中国 · 武汉

公民信息黑产报价单曝光 网站成泄露隐私重灾区

日期:2020-06-11 09:48:49

地下黑产报价单曝光 手机话单最贵3000元

私家侦探及地下要债公司幕后推高公民信息售价,电商、游戏等网站成泄露隐私重灾区


进入3月以来,陌生骚扰来电进入高发期。一边是各地公安机关不断加大严打力度,另一边是被捣毁地下黑产窝点规模依然在不断壮大。

而类似的诈骗行为之所以屡禁不止,与网络黑色产业链的不断成熟、日趋发达有直接关系。近日,一份来自地下黑产的公民信息报价单浮出水面,其中手机话费详单的单条报价就高达3000元,黑产暴利让人诧异。

“报价单”浮出水面

去年以来,全国各地公安部门进入了严打个人信息非法交易的高峰期,全国一批黑产犯罪团伙陆续落网。而通过安全技术顾问身份加入到打黑战役的腾讯守护者计划安全团队,通过梳理几次重大案件中犯罪分子公认的信息,于日前发布了一份黑产公民信息报价单,涉及十三项公民信息种类,报价最低1元一条,最高达到3000元。私家侦探及地下要债公司是在幕后推高公民信息售价的主要根源。

根据报告显示,报价最高的是手机话费账单(详单),每一份的报价高达2000元~3000元。一位业内人士透露,由于话费账单中可能涉及各类商务往来的关键信息,因此经常流通于私家侦探业务市场以及非法讨债公司之间,甚至会有商业间谍依托查询竞争对手的手机通话信息来获取关键突破信息,牟取暴利。因此目前,这一类信息在地下黑市的报价最高。

其次是公民银行流水单,每份的报价为1000元~3000元,其中最大的买主同样是来自私家侦探业务以及非法讨债公司。这两大逐步形成成熟交易链条的行业是目前地下黑产最为稳定且主流的交易“伙伴”,而随着国家对地下黑产市场的严打,敏感调查对象的价格正在水涨船高。

此外,另一股与信息泄露相关的犯罪势头也在不断上升,窃取用户信息后再加工,其中PS动态认证视频,每组视频报价1000~2000元,用于冒用他人身份注册网店,或进行第三方支付平台账户实名认证;而PS企业五证的报价为800~1000元/套。看似简单的技术操作,背后却包含危险动机,除了申请支付接口外,这些假证件用于转移非法资金及洗黑钱;或者冒用他人企业名义,开办虚假诈骗网站或钓鱼网站,以及推动恶意贷款率的上升。

身份证户籍信息、制作假文凭、假证书、开房记录、手机基站位置等信息在地下黑产的报价相对较低,平均在10~500元之间不等。但危害却不容忽视,其中身份证户籍信息的泄露,可让犯罪分子用来冒名办理信用卡,冒名在网贷平台恶意贷款以及冒名开办银行卡及第三方支付账号,接收和转移非法资金及洗黑钱;冒名挂失他人手机号码,为实施诈骗等犯罪作准备,一旦犯罪分子成功,对公民人身安全、账户安全将形成不可估量的危害。


网站成信息泄露最大源头

近两年来,国家信息安全相关部门频频出手严打公民信息泄露源头,从目前来看,数据量巨大的电商网站、游戏网站以及不少O2O应用都是犯罪分子紧盯的重要目标。

京东在今年3月被爆出涉及50亿条公民信息泄露,这已经是去年下半年京东因网站框架缺陷导致大规模用户信息泄露以来第二次曝光的安全事件。据京东官方消息,涉及信息泄露的是2016年6月底入职京东、尚处于试用期的网络工程师郑某鹏,他是黑产团伙的重要成员,曾就职亚马逊中国、百度和新浪微博从事网络安全相关工作,长期与盗卖个人信息的犯罪团队合作,通过各种方式贩卖。同时该团伙通过入侵社交、游戏、视频直播、医疗等各类公司的服务器,非法获取用户账号、密码、身份证、电话号码、物流地址等公民信息50亿条。

此外,黑客大多数是通过攻击网站获取公民信息。去年5月,江阴警方破获的全国最大一例盗取和倒卖公民个人信息案件中,警方发现涉案人员遍布全国15个省市,主要通过大肆攻击各种类型网站,非法盗窃1.1亿条公民个人信息、新鲜数据6000万多条进行售卖。网名为“佳佳拍”邱同(化名)通过QQ沟通,从上游黑客或内鬼手中获得信息资料,再转手卖给下游以欺诈团伙为主的买家;邱同共有3个QQ号,用于和不同的上下线买卖数据;涉及QQ群46个,群成员高达2万多人。

今年2月28日上午,广东省警方在“飓风1号”专案行动中摧毁侵犯公民个人信息犯罪团伙6个,抓获犯罪嫌疑人138名,缴获涉及全国公民个人信息近1亿条。在这背后正是一家私人讨债公司在作祟。犯罪团伙借资产管理公司广州分公司名义,购买金融单位不良债权,通过追讨欠债获利。为准确掌握债务人身份、地址等个人信息,大规模“搜索”各个债务人员的开房、电信、快递等一系列信息,由此形成巨大犯罪网站,这个犯罪团伙自称“16K”,即可以快速准确获取多达16个省的公民个人信息及行踪。而做到这一切,只需要通过一台笔记本电脑和公共无线网络,就能入侵绝大多数网站。

因此除了个人增强防范意识外,互联网企业也应该加大数据安全防控的投入。业内人士认为,过去不少互联网企业为了节省成本,很少主动增加安全防控领域的投入,很多企业都抱着信息泄露与企业业务无直接关联的想法,即便被攻击瘫痪,处理解决的开支也远低于在安全防控上的投入。因此随着互联网对人们生活的影响日益增大,互联网企业应该具备更多责任意识,担负起公民信息安全防护的重要职责。(来源:IT时报)