您现在的位置：融合网首页 > 工信 > 其他 >

数据买卖网站漏洞后的黑色产业(2)

来源：21世纪经济报道　作者：吴燕雨　责任编辑：韩杰　发表时间:2015-01-19 09:27　

数据买卖网站漏洞管理机构中国移动中国联通中国电信 3G 3D技术 LTE FTTx IPTV 网络视频软件移动互联网农村互联网电子商务其他

核心提示：窃取数据对于白帽子而言，发现了网站的漏洞，他的工作就接近了尾声了。可对于黑色产业链（简称黑产）上的人来说，任务才刚刚开始，他们的目的是拿到数据，进而转化成金钱。业内人士透露，黑客的惯用手法有很多种

窃取数据

对于白帽子而言，发现了网站的漏洞，他的工作就接近了尾声了。可对于黑色产业链（简称“黑产”）上的人来说，任务才刚刚开始，他们的目的是拿到数据，进而转化成金钱。

业内人士透露，黑客的惯用手法有很多种，但路径上存在相似性：获得外网服务器权限、进入内网、判断核心业务范围、获取核心业务服务器权限，找到数据库密码、看到核心数据、下载核心数据、拿到最高权限、抹掉所有痕迹。

这是一个相对理想的操作链条，但并不意味所有的黑客都能完成上述步骤，比如“拿到最高权限”并不容易，因此有些黑客下载了所有核心数据，但痕迹仍被记录。

对于目标的寻找，一位接近黑产的人士称，有时是黑客主动寻找“含金量高”的网站，侵入网站，窃取数据。这主要涉及的是一些与金钱交易有关的公共服务行业，如信用卡或网络支付、火车票购票网站、航空公司购票系统、网络购物网站等等。

还有一些则是接受定向委托，一般委托方来自商业竞争对手，需要获得竞争对手的客户数据，于是雇佣黑客。

在进入内网时，有时候黑客会直接查看对方的员工信息是否存在泄露，或根据常用密码top 100来进行测试，如果顺利登陆员工账号，就可以直接进入内网。

但对于需要核心数据的黑客而言，进入内网只是第一步，接下来，黑客需要对数据进行分析，判断核心数据所在位置，这就需要黑客对该网站的业务十分熟悉，甚至熟悉程度要高于网站运维人员，这样才能判断核心数据的子域名在哪一个IP段，进而找到核心数据。

当然，时机的选择十分重要，这一切都要在一个合适的时间里进行：一个网站流量大，看守者不容易发现的时间。比如，一般的社交网站，上午十点和下午三点比较活跃。在这样的时间里“拖库”相对不易被察觉。

“拖库”同样是行话，意思是将目标数据下载下来。但在许多时候，他们并非需要经过复杂的入侵程序获得数据。因为许多人在不同的网站注册信息时，会使用相同或相似的密码。因此，这就存在利用“撞库”的方式获得更多的数据的可能。

2014年底发生的12306网站用户信息泄露的事件，起初就被指是“撞库”行为，即用户的用户名和密码在其他网站泄露了，黑客利用其他网站获得的用户数据包，自动登录另一个网站，匹配出部分用户信息，形成数据库。

不过，即使是通过“撞库”发生的信息泄露，相关网站也难脱其责，因为只有存在安全漏洞，网站才可能被“撞库”。

目前，12306网站用户信息泄露事件发生的原因仍不明，官方仍未公布调查进展，网络也曾一度流传出泄露不是“撞库”行为产生用户信息泄露的例证。

黑色产业链

在数据被窃取之后，黑客不一定可以将这些数据销售出去。职业“中介”应运而生。黑产链条上，有人负责窃取数据，有人专门从事分销，寻找目标买家或帮买家寻找黑客。

21世纪经济报道记者试图寻找这样的人，于是在一些社工库论坛注册，发帖“雇佣黑客”，并且寻找一些专门从事数据交易的QQ群。在QQ群搜索功能中，只要输入“数据买卖”、“数据交易”等关键字就会看到有大量的活跃群，它们的名字直白简单，一般以“数据交易群”、“淘宝数据交易”等字样为主。

