網絡黑灰産已形成生态圈?來源:中國青年報在浙江義烏，一個小商家的老闆剛剛上班，查看前一天的監控視頻發現，淩晨有人翻牆入室，但奇怪的是，店内并沒有什麼物品失竊再仔細查看一遍視頻，才發現這名偷偷潛入的神秘人操作了店内的電腦就走了，今天小編就來聊一聊關于網絡黑灰産已形成生态圈?接下來我們就一起去研究一下吧!

網絡黑灰産已形成生态圈

來源:中國青年報

在浙江義烏，一個小商家的老闆剛剛上班，查看前一天的監控視頻發現，淩晨有人翻牆入室，但奇怪的是，店内并沒有什麼物品失竊。再仔細查看一遍視頻，才發現這名偷偷潛入的神秘人操作了店内的電腦就走了。

對于這種情況，商家也很疑惑，不知是否算是入室盜竊案，因此也就沒有報警。但沒過多長時間，這位小商家的交易記錄和訂單數據就出現在了“網絡黑市”裡。

原來，神秘人在這位小商家的電腦上插入了一個經過改造的U盤“Bad USB”,裡面裝有可以封閉執行的木馬病毒，将其拷貝到電腦後，神秘人可以遠程控制這台電腦，從而獲取商家的交易記錄和大量的用戶真實信息，甚至影響資金安全。而且，神秘人也可以将商家數據和個人信息轉手售賣給網絡詐騙組織，造成更多威脅。

此乃網絡黑灰産犯罪案的典型。所謂網絡黑灰産，指的是電信詐騙、釣魚網站、木馬病毒、黑客勒索等利用網絡開展違法犯罪活動的行為。稍有不同的是，“黑産”指的是直接觸犯國家法律的網絡犯罪，“灰産”則是遊走在法律邊緣，往往為“黑産”提供輔助的争議行為。

上述案例的背後，也隐現着當前網絡黑灰産治理中的難點和痛點：行為隐秘，用戶、商家很難注意到；分工明确，已經形成産業鍊；涉及多方，但往往難以明确各方責任；安全威脅深遠，但現行法律難以消除……

網絡黑灰産已近千億規模

網絡黑灰産有多大的威脅？這個問題恐怕沒有絕對準确的答案。

據南都大數據研究院等機構發布的《2018網絡黑灰産治理研究報告》估算，2017年我國網絡安全産業規模為450多億元，而黑灰産已達近千億元規模；全年因垃圾短信、詐騙信息、個人信息洩露等造成的經濟損失估算達915億元，而且電信詐騙案每年以20%~30%的速度在增長。

該報告還指出，黑灰産共有四種類型：虛假賬号注冊等源頭性黑灰産；用于進行非法交易、交流的平台；木馬植入、釣魚網站、各類惡意軟件等；大多以惡意注冊、虛假認證、盜号等形式實現的網絡黑賬号。

另據阿裡安全歸零實驗室統計，2017年4月至12月共監測到電信詐騙數十萬起，案發資金損失過億元，涉及受害人員數萬人，電信詐騙案件居高不下，規模化不斷升級。2018年，活躍的專業技術黑灰産平台多達數百個。

雖然數額驚人，但許多人并不知道自己是如何被黑灰産盯上的。據阿裡安全歸零實驗室高級專家功夫介紹，網絡黑産人員經常利用綽号“大菠蘿”的一種路由器僞裝成免費WIFI，隻要用戶連接就可以竊取個人信息，監視用戶的浏覽記錄；可同時管理十餘張電話卡的“貓池”設備，經常被用來在電商平台上注冊垃圾賬戶“薅羊毛”；他們還經常利用總成本不足百元的2G短信嗅探設備，獲取周邊任何人的短信内容，從而盜刷信用卡。

而在這些設備背後，黑灰産已經形成了分工明确的産業鍊。功夫以假冒公檢法的電信詐騙為例介紹：詐騙團夥頭目建設窩點、招募詐騙成員後，會通過黑市購買一些用戶的個人信息；再由招募的一線話務員扮演電信運營商和銀行，根據這些個人信息欺騙用戶；再由二三線話務員扮演公安、檢察人員，博取用戶信任，将錢款轉至指定的“安全賬戶”；最終由團夥其他人在全國多個銀行網點幾乎同時取款。

“頭目詐騙成功後，大概能拿到59%左右的資金，一線騙子大概隻能提5%，二線、三線騙子大概能提8%。”功夫表示，許多團夥已經分工非常細緻，這給今後打擊黑灰産帶來了不小的挑戰。

個人信息洩露是黑灰産源頭

在電信詐騙等許多網絡黑灰産行為中，用戶的個人信息是源頭之一。功夫也告訴中國青年報·中青在線記者，作為網絡灰産的個人信息洩露，是許多違法犯罪行為發生的源頭，但無論是企業還是監管部門，都很難完全治理好這個問題。

