在互联网上有哪些鲜为人知的黑料?

狗头大军之江苏分军
264 阅读36分钟

互联网黑市分析

  • 互联网黑市分析:虚假运营手段
  • 什么是虚假运营
  • 虚假运营手段
  • 马甲阶段
  • 模拟阶段
  • 数据阶段
  • 副本阶段
  • 脚本阶段
  • 与主流互联网的对比
  • 给我们的启示
  • 什么是社工库
  • 社工库的发展:数据盗窃
  • 社工库的发展:洗库撞库
  • 社工库的发展:构建传说
  • 社工库的发展:未来趋势
  • 给我们的启示

互联网黑市分析:虚假运营手段

我国有句古话叫「文无第一,武无第二」,古人简简单单的一句话,却说出很多行业的潜在运行规律,也是中国大多数行业的背后法则:公平简单规则下的竞争会推动竞争者个体的提高,而复杂的规则下,竞争者更多的反而去在争夺竞争规则的资源,或者在游戏规则上做文章。简单的说就是,如果竞争规则不是简单客观公平的,「专业性」就没那么重要。

比如说从学校走向社会,对人的衡量就不仅仅是相对客观公平的考试成绩,而是各种复杂的游戏规则;比如在行业浸泡越久,就越发现影响成功的因素永远比想象的要复杂,靠学习和努力根本无法逆袭的;再比如在一个行业没进入到核心圈子,就很难了解真正潜规则。这是我国几千年文化和传统作用的结果,也是大多数行业的运行规律法则。

这种意识形态也在潜移默化的影响着互联网,但在互联网这个法则是逆向作用的并且被放大:由于行业快速的发展,规则在不断的变化,几乎所有的创新者眼中的「创新」都会聚焦在「新规则」上,占据了新的规则就占据新一轮的发展的机会,投机的回报要远大于积累。行业也越来越浮躁,充斥着「我的想法能改变世界,就差找个技术合伙人给我做app」的声音。

就好比是比武,既然每一轮都会变一次规则,既得利益者和大玩家都会在这个上面做文章并获利,而规则变得越来越愚蠢和搞笑。可能大家都记得八十年代电视剧《霍元甲》里面的武状元,根本不会武功,但是由于比武比的是各种「才艺」,加上银子使然,就真的成天下第一了。这并不是完全虚构而有一定是历史事实成分,清末的武举制度的规则,已经让武举成为笑话。

虽然主流互联网圈子「擂台比武」已经成为讲故事、唱首歌、拉选票、比颜值、贴海报,秀招式的闹剧,但并不是说武艺已经失传,在互联网黑市的快速变现的要求与目的驱动下,一些武师和武艺朝着另一个极端的方向发展:长期的内功磨练、对一招致命的极致追求、阴劲、下毒、暗器,无所不作,只是为了保持在黑市中的生存本能。

什么是虚假运营

虚假运营,简单的说就是有目的的给网络用户营造一个假象,这种假象利用一些网络规则和心理技巧,让我们难以识别,信以为真,从而获利。

如果用现实社会对比,我们可能会遇到雇佣一些群众让售楼处看起来非常火爆的情况、会遇到购买东西时候的各种托、或者拍卖会的时候有自己抬高价格。但由于成本问题和构造虚假环境的经验,所以在现实社会应用并不多,但是在互联网上就是完全另外的一种情况了。

中国社会的特殊性,让其传统的人和人的信任逐步弱化,但与此同时互联网却在此方面的表现恰恰相反:总体而言,反传统社会的信息对等的产品概念和相应的用户体验、除去了直接的沟通避免了更多信任损耗,更好的视觉体验,以及更强的社交属性都让互联网享受着与线下社会交易相反的信任红利。

