編者按:所謂社工庫,就是黑產(chǎn)的地下數(shù)據(jù)庫,其廣博的深度,恐怕不比任何“大數(shù)據(jù)公司”差。黑客們盜取的數(shù)據(jù),都留存在社工庫中,供黑客們查詢。通過這個地下數(shù)據(jù)庫可查詢到身份證號、銀行卡號、常用密碼、家庭住址,甚至開房記錄等眾多維度數(shù)據(jù),而這些數(shù)據(jù)被反復(fù)清洗、榨取價值,“直到渣渣都不剩下”。本文節(jié)選了汪德嘉博士《身份危機》一書里黑色產(chǎn)業(yè)中的“社工庫”,告訴大家社工庫的存在有著怎樣的危害?它是怎么讓你“一步到位”的?
2014年,一家名為“我就是社工庫”的網(wǎng)站,可以通過輸入QQ號查看該號主人大量的隱私內(nèi)容。這一附有數(shù)張網(wǎng)站截圖的消息,立刻在微博中被轉(zhuǎn)發(fā)了近2000次。網(wǎng)站被群眾舉報后,當(dāng)晚已無法打開。這家網(wǎng)站只是網(wǎng)絡(luò)中眾多社工庫的一個。
1、社工庫是什么
社工是社會工程學(xué)的縮寫,社會工程學(xué)是一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段;是一種黑客攻擊方法,利用欺騙等手段騙取對方信任,獲取機密情報;是一種利用人性脆弱點、貪婪等等的心理表現(xiàn)進行攻擊,是防不勝防的。所有社會工程學(xué)攻擊都建立在使人決斷產(chǎn)生認(rèn)知偏差的基礎(chǔ)上,熟練的社會工程師都是擅長進行信息收集的身體力行者。
有一本書很出名,估計很多讀者都有聽說過,叫做《欺騙的藝術(shù)》,其實社會工程學(xué)就是米特尼克在這本書中提出的,不過其初始目的是讓全球的網(wǎng)民們能夠懂得網(wǎng)絡(luò)安全,提高警惕,防止沒必要的個人損失,但是現(xiàn)在真正的應(yīng)用似乎不是這樣的。
聽起來似乎跟人肉搜索好像一個概念,其實不能把人肉搜索跟社工對等,準(zhǔn)確的說,人肉搜索可以算作社工的一種應(yīng)用。
了解了社工,社工庫也就好理解了,字面意思就是社工數(shù)據(jù)庫。從上面的社工介紹大家明白了社工在信息收集方面的作用,這些信息中可能有個人信息有密碼等等,那么,那么與其每次需要社工的時候再去搜集信息,當(dāng)有某個網(wǎng)站或者某個應(yīng)用等之類的數(shù)據(jù)庫或者相關(guān)一些數(shù)據(jù)泄漏出來或者其他方式可以獲得,那么為什么不提前收集起來,然后在需要的時候再來查詢呢?這樣不是更省事省時?
其實社工庫看似簡單,當(dāng)數(shù)據(jù)量足夠大的時候,就容易查到自己想查的信息,但是其實也有許多的問題,比如不同的數(shù)據(jù)庫如何處理后入庫,不同數(shù)據(jù)之間如何關(guān)聯(lián),這么大量的數(shù)據(jù)如何做到快速的搜索……其實還是涉及到挺多問題,當(dāng)然這些就是數(shù)據(jù)庫處理方面的問題了。
就社工庫來說,應(yīng)該很多組織及個人手里都有一個社工庫,可能來源主要都是那些泄漏出來的數(shù)據(jù)庫,比如之前的酒店登記數(shù)據(jù),以前天涯、CSDN數(shù)據(jù)泄露等等。至于不同的社工庫量都有多少?內(nèi)容都是什么,這個不盡相同。對于很多社工庫來說,存儲達到T,數(shù)據(jù)量達到億級別都是小菜一碟。而內(nèi)容方面,賬號密碼、郵箱地址、個人信息等等,也看大家自己的處理方式,這個就不一定了。
再看看網(wǎng)上那些社工庫,其實就是作了處理,對外提供了搜索服務(wù)。一個社工庫,威力有多大,就看數(shù)據(jù)庫的數(shù)量和質(zhì)量了,理論上達到了一定的量,很多的東西都是可以查的出來的,特別是那些基本所有網(wǎng)站都一個密碼的,只要一個社工庫的收集的其中一個數(shù)據(jù)庫有他的賬號密碼,那么查出來的密碼就可以直接登陸該用戶的其他賬號了,所以安全方面的防范如設(shè)置不同密碼,定期更換密碼等極為重要。
2、社工庫的危害
“查一下社工庫,哪怕你什么代碼都不會編寫,也不是黑客,但是卻能得到本來十分隱秘的別人的信息資料?!睒I(yè)內(nèi)人士這樣形容著社工庫的危害。
在網(wǎng)上搜索“手持身份證”關(guān)鍵詞,就能有一堆照片。如果你的這種照片被壞人得到了,他們都會用來干些什么呢?
