https://fondofeng.com/usr/uploads/2020/12/1647828797.png

个人信息真的很“廉价”

  你是否接到过诈骗电话?骗子是否能准确的说出你的名字和其他信息?聪明的你可能一下就识别出来这是骗子,但你有没有想过,他们是怎么知道你的电话的,又是从哪得到你的其他信息的?你也可能听说过个人信息买卖这类字眼,但从来没有更加深入的了解过。如果你有这种疑惑,不妨看看我所接触到的方方面面,开始之前你要先了解一下社工库。

什么是社工库

  社工库,全称社会工程学数据库,是黑客在运用社会工程学进行网络攻击的时候所积累的各方面数据的结构化数据库。简单的说,社工库是黑客用来记录攻击方法和获取到的各种数据信息,包含大量信息,例如通话记录,网购记录,开房记录等等。
例如你谷歌搜索关键词“社工库”,没有意外的话权重第一的就是某社工库网站,如果数据量属实的话,你该知道有多恐怖,但貌似不能正常查询。

社工库是如何产生的

  你可能会疑惑,公司企业的数据库不是都有加密防护措施吗?为什么还会被黑客盗取数据?要知道,数据被盗取往往发生在网络层面,而数据库的防护都是软件系统,是系统总会有漏洞,例如上一次的宝塔面板数据库漏洞。黑客便抓住机会,将数据库内数据盗取出来,经过数据处理便得到某平台的数据库,再将其卖给从事诈骗行业的不法分子,便有了层出不穷的诈骗事件。更有甚者,平台直接将其用户数据打包售卖,网贷平台最为泛滥,一方面这些平台没有正规资质,不受监管,另一方面,它掌握着你最全面的信息,姓名,手机号,银行卡号,家庭成员,住址,收入情况等十分有价值的信息。当然这种交易一般发生在暗网,一般人不会接触到。

  大部分的网站被盗取数据库后并不会公开承认,只有少数大型平台会引起广泛关注,例如今年 3 月份爆出的国泰航空 940 万用户数据泄露,大多数的数据库只会进入地下产业链参与黑色交易。早期的 QQ 和微博都发生过数据库泄露事件,如今几乎泛滥成灾的 8 亿条 QQ 绑定手机号、 90 G QQ 群关系数据、5 亿条微博绑定数据就是那个时候流出的。可怕吗?更可怕的是这些数据几乎成了黑市中人手一份,半公开性质的资料。知道你的 QQ /微博号码就能知道对应绑定的手机号,你还觉得隔着网线是安全的吗?

  地下产业发展到今天,拥有一套完整的流程,从脱库到洗库、撞库,已经形成非常完整的黑色产业链。在黑色产业术语中,“脱库”是指攻击入侵有价值的网络平台,将其数据库复制下来,也被戏称为“脱裤”;“洗库”是指将获取的数据信息按照一定的格式进行整理,方便查询和出售,也极大地降低了黑色产业链门槛;“撞库”是指黑客将不同平台的数据进行交叉对比,推测出用户可能的密码,盗取资金。
黑客将手里数据库的价值发掘的差不多后,便会在暗网打包出售这些数据再赚一笔。

  同时,社工库的形成是一个漫长的积累过程,需要大量的数据和人力去建设维护,从 QQ 绑定数据到微博绑定数据,再到航空公司乘客行程信息,这些数据越积累越多。除了通过暗网购买数据,不少倒卖数据的人还会互相交换数据,进一步扩大自己的数据库。社工库日益庞大,包含的信息日益完善,可以获取个人相当多的信息。目前我了解到的公开社工库,已经拥有 8 亿 QQ 绑定数据、5 亿微博绑定数据、76 万车主数据、近千万条户籍信息、10 万保险信息、70 万个体工商数据、700 万条英雄联盟绑定数据、8 万条网贷数据等等。这还仅仅是我粗略了解到的半公开的社工库,其全面性和隐私性已经足够让人震惊。但这对黑客来说已经是没有价值的信息,真正未公开的社工库数据量要更为庞大,信息也更为私密。

  拥有数据量足够庞大的社工库,几乎可以查询出用户的全部信息,从姓名、电话、身份证到住址、家庭成员、工作单位等等。这也催生了大量的个人信息查询服务,例如某平台社工库群内,每分钟都有人在“接单”,号称付费几百元便能查到微信绑定电话、开房记录、电话定位、户籍信息等等。这些人里面有一半是骗子,另一半从 B 站 UP 公孙田浩的这期视频来看,是真的有渠道去查到。

  你有没有注意到一个问题,电话实时定位和户籍这些信息不是由运营商或者公安内部人员掌握吗,这些人是怎么拿到这些信息的?答案很简单,有内鬼。相比于系统,更不可靠的往往是人。面对查询一次几百元的赏金,没有足够的职业道德,谁能抵挡得住这种诱惑?如果有,只是给的不够多。各大快递公司也是如此,动动手指,你的信息就被卖了。我不是想证明这个社会有多黑暗,只是每个行业都有害群之马,为了利益出卖底线。

  再说说离你比较近的,从小到大,你在学校里肯定填过无数的身份信息,有时候以纸质形式上交给学校,学校如何处理这些非常私密的文件就显得非常重要了。可惜的是,我见到的大多都没有这个意识,录入完数据后要么随意放置一旁,要么直接丢垃圾桶。更多的是以网络电子表格填写,每个人都能看见其他人的信息,从电话到身份证号、家庭住址,还有疫情期间的出行轨迹,详细到不能再详细,收集也更方便。有需求就有市场,因此也催生了各地学籍社工库。除了学信网泄露的一部分,还有很大一部分数据就是这么来的。

  回到开头,骗子是如何说出你的准确信息的?买数据,实施定向有针对性的诈骗。相对于以往的广撒网,这种模式可以寻找特定有价值的目标,取得你的信任,有着更高的成功率和收益。当然用社工库“作案”的并不只有诈骗团伙,还有教育机构,赌博平台,贷款平台,通过定向的发送广告,提高自己的业务收益。对他们而言,你的隐私只不过是甚至不到一毛钱一条的数据。

  互联网隐私是一个老生常谈的话题,但它成立的前提是互联网企业能且愿意保护好数据库安全,管理人员能坚守自己的职业和道德底线。否则隐私只能是一个名词,没有实际意义,你和别人的隐私只差一个购买渠道。

借用视频内的一段话:

这个世界很大,我做这些视频(文章)的初衷是用数据和事实去呈现另一个互联网世界,可能很阴暗和充满负能量,但我认为这些东西都应该让普通人去了解。我们应该直面真相,而不是袋鼠式的生存。世上的危险和不安因素,不会因为我的视而不见而消失。

我仍期待一个更好的世界。

不用质疑我列出的数据,信则有,不信则无;不要问我哪有社工库,我不知道;不要问我哪能买数据,我不知道。

Last modification:May 17, 2023
© Allow specification reprint
If you think my article is useful to you, please feel free to appreciate