我们从下图的调研结果可以看出,虽然网上充斥着大量的相互攻击和对舆情怀疑的论调,但是仅仅是少数群体,90%以上的网民还是觉得互联网虚假信息仅仅在30%之内。

这种红利,再加上网络展示出来的仅仅是抽象的数据和信息,营造一个虚假的氛围环境的成本极低,都给虚假运营带来了极大的空间。

举个最简单的虚假运营手段,就是淘宝商家的刷单,通过刷单的方式让顾客觉得自己生意或单品火爆,从而带来从众心理的消费。但是淘宝刷单仅仅是虚假运营手段一个最简单的例子。近些年来,虚假运营进入地上主流互联网的运营世界,比如大家访问微博,会发现僵尸粉,有的僵尸粉还会自动评论;随便访问一个招聘网站,就充斥大量的假职位,还有假猎头给你发消息留言,但是得交钱加入会员才能看到留言;婚恋网站总有一些漂亮的姑娘,但是注册会员后反而找不着了;任何一个交友app查看附近的人都有大量的美女,哪怕你在深山老林沙漠;刚刚上线3天的p2p网站,就弄到了几百万用户,等等。

但是对于黑市上的虚假运营手段来说,上述都是完全的可笑的小儿科,黑市上的虚拟运营模式早已经在十几年的「内功磨练」中达到一层层的门槛高度,顶级的虚拟运营可以构建一个完整的网络世界副本,而这个世界副本仅仅是为了一个用户定制化,看上去有种「楚门的世界」的虚幻感,但是却完完整整的发生在我们所访问的互联网的每一个角落和每一块重要的流量变现地带,让虚幻的互联网中,再次嵌套了一层虚幻。

虚假运营手段

我们把虚假运营手段分成5个阶段,这5个阶段并不是按照时间发展的顺序,而是手段的深度和技术水平来划分,对大多数虚假运营来说,都停留在前两个阶段。而每一次的突波,带来的不仅仅是对虚假运营水平的提高,更多的是对互联网产品生态的认识,用户的心理的把握以及变现的节奏感的整体提升。

与此同时,我们也用小a举例,对每一个阶段的手段进行具体的分析。小a的故事纯属虚构,仅为分析例证,不代表任何互联网实例,请不要对号入座,更不要询问相关内容真假。

马甲阶段

马甲阶段是虚假运营的第一个阶段,也是最常用的。这不是互联网黑市专利,在主流的互联圈子也是非常常用的手段。几乎所有的UGC平台的运营开始,都会采取马甲虚假运营,这也成为中国互联网一个约定俗成的规则和不是秘密的潜规则。大量的地下产业链的人海组织,利用一些四五线城市的廉价成本,让马甲虚假运营更快速的发展。

在这个阶段,常用的手段就是大量的虚假用户和虚假信息。比如之前举例的微博上的僵尸粉、招聘网站的虚假职位、虚假猎头信息,婚恋网站的虚假用户照片、交友app的虚假位置信息等等。另外一种情况,就是专业化的虚假信息:这些信息一般带有一定程度的门槛,而把用户包装的有一定的权威性,信息有一定的指向性来变现。比较典型的就是各种疾病信息平台上的医生回答,有些平台搜集大量的医生的信息进行构建虚假用户,后台大量的根本没有任何医疗知识的键盘手根据话术,引导提问的病人到指定的民营医院就医,获得暴利。

小a是85年生人,北京某著名大学社会心理学和计算机双学位毕业,极其热爱互联网,聪明有余沉稳不足,不喜欢按照规则约定俗成顺应着发展。小a毕业后不想去大公司当个屌丝产品经理和程序员,开始独自闯荡,成为一名网络自由创新者,并利用自己的优势,在虚假运营上专门做文章。

小a早有所闻莆田系民营医院的暴利性和与之对应的互联网医疗广告的变现,最早做的是一个医疗知识平台。小a找了一个网络问答的免费程序,用了好几周的时间,把全国所有的三甲医院的医生信息全搜集抓取起来,生成几千个名医用户,再用各种爬虫去抓取全网的医疗知识问答信息,加入自己的广告,SEO优化,发现一个月也变现2-3万的广告费。适当的给自己的平台投放些网盟广告和关键词广告,长尾词,蓝海词,SEM优化,再引入了一些民营医院的客服CPA,发现做的好一个月也能5-8万净利润了。这个时候的小a,还处于虚假运营的马甲阶段。

