近日,苹果ID勒索、银行卡盗刷、网贷平台遭羊毛党薅干等热点新闻集中爆发,黑产之猖獗,已超乎人们想象,对黑产的讨伐之声络绎不绝。
事实上,攻防之间,一直都是一场实力悬殊的战争。黑客信息共享,互通有无,攻击能力倍增;而白帽们(防守方的安全人员,被称为白帽子黑客,简称白帽),却各自为战,常沦为被动防守,或“救火员”。
一直有人试图打破这种悬殊,却没有一个切实可行的方式。近日,通付盾攻防实验室负责人风宁在xkungfoo 2016年安全大会上,正式公布:两年内,将悬赏2500万,征集羊毛党、刷单、数据泄露、漏洞等线索。
不论是黑客大拿,还是技术小白,只要提供有价值线索,就能获得奖金。
用金钱的杠杆,试图撬动信息的不对等,这条路,可以走通吗?
3小时银行卡被洗劫数万
因向10086发送了一条短信,半小时后手机无服务,三小时内3张银行卡数万元资金被盗取。
日前,90后Merci在网上贴出了自身的遭遇,他被迫亲眼见证了骗子一步步通过支付宝、百度钱包,一笔笔转走三张银行卡内所有资金的整个历程。
这场精心布置的骗局,暴露出一个不得不面对的现实:Merci重要的个人信息,如身份证、银行卡、手机号、139网站密码等重要个人信息,完全泄露。
黑产之手,已延伸到普通百姓生活,到了触手可及的地步。
事后,Merci向警方报案,与三家银行、中国移动、支付宝和百度钱包联络,但已损失的资金依旧没能完全追回来。
“到目前为止,我始终没有搞明白,我是如何把自己的信息泄露得如此完整”,其实,这是一场细思极恐的骗局,Merci也不是网络信息泄露的唯一牺牲品。
随着网络发展,信息交流越来越频繁,信息泄露问题也屡见不鲜,国内的信息安全形势十分严峻。
《2015年中国网站安全报告》中发布了2015年国内外十大网站安全事件。其中,国内“社保系统被曝漏洞,泄露数据5279.4万”、“大麦网600多万用户账号密码数据被泄露售卖”等事件榜上有名。
去年,最严重的数据泄露爆发在网易邮箱,泄露数据总量高达5.4亿。虽然事后网易方面否认,但大量网友反映,与网易邮箱相关的微博、视频网站、甚至苹果账号均被盗用。
近日,人民日报发文称,有78.2%的网民个人身份信息被泄露过,63.4%的网民个人网上活动信息被泄露过;而有82.3%的网民亲身感受到了个人信息泄露给日常生活造成的影响。
网民被泄露的信息主要分为两类:个人信息包括姓名、身份证号、手机号码、家庭住址、工作单位、邮箱账号和密码、网购信息、购车、购房情况、医疗信息等各类信息;网上活动信息包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等,涵盖范围非常广泛。
这些泄露的数据,最终成为不法分子获利的工具。
完整、庞大、精密的黑色产业链
仅在2015年一年,中国网民因信息泄露问题,导致的损失是805亿人民币——这只是对外公开的可查数据。
这意味着,黑产每年将产生近千亿的市场。
“这巨大的经济损失背后,是一条完整、庞大、精密的黑色产业链。”通付盾首席安全官风宁表示。
说起来,在中国安全圈上,风宁是一个不得不提的名字,作为黑客圈元老级人物,他曾经带领他的团队创造过很多纪录和传奇。
如今,他成为了通付盾攻防实验室的负责人,据说,实验室已集结十多位不同领域的顶级安全技术专家,风宁试图打造中国最顶尖的安全战舰和白帽团队。
通付盾一直的口号就是“反三党”——羊毛党、黄牛党和山寨打包党,而羊毛党是通付盾的重点对抗目标,风宁的这个举动,也正是“反羊毛”的重要一步。
风宁介绍,黑产上游主要的业务线,就是盗取信息。
获取用户数据的方式有很多,最常见的,就是黑客攻击网站,从其中盗取用户数据。但另外一个不可忽视的途径是,内鬼泄露数据。
去年3.15前夕,京东被曝出大量用户隐私信息遭到泄露。据《法制晚报》报道,京东三名负责物流的员工通过QQ群联系买家,共出售了9313条客户信息。