21世纪经济报道记者伪装成买家进入了其中一个交易群，并与一位声称可以提供“进线数据（打进某个电话的数据）”的人进行对接。该人士称，自己可以拿到每个行业里任意一家企业的进线数据。通过进入机房，实时监控拨打该公司号码的电话，并将其截取下来，进行销售。

但陌生人的网络交易，确保交易安全是个难题，数据提供方可能提供假数据，而数据购买方也不希望自己的购买行为被记录下来。对于这些疑问，该人士称，自己可以提供前一天的进线数据，并保证数据是一手信息。交易的过程，需要买家先少量购买，付钱后再工作，如果买家对第一批数据满意，再进行下一步更多数据的交易。

至于交易价格，该人士说，每个行业的价格不同，21世纪经济报道记者问到餐饮行业的某家巨头企业，他称这些数据价格1条10元，而这个价格称得上是“不便宜”。

数据交易达成的半年内，买家和数据提供商为唯一拥有者，数据商保证不会泄露给第三方。半年后，数据商就可以将数据打包销售，但此时数据已经大大贬值，一条的价格大概是几毛钱。

这时候，就产生了“二手数据”，二手数据一般会倒卖好几次，基本已经算是“公开”信息，这样的数据在一些社工网站上随处可见。21世纪经济报道记者潜水几个社工论坛多天，发现每天都会有几条数据供应帖发出，论坛用户只需要支付几个金币（一金币一元钱）的价钱就可以购买到大量数据，有的数据（如个别企业内部通讯录）甚至可以免费下载。

另外，在交易群里，经常出现一些交易请求，有的在寻找数据商，有的在出售数据。而在QQ群记录中，21世纪经济报道记者看到其中一条信息，涉及各公司大佬的手机号、邮箱等关键信息，该数据持有者将关键数字抹去，留下QQ号，吸引买家。

不过，拥有这类功能的QQ群有很多，21世纪经济报道记者申请进入数十个群，只有一个通过了请求。上述知情人士表示，这种情况并不意外。

黑产链条上的中介人士面貌仍模糊不清。一些接近这些人士的白帽子称，这些人的圈子很小，有些是“老乡带老乡”的方式发展。而网络犯罪呈现的一些特征也印证了这个特征。2014年12月6日，公安部网络安全保卫局法制工作处处长李菁菁在一次论坛上介绍，目前我国网络犯罪案件地域化明显，比如广西南宁QQ好友诈骗、福建安溪网络购物诈骗、海南儋州网络中奖诈骗等。(责任编辑：韩杰)

“扫一扫”关注融合网微信号

免责声明：我方仅为合法的第三方企业注册用户所发布的内容提供存储空间，融合网不对其发布的内容提供任何形式的保证：不保证内容满足您的要求，不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网，融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容（包含但不限于融合网目前各产品功能里的内容）仅表明其第三方企业注册用户的立场和观点，并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息，并不代表本网站的观点和立场，更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点，与本网站立场无关，不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断，自行决定并承担相应风险。

根据相关协议内容，第三方企业注册用户已知悉自身作为内容的发布者，需自行对所发表内容（如，字体、图片、文章内容等）负责，因所发表内容（如，字体、图片、文章内容等）等所引发的一切纠纷均由该内容的发布者（即，第三方企业注册用户）承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容（如，字体、图片、文章内容等），经相关版权方、权利方等提供初步证据，融合网有权先行予以删除，并保留移交司法机关查处的权利。参照相应司法机关的查处结果，融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容（如，字体、图片、文章内容等）存在侵犯自身合法权益的，应准备好具有法律效应的证明材料，及时与融合网取得联系，以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式：（一）、电话：（010）57722280；（二）、电子邮箱：2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。