模拟阶段

模拟阶段是第二个阶段,更注重整体氛围的营造,在马甲阶段的相关手段上更进一次。如果我们从理论上分析,马甲阶段的手段一般都是离散的,信息之间耦合度比较低,但是到了模拟阶段的手段,就变得高明的多,更像是一个真实的世界的模拟。黑市上对这种手段有个比较形象的称呼叫「说相声」。

这种虚假运营手段更常用在电商而不是UGC的平台,因为电商变现更直接,而UGC只能通过流量分发变现而不能直接接触变现终端利润率相对更低。比如很多朋友圈电商或者微商都是此道高手:明明是一个新开了几天的店,什么银行卡流水记录,发货邮寄单,成堆的发货现场,看上去异常火爆;明明是一个新淘宝店,刷了五颗钻打着冲冠的名头减价,什么用户好评用户反馈用户和掌柜的聊天记录看上去好像已经是百年老店的感觉,等等。

小a做了一段的医疗知识平台觉得没意思了,由于自己没法掌握变现终端,只是流量分发渠道,简单的说只能通过广告赚钱,到了一定程度会被压价,甚至被「吃量」。看来还得自己掌握变现才是王道。小a开始做电商,小a很理智的没有选择什么火爆的朋友圈电商什么微店,也不去淘宝凑热闹,小a知道如何自己占据主动不被恶意竞争困扰。

小a开了一个独立的单品电商,专卖高端充气娃娃,再挂一个论坛。各种虚假运营手段:什么银行卡流水记录,夸张的用户反馈,成堆的发货现场,疯狂的男粉丝自拍,论坛里面各种虚假用户间沟通,女用户来骂老公事件,男用户购买20个娃娃的群p事件等炒作。小a默默的利用自己社会心理学的优势模拟积累了几个月后才上线,上线后直接购买流量引入,卖的那是相当的火爆,月入10w+轻松愉快。这个时候的小a,处于虚假运营的模拟阶段。

数据阶段

前两种虚假运营的手段没有多少门槛,只要用心钻进去,多积累一些经验,都能玩的转,所以也可以说并没有到达真正的高手阶段,而到了数据阶段,会有一个比较质的飞越。数据阶段的虚假运营,是指通过数据的虚假,构建一个虚拟的世界,欺骗用户达到最终的目的。

在这个阶段,对数据的策划能力和平衡能力是最关键的点,纯粹用数据就可以模拟出来一个虚拟的繁荣假象,和相对于的用户体验。这个阶段比较常用于游戏的运营,虽然用户很少,但是在数值策划上做文章,能模拟出非常多用户同时在线的效果和体验,以及与之对应的付费冲动。另外在一些信息不平等的中介平台上,这种手段也运用的很多,例如比特币交易,p2p金融等。

小a胃口越来越大,已经不满足一个月10几万的收入。小a把盯上了最近比较火热的德州扑克。小a比较收过高等教育,知道国家对棋盘类游戏管理很严,稍有不慎就成为了赌博,但是只要自己不去做check out的环节,就没有风险。小a的战略方针是,大筹码,玩的爽,把网游的那些激励因素引入,并不check out,鼓励pk,引入秀场似的诱惑竞争机制。

在数据上,小a请了大学数学系好友操刀数值策划和算法,自己操刀用户心理。模拟成一派火热攀比的竞争态势,激发用户的冲动。虽然仅仅只有几千个真实用户,但是玩起来的感觉就和几十万上百万的赌徒狂欢一样,做到这个份上,小a已经可以月入50万以上了。这个时候的小a,处于虚假运营的数据阶段。

副本阶段

副本一次最早是从游戏中来,在著名的游戏「无尽的任务」中出现,在「魔兽世界」中被发扬光大。在游戏中,一个副本就是一个专为你和你的团队的特殊拷贝,是一个虚拟世界的复制,这个世界仅仅为一个用户或者一组用户准备。简单的说,用户甲进入副本,看到的是一个独立的世界,用户乙进入,看到的也是这个独立的世界。用户甲乙,在不同的独立空间中。

