網路黑灰產已近千億 有多大威脅？個人資訊洩露是源頭

資料圖：新華社圖表，北京，2018年5月24日，新華社發 徐駿 作

在浙江義烏，一個小商家的老闆剛剛上班，檢視前一天的監控影片發現，凌晨有人翻牆入室，但奇怪的是，店內並沒有什麼物品失竊。再仔細檢視一遍影片，才發現這名偷偷潛入的神秘人操作了店內的電腦就走了。

對於這種情況，商家也很疑惑，不知是否算是入室盜竊案，因此也就沒有報警。但沒過多長時間，這位小商家的交易記錄和訂單資料就出現在了“網路黑市”裡。

原來，神秘人在這位小商家的電腦上插入了一個經過改造的隨身碟“Bad USB”，裡面裝有可以封閉執行的木馬病毒，將其複製到電腦後，神秘人可以遠端控制這臺電腦，從而獲取商家的交易記錄和大量的使用者真實資訊，甚至影響資金安全。而且，神秘人也可以將商家資料和個人資訊轉手售賣給網路詐騙組織，造成更多威脅。

此乃網路黑灰產犯罪案的典型。所謂網路黑灰產，指的是電信詐騙、釣魚網站、木馬病毒、駭客勒索等利用網路開展違法犯罪活動的行為。稍有不同的是，“黑產”指的是直接觸犯國家法律的網路犯罪，“灰產”則是遊走在法律邊緣，往往為“黑產”提供輔助的爭議行為。

上述案例的背後，也隱現著當前網路黑灰產治理中的難點和痛點：行為隱秘，使用者、商家很難注意到；分工明確，已經形成產業鏈；涉及多方，但往往難以明確各方責任；安全威脅深遠，但現行法律難以消除……

網路黑灰產已近千億規模

網路黑灰產有多大的威脅？這個問題恐怕沒有絕對準確的答案。

據南都大資料研究院等機構釋出的《2018網路黑灰產治理研究報告》估算，2017年我國網路安全產業規模為450多億元，而黑灰產已達近千億元規模；全年因垃圾簡訊、詐騙資訊、個人資訊洩露等造成的經濟損失估算達915億元，而且電信詐騙案每年以20%~30%的速度在增長。

該報告還指出，黑灰產共有四種類型：虛假賬號註冊等源頭性黑灰產；用於進行非法交易、交流的平臺；木馬植入、釣魚網站、各類惡意軟體等；大多以惡意註冊、虛假認證、盜號等形式實現的網路黑賬號。

另據阿里安全歸零實驗室統計，2017年4月至12月共監測到電信詐騙數十萬起，案發資金損失過億元，涉及受害人員數萬人，電信詐騙案件居高不下，規模化不斷升級。2018年，活躍的專業技術黑灰產平臺多達數百個。

雖然數額驚人，但許多人並不知道自己是如何被黑灰產盯上的。據阿里安全歸零實驗室高階專家功夫介紹，網路黑產人員經常利用綽號“大菠蘿”的一種路由器偽裝成免費WIFI，只要使用者連線就可以竊取個人資訊，監視使用者的瀏覽記錄；可同時管理十餘張電話卡的“貓池”裝置，經常被用來在電商平臺上註冊垃圾賬戶“薅羊毛”；他們還經常利用總成本不足百元的2G簡訊嗅探裝置，獲取周邊任何人的簡訊內容，從而盜刷信用卡。

而在這些裝置背後，黑灰產已經形成了分工明確的產業鏈。功夫以假冒公檢法的電信詐騙為例介紹：詐騙團伙頭目建設窩點、招募詐騙成員後，會透過黑市購買一些使用者的個人資訊；再由招募的一線話務員扮演電信運營商和銀行，根據這些個人資訊欺騙使用者；再由二三線話務員扮演公安、檢察人員，博取使用者信任，將錢款轉至指定的“安全賬戶”；最終由團伙其他人在全國多個銀行網點幾乎同時取款。

“頭目詐騙成功後，大概能拿到59%左右的資金，一線騙子大概只能提5%，二線、三線騙子大概能提8%。”功夫表示，許多團伙已經分工非常細緻，這給今後打擊黑灰產帶來了不小的挑戰。

個人資訊洩露是黑灰產源頭

在電信詐騙等許多網路黑灰產行為中，使用者的個人資訊是源頭之一。功夫也告訴中國青年報·中青線上記者，作為網路灰產的個人資訊洩露，是許多違法犯罪行為發生的源頭，但無論是企業還是監管部門，都很難完全治理好這個問題。

中國資訊通訊研究院在今年1月釋出的《電信和網際網路使用者權益保護白皮書》提到，該院2017年上半年的調查資料顯示，電信和網際網路使用者的個人資訊保安感知評分為6。5分，與2013年相比幾乎沒有提升。影響個人資訊保安感知的最主要因素包括個人資訊洩露、過度收集個人資訊、未經同意收集使用，其中近80%的使用者認為隱私洩露嚴重，超過50%的使用者認為應用軟體“偷偷收集個人資訊”。

