本文来自微信公众号:果壳 (ID:Guokr42),作者:ttt,题图来自:《功之怒》
(资料图片)
一个大洋彼岸的美国人被捕,你也脱不了干系。
2023 年 3 月 15 日,康纳·布莱恩·菲兹帕特里克(Conor Brian Fitzpatrick)在纽约被 FBI 逮捕。年仅 21 岁的他,运营着世界上最大的黑客论坛 BreachForums。
黑客们聚集于此,贩卖手头来路各异的数据。2022 年 7 月,就有一名黑客 ChinaDan 在 BreachForums 上声称,自己取得了近 10 亿个人资料,并以 10 比特币(当时约合 140 万元人民币)的价格出售。
这些数据包含了近 10 亿公民的姓名、地址、出生地、身份证号码、手机号码等关键的个人隐私信息。
不同化名的人在下方跟帖,讨论着数据的新鲜程度,是否包含人脸信息,还有人要求发帖者提供样本,以验证数据是否真实。
这其中,会不会有你的数据?
黑客都是怎么卖信息的?
通常,黑客成功盗取你的信息后的第一步(后面会讲他们是如何盗取的),是清点其中有价值的数据,包括姓名、电话号码、住址、身份证、财务信息等,并将它们录入到数据库中。
他们首先会私下交易这些数据。当线下交易到达瓶颈时,就会在黑客论坛上发布,寻找更多买家。
通过搜索引擎,你可以很轻松地进入类似 BreachForums 这样的公开黑客论坛——是的,它就摆在明面上任由每个人进入(但目前 BreachForums 已关停)。也有一些更隐蔽的入口,比如所谓的暗网,需要通过洋葱浏览器这类匿名工具才能进入。
为了保证交易的公平,菲兹帕特里克制定了一整套交易规则,例如不能出售本来就公开的数据库;必须说明数据的来源是买来的还是自己盗取的;必须提供至少十个明文样本——即使在黑客论坛这种地下交易中,钱货两讫、买卖公平的原则也是不变的。
在任何国家,大规模偷取公民信息并转卖的行为都是违法的。这也是为什么论坛上的大部分交易都使用比特币来结算的原因——虽然比特币的所有交易记录都是透明的,但你只能知道某个地址的交易情况,而不知道地址背后的人是谁。同时,一个人还能拥有很多地址。
数据都是怎么定价的?
整体而言,个人信息越完整,价格也就越高——毕竟后续买家实施诈骗也就更方便。
比如黑客 ChinaDan 后续又卖了一次数据,这次它将数据分为了公民数据、交易记录数据等不同的数据库,获取全部数据库的价格为 9 万美元,其中公民数据库的单独标价是 7.5 万美元。
后来这个数据库更新了个人电话号码信息,打包价格涨到了 14 万美元。
非法数据交易还能促销|网页截图
非法数据的定价也遵循供需关系的原则。2015 年,由于美国大量的个人信息被盗,每个公民的信息价格从 4 美元降到了 1 美元。当一个数据库卖得足够多时,它就无限趋近于免费,因为随手就可以通过搜索引擎获得。
2005-2020,美国数据泄露和曝光记录统计|PBS
买卖还遵循“嫌贫爱富”的原则。通过地理位置、网购记录、银行账户等信息,可大致描绘出一个用户画像,其中越富裕的用户能够榨取的利益越多。根据安全公司 Armor 2019 年的黑市调查报告,美国地区的数据为 30-40 美元/人,意大利为 20-25 美元/人,而墨西哥仅为 15-20 美元/人。
亚洲地区的数据也便宜|Armor 2019
买家都拿这些数据干嘛?
有卖家自然就有买家。在数据黑市交易中,买家通常会拿这些信息进行电信网络诈骗,例如“购物退款”、冒充“公检法”、“交通违章提醒”等。由于买家已经掌握了你的很多基本信息,这类诈骗会显得相当可信。
一些注册备案的正规公司也是泄露信息的买家。由于通过正规渠道打广告获客成本相对较高,黑市的数据交易可以有效降低成本。根据《证券时报》2021 年的报道,百度竞价排名的获客成本在 60-80 元/人左右,而通过地下黑市购买用户数据,可以将这个成本缩减十分之一。
此外,很多买家会进行所谓的“撞库攻击”:拿 A 网站的帐号密码,去 B 网站上尝试登陆。很多用户喜欢在不同的平台使用统一的帐号密码,所以往往一个网站的信息泄露会暴露用户的整个网络。
还有一种广撒网的方式。最典型的例子就是尼日利亚王子诈骗短信。骗子会谎称自己是迪拜/尼日利亚/各种国家的王子,因为政变或者其他原因,他的巨额银行账户被冻结了。只要你汇款几百美元给他解冻账户,他会给你巨额账户金额中的相当一部分作为报答。
回复邮件,赢千万巨款|Wikipedia
这种骗术看起来非常低劣,但正好可以帮骗子筛选出连这类信息的真假都分辨不出来的目标客户。而且这些邮件往往都是群发的——只要基数足够大,就一定会有上当的人。
黑客都是怎么偷取这些信息的?