副本阶段的虚假运营是一种非常高超的技术,不论从技术角度讲,还是对产品的理解,设计,用户体验的把握,最终运营目的的实现上。在副本阶段的虚假运营中,用户相对独立,所以也需要非常高超的数据虚假运营能力,和利用人工智能或者大量深入用户心理的话术,对环境进行模拟和打造真实体验。这种虚假运营手段,最常见的是运用到赌博性质的游戏中。

人心不足蛇吞象,很快小a对每月几十万的收入也并不满意。单纯的棋牌游戏和赌博仅仅有一步之遥,很容易捅破那个隔层。但小a还是不敢突破那条红线,却一直想办法创新。在和数学系的同学无数个不眠之夜探讨,深入的数学模型分析,以及对社会心理学深度应用后,小a摸索出来了新的模式。

跟踪玩家行为,通过数学模型给用户分组,不同的组别的用户进入到不同的副本。不同的副本有着不一样的数据虚假运营氛围和规则。简单的说,玩小a的游戏,玩着玩着,大家看到的游戏都不一样了。例如玩家甲是土豪,看到的是一种土豪规则和炫耀氛围;玩家乙是屌丝,看到是屌丝规则和逆袭气氛。不同用户进入不同的虚假世界,看到量身制定的规则和氛围。在这样的用户行为建模后个性化虚假运营手段下,小a月入终于破了百万。这个时候的小a,处于虚假运营的副本阶段。

脚本阶段

副本阶段不断的优化,势必给用户的分组越来越多,最极端的方式,每一个用户都获得一个副本。但是在实际建模过程中,不会有那么多数据维度,能给每一个用户都分一个副本进程的。一方面是同样的应用中用户的同质化比较严重,另一方面也是没有足够的结构化数据的支撑。

但是没有关系,可以利用黑市的社工库进行获取用户的全方位的结构化数据和信息,几乎能包括用户所有的社会上的留下的足迹数据。(关于社工库相关信息可以参考TOMsInsight之前的深度分析报告《互联网黑市分析:社工库的传说》)。利用社工库数据,给每一个用户设定一个场景,完全符合该用户的特点,这在黑市上叫做:「脚本」。一般运用在金融诈骗,大额度赌博等方面。

小a一直不敢突破赌博的红线,但是副本阶段积累几年,有着足够的经验和积累。一直到2014年,p2p金融平台的火爆和相对于的监管不足产生的所谓的「监管红利」,让小a看到了机会,小a成为了比较玩进入但是是胆大心细技术高玩的最好的那一批人。

同样是虚假的副本运营,在黑市上大量采购社工库数据,包含用户的征信数据,各种酒店机票数据、网络的各种足迹数据、爱好、特长、工作、甚至一些往来邮件和聊天记录等等,给小a的建模足够大的空间和结构化源数据。针对特定的大客户,把游戏中的心理映射到真实社会,完全按照用户需求心理特定打造的p2p模式,个性化的各种提醒和匹配性客服,几乎和赌场无异,风险几乎为零,吃掉几个大客户,甚至都不用跑路,至此小a的月收入终于突破了200万。这个时候的小a,处于虚假运营的脚本阶段。

与主流互联网的对比

「其实我一直感谢那些主流的互联网从业人员。」 小a 在和我们TOMsInsight分析师聊天的时候,总是说自己不是主流的互联网从业人员。「主流的互联网从业人员,他们总是浮在水面上,每天刷几个小时微博,几个小时的微信文章,嘴里说着各种用户心理,用户体验,用户行为,却总是臆想、臆断、臆x、从来没看过任何的一本心理学经典著作,更别提系统的学习了,甚至连基本的计算机科学抽象原理都不懂。是他们给了我机会,其实不是我武艺强悍,只是我用心去练了练而已。」

我们很难反驳小a的话:这种非常深入的虚假运营手段,是完全不可取的,但是我们也确实很难在主流的互联网圈子中,寻觅到如此深入的研究运用和如此巧妙的设计模式。在主流的互联网产品运营中,如果有一些个性化的功能差异,都已经被追捧成神级作品了,少之又少。

