青松資訊:來!算算你的網路資產值多少錢?
你有沒有想過你的資產到底值多少錢?設想一下,假如你想賣掉你所有的東西——房子,車子,你的工作,你的私人生活,你童年的照片和紀念視訊,你在各個社交媒體上的賬號,你的病史等等——你猜能賣多少錢?
一說資訊資產能換錢你大概有點小興奮,但一想到別人能夠看到你上鎖的QQ空間,N年前的中二部落格,甚至可以登陸你的微博、微信並對裡面的歷史資訊一覽無餘……
在現實世界,有很多保險以供選擇,東西壞了、遇上突發事件,基本都有一定金額賠償。而在網路世界裡,我們真的沒有這樣的選擇。我們的上網衝浪生活裡包含了一些非常個人的資訊。最大的不同是,我們在網際網路上的痕跡永遠不會被抹去——我們說過或寫過的東西,我們傳送過的照片,或者我們下的訂單,不出意外將永遠儲存在服務提供商手中。這些虛擬的資訊整合以後,讓每個人的形象豐滿起來,構成了我們在網際網路上的身份。
我們知道黑市上可以購買毒品、武器和贓物,甚至也可以在網上購買身份,你猜猜你的網上身份值多少錢?
被攻擊的賬戶
從黑市上被盜的賬戶開始調查的話,幾乎收集不到有效的資料,因為有非常多的供應商同時銷售這些東西,因此也很難驗證正在出售的資料的唯一性。但有一件事是肯定的——當前正流行的服務資料是黑市上最流行的資料型別。這些資料包含但不限於:被盜的社交媒體賬戶、銀行資訊、遠端訪問伺服器或桌面,甚至是來自優步(Uber)、Netflix、Spotify等熱門服務的資料;以及大量遊戲網站(Steam、PlayStation Network等)、交友軟體、色情網站的資訊。
最常見的竊取資料的方式是通過網路釣魚活動或利用與web相關的漏洞(如SQL%E6%B3%A8%E5%85%A5/">SQL注入漏洞)。密碼轉儲包含被黑客攻擊的服務的電子郵件和密碼組合,然而我們知道大多數人會重複使用他們的密碼。因此,即使一個簡單的網站遭到黑客攻擊,攻擊者也可以通過使用相同的電子郵件和密碼組合獲取該使用者在其他平臺上的賬戶。
這些型別的攻擊並不複雜,但非常有效。同時有證據表明,網路罪犯從黑客和黑客分子那裡賺錢;出售這些賬戶的人很可能不是黑客和或散佈密碼轉儲的人。
這說明這種攻擊活動已經形成比較成熟的產業模式,有一批人負責技術部分,獲得賬戶資訊,然後通過中介將這些資訊分發出去,最後下游的犯罪分子靠這些資訊用勒索或者詐騙的方式從受害者手中獲益。這條產業鏈起碼養肥了上中下游三方的網路罪犯,更可怕的是,這樣的分工情況極大地降低了網路犯罪的技術門檻,普通人不需要技術基礎,即可以成為犯罪鏈條上的中下游並獲利。
這些被黑賬戶的價格非常便宜,大多數賬戶的售價約為人民幣7塊錢,如果你大量購買,還有批發價可以談。
一些賣家甚至提供終身售後服務,如果一個帳戶失效了,你可以重新獲得一個新帳戶。例如,下面是一個出售Netflix賬戶的供應商的截圖。
10萬個電子郵件和密碼組合
護照及身份證
除了網路賬戶資訊,還有很多其他的資訊被交易,比如護照,駕照和身份證(掃描件)。這就是事情變得更嚴重的地方——大多數身份證件不是偷來的,但它們在網路世界中的濫用會對現實生活造成麻煩。
犯罪分子可以用你的假身份證來獲取你的身份,例如,電話預訂、開立信用卡賬戶等等。
下面是一個人出售註冊瑞典護照的截圖,價格是4000美元。同時這個賣家還提供多個國家的護照資訊出售,幾乎包含全部的歐洲國家。
騙子的工具箱
大多數在地下市場出售的物品對我們來說並不算新鮮事。有趣的是,還有被盜或偽造的發票和其他檔案出售,如水電費發票。
攻擊者有時候會竊取別人的郵件並收集發票,然後再用這些發票欺騙別人。他們將按行業和國家收集和整理這些發票。然後供應商將這些掃描作為騙子工具箱的一部分出售。
詐騙者可以利用這些掃描件來鎖定特定國家的受害者,甚至將攻擊範圍縮小到性別、年齡和行業。
在研究期間,我想到了一個朋友對Tinder(海外版陌陌)機器人的分析。這些網路機器人可用來從被盜賬戶中賺取更多的錢。因此,這些賬戶不僅在黑市上出售,還被用於其他網路犯罪活動。
有趣的是,這些Tinder機器人的個人資料有以下共同的特點,也很好識別:
