黑产帝国|卧底BAT设立伪基站,血洗用户月入百万

发表于:2017-03-28 10:30:22 来源:  极限安全资讯 阅读数(0人)

3月中旬,公安部发布消息称破获了一起特大窃取贩卖公民个人信息案。该案涉及盗取、贩卖交通、物流、医疗、社交、银行等个人信息50亿条。其中,涉案重要团伙成员郑某鹏竟然为京东的网络工程师,这多少让人感到震惊。


针对此事,京东商城公关部回复时代财经称,郑某鹏是2016年6月入职京东的,截止事发前还在试用期。“破获此案,京东一直以主动积极态度,这并不是说京东的员工利用职权去从事互联网黑色产业,而是此人本就是黑产从业者,潜入京东以便盗取核心数据。”


BAT里的潜伏者


所谓“黑产”,是互联网行业的一个特称,指的是就是利用病毒木马来获得利益的黑色产业。京东的案件缘起于2016年中,彼时腾讯与京东联合推行打击信息安全地下黑色产业链的日常行动,安全团队发现郑某鹏在加入京东之前,曾在国内多家知名互联网公司工作,但工作时间都不长。随着调查的深入,京东发现其长期与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖。


事实上,黑产团伙安插人员进入国内大型互联网公司已不是行业里的秘密。腾讯公司一位负责技术的人员介绍称,腾讯的一位 HR 发来一份简历,请其帮忙判断能力水平。“我一看简历上的时间线就感觉这人有问题。每家公司都只干6个月,不但换公司,还换城市。进一步调查发现简历上有造假,而且造假不是为了显得自己水平高,而是为了掩盖既往经历。然后追查了一下,发现他果然隶属于一个黑产团伙,而且之前已经在至少两家互联网公司卧底过了。”


时代财经调查发现,盗取用户信息虽然只是黑产行业其中一环,不过却是很关键的一环,而前往大型互联网公司的核心技术部门任职,可以让整个流程事半功倍。


程子荣(化名)曾在黑产团伙里负责潜伏“拿料”工作,他是毕业于北京邮电大学计算机类研究生,曾屡屡被赋予重任。程子荣告诉时代财经,一般潜入BAT(百度、阿里、腾讯)等大型互联网公司的黑产从业者,大多技术水平较高,被录用几率大。工作一段时间获取信任后,就能顺利以工作之便窃取所在平台的核心数据。在信息窃取成功后,则离开该公司,继续到下一知名互联网公司应聘、窃取信息。


万能的“社工库”


毋庸置疑,近年来黑产行业里,最为“繁荣昌盛”的莫过于银行卡盗刷。随着互联网支付、互联网金融等领域的兴起,类似于蚂蚁花呗、京东金条等诸多开通透支、消费的互联网金融支付平台更成为了黑产集中攻击的对象。程子荣告诉时代财经,以前做游戏盗号、博彩、返现诈骗的“黑客”,都涌入了这个行当。“因为技术难度不高,利润却是爆炸式的。”




事实上,对于以往擅长盗刷传统银行卡的黑产团伙而言,转而去网上的金融支付平台盗刷账户资金,攻击难度相当于降了一半。根据程子荣总结,目前大多数互联网支付平台、消费金融平台都以“账号+支付密码+手机验证码”为主要安全保障。事实上要突破这些障碍,只要利用“社工库”,黑产从业者轻而易举就可以把钱转入自己账户。


在黑产行业,“社工库”指的是黑产行业的大数据库,库里主要是他们通过各种方式盗取的用户资料数据,包括身份证号码、银行卡号、家庭住址、常用的几个密码、消费网购记录,甚至有开房记录等。多维度的数据,可以轻易的获取此用户不同平台的其他密码。


社工库来源众多,在黑市中,有黑客直接入侵网络平台,将数据库盗取出来放于市场流通;也有中介专门向网店、线下机构等购买用户数据。在可以登录的情况下,一个具有金融价值的用户信息,一般售价为1~5元。不过,这类信息在黑市上流通,其价值不断被反复榨取,到最后使用价值极为低廉。为了获得更为高效优秀的用户数据资料,像程子荣曾从事的团伙,便直接安排人员进入BAT公司盗取。