从另外的角度来思考,这样的虚假运营手段,远远超出主流互联网圈的认知,我们又如何的去防范,如何的去保护用户的利益呢。猫鼠游戏,如果鼠的速度快到猫根本看不见的地步,那是不是猫应该反思反思,也许不应该专注于扮萌讨主子开心,也该花点时间磨练磨练捕鼠的技能了。从整个行业出发,如果鼠越来越潜心修炼,猫越来越扮萌讨主子开心,最后真正损害的还是用户的利益和整个行业的信誉。

给我们的启示

有时候,我们太想完成目标,反而忘掉了目标是什么;有时候,我们太想成功,反而忘掉了成功是什么。有时候,我们制定了层层的标准,制定了层层的游戏规则,最后在这样的规则下结果,已经失去了本来的意义,成为了一个符号或者一种标志,或者一种虚假。

同样,我们很聪明的给我们找出各种理由来诠释我们的进步和成功,只是夜深人静的时候,扪心自问,这些真的有意义么,还是只是我们为了满足各种而设定的借口。有时候真的不知道是虚假运营手段更真实,还是我们的标准更真实。也许都是一种虚幻,就如互联网世界一样。

任何一个行业都是一个江湖,有江湖就有故事,追名逐利的人喜欢被写入故事,踏实做事的人却希望被隐匿。久而久之,江湖上的故事越来越虚名浮利,听故事的人也越来越坐井观天。岂不见无数江湖武侠小说,开篇的人物总是让我们误以为是江湖大侠,看着看着才发现一山更比一山高,到最后才发现开篇人物简直是不入流的小啰啰。而真正的高人,反而隐匿成传说。

互联网行业也是如此,大家喜欢创造故事,故事也越来越千篇一律的浮躁:什么产品上线7天就几百万用户、什么开发阶段就上亿投资、什么90后霸道总裁颠覆行业、什么大咖的内部分享、从xx看xx的四大趋势、从xx看xx的十大价值、xx的专注力、xx的微创新、xx的平台化、xx的独家专访首次讲述xx辛酸、xx概念的深度解析加独特见解,等等。翻来覆去,好像也就是那么多东西了。

就好像有些江湖人士,是需要靠卖艺为生,请个会吆喝的帮忙吆喝吆喝,弄个猴子上蹿下跳一下,响啰使劲的敲几下,骗骗几个外行人,撒点碎银子,仅此而已。接下来大家再接着吹嘘一番,比比谁拿的碎银子多点,动口不动手。长期以往,有些人招摇撞骗,也竟然成为了一代口碑中的大侠。久而久之,如今很多江湖人士只是卖艺拿贵客的碎银子为生,如何卖艺卖的更好是大家追求的目标。那些内功心法,武功秘籍,也都成为了历史,那些大侠们,也成为了传说。

难道江湖不再是那个江湖了么?其实不然,浮躁沉沦的只是江湖白道,只是这些大内侍卫,镖局镖师,衙门捕头而已。而江湖黑道中,黑客技术、海盗精神,继续被追捧,虚浮的商业模式永远不如深度技术被重视,“铁甲依旧在”的情怀还在回荡,而地下产业链相关的进步也在不断的深入,并且潜伏起来暗自发展,为了更大的目标和黑暗梦想。

什么是社工库

社工库是社会工程学数据库的简称(Social Engineering Data)。

提到社工库就必须先介绍一下社会工程学(Social Engineering),这个名词最早是在2002年由传奇黑客米特尼克(Kevin David Mitnick)在提出,但其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。由于米特尼克在黑客界的传奇地位,很快社会工程学就开始被深入研究并且发扬光大。

社会工程学,准确来说是一门艺术和窍门的集合。它利用人性的弱点、心理的缺陷,以顺从意愿、满足欲望的方式,让人们上当,或以此为入口进行攻击。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素,利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科,由于其非法性和在很多国家地区都被严厉的打击,社会工程学也变成了一个见不得光的学派。