同一時間有大量的匹配。
大多數女人看起來像超級名模。
個人資訊中沒有職位或教育資訊。
使用盜取的Instagram圖片偽裝自己。
指令碼化的聊天資訊。
我們所瞭解到的大多數機器人都與流量重定向、點選誘餌、垃圾郵件等相關。但Tinder機器人會試圖讓你捲入到犯罪鏈條中,並在過程中竊取你的資料——這是之前的機器人所不具備的技能。具體的操作方式下面有簡單說明。
第一步是與機器人匹配。機器人並不總是直接與你聯絡,而是等待你與它互動,然後它才會回覆。等對話發展到特定語境下,機器人會給你傳送一段特定文字,內容大概是你需要做好什麼事情才能給你傳送照片(甚至裸照),然後發給你一個連結。
當你點選連結時,你會瀏覽幾個網站,同時把你重新引導到整個犯罪鏈條中。這個點選行為可以讓犯罪分子做很多事情,比如在瀏覽器中放置cookie,登記你的位置、瀏覽器版本和型別設定,甚至更多。這樣做是為了當你的瀏覽行為結束時,他們知道該用哪一個詐騙頁面為你“服務”。
在本文的案例中,研究員採用了一個瑞典的IP,因此為他提供的詐騙網站是瑞典語的,這說明攻擊者的準備非常充足,他們的目標是可能全球的受害者。
這些網站總是有來自其他使用者的信任背書。但是其使用的大部分資訊,包括個人資料照片、姓名和年齡,也都是從被盜賬戶中獲取的。信用背書當然也是假的,只不過這樣使它看起來非常可靠。
總結
當涉及到他們的網路資訊問題時,人們通常是非常天真的,尤其是涉及到那些似乎不會影響他們隱私的服務時。但我們需要明白,即使一切看起來都無關緊要,我們無法預測犯罪分子用他們賺來的錢做了什麼。
如果他們把錢花在毒品或槍支上,然後賣給青少年呢?如果他們資助平臺和伺服器來傳播兒童色情內容呢?我們需要了解的是,犯罪分子經常與其他犯罪分子合作,這意味著毒品可能是從他們在黑市上出售Netflix被盜賬戶所賺的錢中購買的。
最令人擔憂的事情之一就是所有東西都很便宜。試想一下,如果有人獲取了你的微博賬戶,他能收集到關於你的資訊——你肯定不會接受有人以七塊錢的價格出售你私人生活的一部分。
但人們不僅僅使用這一項服務。我想大多數15到35歲的人已經註冊了超過20種不同的服務,可能經常使用其中的10種。你幾乎從未使用過的服務是很大的隱患,因為你經常忘記你甚至在那裡有一個帳戶。
最常用的賬戶可能包括Facebook、Instagram、Skype、Snapchat、Tinder以及Spotify、Netflix、HBO和YouTube等娛樂服務;國內大家常用的則是微博、微信、QQ、淘寶、百度、優酷土豆等等。除此之外,你可能在政府公務網站或金融網站(信用卡、保險等)有一個帳戶。我們還需要記住,這些服務使用Google、Facebook、微博、微信、QQ作為身份驗證,這意味著你不需要使用電子郵件和密碼組合,只需登入這些SNS賬戶就可以使用這麼多服務。
你看到這些資料就知道, 以低於350元的價格就能買到一個人的完整的網際網路生活軌跡 ,這是相當驚人的。
除了完全控制某人的網路生活,其他罪犯還可以利用這些服務進行別的犯罪活動,例如,傳播惡意軟體或進行網路釣魚攻擊。
這些賬戶盜竊行為的技術准入門檻低得令人髮指: 基本上,任何擁有電腦的人都可以進行操作——你不需要成為一個高階網路罪犯,就可以知道犯罪行為如何完成。
只提問題不說解決方法就是在耍流氓。那麼怎麼解決這個問題呢?一勞永逸的解決方法大概是不存在的,而緩解建議也是老生常談了。
對於個人使用者來說,需要養成良好的上網習慣,例如:
1. 不要使用簡單的密碼組合,也不要多個賬號使用同一密碼,最好能不定期把密碼更新一遍。
2. 不要點選瀏覽器突然跳出的彈窗廣告以及網頁上的可疑連結。
3. 警惕陌生人傳送的郵件(一般含有跳轉連結)以及好友申請資訊。
4. 謹慎使用公共網路進行賬戶登入,尤其是金融賬戶。
對於網際網路企業使用者來說,尤其是正受歡迎、使用者數量較大的網際網路線上服務提供商,必須保證自己的資料庫一直處於技術更新之中,及時發現漏洞並進行修補。但自查永遠是很難的,企業使用者最好能使用專業的安全服務,以保證自己的資料庫一直處於保護之中。