拥有社工库,无疑用户相关金融支付平台的账户密码极易被破解。大多数金融支付平台都设置了短信验证的方式,确认是否为用户本人操作。黑产从业人员一般会前往金融支付平台修改绑定手机。在修改过程中,金融支付平台需要平台自身的支付密码、绑定银行卡的支付密码等验证,这些信息,随手可从社工库获取。


在与黑产团伙攻防过程中,金融支付平台开始不断升级安全保障规则,不过黑客也总能从社工库里找到应付的对策。比如一个支付宝账号,以一个新号码给客服电话要求修改手机号码,这只要提供身份证、银行卡、最近购买物品及收货地址,就可以完成修改。


黑产团伙事无巨细无孔不入,这让众多金融平台不断升级制定规则,封堵各种漏洞。事实上,到了盗刷最后的环节,黑产团伙即使改不了手机号码,他们也照样可以通过其他方法完成账户的盗刷。


被劫持的短信


一个会跳转页面的“红包”、一个告诉你中奖的短信链接。如果你点击了,很大程度上,你的手机就装上了可以拦截你短信的木马。如果页面打开时显示你需要下载一个插件,点击以后,你的短信将完全被黑产团伙监控。你的手机收到任何一条短信验证码,黑产团伙也将收到。甚至短信验证码发送过来的时候,黑产团伙可以让你无法看到。


“一个木马包月也就500块,并且可以保证不被杀毒软件绞杀。”程子荣告诉时代财经,这类木马大多是针对安卓系统手机,苹果系统的手机则比较难破解。




木马劫持短信,还需要你点击链接才能安装。事实上,黑产还有更多手段,让用户防不胜防。比如可以直接监控和操作手机的伪基站。


一根天线、一个发射器、一台电脑主机。这套三千块钱从华强北买来的简陋设备,当它一启动时,方圆2公里的手机,都归黑产所监控与操作。不仅可以截获短信、通话记录、App内数据记录(包括微信聊天记录等),还可以直接让手机出现信号隔绝、SIM卡作废等情况。并且,黑产团伙可以通过“10086”“10010”等号码给用户发布欺诈短信,一步步套取用户其他个人信息。


环环相扣的组合游戏


市民李德军(化名)近期工商银行的银行卡被钓鱼诈骗,盗刷了15万人民币。他在两个月前,收到黑产团伙通过伪基站显示95588的号码发送的信息,信息警告他“你的银行卡涉嫌进行洗钱活动,将由中华人民共和国检察院进行冻结查封,详情请登录网站XXXX,进行网上测查金融犯罪。”




程子荣告诉时代财经,根据李德军提供的网址信息,程子荣锁定IP,进入了该伪造的中华人民共和国最高人民检察院网站,该网站一个“网上测查金融犯罪”的浮动广告,是该团伙钓鱼获取个人信息入口。随后,通过简单的潜入,程子荣便得到了该黑产团伙服务器密码与后台。后台显示,一天时间里,有二十多人上当受骗。“其实这些手段一点都不高深,关键是有各个不同的环节组合起来,让它可以顺利有效的运转。”


通过购买、潜伏等渠道与手段,获取用户的资料信息,研究不同平台的漏洞,配合最新的设备,然后对目标用户的资金账户进行血洗。黑产行业俨然已经成为一个运行有序的行业国度。“我们三个人的团队,一天盗刷十来个账号,一个月下来100万收入是有的;卖木马的一个月2、30万,卖基站设备的一个月也有30万左右。”程子荣说。


在QQ群,以“个人资料”等关键词搜索,会搜出诸多贩卖用户资料的黑产从业者,他们以交易变卖个人数据资料为主;而国外聊天加密的WhatsApp、line等聊天工具,则成群结队的集结着直接操控盗刷的黑产团伙。


很多黑产人员在实现财务自由后,一转身就成为了BAT公司的“安全人员”,从此洗白自己,隐退江湖。就像程子荣,去年开始退出黑产,前往华东的一家BAT公司当网络工程师。有些“生意”越做越大,将根据地迁往了东南亚,一黑到底。也有一些被公安机关破获逮捕,从此再也“白”不回来。


事实上,黑产的打压与严控,需要几方合力才能做到。包括需要堵上伪基站漏洞的运营商,包括需要提高安全和风控的各个金融支付平台,也包括用户安全意识的提升。不过,要杜绝黑产行业,估计还比较困难,毕竟那是一个每月上百万利益行当。


相关新闻

大家都在学

课程详情

网络安全基础

课程详情

信息安全基础

课程详情

网络安全漫谈