但是在黑客群体中,社会工程学就是他们的第一方法论和必修课。离开了社会工程学,黑客们运用的网络技术几乎都没有用武之地。如果我们用黑客最喜欢的海盗来比喻,各种网络技术可以比作航海、游泳、剑术、而社会工程学即是海盗们的行为准则和创新指引。

那么什么是社会工程学数据库(社工库)呢?即黑客在运用社会工程学进行攻击的时候,积累的各方面数据的结构化数据库。简单的说,社工库是黑客用来记录攻击手段和方法的数据库,这个数据库里面有大量的信息,甚至可以找到每个人各种行为记录(每个人在每个网站上的账号、密码、分享的照片、信用卡记录、订的机票记录、通话记录、短信内容、各种社交软件的聊天等等包罗万象),比如之前有很火爆的查询开房记录的数据库,就是一个典型的极简单的社工库的例子。

那么社工库又是如何产生的,在国内的互联网地下产业链中,又是什么模式的存在,发展又是什么情况呢,我们接着分析。

社工库的发展:数据盗窃

既然是传说,背后就有很多故事,说到社工库的产生和发展,我们就得先从互联网的数据窃取与交易开始说起。

互联网用户数据泄露一直是行业关注的焦点,从最近的京东用户密码泄露事件,到之前的CSDN的数据库完全爆出,再到如家酒店的用户数据泄露,网站和黑客在用户数据上一直在进行着旷日持久的攻防战。但是爆出来的数据泄露,仅仅是冰山一角,甚至也不到。而且这些信息其实对于黑客来说,根本没有什么价值。而对于用户来说的危害,也没有想象的那么大,因为大多数时候这些数据在黑市中几乎都已经是半公开的性质了。

而数据窃取与交易这个细分领域也几乎是地下产业链隐藏的最深的一部分,很多在互联网地下产业链中沉寂了多年的大佬都并不了解此道的相关信息。绝大多数被盗窃后的网站数据,并不会公开与众,只是交易后进入到地下产业链的其他环节而已。所以目前到底有多少网站的数据已经被窃取我们没法客观的进行数据分析。但在互联网黑市中,大家说起来类似的问题,常用的一个词是“十墓九空”,也许这个说法有点夸张,但是也可以参考。

数据窃取产业虽然隐藏的非常深,但是发展历史永久,地下产业链也随之成熟,对于如何把数据变成货币,已经有了非常完整的程序的分工协作渠道。而其模式相对简单,一般只包括:脱库、洗库、撞库这几个阶段。

在地下产业术语里面,“脱库”是指入侵有价值的网络站点,把数据库全部盗走的行为,因为谐音,也经常被戏称作“脱裤”。在取得大量的用户数据之后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以是黑客收获颇丰。

在早期的数据窃取过程中,这几个阶段几乎都是由同一个团队、甚至单个人来完成的。发展到今天,已经完全细化成产业链,很少有人从脱库、洗库一起做了,而变成:定制化模式,或交易化模式。

定制化模式:就是现有下游客户指定的某一家网站,然后聘请黑客去脱库,脱库后获得佣金的模式,在定制化模式中,有很强的黑产规矩即数据属于下游客户,而黑客不可以再次出售,或者在一定的窗口期内不能再次出售。

交易化模式:黑客去某一家网站脱库,脱库后直接在黑市上寻找下家,在这种模式下一般可以反复出售,但是由于风险较大,而且数据真实度和新鲜度不一定能得到保证,又充满了骗局,越来越没落了。

而下游客户定制某特定一家网站的脱库,是怎么盈利呢?

