隐藏在黑产中的“身份危机”:地下社工数据库的欺骗“艺术”
汪德嘉移动支付网2018/7/4 15:39:57

所谓社工库,就是黑产的地下数据库,其广博的深度,恐怕不比任何“大数据公司”差。黑客们盗取的数据,都留存在社工库中,供黑客们查询。通过这个地下数据库可查询到身份证号、银行卡号、常用密码、家庭住址,甚至开房记录等众多维度数据,而这些数据被反复清洗、榨取价值,“直到渣渣都不剩下”。本文节选了汪德嘉博士《身份危机》一书里黑色产业中的“社工库”,告诉大家社工库的存在有着怎样的危害?它是怎么让你“一步到位”的?

2014年,一家名为“我就是社工库”的网站,可以通过输入QQ号查看该号主人大量的隐私内容。这一附有数张网站截图的消息,立刻在微博中被转发了近2000次。网站被群众举报后,当晚已无法打开。这家网站只是网络中众多社工库的一个。

1、社工库是什么

社工是社会工程学的缩写,社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段;是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报;是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。所有社会工程学攻击都建立在使人决断产生认知偏差的基础上,熟练的社会工程师都是擅长进行信息收集的身体力行者。

有一本书很出名,估计很多读者都有听说过,叫做《欺骗的艺术》,其实社会工程学就是米特尼克在这本书中提出的,不过其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失,但是现在真正的应用似乎不是这样的。

听起来似乎跟人肉搜索好像一个概念,其实不能把人肉搜索跟社工对等,准确的说,人肉搜索可以算作社工的一种应用。

了解了社工,社工库也就好理解了,字面意思就是社工数据库。从上面的社工介绍大家明白了社工在信息收集方面的作用,这些信息中可能有个人信息有密码等等,那么,那么与其每次需要社工的时候再去搜集信息,当有某个网站或者某个应用等之类的数据库或者相关一些数据泄漏出来或者其他方式可以获得,那么为什么不提前收集起来,然后在需要的时候再来查询呢?这样不是更省事省时?

其实社工库看似简单,当数据量足够大的时候,就容易查到自己想查的信息,但是其实也有许多的问题,比如不同的数据库如何处理后入库,不同数据之间如何关联,这么大量的数据如何做到快速的搜索……其实还是涉及到挺多问题,当然这些就是数据库处理方面的问题了。

就社工库来说,应该很多组织及个人手里都有一个社工库,可能来源主要都是那些泄漏出来的数据库,比如之前的酒店登记数据,以前天涯、CSDN数据泄露等等。至于不同的社工库量都有多少?内容都是什么,这个不尽相同。对于很多社工库来说,存储达到T,数据量达到亿级别都是小菜一碟。而内容方面,账号密码、邮箱地址、个人信息等等,也看大家自己的处理方式,这个就不一定了。

再看看网上那些社工库,其实就是作了处理,对外提供了搜索服务。一个社工库,威力有多大,就看数据库的数量和质量了,理论上达到了一定的量,很多的东西都是可以查的出来的,特别是那些基本所有网站都一个密码的,只要一个社工库的收集的其中一个数据库有他的帐号密码,那么查出来的密码就可以直接登陆该用户的其他帐号了,所以安全方面的防范如设置不同密码,定期更换密码等极为重要。

2、社工库的危害

“查一下社工库,哪怕你什么代码都不会编写,也不是黑客,但是却能得到本来十分隐秘的别人的信息资料。”业内人士这样形容着社工库的危害。

在网上搜索“手持身份证”关键词,就能有一堆照片。如果你的这种照片被坏人得到了,他们都会用来干些什么呢?

他们可能会用你的手持身份证照片开网店卖假货,出了事之后马上跑路,更严重点的,他们会用你的信息借网贷,一些不太正规的应急借贷认证非常宽松,坏人用你的身份借了钱就消失不见了,这笔钱可能就要你这个冤大头去还了。

也许你想着自己没拍摄上传过类似照片,就可以放心了。然而这只是冰山一角,在这个互联网时代,想接近你,了解你的个人隐私,真的很容易……比如说,网上有一种身份证查询工具,可以通过身份证号查出你的户籍年龄之类的信息。

这个还不算什么,因为身份证号是有规律的,知道了规律就很容易分析出来,比较简单。

如果想获取一个人更多的生活信息和个人隐私,手机号和邮箱之类的是首选。

比如有些网站可以查出你用手机号或者邮箱注册过什么网站。其实这也不是特别难,当你注册某平台账号时,如果输入一个已经注册过的账号,网站会提醒已经注册过。所以这类网站就利用爬虫脚本(按照一定规则自动抓取网络信息的脚本)遍历各大网站,通过网站回执的结果判定你输入的手机号都注册过什么。

