吳雪

見獵心喜的薅羊毛頭目。漫畫/ 崔泓

“能不能別幫我值機(jī)，我機(jī)票都刷不出來了?！?1月4日，藝人李汶翰更新了微博，吐槽個人信息被泄露一事。顯然，有粉絲購買了李汶翰的身份證信息，幫他在網(wǎng)上“值機(jī)”選座位，且不止一人這么做，才會導(dǎo)致機(jī)票信息被鎖定，票證信息無法顯示。

李汶翰的苦惱，同樣發(fā)生在普通人中間，“信息泄露”的無形之手無孔不入，售賣個人信息只是冰山一角。當(dāng)你剛剛跨境大額消費(fèi)，手機(jī)立馬接到貸款、理財?shù)韧其N電話;和好友沉浸在游戲里刷夜開黑，突然手機(jī)彈出自動扣款信息;甚至，無論等候多提前、操作多快，網(wǎng)上掛號、秒殺產(chǎn)品通通與你絕緣……

生活中看似毫無破綻的小事，實際背后暗藏玄機(jī)。2019年國家網(wǎng)絡(luò)安全宣傳周上，有專家指出，數(shù)據(jù)非法售賣、瀏覽器主頁劫持、惡意程序等違法行為背后，暗藏著一條長長的網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈，統(tǒng)稱為“網(wǎng)絡(luò)黑產(chǎn)”。據(jù)《電子商務(wù)生態(tài)安全白皮書》顯示，數(shù)十億對賬號密碼關(guān)系被地下黑色產(chǎn)業(yè)鏈掌握，被用來進(jìn)行黑色交易，衍生出電信詐騙、虛假注冊認(rèn)證、虛假交易等違法獲利行為。

更驚人的是，根據(jù)測算，中國“網(wǎng)絡(luò)黑產(chǎn)”從業(yè)人員已超過150萬，他們專業(yè)化程度高，成組織化、公司化運(yùn)作，分布在國內(nèi)及東南亞等海外地區(qū)，市場規(guī)模高達(dá)千億元級別。而我們每個人，每一天都在遭受著網(wǎng)絡(luò)黑產(chǎn)的攻擊，據(jù)不完全統(tǒng)計，僅2016年在黑市上泄露的個人信息就達(dá)到65億條次，我國平均每個人的個人信息被至少泄露了5次。

一直被嚴(yán)打，始終難根除。面對日益猖獗、方法手段不斷翻新的網(wǎng)絡(luò)黑產(chǎn)，如何才能實現(xiàn)有效治理，個人信息保護(hù)利用的界限在哪里？監(jiān)管與黑產(chǎn)是一個長期斗爭，法律層面還需從哪方面補(bǔ)足？華東政法大學(xué)大數(shù)據(jù)政策法律研究中心主任高富平在接受《新民周刊》采訪時表示，目前打擊信息犯罪的技術(shù)手段已經(jīng)很成熟，但真正的解決之道并不止于此。

謀暴利：“網(wǎng)絡(luò)黑產(chǎn)”抱團(tuán)運(yùn)作

漏洞銀行聯(lián)合創(chuàng)始人、CTO張雪松在接受《新民周刊》采訪時表示，網(wǎng)絡(luò)黑產(chǎn)分為不同環(huán)節(jié)和階段，站在一個黑產(chǎn)鏈條上來說，中上游先負(fù)責(zé)手機(jī)黑產(chǎn)資源、定制平臺、賬號、木馬病毒等做基礎(chǔ)和工具，下游則將黑產(chǎn)活動“成果”進(jìn)行交易變現(xiàn)，譬如，羊毛黨、網(wǎng)賺黨、打碼黨就是執(zhí)行變現(xiàn)動作的人。

張雪松認(rèn)為，通常，源頭上獲取個人信息的途徑有兩種。首先通過黑客黑掉網(wǎng)站，獲取用戶名、密碼及賬號權(quán)限，行業(yè)內(nèi)稱之為“社工庫”，接著拿這些信息進(jìn)行“撞庫”，試試是不是同一個用戶名和密碼，從而一舉攻下支付寶、微信、郵箱等平臺的信息，或者通過劫持網(wǎng)絡(luò)wifi，盜取大型網(wǎng)站信息庫，一夜之間賺取幾百萬、幾千萬元。