中國信息通信研究院在今年1月發布的《電信和互聯網用戶權益保護白皮書》提到，該院2017年上半年的調查數據顯示，電信和互聯網用戶的個人信息安全感知評分為6.5分，與2013年相比幾乎沒有提升。影響個人信息安全感知的最主要因素包括個人信息洩露、過度收集個人信息、未經同意收集使用，其中近80%的用戶認為隐私洩露嚴重，超過50%的用戶認為應用軟件“偷偷收集個人信息”。

中國信息通信研究院泰爾終端實驗室信息安全部副主任甯華曾表示，如今個人信息保護出現了新的挑戰：以往用戶感知到自己的隐私信息被洩露、利用需要一周甚至一個月，但現在可能隻需要幾個小時就能感知到，隐私信息體現在了廣告、購物網站上；以往很多隐私信息是用戶主動提供的，但如今很多用戶并未主動提供的信息，也被商家或平台收集、利用了。

針對個人信息保護的新挑戰，公安等監管部門也在努力。截至2017年12月20日，全國公安機關當年累計偵破侵犯公民個人信息案件4911起，抓獲犯罪嫌疑人15463名，打掉涉案公司164個。但是，網絡黑灰産已經在大量利用個人信息，開展電信詐騙等違法犯罪行為。

據功夫介紹，在各方打擊下，許多黑灰産人員所利用的隐私信息“四件套”（身份證、銀行卡、手機卡、銀行U盾）被逐漸查封，導緻“四件套”的價格已經從100多元上漲到1500元，但即便如此，黑灰産依然可以通過“暗網”的諸多渠道獲取大量用戶的隐私信息。

魔高一尺，道高一丈。功夫認為，針對依然猖獗的黑灰産行為，還需要掌握技術的企業、平台，與公安等監管部門協同治理。例如通過企業提供的大數據能力，幫助公安、電信運營商建設統一的号碼識别平台，将詐騙号碼推送到每個用戶的手機上，避免被騙。

工信部網絡安全管理局網絡與數據安全管理處副處長袁春陽也曾表示，數據安全與個人信息保護問題涉及移動互聯網的多個環節，需要加強産業合作，強化協同安全，有關企業要切實履行主體安全責任，相關行業組織和安全廠商，要發揮組織和技術優勢，健全完善行業自律和網絡安全協作機制，共築網絡安全防線，共同提高網絡安全保障合力。

協同治理不能模糊責任

協同治理，是近年來讨論網絡安全問題時經常被許多人提及的一個關鍵詞。與之相伴而生的是，網絡安全涉事各方該如何承擔相應責任？

“以前大家都講黑灰産治理要聯合起來做事情。這句話是非常正确的，但是聯合也容易變成沒有人負責。”阿裡安全部資深總監張玉東認為，治理網絡黑灰産不能因協同治理而迷糊各方責任，應該從問題根源入手，分析各方責任，相互督促各方解決問題。

張玉東分析，網絡黑灰産需一般會先通過手機号碼了解用戶隐私等基本情況；其次通過社交網絡、電話、短信等進一步靠近用戶，騙取其信任，最後與用戶産生直接聯系，從而騙取信任實施詐騙。

根據這個流程，張玉東認為電信運營商、社交網絡平台也應該在治理黑灰産中承擔更大責任。他舉例稱，許多電信詐騙、釣魚網站詐騙都是誘騙用戶連接僞裝過的免費WIFI，或攔截、嗅探短信來實現的。“如果運營商這個問題不解決，永遠有一個環節是可以造假的，這個問題就不能根治”。

另外，他也關注到更隐蔽但更大量的涉及用戶個人隐私的數據洩露。他呼籲，發揮網絡基礎設施作用的平台級企業應該率先示範，首先行動起來，保護用戶數據和個人信息免遭洩露。“各家自掃門前雪，把自己的事先解決，這是第一步。”

不過，作為網絡安全從業者，他也明白當前推動企業投入大量成本去保護用戶數據和個人信息的挑戰。因此，他希望制度層面可以進一步對企業在這方面的責任和投入作出要求。

360公司董事長兼CEO周鴻祎也曾向中國青年報·中青在線記者表示，個人信息保護是網絡安全法等法律的重點議題，但在具體執行中還需要更多細則。尤其是針對掌握大量用戶數據的互聯網公司，他建議制度層面可以針對這類企業如何處理、轉賣、交換用戶數據作出更加詳細的規定，對企業收集、保存用戶數據也應作出相應規定，保證涉隐私數據不能明文存放，而是加密存儲，以避免被人輕易利用。

觀韬中茂(上海)律師事務所合夥人王渝偉律師認為，近年來頻頻發生的企業數據和個人信息洩露事件說明，一方面很多企業在技術和管理層面仍然不能達到法律法規的要求，對數據洩露仍然存在規避責任的僥幸心理，沒有切實履行作為個人信息控制者、網絡運營者的義務；另一方面也說明對個人信息洩露事件的責任主體的監管和懲罰力度不到位，縱容了企業的僥幸心理。

“網絡安全和個人信息保護需要企業和政府的共同努力來構造，制定完善規則，并且貫徹執行，這肯定是首先要考慮的。”王渝偉呼籲，無論是監管機構還是具體企業，都要真正行動起來。(記者 王林)