大多数时候,都是竞争对手或者上下游企业采购,而且大多数都是主流互联网产业链中的客户,甚至是传统企业客户。其实这个模式很简单,想一想在生意场上,这家网站的数据库对谁谁有利,谁就可能是潜在的定制客户,只不过由于很多主流互联网企业或者传统行业很少了解这个地下产业,所以就会有一些中间人,来做中介促成相关的生意,而这些中间一般情况就是黑市里面的买家或者定制客户了。

我们用实际的例子说明:M哥在黑客圈小有名气,技术过硬。某互联网医疗产品最近要拿投资,深度用户不够啊,通过中间人,辗转的找到了M哥。M哥奋战了几天,直接脱裤了几家三甲医院的网络挂号系统,历史数据应有尽有,结构化分类一应俱全。M哥到手200w,中间人到手300w,而这家互联网医疗产品由于用户的激增和数据的全面性,以 及对应新产品的虚假运营,多拿来1000w的投资,绝对双赢。

社工库的发展:洗库撞库

如之前分析,不管数据如何贩卖交易,卖给谁,怎么卖,最后黑客手里面还会有一份数据,由于黑市一般都采取定制化交易,黑客们不能再次出售了,所以一般情况下黑客们会用这份数据进行洗库撞库再洗库操作。

洗库主要是清洗这些数据中可以直接变现的部分,但是这样可以直接洗库的就能洗出价值的数据,其实并不多。一般都是有预存款或者虚拟物品交易的数据库才能洗出来价值,例如:游戏账号、电商账号等等。

更多的时候,黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”其实可以收获颇丰。而撞库和洗库的过程是配合的,黑客使用自己开发的工具、直接数据库匹配登录技术以及配合黑色产业链中的打码机制(之前TOMsInsight报告中有介绍)可以对很多网站进行批量撞库,一旦成功,可以进行再次洗库。

这就好比黑客们拿到了一份没什么价值的网站的全部用户名和密码,没关系,可以用这份用户名密码来尝试着登录有价值的网站嘛,如果能登录,不就可以洗出来价值了么,我们还是继续看M哥的例子。

M哥卖掉了几家三甲医院患者的挂号数据,虽然到手200w,但是也不满足。想想这几百万条数据,应该还会有别的价值吧。但是M哥又是一个传统的讲道义的黑客,不会再次出售给别的买家。只能从这些数据本身来找到价值了。

M哥尝试用这些数据登陆QQ、京东、支付宝、淘宝、各类网游,从而洗掉里面的资产,但是由于各种网络的安全策略的保护,M哥虽然有收益,但是却不多,甚至都不够自己的洗库撞库的网络成本,于是M哥继续沉寂下来,这一沉寂,开辟了一个传说。

社工库的发展:构建传说

在很多时候,社工库都是一个传说,就像海盗里面流传的那笔谁也不知道的宝藏,只有那块已经不知道转了多少手的脏兮兮的残缺的藏宝图才预示着它的存在。但是社工库却又很客观的放在那里,一直存在,一直沉寂。

除了贩卖数据本身得到金钱上的利益之外,黑客还会把得到的数据进行整理,制作成社工库。社工库是一个积累的过程,也需要大量的人力物力的去建设,同时还是一个漫长的过程。开始的时候就像M哥一样,单兵作战的去积累,今天是三甲医院的数据库,明天是旅游网站的数据库,后天的演唱会订票网站的数据库,这些数据库积累越来越多。

M哥后来遇到了V哥,V哥是同行,手里面也有很多数据库,可以和M哥互补,两人一拍即合,把双方的数据库融合起来,内容变得更丰富。而且两个人不断的进行分析维护,排除噪点数据和没有价值的数据,相互关联,刻意的去丰富一些必需的数据字段:比如QQ号和密码、比如手机号、比如身份证号。再刻意的去交换购买补充一些极其有价值的,比如征信报告。

社工库的内容越来越丰富,而M哥和V哥两个人力量还是小,两人刻意的去联合同行,组成利益联盟,把手里面的数据都放到一个社工库,组织力量去维护去分析。

这是一个放大的效应,由于社工库的日益庞大,信息的日益完善,再加上时间的沉淀,很多数据都可以慢慢地浮出水面,可以获得相当多的信息。目前有一些公开的社工库,信息全面性和对于用户隐私的了解以及让人震惊,但是这才是仅仅公开的社工库,对于黑客们来说其实已经是没有价值的信息。真正地下的社工库的数据信息丰富程度要远远更大,也绝对隐匿。

