公⺠数据库的单独标价是7.5万美元。后来这个数据库更新了个⼈电话号码信息,打包价格涨到了14万美元。⾮法数据的定价也遵循供需关系的原则。2015年,由于美国⼤量的个⼈信息被盗,每个公⺠的信息价格从4美元降到了1美元。
当⼀个数据库卖得⾜够多时,它就⽆限趋近于免费,因为随⼿就可以通过搜索引擎获得。买卖还遵循“嫌贫爱富”的原则。通过地理位置、⽹购记录、银⾏账户等信息,可⼤致描绘出⼀个⽤户画像,其中越富裕的⽤户能够榨取的利益越多。根据安全公司Armor 2019年的的⿊市调查报告,美国地区的数据为30-40美元/⼈,意⼤利为20-25美元/⼈,⽽墨⻄哥仅为15-20美元/⼈。
有卖家⾃然就有买家。
在数据⿊市交易中,买家通常会拿这些信息进⾏电信⽹络诈骗,例如“购物退款”、冒充“公检法”、“交通违章提醒”等。由于买家已经掌握了你的很多基本信息,这类诈骗会显得相当可信。⼀些注册备案的正规公司也是泄漏信息的买家。由于通过正规渠道打⼴告获客成本相对较⾼,⿊市的数据交易可以有效降低成本。
根据《证券时报》2021年的报道,百度竞价排名的获客成本在60-80元/⼈左右,⽽通过地下⿊市购买⽤户数据,可以将这个成本缩减⼗分之⼀。此外,很多买家会进⾏所谓的“撞库攻击”:拿A⽹站的帐号密码,去B⽹站上尝试登陆。很多⽤户喜欢在不同的平台使⽤统⼀的帐号密码,所以往往⼀个⽹站的信息泄漏会暴露⽤户的整个⽹络。还有⼀种⼴撒⽹的⽅式。最典型的例⼦就是尼⽇利亚王⼦诈骗短信。
骗⼦会谎称⾃⼰是迪拜/尼⽇利亚/各种国家的王⼦,因为政变或者其他原因,他的巨额银⾏账户被冻结了。只要你汇款⼏百美元给他解冻账户,他会给你巨额账户⾦额中的相当⼀部分作为报答。这种骗术看起来⾮常低劣,但正好可以帮骗⼦筛选出连这类信息的真假都分辨不出来的⽬标客户。⽽且这些邮件往往是群发的——只要基数⾜够⼤,就⼀定会有上当的⼈。
在准备对策之前,你需要先知道⾃⼰的信息是如何泄漏的。
⼀种常⻅的⼿段是暴⼒破解。假设⼀个密码只有四位数,那⿊客最多只要试9999次,就⼀定能找到正确的那个。这听起来是⼀种⾮常低效的破解⽅式,但以⽹⺠们对⾃⼰密码的不上⼼程度,⿊客们可能真的在偷笑。根据密码管理⼯具NordPass公布的名单,2022年互联⽹上最常⽤的密码还是“password”,⽽排名第⼆位和第三位的分别是“123456”和“123456789”。不到⼀秒钟,⿊客就能破解这些密码。
在全世界最常⻅的20个密码中,有18个都可以在⼀秒钟之内被破解。如果使⽤这些密码的是个⼈⽤户还好说,倘若连管理员的密码都如此草率的话,后果不堪设想。例如22端⼝常⽤于Linux系统的SSH远程连接服务,⿊客可以通过它连接到服务器。如果管理员的密码设置得很简单,⿊客便可以轻松破解管理员账户,直接远程登录服务器,获得和管理员相同的权限。实际上,API接⼝数据泄漏是近年来数据泄露最严重的⽅式。
正常情况下,⽹⻚或者app可以通过对应的API接⼝调取数据。但由于接⼝常暴露于公⽹(WAN),若管理员没有对请求API接⼝的数据作出限制,就会导致⼀些数据越界请求。例如A向服务器请求⽤户的电话号码,但服务器不但返回了电话号码,还返回了身份证号码、家庭住址等敏感信息。因为这类请求种没有任何攻击语句,所以很难被发现。腾讯安全把在⿊客事件中出现频率⽐较⾼的端⼝划分为⾼危端⼝。
根据2018年的数据,在3000多个抽样的Web服务器中,开放中的⾼危端⼝仍占⽐36%。另外⼀种常⻅的攻击⽅式是低技术的社会⼯程学骗局,最典型的例⼦就是伪装成熟⼈,诱骗你进⼊指定⻚⾯下载恶意程序,或是输⼊账户密码等信息。还有⼀些⼈习惯把⽐特币的密钥贴在键盘后⾯。这个时候,都不需要⿊客出⻢,⼀个⼩偷就可以让你欲哭⽆泪。
如果你疑⼼⾃⼰的信息是否已经被泄漏的话,可以到haveibeenpwned.com查看⼀下。我的500px和京东账户就泄漏了。
其实数据是可以被合法交易的,它被称为数字时代的⽣产要素,合理的利⽤能产⽣巨⼤价值。⽬前,中国已经先后在贵州、北京、上海等城市设⽴了⼤数据交易所。在正规交易中,所有数据都经过脱敏处理,⽆法反向追溯到个⼈。⽽⾯对防不胜防的⾮法侵⼊,⾸先能保护⾃⼰的,还是设定⼀个“好”密码。
为了规避弱密码的⻛险,安全专家通常建议⽤户使⽤包含⼤⼩写字⺟、数字和特殊字符的复杂密码,并且越⻓越好。随着密码⻓度的增加,这些字符的组合⽅式会以指数级别增加。例如,⼀台每秒可以运算3500亿次的计算机,破解⼀个6位密码只需要4.08秒;7位密码只需6.47分钟;8位密码需要10.24⼩时;9位密码需要40.53天;10位密码就需要10.55年了。
⽽macOS内置的密码管理器,默认⽣成20位的强密码,例如“guhxig-mugca4-tydDon”。暴⼒破解这个密码所需要的时间,可能⽐⼈类的⽂明史还要⻓。如果你使⽤Chrome浏览器的密码管理器的话,它还会提醒你有哪些密码已经被泄漏了。⽆论如何,牢记密码安全三原则总是没错:1、使⽤包含字⺟、数字和符号的复杂密码2、避免多账号使⽤同⼀密码3、定期更换密码。
好了,我要赶紧去修改我泄露账户的密码了。