现在QQ、微博、微信、人人等社交网站都有“通讯录好友”,“可能认识的人”这类功能,只要在自己的手机通讯录存上这个号码,就能通过“通讯录好友”功能来添加他了!关注了他的微博,就可以看他过去的微博找到他的照片,了解他的年龄,工作,所在地等等,还能默默窥探他的动向。如果想的话,甚至可以关注经常和他互动的人(这种人很可能是他的朋友),从他身边的人身上来进一步了解他的生活环境和一些其他信息。甚至可以假装偶遇加他的QQ或者微信跟他聊天,直接从他嘴里“套话”。

知道了QQ邮箱账号之类的信息,通过社工库网站可以查询曾用(没准也是现用呢)密码。如果这个密码现在还能用,那事情可就变得很可怕了。因为除了可以查看他曾经的邮件来了解他,还可以通过邮箱账号查询曾经注册过的网站,然后再利用通过邮箱的密码找回机制获得登录这个邮箱主人其他网站账号的权利。通过登录这些网站,就可以短时间内获得账号主人的大量信息,这个人就变成了一个透明人。

当然还有更厉害的社工库可以让你“一步到位”。一次搜索,搞定所有!姓名、住址、身份证、手机等等应有尽有。搜索结果里还有来源这个选项,数据有很多来源,比如“淘宝买家”,“7K7K”,“天涯”,“CSDN”等等……

由于社工库里的信息往往涉及用户隐私,所以社工库网站往往是非法的。很多网站经常被举报或者查封,过段时间又会换一个网址重新出现。一些社工库网站的服务器还设置在境外,以躲避公安机关的调查。

3、社工库的案例

Leakedsource.com是一个著名的社工库网站(见下图),被称作数据泄露界的谷歌。用户可以在该网站找到很多严重数据泄漏事件中泄漏出来的数据,其中还包括很多热门网站(例如LinkedIn和Myspace等)的数十亿用户账号以及相应的登录密码。但是在2017年年初,多家新闻媒体报道称执法部门已经成功拿下Leakedsource的服务器。

2015年底的最后几天,LeakedSource团队掌握并计划公布多达1亿被黑且尚未公开的“中国大型网站”泄露数据,而仅仅经过一年,LeakedSource积累的泄露数据就将近30亿,LeakedSource原计划2017年通过其数据引擎公布20到30家被黑网站多达1.05亿条记录。然而随着网站的关闭,这一计划也失败了。LeakedSource的成立目的在于,尽可能多的提醒普通互联网用户其泄露的个人信息正面临安全风险,与此同时,对那些被黑的第三方网站形成压力,迫使其承认黑客攻击事件,对用户负责。尽管这种过程和效应非常缓慢,不太明显。

LeakedSource积累的泄露数据库能让用户和组织了解其自身账户信息是否正处于被黑状态,或哪些信息已完全被公开泄露。最基本的一点是,至少能帮助提醒用户哪些密码需要修改。

LeakedSource的初衷是好的,然而从2015年10月份起,LeakedSource便开始对外出售盗窃来的用户账号以及密码,而这些凭证信息大多来源于某些严重的数据泄漏事件。在网站的搜索栏中输入任何一个电子邮箱地址之后,网站便会显示出与该邮箱地址对应的密码信息。但是,用户在查看密码之前还需要为该服务付费。对于很多人来说,LeakedSource似乎是一个可以满足他们好奇心的地方,而对于某些新闻记者来说,LeakedSource也是一个调查数据泄漏事件的好去处。其它数据泄露在线服务商在显示出相应的账号密码之前,会先让用户证明自己的确可以访问该账号或邮箱,但LeakedSource就不一样了,因为它不会对用户的合法身份进行任何形式的验证。

“有心人”利用LeakedSource查询其他人的泄露信息,然后通过查询出来的密码信息对其他人的账号进行登录尝试,可以通过查询出来的其他个人相关信息,实施进一步的社会工程攻击。在这种情况下,LeakedSource也确实为那些潜在的攻击者创造了他人敏感信息的公开获取渠道。在一些安全社区甚至有人认为,LeakedSource是在从泄露数据事件中获利,这种提供泄露数据查询的做法可能会引发其它更糟糕的信息安全问题。

此外网站不但销售数据库数据,还提供密码破解服务。也就是说,虽然你的密码并没有被明文泄露,但是该网站会把你的密码破解出来。而LeakedSource匿名运营这一点,也引人争议,没人知道谁在运营管理这些数据,又会如何利用这些数据。所以LeakedSource网站最终被有关部门关闭。

就如科技是把双刃剑,社工库也具有两面性。如何合法利用社工库,保护公民信息安全,是网络安全界所要思考的问题。

结语

每个黑客的攻击手法都不同,破解的方式也千奇百怪,没有统一的作战方式。尽管有护城河、城墙,但攻击者,可以从正门攻,也可以从地下挖地道,甚至逮住一个老鼠洞,都能钻进来,防不胜防。电信网络欺诈层出不穷,网络黑产也已经从过去的黑客攻击模式转化成为犯罪分子的敛财工具和商业竞争手段。从某种意义上来说,企业也好、用户也好在信息泄露事件中,都是受害者。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消