利用社工库,几乎可以暴漏出一个网络用户的全部网络行为、大量的用户隐私,和一些牵扯到个人身份财产的相关的数据信息。

首先让洗库变得更加容易:由于数据量很大信息很全,很多的账号的的虚拟财产的转移就不像之前那么困难,了解到信息之多甚至都可以伪装成这个用户去进行操作了。

其次让各种诈骗变得简单:之前大多数诈骗都是光撒网模式,而社工库的完善后,可以非常有针对性对一些特定的用户进行诈骗。利用数据技术,甚至通过木马分析一些用户QQ聊天的内容,寻找有价值的目标,和相对更信任的关系网络。这种模式风险会更小,而且由于诈骗目标相对较大,收益更大。在这种模式下,完成技术分析工作的一般是黑客,但是最后完成诈骗的却一般不是,黑客把按照客户要求去分析,最后把可以完成某种特定诈骗的目标连通相关信息出售(黑市称脚本)。

最后社工库也成为地下产业链的基础服务商:全面的社工库基础数据,也是精准的流量获取来源,成为流量获取分发的地下产业链的基础服务和大数据服务商。一些特有的黑色产业目前非常依赖社工库,例如精准定位的赌博平台、一些p2p金融类型的诈骗、或者是一些商业骗术。

社工库还可以进行网络的定向攻击,有时候一些不懂行的人进入互联网,糊里糊涂的就被骗的搞的一塌糊涂,互联网并不简单,简单的是那些幼稚的主流科技媒体,真正的中国互联网行业水很深,深到还没有外企可以成功的地步。

而社工库也在不断的扩大,丰富,并且继续沉寂。

社工库的发展:未来趋势

从2013年以后,国内互联网黑市上的数据交易产生了严重的分层:一些大的数据盗窃团伙早已经完成早期的数据积累构建非常完善的社工库,对于一般的数据定制需求都不会再接,会专注于更深度变现更强的金融诈骗;而一些小的数据盗窃团伙还在不断的相互交易、交换数据、而且相对高调的浮出水面,其实危害反而没有那么大。

而且出于用户交互方面的考虑,目前越来越多的移动终端支付或者金融产品的安全策略略浅,再加上更丰富的网络电商活动,导致沉寂在黑产中的数据危害也越来越大。这可能也会是更多的互联网产品的设计时需要考虑的问题所在。

而真正沉浸起来的社工库,一方面已经成为传说,另外还在构建着自己未来的目标,这些才是真正危害,也是对于我们最大的威胁。我们TOMsInsight分析到此很矛盾:在这个主流互联网都在炒作概念玩击鼓传花的骗术,而地下互联网都在积累的年代,也许我们真的应该沉下心去仔细的去研究去分析去洞察,而不是人云亦云。

“暴漏出来的社工库都是小孩玩的,真正有价值的社工库谁也不会暴漏,都在沉寂”, M哥对我们TOMsInsight的调研员说到“有时候真的看不懂现在主流的互联网,拿几百万投资就嘚瑟的不得了,其实就是不入流的卖艺打赏呗,小孩过家家。我们这行很多人都能一天赚出来这个投资数的现金来,反而继续去沉寂,沉下心钻研,为了未来更大的打算。“ M哥的话有些绝对了,但是在某种程度上也值得我们反思。

给我们的启示

江湖的故事会继续,传说也会继续。有些人可以选择视而不见,有些人也会选择去逃避。但是冬天始终都会到来,冷暖自知。我们不能要求每一个互联网人都踏实下来,毕竟一些浮躁的跟风卖艺求打赏也会是很多人的生存之道,但是我们应该知道,江湖并不是由他们构成,那些传说,也都和每一个故事一样的真正的存在我们的身边。

当一个行业的地下产业比主流产业更踏实,看的更长远,也更注重积累的时候,也许很值的我们所有的从业人员反思。毕竟,传说应该属于真正的英雄!

avatar
文章
阅读
粉丝