引言
随着网络犯罪活动的增多,社工库正成为网络攻击和个人隐私泄露的主要源头之一。本文将通过具体案例和大量数据,深度揭露社工库的运作机制、严重性以及潜在的社会影响。
一、什么是“社工库”
“社工库”源自社会工程学(Social Engineering),社会工程学指利用心理操纵手段获取个人信息的过程。社工库则是指通过非法途径收集并整理的个人信息数据库,这些信息通常包括姓名、身份证号、手机号、家庭住址、邮箱、密码、社交媒体账号等。据Identity Theft Resource Center 2023年发布的报告显示,仅在2022年,全球就发生了约1,800起大规模数据泄露事件,涉及数十亿条个人信息。这些泄露数据极有可能进入黑市,最终形成社工库。
二、社工库的形成与典型案例
社工库的数据可能来自多个渠道,但目前最典型的还是各大厂商的数据泄露,这些数据相互整合、交易,最终形成规模庞大的社工库。
典型数据泄露事件
2015年网易邮箱泄漏事件
2015年10月19日,有用户“路人甲”在国内安全网络反馈平台WooYun(乌云)发布消息称,网易163/126邮箱过亿数据泄漏,涉及邮箱账号、密码、用户密保等,此次泄露规模或达5亿条的规模,该数据在当时造成了巨大影响,大量网易邮箱用户被非法登录,笔者当时也曾测试过部分数据,有效性相当之高。
2020年微博数据泄露
2020年3月4日,有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,售价1388美元。其中绑定手机数据包括用户ID和手机号,账号基本信息包括昵称、头像、粉丝数、所在地等。微博某知名安全大V因被其他用户通过社工库查询到手机号,收到大量添加好友请求。
2022年上海*安数据泄露
2022年7月初上海某单位位于阿里云的数据库遭入侵,黑客在网络犯罪论坛公开出售的中国大陆居民信息和案件数据的一起大规模资料泄漏事件。这批数据包含逾十亿居民的个人资料。被出售数据标价10比特币(合时价约美元20万或人民币134万)。出售数据的匿名人士称,这批泄露自上海市某单位的数据由总计逾23TB的多个部分构成,涉及逾十亿中国大陆居民,包含姓名、地址、出生地、身份证号码、照片、手机号码等等。讽刺的是,该数据的泄漏原因居然是因为一个重要系统可以直接未授权访问。
数据整合与市场交易
社工库的建设通常需要将不同渠道获取的数据进行整合和分类。以俄罗斯的黑客组织Group-IB为例,他们通过购买、交换和窃取多种来源的个人数据,形成了庞大的社工库,专门用于向全球出售这些数据。此外,暗网是社工库交易的主要场所。根据Cybersecurity Ventures的报告,全球暗网市场中,社工库数据的价格从几美元到数万美元不等,具体价格取决于数据的新鲜度和完整性。例如,在2020年初,暗网中出现了一个名为“Collection #1”的数据库,包含超过7.7亿条电子邮件地址和2100万条独立密码。
2023年星链社工库公开
2月12日晚,在即时通讯软件Telegram上,某机器人爆出超45亿国内个人信息遭到泄露,数据包括真实姓名、电话、地址等信息,并公开了免费查询渠道。该机器人管理员提供的navicat截图显示,数据量为4541420022条(45亿),数据库大小为435.35GB,数据量极为庞大。
2024年数据之母公开
2024年初,安全研究人员Bob Dyachenko和Cybernews团队发现了一个名为“泄露之母”(Mother of all Breaches,简称MOAB)的超级巨型数据泄露库,该库整合并重新索引了过去几年的泄露数据,文件体积高达12TB,共260亿条记录,是迄今为止发现的最大规模的数据泄露库。其中就包含了QQ、Weibo、X、京东、LinkedIn等知名应用,数据泄漏均在亿级以上
三、社工库的发展现状
为了更好地了解社工库现状,笔者前去知名的应用Telegram上进行了一番搜索,在某74000人的社工库群中,看到了大量相关的数据查询,仅在该群中,每日就有超过10000+次群成员发起的搜索,大量的用户姓名、身份证、手机号、住址、微信号等敏感信息直接暴露在群中。
