一個大洋彼岸的美國人被捕,你也脫不幹系。2023年3月15日,康納·佈萊恩·菲茲帕特裡克(ConorBrianFitzpatrick)在紐約被FBI逮捕。年僅21歲的他,運營著世界上最大的黑客論壇BreachForums。
黑客們聚集於此,販賣手頭來路各異的數據。2022 年 7 月,就有一名黑客 ChinaDan 在 BreachForums 上聲稱,自己取得近 10 億個人資料,並以 10 比特幣(當時約合 140 萬元人民幣)的價格出售。
這些數據包含近 10 億公民的姓名、地址、出生地、身份證號碼、手機號碼等關鍵的個人隱私信息。
不同化名的人在下方跟帖,討論著數據的新鮮程度,是否包含人臉信息,還有人要求發帖者提供樣本,以驗證數據是否真實。
這其中,會不會有你的數據?
黑客都是怎麼賣信息的?
通常,黑客成功盜取你的信息後的第一步(後面會講他們是如何盜取的),是清點其中有價值的數據,包括姓名、電話號碼、住址、身份證、財務信息等,並將它們錄入到數據庫中。
他們首先會私下交易這些數據。當線下交易到達瓶頸時,就會在黑客論壇上發佈,尋找更多買傢。
通過搜索引擎,你可以很輕松地進入類似 BreachForums 這樣的公開黑客論壇——是的,它就擺在明面上任由每個人進入(但目前 BreachForums 已關停)。也有一些更隱蔽的入口,比如所謂的暗網,需要通過洋蔥瀏覽器這類匿名工具才能進入。
互聯網多得是你還不知道的地方|wikimedia commons
為保證交易的公平,菲茲帕特裡克制定一整套交易規則,例如不能出售本來就公開的數據庫;必須說明數據的來源是買來的還是自己盜取的;必須提供至少十個明文樣本——即使在黑客論壇這種地下交易中,錢貨兩訖、買賣公平的原則也是不變的。
在任何國傢,大規模偷取公民信息並轉賣的行為都是違法的。這也是為什麼論壇上的大部分交易都使用比特幣來結算的原因——雖然比特幣的所有交易記錄都是透明的,但你隻能知道某個地址的交易情況,而不知道地址背後的人是誰。同時,一個人還能擁有很多地址。
數據都是怎麼定價的?
整體而言,個人信息越完整,價格也就越高——畢竟後續買傢實施詐騙也就更方便。
比如黑客 ChinaDan 後續又賣一次數據,這次它將數據分為公民數據、交易記錄數據等不同的數據庫,獲取全部數據庫的價格為 9 萬美元,其中公民數據庫的單獨標價是 7.5 萬美元。
後來這個數據庫更新個人電話號碼信息,打包價格漲到 14 萬美元。
非法數據交易還能促銷|網頁截圖
非法數據的定價也遵循供需關系的原則。2015 年,由於美國大量的個人信息被盜,每個公民的信息價格從 4 美元降到 1 美元。當一個數據庫賣得足夠多時,它就無限趨近於免費,因為隨手就可以通過搜索引擎獲得。
2005-2020,美國數據泄漏和曝光記錄統計|PBS
買賣還遵循“嫌貧愛富”的原則。通過地理位置、網購記錄、銀行賬戶等信息,可大致描繪出一個用戶畫像,其中越富裕的用戶能夠榨取的利益越多。根據安全公司 Armor 2019 年的的黑市調查報告,美國地區的數據為 30-40 美元/人,意大利為 20-25 美元/人,而墨西哥僅為 15-20 美元/人。
亞洲地區的數據也便宜|Armor 2019
買傢都拿這些數據幹嘛?
有賣傢自然就有買傢。在數據黑市交易中,買傢通常會拿這些信息進行電信網絡詐騙,例如“購物退款”、冒充“公檢法”、“交通違章提醒”等。由於買傢已經掌握你的很多基本信息,這類詐騙會顯得相當可信。
一些註冊備案的正規公司也是泄漏信息的買傢。由於通過正規渠道打廣告獲客成本相對較高,黑市的數據交易可以有效降低成本。根據《證券時報》2021 年的報道,百度競價排名的獲客成本在 60-80 元/人左右,而通過地下黑市購買用戶數據,可以將這個成本縮減十分之一。
此外,很多買傢會進行所謂的“撞庫攻擊”:拿 A 網站的帳號密碼,去 B 網站上嘗試登陸。很多用戶喜歡在不同的平臺使用統一的帳號密碼,所以往往一個網站的信息泄漏會暴露用戶的整個網絡。
還有一種廣撒網的方式。最典型的例子就是尼日利亞王子詐騙短信。騙子會謊稱自己是迪拜/尼日利亞/各種國傢的王子,因為政變或者其他原因,他的巨額銀行賬戶被凍結。隻要你匯款幾百美元給他解凍賬戶,他會給你巨額賬戶金額中的相當一部分作為報答。
回復郵件,贏千萬巨款|Wikipedia
這種騙術看起來非常低劣,但正好可以幫騙子篩選出連這類信息的真假都分辨不出來的目標客戶。而且這些郵件往往都是群發的——隻要基數足夠大,就一定會有上當的人。
黑客都是怎麼偷取這些信息的?
