法律小科普
近日“5亿微博用户数据泄露 工信部约谈微博”上过一波热搜,从客观上说明我国现在对个人数据安全问题是十分重视的。2017年6月1日起施行的《中华人民共和国网络安全法》)就有多条提及个人信息泄漏的相关规定。而在同日施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中更是有明文如下:
1 | 第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”: |
刑法相关规定中的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
刑法规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
这里不得不老生常谈:“赚钱的生意都写在刑法上呢!”
在此,强烈推荐混安全圈的小伙伴们日常熟读安全法,时刻警醒自己,切勿越界操作。
现代社会中的身份信息
在互联网高度发展的现代社会,核实个人身份信息的方式多种多样,比如:人脸识别、实名手机号验证、实名银行卡验证等,但归根结底,这些用于认证的信息都是以身份证(ID card)这个原数据为基础。
简言之:没有身份证和户口簿,你都没法证明你是你自己。(PS: 补办身份证需要户口簿,要是户口簿也丢失了,可以补办,但是过程就相当麻烦了)
而反之,如果别人拥有了你的身份证,在一定程度他可以证明他是你。(比如莫名其妙成为某公司的“法人”)
虚假身份
对于一个普通人来说,获得一个虚假身份,其实并没有什么用。
但对于有特殊需求的人来说,有了虚假身份的确好办事(比如有多个身份证/户口的某龚姓房姐,etc.)。特别是对从事特殊产业的人来说,虚假身份是最为重要的生产资料,堪称“安身立命之本”。毕竟,若没有虚假身份做掩护,黑产从业者在进行“骗贷、漏洞攻击、薅羊毛、洗钱”等黑产活动时还是极易被网警反查到的。
黑产售卖个人信息的形式
虚假信息产品分类
四件套
虚假身份资料的交易,是黑产交易市场的必需品,其中最著名的就是“四件套”(所谓的四件套,即全套身份伪装信息,具体指身份证原件+身份证对应手机卡+身份证对应银行卡+网银U盾,一般来说银行卡都是已经开通网银和U盾配对的,某些手机卡甚至还会预存话费。)
如下图(图片源自网络):
这种标准四件套,相较三和大神单卖个身份来说,堪称高端产品了。一般的“四件套”价格几百到一千多的都有,需要定制化的信息越多,价格越贵。(你问怎么办出来的,毕竟没有不透风的墙。至于定制化,毕竟某些以团体诈骗出名的地区,早就上信贷风控地域黑名单了)。以前看过破获黑产团伙的报道,提到过单卖四件套的黑产年入100W+不成问题,这还没算其它黑产产业的收入。不禁想起某安全大佬说过“做安全的,一定要抵得住诱惑”。
数据信息
有高端产品,自然也有低端产品,毕竟高端黑产产品还是一定程度上有门槛的。常见的低端产品,如手机号码、详细住址、姓名、收入情况等(装修、购房、快递信息),或者身份证正反面照片(App认证信息)、手持身份证正反面照(网贷认证信息)。
售卖方式
其实在国家一波规定和各大平台技术人员的努力下,大部分敏感的相关词汇都是屏蔽了的。但是,这可挡不住以暴利驱动的黑产从业者。
1.正规平台:拍下替换商品,支付后,由卖家发货。(一般卖家都有一个阴阳目录,这里我简称AB目录,正规平台上架的都是目录A中的产品,实际发货是对应条的目录B中的产品。当然随着各平台大数据风控水平提升,黑产产品基本都是转向方式2售卖了,擦边球灰产产品倒是还不时能在某平台上搜到)
2.非正规方平台:Darknet挂单、小众app群叫卖。
交易方式
其实搜集分析下信息,很容易看清国内黑产的交易方式,大致为3类:
1.购买“装修、购房、快递信息”这类低端信息的,一次交易数额一般不会很大,所以一般是固定人员(熟人)当面现金支付。
2.购买高端产品的,基本就是小众app+黑话沟通,虚拟货币支付。
3.自建平台进行交易,多在境外。(比如去年广为人知的“杀猪盘”套路配套平台)
黑产数据来源
1.网站公开数据库抓取
1 | 某些机构直接公开在网上的一些数据就包含个人隐私信息,又或者通过越权访问获取到一些信息,当然这些只是少数。 |
2.入侵网站撞库、拖库
1 | 黑客入侵一些网站后,通过技术手段拖库或撞库获取到大量个人数据信息,这也是黑产历史最悠久的牟利方式之一。 |
3.地下社工库
1 | 早年在黑客圈还在野蛮生长的时代,网上有不少基于几次数据泄漏事件数据库构建的开源社工库,后来随着政策规定,这些平台都潜入水底。但是,在大数据技术发展的今天,没人用地下社工库牟利我是不信的。 |
4.针对性向数据持有人购买
1 | 这个最早其实是来自销售行业的。 |
5.社会工程学
1 | 比如兼职招聘和社会招聘,有得会要求发送学位证、身份证等信息,很多人为了求得一份工作,也不会在意这些,心甘情愿贡献出自己的信息而不知其潜在风险。甚至有的公司根本就不招人,只是挂个假招聘信息骗简历和证件照的。 |
所以,各公司单位保障数据安全还是任重而道远的。
保护个人隐私的常规操作
那么,对于隐私保护,我们就一点办法都没有了吗?答案当然是否定的。诚然,在大数据和智能终端高度发展的今天,为了便利安全使用一些App的功能,我们不得不把一些个人信息授权给各公司平台(说的就是某些App一堆没必要的权限申请,不同意授权还不能用的操作)。但是在生活中适当提高个人安全意识,还是多少能保护一点我们的个人隐私的。
个人建议如下:
- 保管好自己的手机、户口、身份证等物品,若不慎失去,一定要及时去相关机构办理挂失并保号重新办理,减少引发后继风险的可能性。(做好这条将极大降低后面1、2、3发生的概率)
- 定期去运营商营业厅查寻自己名有几个手机号,有哪些号是自己不用但还没有注销的,或者根本就不是自己办的,该销号的要号。
- 定期去银行查寻自己名下有几张卡,卡中有没有出现一些自己不知道来源的业务和授权,如果有可疑的卡立刻办理停用和销卡,不能销卡的也一定要冻结。
- 登录个人所得税App,查查看自己是否被“法人”。
- 找工作时遇到需要提供身份证正反面或学位证等招聘信息时,多留个心眼,记得在图片上加上“仅限应聘XX公司使用”(你说你不会PS,网上找个加水印工具不难吧?当然,个人还是建议你本地PS最安全,保不齐图片上传到在线工具的时候被悄悄备份了一份呢)
- 遇到一些原因要求登记信息时,多动动脑子,要注意合理性,特别是要拍你身份证或者持证照片的时候。
- 人像采集时要谨慎,以防莫名其妙”被换脸”到某些图片和视频中。
- 对于一些没必要实名的信息,用化名也是个good idea。