此外,在github的一个叫“SGK-bot”项目中,维护者还在持续的更新一些免费社工库项目,经过笔者测试,部分社工库确实可以使用,由此可见当前社工库的泛滥程度,用户的隐私安全正面临巨大挑战。
除了一些历史数据外,在X上一个名为DailyDarkWeb的暗网情报追踪帐号的推文中,我们也可以看到更多来自世界各地的最新数据泄露与交易情况,源源不绝的新数据,被补充到这些社工库中。
四、社工库的实际危害与社会影响
身份盗窃与财务损失
2022年,浙江省发生了一起重大身份盗窃案件。犯罪分子通过社工库获取了受害者的个人信息,伪造身份申请了多张信用卡,并通过这些信用卡套现,导致受害者损失超过30万元人民币。据公安部统计,2022年中国因身份盗窃造成的经济损失已超过100亿元人民币。
2018年,美国一名居民因身份盗窃损失了超过10万美元,攻击者利用从社工库中获取的个人信息,成功申请了多张信用卡,并从中获取了大量资金。根据**Federal Trade Commission (FTC)**的统计,美国在2020年共收到超过490,000起身份盗窃报告,比前一年增加了113%。其中,大部分案例都涉及到社工库数据的使用。
社会信任危机
社工库的泛滥不仅损害了个人隐私,还破坏了社会的信任基础。2019年,英国政府因Land Registry(土地注册局)数据泄露,导致数百万条个人信息被盗用,此事件严重引发了公众对政府机构信息管理能力的质疑。
深度伪造与假新闻的传播
在2020年美国大选期间,多个社工库被利用制造假新闻和虚假信息。例如,通过获取社交媒体账户的控制权,黑客能够发布虚假信息,影响公众舆论乃至最终投票。这些虚假信息不仅误导了公众,还进一步削弱了社会对媒体和信息源的信任。
五、应对社工库的策略
个人层面的防范措施
- 提高安全意识警惕钓鱼网站和邮件:不要轻信不明链接、短信或邮件,尤其是涉及到输入个人信息或敏感数据时。不随意泄露信息:谨慎在社交媒体、购物网站、论坛等公开平台上透露个人敏感信息,如手机号、家庭住址、身份证号码等。定期检查数据泄露情况:使用如“Have I Been Pwned”等数据泄露检测工具,定期检查个人信息是否被泄露。有能力科学上网的读者,也可以自己定期去寻找社工库查询自己的信息泄露情况。加强账户安全使用强密码和多重身份验证(MFA):每个账号设置不同的强密码,密码长度应不少于12位,包含字母、数字、符号等元素,并启用多重身份验证。定期更换密码:即便未发生明显的安全威胁,定期更换重要账户密码仍能降低风险。启用隐私保护工具:使用密码管理器生成和管理密码,同时启用浏览器和应用的隐私保护功能,如“隐私模式”、“追踪保护”等。监控财务与社交账户及时监控账户活动:定期检查银行账户、信用卡账单和社交媒体活动,防止未经授权的访问。设置账户安全提醒:在银行、支付平台等设置交易提醒,确保在账户异常活动发生时第一时间知晓。
企业层面的防范措施
- 加强数据保护与管理数据加密:对存储在服务器和传输中的敏感数据进行加密,即便数据泄露,攻击者也难以直接使用这些信息。最小化数据收集:只收集业务所需的最低限度的个人信息,避免冗余数据泄露风险。定期进行安全审计:定期对企业的系统和数据库进行安全审计,查找潜在漏洞和安全隐患。加强内部安全培训员工安全意识培训:定期为员工开展网络安全培训,提高员工对钓鱼攻击、社工攻击的防范意识。建立数据泄露应急预案:企业应制定详细的数据泄露应急计划,以便在发生数据泄露时能够快速应对、降低损失。部署威胁检测与防御系统行为分析与威胁检测:通过AI和机器学习技术,实时监测用户行为,识别异常活动。通过引入入侵检测系统(IDS)和入侵防御系统(IPS),可以更早发现数据泄露和攻击行为。端点保护:加强终端设备的安全防护,部署有效的反病毒和反恶意软件系统,以防止黑客利用终端设备入侵。
结尾
社工库的存在与发展是现代信息社会的重大挑战,其对个人隐私、安全和社会信任的威胁不容忽视。通过以上众多的案例和数据,我们可以看到社工库的严重性及其带来的实际危害。虽然现在已经有了各种防护技术与相关法律来约束这一现象,但大量的数据泄露事件和轻易可被查到的个人信息表明,用户隐私安全这条路,依然任重而道远。