他們可能會用你的手持身份證照片開網(wǎng)店賣假貨,出了事之后馬上跑路,更嚴(yán)重點的,他們會用你的信息借網(wǎng)貸,一些不太正規(guī)的應(yīng)急借貸認(rèn)證非常寬松,壞人用你的身份借了錢就消失不見了,這筆錢可能就要你這個冤大頭去還了。
也許你想著自己沒拍攝上傳過類似照片,就可以放心了。然而這只是冰山一角,在這個互聯(lián)網(wǎng)時代,想接近你,了解你的個人隱私,真的很容易……比如說,網(wǎng)上有一種身份證查詢工具,可以通過身份證號查出你的戶籍年齡之類的信息。
這個還不算什么,因為身份證號是有規(guī)律的,知道了規(guī)律就很容易分析出來,比較簡單。
如果想獲取一個人更多的生活信息和個人隱私,手機號和郵箱之類的是首選。
比如有些網(wǎng)站可以查出你用手機號或者郵箱注冊過什么網(wǎng)站。其實這也不是特別難,當(dāng)你注冊某平臺賬號時,如果輸入一個已經(jīng)注冊過的賬號,網(wǎng)站會提醒已經(jīng)注冊過。所以這類網(wǎng)站就利用爬蟲腳本(按照一定規(guī)則自動抓取網(wǎng)絡(luò)信息的腳本)遍歷各大網(wǎng)站,通過網(wǎng)站回執(zhí)的結(jié)果判定你輸入的手機號都注冊過什么。
現(xiàn)在 QQ 、微博 、微信 、人人等社交網(wǎng)站都有“ 通訊錄好友 ”,“ 可能認(rèn)識的人 ”這類功能,只要在自己的手機通訊錄存上這個號碼,就能通過 “ 通訊錄好友 ”功能來添加他了!關(guān)注了他的微博,就可以看他過去的微博找到他的照片,了解他的年齡,工作,所在地等等,還能默默窺探他的動向。如果想的話,甚至可以關(guān)注經(jīng)常和他互動的人(這種人很可能是他的朋友),從他身邊的人身上來進一步了解他的生活環(huán)境和一些其他信息。甚至可以假裝偶遇加他的QQ 或者微信跟他聊天,直接從他嘴里“ 套話 ”。
知道了QQ郵箱賬號之類的信息,通過社工庫網(wǎng)站可以查詢曾用(沒準(zhǔn)也是現(xiàn)用呢)密碼。如果這個密碼現(xiàn)在還能用,那事情可就變得很可怕了。因為除了可以查看他曾經(jīng)的郵件來了解他,還可以通過郵箱賬號查詢曾經(jīng)注冊過的網(wǎng)站,然后再利用通過郵箱的密碼找回機制獲得登錄這個郵箱主人其他網(wǎng)站賬號的權(quán)利。通過登錄這些網(wǎng)站,就可以短時間內(nèi)獲得賬號主人的大量信息,這個人就變成了一個透明人。
當(dāng)然還有更厲害的社工庫可以讓你 “ 一步到位 ”。一次搜索,搞定所有!姓名、住址、身份證、手機等等應(yīng)有盡有。搜索結(jié)果里還有來源這個選項,數(shù)據(jù)有很多來源,比如 “ 淘寶買家 ”,“ 7K7K ”,“ 天涯 ”,“ CSDN ” 等等……
由于社工庫里的信息往往涉及用戶隱私,所以社工庫網(wǎng)站往往是非法的。很多網(wǎng)站經(jīng)常被舉報或者查封,過段時間又會換一個網(wǎng)址重新出現(xiàn)。一些社工庫網(wǎng)站的服務(wù)器還設(shè)置在境外,以躲避公安機關(guān)的調(diào)查。
3、社工庫的案例
Leakedsource.com是一個著名的社工庫網(wǎng)站(見圖2-8),被稱作數(shù)據(jù)泄露界的谷歌。用戶可以在該網(wǎng)站找到很多嚴(yán)重數(shù)據(jù)泄漏事件中泄漏出來的數(shù)據(jù),其中還包括很多熱門網(wǎng)站(例如LinkedIn和Myspace等)的數(shù)十億用戶賬號以及相應(yīng)的登錄密碼。但是在2017年年初,多家新聞媒體報道稱執(zhí)法部門已經(jīng)成功拿下Leakedsource的服務(wù)器。
圖2-8 LeakedSource網(wǎng)站