中國資訊通訊研究院泰爾終端實驗室資訊保安部副主任寧華曾表示，如今個人資訊保護出現了新的挑戰：以往使用者感知到自己的隱私資訊被洩露、利用需要一週甚至一個月，但現在可能只需要幾個小時就能感知到，隱私資訊體現在了廣告、購物網站上；以往很多隱私資訊是使用者主動提供的，但如今很多使用者並未主動提供的資訊，也被商家或平臺收集、利用了。

針對個人資訊保護的新挑戰，公安等監管部門也在努力。截至2017年12月20日，全國公安機關當年累計偵破侵犯公民個人資訊案件4911起，抓獲犯罪嫌疑人15463名，打掉涉案公司164個。但是，網路黑灰產已經在大量利用個人資訊，開展電信詐騙等違法犯罪行為。

據功夫介紹，在各方打擊下，許多黑灰產人員所利用的隱私資訊“四件套”（身份證、銀行卡、手機卡、銀行U盾）被逐漸查封，導致“四件套”的價格已經從100多元上漲到1500元，但即便如此，黑灰產依然可以透過“暗網”的諸多渠道獲取大量使用者的隱私資訊。

魔高一尺，道高一丈。功夫認為，針對依然猖獗的黑灰產行為，還需要掌握技術的企業、平臺，與公安等監管部門協同治理。例如透過企業提供的大資料能力，幫助公安、電信運營商建設統一的號碼識別平臺，將詐騙號碼推送到每個使用者的手機上，避免被騙。

工信部網路安全管理局網路與資料安全管理處副處長袁春陽也曾表示，資料安全與個人資訊保護問題涉及移動網際網路的多個環節，需要加強產業合作，強化協同安全，有關企業要切實履行主體安全責任，相關行業組織和安全廠商，要發揮組織和技術優勢，健全完善行業自律和網路安全協作機制，共築網路安全防線，共同提高網路安全保障合力。

協同治理不能模糊責任

協同治理，是近年來討論網路安全問題時經常被許多人提及的一個關鍵詞。與之相伴而生的是，網路安全涉事各方該如何承擔相應責任？

“以前大家都講黑灰產治理要聯合起來做事情。這句話是非常正確的，但是聯合也容易變成沒有人負責。”阿里安全部資深總監張玉東認為，治理網路黑灰產不能因協同治理而迷糊各方責任，應該從問題根源入手，分析各方責任，相互督促各方解決問題。

張玉東分析，網路黑灰產需一般會先透過手機號碼瞭解使用者隱私等基本情況；其次透過社交網路、電話、簡訊等進一步靠近使用者，騙取其信任，最後與使用者產生直接聯絡，從而騙取信任實施詐騙。

根據這個流程，張玉東認為電信運營商、社交網路平臺也應該在治理黑灰產中承擔更大責任。他舉例稱，許多電信詐騙、釣魚網站詐騙都是誘騙使用者連線偽裝過的免費WIFI，或攔截、嗅探簡訊來實現的。“如果運營商這個問題不解決，永遠有一個環節是可以造假的，這個問題就不能根治”。

另外，他也關注到更隱蔽但更大量的涉及使用者個人隱私的資料洩露。他呼籲，發揮網路基礎設施作用的平臺級企業應該率先示範，首先行動起來，保護使用者資料和個人資訊免遭洩露。“各家自掃門前雪，把自己的事先解決，這是第一步。”

不過，作為網路安全從業者，他也明白當前推動企業投入大量成本去保護使用者資料和個人資訊的挑戰。因此，他希望制度層面可以進一步對企業在這方面的責任和投入作出要求。

360公司董事長兼CEO周鴻禕也曾向中國青年報·中青線上記者表示，個人資訊保護是網路安全法等法律的重點議題，但在具體執行中還需要更多細則。尤其是針對掌握大量使用者資料的網際網路公司，他建議制度層面可以針對這類企業如何處理、轉賣、交換使用者資料作出更加詳細的規定，對企業收集、儲存使用者資料也應作出相應規定，保證涉隱私資料不能明文存放，而是加密儲存，以避免被人輕易利用。

觀韜中茂（上海）律師事務所合夥人王渝偉律師認為，近年來頻頻發生的企業資料和個人資訊洩露事件說明，一方面很多企業在技術和管理層面仍然不能達到法律法規的要求，對資料洩露仍然存在規避責任的僥倖心理，沒有切實履行作為個人資訊控制者、網路運營者的義務；另一方面也說明對個人資訊洩露事件的責任主體的監管和懲罰力度不到位，縱容了企業的僥倖心理。

“網路安全和個人資訊保護需要企業和政府的共同努力來構造，制定完善規則，並且貫徹執行，這肯定是首先要考慮的。”王渝偉呼籲，無論是監管機構還是具體企業，都要真正行動起來。

2018年10月09日 10 版