其次，個人信息還可通過外采得到。張雪松透露，目前市面上某些不陽光的數(shù)據(jù)公司，表面上做信息安全業(yè)務(wù)，私下卻在搞“買盒子”“買信封”的信息交易?！八麄冇幸粋€很全的總庫，專門做數(shù)據(jù)生意。比如，一個信封包著一個賬號，一個盒子則包含幾百個賬號，價格上一手比較高，最貴達(dá)到幾毛一個，如果幾百萬、幾千萬地批量購買，價格可低至2分錢?！?blockquote>

目前市面上某些不陽光的數(shù)據(jù)公司，表面上做信息安全業(yè)務(wù)，私下卻在搞“買盒子”“買信封”的信息交易。

“黑賬號”的接盤對象正是黑產(chǎn)從業(yè)者，在一家專門批發(fā)微信號的網(wǎng)站，記者注意到，號商針對不同從業(yè)者需求將微信號分為國內(nèi)號、國外號、私人號、滿月號、站街號等。比方說，涉賭者怕被封號，需要買一個新微信號，最低一檔35元;色情行業(yè)則購買“站街號”，240元，因注冊時間長、發(fā)過朋友圈，就算發(fā)布精確位置，也能輕松躲過平臺風(fēng)控監(jiān)管。

由于使用時間越長、越像正常的微信賬號，越不容易被人察覺。一些洗錢詐騙集團(tuán)為了把錢洗白，則需要用到大批量帶有支付功能的微信號。這就在下游衍生出一個專門對微信號進(jìn)行美化的“養(yǎng)號”產(chǎn)業(yè)。

2019年6月，在廣東警方破獲的一處微信號商工作室，號商給幾百臺正在養(yǎng)號的手機(jī)，安裝上觸控精靈，將數(shù)據(jù)放在電腦腳本，通過后臺指令手機(jī)每天自動登陸微信、掃碼添加好友，發(fā)朋友圈。近期最典型的“殺豬盤”正是利用虛擬賬號進(jìn)行的網(wǎng)絡(luò)戀愛賭博騙局。詐騙者通過微信、世紀(jì)佳緣、珍愛網(wǎng)、探探等社交賬號，長期與受害者交往，為達(dá)到一定量級，號商還會向客戶提供“定制服務(wù)”，在程序中輸入指定圖片、文字做出與人設(shè)相匹配的回復(fù)。

如果遇到用戶注冊登錄時，需要實名制、輸入手機(jī)實時驗證碼的情況，上游“卡商”完備的生態(tài)鏈也可幫助輕易搞定，據(jù)一位從業(yè)多年的卡商透露，一些接碼平臺甚至入駐微信，黑產(chǎn)人員只需通過卡商和接碼平臺即可獲得驗證碼，再利用自動化程序工具，完成整個流程?！澳壳拔易约菏掷镂沼袔装偃f張手機(jī)SIM卡，可為上萬個平臺、網(wǎng)站提供服務(wù)?！?p>

2019年6月，在廣東警方破獲的一處微信號商工作室，號商給幾百臺正在養(yǎng)號的手機(jī)，安裝上觸控精靈，將數(shù)據(jù)放在電腦腳本，通過后臺指令手機(jī)每天自動登陸微信、掃碼添加好友，發(fā)朋友圈。

與黑賬號不同，黑軟件實施違法行為最關(guān)鍵的角色就是黑客。

與黑賬號不同，黑軟件實施違法行為最關(guān)鍵的角色就是黑客，以黑產(chǎn)活躍的游戲領(lǐng)域為例，黑客通常會對知名App做二次打包，將木馬程序插入安裝包，掛在各大網(wǎng)站供免費(fèi)下載，只要用戶下載了軟件，手機(jī)自然就會被黑客操縱，進(jìn)行暗扣話費(fèi)、刷流量、盜號圈錢等非法行為，甚至復(fù)制仿冒銀行等大型App，引誘用戶提供賬號密碼等敏感信息，進(jìn)而利用釣魚網(wǎng)站竊取受害人資產(chǎn)。

黑客也瞄準(zhǔn)了App的廣告收益，一般來講，App用了廣告聯(lián)盟的插件計算流量進(jìn)行廣告分成?！耙粋€瀏覽幾毛錢或幾元錢，一天上下好幾百萬元的廣告收益。在交易過程中，黑客會做成木馬小游戲嵌入其中，污染軟件并將廣告收益賬號篡改為黑客自己的賬號，從中劫持絕大部分廣告收益分成。”張雪松說。