2015年底的最后幾天,LeakedSource團隊掌握并計劃公布多達1億被黑且尚未公開的“中國大型網(wǎng)站”泄露數(shù)據(jù),而僅僅經(jīng)過一年,LeakedSource積累的泄露數(shù)據(jù)就將近30億, LeakedSource原計劃2017年通過其數(shù)據(jù)引擎公布20到30家被黑網(wǎng)站多達1.05億條記錄。然而隨著網(wǎng)站的關(guān)閉,這一計劃也失敗了。 LeakedSource的成立目的在于,盡可能多的提醒普通互聯(lián)網(wǎng)用戶其泄露的個人信息正面臨安全風(fēng)險,與此同時,對那些被黑的第三方網(wǎng)站形成壓力,迫使其承認(rèn)黑客攻擊事件,對用戶負(fù)責(zé)。盡管這種過程和效應(yīng)非常緩慢,不太明顯。
LeakedSource積累的泄露數(shù)據(jù)庫能讓用戶和組織了解其自身賬戶信息是否正處于被黑狀態(tài),或哪些信息已完全被公開泄露。最基本的一點是,至少能幫助提醒用戶哪些密碼需要修改。
LeakedSource的初衷是好的,然而從2015年10月份起,LeakedSource便開始對外出售盜竊來的用戶賬號以及密碼,而這些憑證信息大多來源于某些嚴(yán)重的數(shù)據(jù)泄漏事件。在網(wǎng)站的搜索欄中輸入任何一個電子郵箱地址之后,網(wǎng)站便會顯示出與該郵箱地址對應(yīng)的密碼信息。但是,用戶在查看密碼之前還需要為該服務(wù)付費。對于很多人來說,LeakedSource似乎是一個可以滿足他們好奇心的地方,而對于某些新聞記者來說,LeakedSource也是一個調(diào)查數(shù)據(jù)泄漏事件的好去處。其它數(shù)據(jù)泄露在線服務(wù)商在顯示出相應(yīng)的賬號密碼之前,會先讓用戶證明自己的確可以訪問該賬號或郵箱,但LeakedSource就不一樣了,因為它不會對用戶的合法身份進行任何形式的驗證。
“有心人”利用LeakedSource查詢其他人的泄露信息,然后通過查詢出來的密碼信息對其他人的賬號進行登錄嘗試,可以通過查詢出來的其他個人相關(guān)信息,實施進一步的社會工程攻擊。在這種情況下,LeakedSource也確實為那些潛在的攻擊者創(chuàng)造了他人敏感信息的公開獲取渠道。在一些安全社區(qū)甚至有人認(rèn)為,LeakedSource是在從泄露數(shù)據(jù)事件中獲利,這種提供泄露數(shù)據(jù)查詢的做法可能會引發(fā)其它更糟糕的信息安全問題。
此外網(wǎng)站不但銷售數(shù)據(jù)庫數(shù)據(jù),還提供密碼破解服務(wù)。也就是說,雖然你的密碼并沒有被明文泄露,但是該網(wǎng)站會把你的密碼破解出來。而LeakedSource匿名運營這一點,也引人爭議,沒人知道誰在運營管理這些數(shù)據(jù),又會如何利用這些數(shù)據(jù)。所以LeakedSource網(wǎng)站最終被有關(guān)部門關(guān)閉。
就如科技是把雙刃劍,社工庫也具有兩面性。如何合法利用社工庫,保護公民信息安全,是網(wǎng)絡(luò)安全界所要思考的問題。
結(jié)束:
每個黑客的攻擊手法都不同,破解的方式也千奇百怪,沒有統(tǒng)一的作戰(zhàn)方式。盡管有護城河、城墻,但攻擊者,可以從正門攻,也可以從地下挖地道,甚至逮住一個老鼠洞,都能鉆進來,防不勝防。電信網(wǎng)絡(luò)欺詐層出不窮,網(wǎng)絡(luò)黑產(chǎn)也已經(jīng)從過去的黑客攻擊模式轉(zhuǎn)化成為犯罪分子的斂財工具和商業(yè)競爭手段。從某種意義上來說,企業(yè)也好、用戶也好在信息泄露事件中,都是受害者。
聯(lián)系客服