在準備對策之前,你需要先知道自己的信息是如何泄漏的。
一種常見的手段是暴力破解。假設一個密碼隻有四位數,那黑客最多隻要試 9999 次,就一定能找到正確的那個。這聽起來是一種非常低效的破解方式,但以網民們對自己密碼的不上心程度,黑客們可能真的在偷笑。
根據密碼管理工具 NordPass 公佈的名單,2022 年互聯網上最常用的密碼還是“password”,而排名第二位和第三位的分別是“123456”和“123456789”。不到一秒鐘,黑客就能破解這些密碼。在全世界最常見的 20 個密碼中,有 18 個都可以在一秒鐘之內被破解。
2022年最常用的10個密碼|HelpNetSecurity
如果使用這些密碼的是個人用戶還好說,倘若連管理員的密碼都如此草率的話,後果不堪設想。例如 22 端口常用於 Linux 系統的 SSH 遠程連接服務,黑客可以通過它連接到服務器。如果管理員的密碼設置得很簡單,黑客便可以輕松破解管理員賬戶,直接遠程登錄服務器,獲得和管理員相同的權限。
實際上,API 接口數據泄漏是近年來數據泄露最嚴重的方式。正常情況下,網頁或者 app 可以通過對應的 API 接口調取數據。但由於接口常暴露於公網(WAN),若管理員沒有對請求 API 接口的數據作出限制,就會導致一些數據越界請求。例如 A 向服務器請求用戶的電話號碼,但服務器不但返回電話號碼,還返回身份證號碼、傢庭住址等敏感信息。
因為這類請求種沒有任何攻擊語句,所以很難被發現。
騰訊安全把在黑客事件中出現頻率比較高的端口劃分為高危端口。根據 2018 年的數據,在 3000 多個抽樣的 Web 服務器中,開放中的高危端口仍占比 36%。
另外一種常見的攻擊方式是低技術的社會工程學騙局,最典型的例子就是偽裝成熟人,誘騙你進入指定頁面下載惡意程序,或是輸入賬戶密碼等信息。還有一些人習慣把比特幣的密鑰貼在鍵盤後面。這個時候,都不需要黑客出馬,一個小偷就可以讓你欲哭無淚。
如果你疑心自己的信息是否已經被泄漏的話,可以到 haveibeenpwned.com 查看一下。
我的 500px 和京東賬戶就泄漏。
一些危險|網頁截圖
保護好你自己
其實數據是可以被合法交易的,它被稱為數字時代的生產要素,合理的利用能產生巨大價值。目前,中國已經先後在貴州、北京、上海等城市設立大數據交易所。
在正規交易中,所有數據都經過脫敏處理,無法反向追溯到個人。
而面對防不勝防的非法侵入,首先能保護自己的,還是設定一個“好”密碼。
為規避弱密碼的風險,安全專傢通常建議用戶使用包含大小寫字母、數字和特殊字符的復雜密碼,並且越長越好。
隨著密碼長度的增加,這些字符的組合方式會以指數級別增加。例如,一臺每秒可以運算 3500 億次的計算機,破解一個 6 位密碼隻需要 4.08 秒;7 位密碼隻需 6.47 分鐘;8 位密碼需要 10.24 小時;9 位密碼需要 40.53 天;10 位密碼就需要 10.55 年。
而 macOS 內置的密碼管理器,默認生成 20 位的強密碼,例如“guhxig-mugca4-tydDon”。暴力破解這個密碼所需要的時間,可能比人類的文明史還要長。
如果你使用 Chrome 瀏覽器的密碼管理器的話,它還會提醒你有哪些密碼已經被泄漏。
我泄漏的密碼|作者提供
無論如何,牢記密碼安全三原則總是沒錯:
1、使用包含字母、數字和符號的復雜密碼
2、避免多賬號使用同一密碼
3、定期更換密碼
好,我要趕緊去修改我泄露賬戶的密碼。