除了黑賬號、黑軟件的肆意猖獗，惡意平臺也是互聯(lián)網(wǎng)黑灰產(chǎn)業(yè)鏈鏈接上下游的運(yùn)轉(zhuǎn)核心。據(jù)調(diào)查，各類資源、工具以及犯罪手段、經(jīng)驗，都需要通過“惡意平臺”來交流、運(yùn)轉(zhuǎn)。目前，惡意平臺分為三類，惡意網(wǎng)站、惡意論壇和惡意群組。以空包交易平臺為例，賣家為提高店鋪信譽(yù)，聯(lián)合刷手（刷單平臺）進(jìn)行虛假交易時，產(chǎn)生大量非真實的快遞訂單;惡意論壇則將黑灰產(chǎn)技術(shù)、信息賣家與買家聚集在一起，用于存放著大量黑灰產(chǎn)更新資源，成為黑灰產(chǎn)滋生各種犯罪行為的溫床。

有案例報道，一個論壇管理員在一個月內(nèi)通過論壇發(fā)布付費(fèi)教程，非法牟利了近10萬元。張雪松提醒，只要脫離幾個大牌的App或平臺，原則上都應(yīng)該謹(jǐn)慎?！跋袢げ缴嫦咏鹑谠p騙被立案調(diào)查，根本上是拉人頭傳銷，包裝得很前衛(wèi)，做得也很隱晦，還會和網(wǎng)貸、理財、選股、棋牌等非法網(wǎng)站平臺合作，一茬茬地割韭菜?！?/p>

據(jù)阿里安全歸零實驗室統(tǒng)計，2018年活躍的專業(yè)技術(shù)黑灰產(chǎn)平臺多達(dá)數(shù)百個。服務(wù)專業(yè)化使得犯罪技術(shù)更加平民化，低廉價格也使得黑灰產(chǎn)技術(shù)犯罪的成本逐步降低。

找漏洞：技術(shù)解決不了全部問題

張雪松接觸過各行各業(yè)的黑產(chǎn)案例，至今擁有10年網(wǎng)絡(luò)安全研究經(jīng)驗。他認(rèn)為，徹底打破網(wǎng)絡(luò)黑產(chǎn)鏈條，應(yīng)該從上游“個人信息如何獲取”層面上著手解決。而處在互聯(lián)網(wǎng)技術(shù)極速發(fā)展的今天，如何鏟除“黑賬號”生長的土壤，恰恰是掐斷源頭的關(guān)鍵。

“個人信息失守的核心在于漏洞，黑客的技術(shù)正是嫁接在漏洞之上，利用漏洞實現(xiàn)更多權(quán)限謀取暴利。”張雪松說，漏洞銀行的初衷就是通過眾包模式為企業(yè)客戶尋找漏洞，幫助其用低成本建立起 SRC（安全響應(yīng)）中心。

簡言之，就是在社區(qū)里聚集一群“白帽子”，讓這些“白帽子”解決企業(yè)提出的安全檢測需求?！案鶕?jù)安全漏洞大小和數(shù)量，對白帽展開定價懸賞，金額從幾千元到十余萬元不等?！睆堁┧烧f，截至目前，平臺已有近千家企業(yè)和3萬余名白帽入駐“漏洞銀行”。

當(dāng)企業(yè)遭遇黑客攻擊時，這群白帽將從“管理漏洞、邏輯漏洞、技術(shù)漏洞、機(jī)制漏洞、防護(hù)漏洞”幾個方面找問題。以管理漏洞為例，最經(jīng)典的攻擊方式就是客服攻擊，因為有很多網(wǎng)站提供了客服人工的密碼修改、賬號忘記等申訴，黑客通過收集大量被攻擊者的信息，利用社會工程學(xué)的方法，讓客服把目標(biāo)賬號的密碼重置，從而獲得重要賬號。

張雪松舉例，有一個“1元購iPhone”的案例，是明顯的邏輯漏洞?！爱?dāng)時網(wǎng)站開發(fā)時，企業(yè)沒有很好的流程設(shè)計，黑客通過篡改付費(fèi)訂單數(shù)據(jù)包，在傳輸過程中將999的價格改為1元，發(fā)送訂單給客戶，最后真的購買成功了。”張雪松說，我們在測試時建議這家企業(yè)，必須做二次驗證和比對，防止薅羊毛行為發(fā)生。

《2018網(wǎng)絡(luò)黑灰產(chǎn)治理研究報告》（以下簡稱：《報告》）也剖析了治理網(wǎng)絡(luò)黑產(chǎn)的新方法。2017年下半年，阿里巴巴釣魚網(wǎng)站檢測系統(tǒng)開始對已知風(fēng)險進(jìn)行及時防控阻斷，2018上半年各釣魚風(fēng)險呈下降趨勢，電商類欺詐下降94%，公檢法欺詐下降48.9%。

對于“拖庫”、“撞庫”等多種網(wǎng)絡(luò)犯罪行為，《報告》指出，阿里安全專門進(jìn)行了日常化布防和攔截，一旦發(fā)生拖庫撞庫，從數(shù)據(jù)上就能感知。阿里巴巴數(shù)據(jù)顯示，目前其識別出的機(jī)器行為彈出打擾率已控制在極低范圍內(nèi)。同時，阿里巴巴DDoS防御系統(tǒng)也已覆蓋了阿里整體生態(tài)業(yè)務(wù)，僅2017年就累積防御了2400多次攻擊。

那么，除了第三方安全機(jī)構(gòu)，平臺、用戶、供應(yīng)商該如何系統(tǒng)性地防范黑產(chǎn)攻擊風(fēng)險？張雪松認(rèn)為，從企業(yè)安全角度分析，一方面企業(yè)要建立用戶行為的分析監(jiān)控措施，對于不活躍、異常的用戶進(jìn)行降級、降權(quán)處理，甚至通過深度認(rèn)證、條件鎖定、手勢刷臉等方式聯(lián)動規(guī)避，比如羊毛黨賬號，通常會有“集中性”“批量化”等通用規(guī)律，篩選出來，標(biāo)記為異常賬號，定期監(jiān)控從而提高安全性。

當(dāng)然，企業(yè)在做個人信息處理時，還可分別存儲、隔離，將身份信息和其他可識別信息，區(qū)分開來，降低危險系數(shù)。比如，一些大平臺已經(jīng)采取“虛擬號隱藏”“騷擾號屏蔽”的方法了，但在高富平教授看來，打擊黑灰產(chǎn)的關(guān)鍵仍在于，各方一定要把自己的員工管好，防止“內(nèi)鬼”。

“如果沒有內(nèi)鬼泄露信息，黑客純粹是少數(shù)，像騰訊、阿里等大平臺對數(shù)據(jù)看得很緊，但因合作的產(chǎn)業(yè)鏈條很長，真正泄露的環(huán)節(jié)還是在合作伙伴?！备吒黄秸f，一旦數(shù)據(jù)交給合作伙伴，就會失控，單靠遵循法律及合同，本質(zhì)上是一個不確定的事情。

據(jù)媒體報道，2018年破獲的一起驗證碼黑產(chǎn)案件中，網(wǎng)絡(luò)黑灰產(chǎn)團(tuán)伙就涉及與廣西、貴州、四川等多省份運(yùn)營商“內(nèi)鬼”勾結(jié)，利用未投入市場未激活的“空號卡”，搭建平臺連通運(yùn)營商服務(wù)器用以注冊賬號、收發(fā)驗證碼。而這類運(yùn)營商如果能被打掉的話，對于黑產(chǎn)來說，無疑是“斬首行動”。

黑灰產(chǎn)應(yīng)該分開打擊或規(guī)制，而我國目前的法律條文，并未達(dá)到理想狀態(tài)且存在一定漏洞。

站在用戶角度，為防止賬號泄露，要養(yǎng)成良好的上網(wǎng)習(xí)慣。比如不輕易注冊賬號、不要一個賬號登錄多個網(wǎng)站、公眾wifi不要亂用、密碼要定期修改等。此外，準(zhǔn)備一個保護(hù)身份，在不重要的網(wǎng)站登錄時，使用虛假身份、虛假姓名等，有必要時，還可準(zhǔn)備一個副號，對外提供副號，從源頭上就可做好信息安全篩選的第一關(guān)。

補(bǔ)法規(guī)：重新定義個人信息流通界限

既然防范的技術(shù)已經(jīng)十分成熟，網(wǎng)絡(luò)黑產(chǎn)為何仍然屢禁不止，無法徹底鏟除？

高富平教授分析，除了技術(shù)層面對隱私的保護(hù)多集中在防范層面外，根源問題還在于整個社會的個人隱私文化的缺失。新浪曾發(fā)起一個微博投票，話題是關(guān)于百度CEO李彥宏的觀點“中國人愿意用隱私換便利，你認(rèn)可嗎？”，投票結(jié)果有高達(dá)82.4%的人認(rèn)為“我的隱私不容任何侵犯”。但實踐證明，中國網(wǎng)民對個人隱私的保護(hù)意識往往是缺乏的，排除App供應(yīng)商以無法正常使用App而逼迫用戶同意隱私條款的情況，多數(shù)用戶就算點擊了“同意”，也會出于懶、省事，鮮少點開細(xì)究其中的條文細(xì)則，這必然會導(dǎo)致源頭上的失控。

非法獲取、販賣個人信息的網(wǎng)絡(luò)黑產(chǎn)需嚴(yán)厲打擊。

另一個根源在于當(dāng)前經(jīng)濟(jì)轉(zhuǎn)型發(fā)展，提倡“萬眾創(chuàng)新、大眾創(chuàng)業(yè)”，在數(shù)據(jù)驅(qū)動的時代背景下，人工智能、數(shù)據(jù)經(jīng)濟(jì)等新概念產(chǎn)生，并基于客戶信息的整合分析，重新定義商業(yè)模式，信息必然是其中重要一環(huán)。

“這就產(chǎn)生了強(qiáng)大的需求，尤其一些創(chuàng)業(yè)公司，正是建立在不擇手段地獲取數(shù)據(jù)的基礎(chǔ)上，一輪輪融資做大，最終形成大數(shù)據(jù)資產(chǎn)，但大多都倒在了上市的路上。”那么在個人隱私文化缺失，又無法忽略社會需求十分旺盛的背景下，個人信息如何規(guī)避網(wǎng)絡(luò)黑產(chǎn)的侵害？

回答這個問題之前，必須首先精準(zhǔn)了解“網(wǎng)絡(luò)黑產(chǎn)”的兩大類。一類是黑產(chǎn)，非法獲取、販賣個人信息，進(jìn)而非法獲利甚至用于欺詐等行為，目的不合法，行為不合法，形式上也完全違法，需嚴(yán)厲打擊;另一類是灰產(chǎn)，獲取個人信息可能不合法，但他從別人手里買來后，用于商業(yè)目的、經(jīng)營行為，這些行為本身又是合法的，灰產(chǎn)則亟待規(guī)制。

基于此，黑灰產(chǎn)應(yīng)該分開打擊或規(guī)制，而我國目前的法律條文，并未達(dá)到理想狀態(tài)且存在一定漏洞。2016年11月通過的《網(wǎng)絡(luò)安全法》規(guī)定，搜集使用個人信息都必須經(jīng)過個人同意。個人同意規(guī)則成為收集使用個人信息一律要遵循的一般性規(guī)則。

但問題是，那么多的個人信息未經(jīng)授權(quán)被使用，你告過誰侵權(quán)嗎？顯然沒有，執(zhí)法機(jī)構(gòu)也同樣會存在“普遍違法、選擇性執(zhí)法”的困惑，“打擊面過寬，不具體，如果公安機(jī)關(guān)認(rèn)真執(zhí)法，很多企業(yè)會被查出非法獲取信息的問題，只能靠嚴(yán)打，每年多次突擊檢查等方式來處罰?！?/p>

高富平認(rèn)為，網(wǎng)絡(luò)黑產(chǎn)鏈條最大的危害是，公民身份證、微信、電話、地址等個人身份信息被濫用。從源頭上看，如果我們把身份信息保護(hù)好，不隨意流通，詐騙風(fēng)險就會相對小很多。但個人信息是社會活動中的自然生態(tài)，不由個人單獨創(chuàng)造和控制。如果你不是生活在魯濱遜島上，就必然要允許個人信息的正常流通。

“國家應(yīng)該制定一部個人信息保護(hù)法，重新梳理，把個人信息流通利用的規(guī)則確立起來，在個人信息立法上，應(yīng)主要解決以下問題：在什么情形下能搜集多少信息;怎么樣使用;在使用的過程中能保存多少時間，是永久地保存，還是有刪除的權(quán)利等等?！?/p>

目前，利用大數(shù)據(jù)、人工智能等進(jìn)行新的商業(yè)探索，如同過去傳統(tǒng)發(fā)郵件一樣，只要保護(hù)好信息，根據(jù)各自的行業(yè)特征，隔離范圍內(nèi)正確利用信息數(shù)據(jù)，將是一個趨勢，也是人們必須要面對和接受的事實?！艾F(xiàn)在流行個性化分析的用戶畫像，如果平臺基于用戶ID的基本信息，進(jìn)行一些商品的推送，非及時通訊，是可以被允許的?！备吒黄脚e例。

反觀2018年歐盟發(fā)布的《統(tǒng)一數(shù)據(jù)保護(hù)條例》，以個人控制個人信息為基礎(chǔ)構(gòu)建的一套體系，本質(zhì)上來說，忽略了個人信息在社會流通中的使用場景和重要性，完全不適應(yīng)時代的需要，也限制了社會發(fā)展與進(jìn)步。今天，我們處在一個十字路口，要重新抉擇保護(hù)個人信息的界限到底在哪。