这也就意味着,京东大量的用户数据外泄,源于内鬼。
这样的数据,其实并不值钱。再来看另一起案例,2013年,媒体曝光,圆通大量订单信息外泄,在淘宝上公开出售,一条一元,需求量极大的话,每条只要0.3元。
地下黑市中,用户信息的公开叫卖,早就不是新鲜事。需求方只要花费100-300元,就可根据地区、卡类型、U盾、快捷方式等打包购买银行卡、身份证。
在黑产的下游,有大量的刷单公司和羊毛党,利用这些数据进行诈骗、勒索、薅羊毛。
这两年,O2O遍地开花,P2P热火朝天,导致了刷单公司和羊毛党的猖獗,一个高级刷手,一天能收入数万元。
P2P网贷行业野蛮扩张的时期,也是羊毛党疯狂薅钱的时刻,有不少P2P平台,因产品设计疏漏、安全系统问题,被硬生生薅干。
力量悬殊的攻防战
用风宁的话说,这是一场实力悬殊的战争。
2014年,是美国最大金融服务机构之一——摩根大通银行,遭到黑客攻击,约7600万家庭和700万小企业客户的姓名、地址、电话号码、电邮信息外泄。
今年4月,一起震惊世界的网络攻击发生在孟加拉国,该国央行被网络黑客盗走了1亿美金。卡巴斯基实验室创始人尤金·卡巴斯基提出,各国金融系统可能会遭遇越来越多的黑客攻击。
黑客盯上金融行业,是顺理成章的事情,因为这个行业多金,且有大量高性价比的用户数据。
风宁也注意到这个趋势。从这些案例都能看出,黑客的技术,已非常前沿,并出现了跨国合作、交互。
而现在的安全技术,大部分都是被动保护。从理论上说,一般都是先有攻击,再有应对,在时间上就有滞后性。
攻防的悬殊,正在持续加大。风宁认为,最核心的原因,在于信息的不对等。
风宁称,前段时间,某手机充值平台漏洞被黑客发现,用一个小工具进行修改后,充值1分,就能入账100元。
立马变成一场薅羊毛的盛宴。
黑客们在各个微信群里扩散,并附上完整攻略、小工具。
“黑客们的心理就是,我一个人玩,不如大家一起玩”,风宁说,这种共薅羊毛、显摆的心理,导致黑产内的攻击技术是共享的。
然而,安全公司之间,信息却是封闭的,很多时候,安全公司把防守经验作为内部资料留存,如果防守失败,更是家丑不可外扬。
于是,双方实力越发悬殊。
也有人尝试突破这层壁垒。比如,乌云网,白帽子黑客可以在乌云网上公布自己发现的企业漏洞。但大多“白帽子”曝的web应用漏洞,和业务关联度不深,没有实际指导性。
有实力的公司,如腾讯、阿里等,自建了SRC(安全应急响应中心),这也是一套悬赏机制——白帽黑客可以发现他们网站的漏洞,提交上来就给予一定的金额奖励。
但这些方式,都无法本质上解决信息不对称的问题。
风宁提出了一个新的解决方式。2016年,通付盾攻防实验室悬赏500万,公开全社会征集黑产和羊毛党线索,可以是他们的操作手法、技术手段以及特有的工具,任何有价值的线索都可能被采纳。
因此,风宁把奖励等级分为100到5万等多个等级,根据线索价值支付金额。
“提供线索的人,最有可能是黑产内部的人”,风宁试图用金钱“策反”他们,比如前段时间的充值时间,很有可能一个羊毛党,薅完之后就将线索卖了。
这还只是一个开始,风宁称,如果效果好,2017年,悬赏金额将增加到2000万。
“这样就可以帮助企业有效止损,本来要被薅走100万,可能20万时候我们就发现了漏洞”,风宁说,他就想通过这种方式,建立起安全与黑产的纽带,让信息在一定程度上流通。
值得一提的是,这个有奖征集,与其他的平台征集完全不同,征集对象不再局限在有技术基础的安全人员和白帽子,普通网民也可以参与。
比如一个打车的用户,发现司机在打车软件中刷单,都可以举报。
风宁试图打破行业壁垒,让所有有价值的线索汇聚。
风宁这种对抗黑产的方式,倒真有点“借力打力”的意思——借着黑产链条内人性的贪婪,来遏制黑产。
发表评论