在准备对策之前,你需要先知道自己的信息是如何泄露的。
一种常见的手段是暴力破解。假设一个密码只有四位数,那黑客最多只要试 9999 次,就一定能找到正确的那个。这听起来是一种非常低效的破解方式,但以网民们对自己密码的不上心程度,黑客们可能真的在偷笑。
根据密码管理工具 NordPass 公布的名单,2022 年互联网上最常用的密码还是“password”,而排名第二位和第三位的分别是“123456”和“123456789”。不到一秒钟,黑客就能破解这些密码。在全世界最常见的 20 个密码中,有 18 个都可以在一秒钟之内被破解。
2022年最常用的10个密码|HelpNetSecurity
如果使用这些密码的是个人用户还好说,倘若连管理员的密码都如此草率的话,后果不堪设想。例如 22 端口常用于 Linux 系统的 SSH 远程连接服务,黑客可以通过它连接到服务器。如果管理员的密码设置得很简单,黑客便可以轻松破解管理员账户,直接远程登录服务器,获得和管理员相同的权限。
实际上,API 接口数据泄露是近年来数据泄露最严重的方式。正常情况下,网页或者 app 可以通过对应的 API 接口调取数据。但由于接口常暴露于公网(WAN),若管理员没有对请求 API 接口的数据作出限制,就会导致一些数据越界请求。例如 A 向服务器请求用户的电话号码,但服务器不但返回了电话号码,还返回了身份证号码、家庭住址等敏感信息。
因为这类请求没有任何攻击语句,所以很难被发现。
腾讯安全把在黑客事件中出现频率比较高的端口划分为高危端口。根据 2018 年的数据,在 3000 多个抽样的 Web 服务器中,开放中的高危端口仍占比 36%。
另外一种常见的攻击方式是低技术的社会工程学骗局,最典型的例子就是伪装成熟人,诱骗你进入指定页面下载恶意程序,或是输入账户密码等信息。还有一些人习惯把比特币的密钥贴在键盘后面。这个时候,都不需要黑客出马,一个小偷就可以让你欲哭无泪。
如果你疑心自己的信息是否已经被泄露的话,可以到 haveibeenpwned.com 查看一下。
我的 500px 和京东账户就泄露了。
一些危险|网页截图
保护好你自己
其实数据是可以被合法交易的,它被称为数字时代的生产要素,合理的利用能产生巨大价值。目前,中国已经先后在贵州、北京、上海等城市设立了大数据交易所。
在正规交易中,所有数据都经过脱敏处理,无法反向追溯到个人。
而面对防不胜防的非法侵入,首先能保护自己的,还是设定一个“好”密码。
当然也要好好记住密码哦|giphy
为了规避弱密码的风险,安全专家通常建议用户使用包含大小写字母、数字和特殊字符的复杂密码,并且越长越好。
随着密码长度的增加,这些字符的组合方式会以指数级别增加。例如,一台每秒可以运算 3500 亿次的计算机,破解一个 6 位密码只需要 4.08 秒;7 位密码只需 6.47 分钟;8 位密码需要 10.24 小时;9 位密码需要 40.53 天;10 位密码就需要 10.55 年了。
而 macOS 内置的密码管理器,默认生成 20 位的强密码,例如“guhxig-mugca4-tydDon”。暴力破解这个密码所需要的时间,可能比人类的文明史还要长。
如果你使用 Chrome 浏览器的密码管理器的话,它还会提醒你有哪些密码已经被泄露了。
我泄露的密码|作者提供
无论如何,牢记密码安全三原则总是没错:
1. 使用包含字母、数字和符号的复杂密码
2. 避免多账号使用同一密码
3. 定期更换密码
好了,我要赶紧去修改我泄露账户的密码了。
参考文献
[1] https://www.pbs.org/newshour/science/heres-how-much-your-personal-information-is-worth-to-cybercriminals-and-what-they-do-with-it
[2] https://cdn.armor.com/app/uploads/2018/10/2019-Q3-Report-BlackMarket-SinglePages-1.pdf
[3] https://data.hackinn.com/ppt/2019第五届互联网安全领袖峰会/信息泄露:2018企业信息安全头号威胁报告.pdf
[4] https://news.stcn.com/sd/202103/t20210324_2944755.html
本文来自微信公众号:果壳 (ID:Guokr42),作者:ttt
关键词: