大数据黑产已经无孔不入,该如何破解?

大数据黑产已经无孔不入,该如何破解?

2022,又一千亿级黑产加速灭亡。

每一次点击,都可能诱惑我们走入一场巨大的阴谋……

一、大选风云

2014年,咨询公司剑桥咨询研发了一款心理测试软件,放在脸书(Facebook)上做信息流推广,只要你下载并且做一个心理测试,就可以得到5美金的奖励。

在奖励与好奇心的驱使下,很多用户开始下载软件,并回答了“看看你心灵黑暗面是什么?”“动物世界中,你会变成哪种动物?”等有趣的问题,然后把答案变成图片,分享到自己的脸书账号上,并获得了5美金。

到2016年,这款心理测试App已在脸书累计拥有了超过5000万用户。

让这5000万用户没想到的是,他们获得了5美金并满足好心的同时,也成为了成为一个巨大幕后黑手手里的“透明”工具。

就在他们答题测试的那一刻,这款App便开始调取他们的通讯录。

短短几秒钟内,他们通讯录上的好友、脸书好友都会收到这款App的广告,而他们自己的各种信息,也都被这款App随时提取。

甚至,这都还不是关键。

关键是,这款心理测试App的开发者剑桥咨询,虽然才成立不到3年,但却不是一家简单的咨询公司,其服务对象都是美国各大商业公司和政治要人。

而其核心服务就是,通过各种小软件收集用户资料,对用户进行深层分析和精准定位,然后再通过推送广告,去影响用户最后的决策,最终帮助这些商业公司和政客,实现精准的信息传递,甚至“洗脑”。

更通俗地说,剑桥咨询的生意就是,帮助自己的客户洞察并且操纵目标受众。

而这5000多万用户,最终被剑桥咨询派上了大用场:帮助对战希拉里的特朗普抓取民意,并且进行竞选的“洗脑”式营销。

比如,“持枪是否自由”一直是每届选举必争话题,而剑桥咨询的金主特朗普是个拥枪派,为了让特朗普在竞选中得到更多的支持,剑桥咨询就做足了文章。

为了影响用户心理,让持枪被欢迎,剑桥咨询会不断给白领精英等高收入、性格严谨的人群,发送入室抢劫的提醒广告语,呼吁大家保持警惕,并假装善意地提醒:选民拥枪可以保护自己的安全。

而对于常年活动在农场、大家族的人们,剑桥咨询则会发去父子在夕阳西下的猎场狩猎的图片,给他们灌输拥枪是美国传统文化的概念,推动拥枪支持率。

特朗普赢得的那场大选,被认为是互联网影响政治,政客利用互联网操作政治的里程碑事件。

几乎每天都推特不断的特朗普本人,也被认为是全世界最会利用互联网,甚至在很长时间内被认为是最受网友欢迎的“美国总统”,直到类似剑桥咨询的事情曝光,很多人才警觉,自己可能被利用和欺骗了——

原来,特朗普之所以会被欢迎,很大程度上是因为他早已暗中掌握了一切,不但知道潮水会向什么方向涌,而且还拥有着类似剑桥咨询这样可以去为他悄悄改变潮水方向的“神助攻”。

这就是大数据在造福世界的同时,正在给世界造成的祸害。大到选出祸害总统,小到按照你的品味给你推荐各种商品和内容,就在我们一次次点击大数据推荐的内容时,我们已经不知道自己被多少人掌握并且算计和图谋着……

而背后的黑手,则越来越壮大,成为大数据黑产,不断转型、进化。

二、大数据黑产的伪造

大数据黑产(以下简称“黑产”),指的是盗取、贩卖个人信息,通过掌握个人信息进行精准非法牟利。

根据艾瑞咨询2020年发布的《现代网络诈骗分析报告》,全国黑产从业者已经超过40万人,依托其进行网络诈骗的行业人数至少有160万人,“年产值”在1000亿元以上。

移动互联网的快速发展和技术进步,是黑产加速成长的一个分水岭。

2014年,各种各样的App如雨后春笋,智能手机使用者占比所有手机使用者的91.1%,流媒体开始取代电视、公众号替代纸媒,今日头条也率先上线了信息流广告服务。

作为移动互联网重要盈利模式之一,流量广告率先成为数据黑产发家阵地。其主要方式,是制造虚假广告数据,即广告点击造假——既然甲方按点击率考核投放效果,且无法考证点击率的真实性,何不截取、篡改用户信息,虚增点击。

尝到甜头的数据造假黑产产业迅速拓张,但因为业务不熟练,在虚报数据上经常做过头,一个名不见经传的游戏上线首发就动辄几十万点击,离谱的数据让甲方闻到了猫腻的味道,于是在结算的时候核销部分费用,自知理亏的渠道只能默不作声。

很快,单凭虚增点击率没有什么油水可捞了,这时候拥有用户数据的黑产开始了第一次“产业转型”——贩卖数据。

2019年底,暗网一位ID名为“f666666”的用户打包出售圆通快递公司10亿份用户信息,包括手机号码、姓名、住址、订单信息等等,十亿条信息已经去重,没有一条是重复的。

该用户甚至还“良心”开启了付费校验。从上述数据包中可随机调取100万条测试信息真实性,验货费用只有0.01比特币,约合人民币431.98元。

训练有素的诈骗团伙爽快下单,伪装成客服电话立马拨通:“您好,这里是XX快递,我是工号3579,您是不是在三月十四号,在某平台下单了一款某牌的洗面奶呢?”

流利的话术过后,受害者来不及反应,一个伪装成电商平台的链接已经发送到短信,并称订单运输出现差错,如果需要重新运输,请登录电商平台后台进行操作。

受害者一旦输入电商平台账号和密码,犯罪团伙立马后台登入支付宝,把余额秒速清零。

这个骗局难度低、时效快。100万条信息的成本不到450元,一个成功诈骗的收入是几百甚至上百万元。

下游诈骗团伙用黑产兜售的数据赚得盆满钵满,甚至演化出了新型诈骗“杀猪盘”——结合大数据分析和精准定位的“靶向诈骗”,因暴利和盘踞海外逃避监管而愈演愈烈。

三、一对一精准诈骗杀猪盘

2020年9月,知乎网友阿洛因为疫情不得不中断留美学习回到国内,每天网络课程上完,他总会刷刷手机,这天他在某种草软件上,遇到一个特别的人,对方说自己叫李红。

“巧合”的是,李红的大学离阿洛的大学只有二十分钟车程,阿洛最爱的电影李红也是看了又看,阿洛想去旅游的城市李红做过攻略。从生活到学习,从学习到艺术,阿洛仿佛对这个素未谋面的人有种熟悉感,他自以为那是缘分。

网上聊了一周,李红“无意”和阿洛提起了自己原生家庭一些囧事,让单亲的阿洛更加能够共情。紧接着,李红就聊起自己做过代购、开过餐厅,创业多次后现在摸索着自己在投资比特币,年化高,随时提现。阿洛被“爱情”和利益说动,小试牛刀投了500美金。

不到两天,账户就多出了100美金,阿洛立刻提现。尝到甜头的阿洛立马追加了2000美金,又是四天,2600美金已经变成了3500美金。

这次,阿洛对这迅速回款的理财彻底红了眼,一次梭哈把自己账户两万美金全部投入,李红见势头劝说现在可是大红利期,平台可以提供借贷资金,加上杠杆赌一把说不定财富自由。阿洛犹豫片刻,借了四万美金作为备用金,全部投入。

这一次,阿洛没有那么幸运,李红哭着打电话过来说自己看错了形势,资金全部被套牢,但尽管如此,阿洛还是相信“爱人”一定有办法挽回局面。

一直到父母发现阿洛账户流水异常,这场爱情掩盖下的诈骗才露出马脚,平台免责、资金外移,只剩下原地发呆的阿洛看着被掏空的钱包和20多万人民币的欠款。

在父母陪同下,阿洛收集所有汇款证据去报警,才知道一起的巧合根本不是偶然,而是黑产结合他的信息量身定制的一套靶向诈骗方案,俗称,杀猪盘。

这个拥有曼妙身姿的李红,完全有可能就是个抠脚大汉,坐在电脑前敲打着早就写好的剧本。

阿洛这样的受害者被叫做“猪仔”,李红这样的诈骗操作者是“屠夫”,屠夫通过泄露信息掌握猪仔详细资料,颗粒度可以精细到在某视频平台最常观看的电视节目、在某社交平台点赞最多的照片、在某资讯平台浏览最多的新闻、在某种草平台互动做多的商品。

阿洛以为是巧合的相近的学校、相同的品味、相似的家庭,全是根据他泄露的信息专门制定的人设,迅速拉近与他的距离。

恋爱关系一旦确认屠夫就进入了养猪模式,虚拟货币、理财软件是最后的屠宰场,在猪仔们试探性的投入资金后,平台立刻给出诱人的返现,猪仔的欲望蒙蔽了理智后,平台发出信号,“杀猪”时间到,手起刀落,关机完活!

2020年,根据国家反诈骗中心统计,80%的约会交友软件皆被杀猪盘渗透。虽然全年杀猪盘在全部网络诈骗手段中只占两成,但是成功率极高,造成损失已经高达38.8亿元,单个案件平均损失金额18.1万元。

疫情期间,网络办公和购物人数空前增加,黑产也利用数据和技术不断升级。

安全419联合华途信息梳理了2020年发生在全球各地的重大数据泄露事件,包括中国电信2亿手机号泄露、微博5.3亿用户数据泄露、青岛胶州中心医院6千余患者就诊信息泄露等,其中超过52%都是黑产有组织的外部攻击导致的数据泄露。

泛滥的数据黑产,让全球各国政府都意识到其严重危害性,必须加以铲除。

四、黑产:生于科技,死于科技

2018年3月,纽约时报和英国观察者报联合对剑桥咨询公司在2016年美国总统选举的数据信息来源不当一事进行报道,并指出剑桥咨询是个惯犯——早在2013年,他们就用类似的手段操控了肯尼亚大选,帮助总统乌胡鲁肯雅塔获胜。

新闻一出,剑桥咨询的面纱终于被撕下,民众哗然,脸书终止和剑桥公司的所有合作并且宣布对其暂时封杀。

2018年6月,在5000万脸书用户的强烈声讨下,美国联盟贸易委员会开始针对脸书隐私保护机制进行一年多的全面检查,最终以隐私保护不当为由开出了50亿美元的巨额罚款。

罪魁祸首剑桥咨询也于2020年宣布破产。

2018年11月17日,在暗网上被泄漏近百万用户信息的圆通快递也迅速在官微上发声,警告用户不要相信任何以赔偿、重新送货等借口通话或网络聊天的个人。

当天,上海市网信办第一时间警告快递公司进行公司内部信息保护制度的加强,防止内鬼再次酿成大错。

2020年净网行动重点关注杀猪盘清除,全国网警在长沙、南京、内蒙古、包头、缅北等等地区成功缴获杀猪盘诈骗集团百个,逮捕超700名犯罪分子,缴获超2亿流动资金。

2021年,国家反诈骗App上线,一周之内成为世界第二大下载量的App。App可以设置来电、短信等异常行为提醒、来电阻断、短信提醒等多种反诈骗手段。

上个月在乌镇举行的互联网大会、11月结束的第十六届21世纪亚洲金融年会都将网络信息安全作为第一重点议题。今年公布的《十四五规划和2035年远景目标纲要》中,也有专门章节对“建立健全数据要素市场规则”做出规划部署。

今年11月1日,我国第一部专门针对个人信息保护的法律《个人信息保护法》正式实施,保护法严格规范App可以采集数据的范围,针对App未经允许自启动等侵犯隐私问题进行了严令禁止。

在此背景下,隐私保护产业日益火热,国内外的高校和企业都在积极研发人工智能、区块链技术下生成的隐私保护算法。

上个月,由斯坦福研发的金融公链Findora首次在金融公司接入实验。Findora主打将数据运输和App所有权割裂,保护用户隐私。

国内,由中国信通院、上海交通大学、富数科技等三十多个企业、单位联合研发的多方安全图计算方案已经和交通银行、中国移动等达成合作,保护企业数据安全,预防欺诈。

如今,数据公司已经能够通过成熟的隐私保护算法,利用不可逆的单向加密技术防止信息在传输过程中被破解和贩卖。

新思界产业研究中心今年发布的报告预计,在2025年,隐私算法会普及到包括政府部门在内超过50%的企业与集团。

保护法从源头收紧不必要的信息采集,成熟算法在运输中确保数据安全,反诈骗App对潜在受害者进行提醒,国家和行业高度配合,必将从每个环节堵住黑产能钻的空子。

黑产生于科技,也将死于科技。

参考资料

[1] 《圆通40万用户信息泄露背后》新浪财经 黄莹

[2] 《深度解剖杀猪盘骗局》21世纪报道 侯潇怡

[3] 《深陷FACEBOOK数据丑闻,剑桥咨询宣布破产》界面新闻

[4] 《剑桥数据丑闻终于和解,FACEBOOK认罚50亿美元》AI财经社 宋家婷

[5] 《2020年全球数据泄露大事件盘点:数据“裸奔” 代价沉重》安全419

更多信息

  • 大数据行业人才缺口和发展趋势全方位分析

    大数据行业人才缺口和发展趋势全方位分析

    随着互联网的发展,IT人才变得炙手可热,而大数据人才作为其中的一个分支,也受到各企业的欢迎。 1、全国35所大学开设大数据专业 近日,“大数据专业”成为热词,这主要源于近期一则新闻—教育部公布的最新高校新增专业名单中,有32所高校成为第二批成功申请“数据科学与大数据技术”本科新专业的高校。 加上第一批成功申请该专业的北京大学、对外经济贸易大学及中南大学,目前共有35所大学获批开设大数据专业。 2、未来3~5年,需要180万大数据人才 大数据专业热度空前的背后,是大数据在全球的蓬勃发展。 分析机构…

    行业动态 2022-01-30
  • Hive SQL迁移Spark SQL在网易传媒的实践

    Hive SQL迁移Spark SQL在网易传媒的实践

    在整个迁移过程,除了前期踩坑阶段,期间线上基本没出什么问题,十分平滑的将2000左右的任务迁移到了sparkSql,而且也没耗费过多人力,这说明整个迁移方案的设计和实施是比较成功的。 引言:把基于mapreduce的离线hiveSQL任务迁移到sparkSQL,不但能大幅缩短任务运行时间,还能节省不少计算资源。最近我们也把组内2000左右的hivesql任务迁移到了sparkSQL,这里做个简单的记录和分享,本文偏重于具体条件下的方案选择。 迁移背景 SQL任务运行慢Hive SQL处理任务虽然…

    技术追踪 2022-02-09
  • 有赞数据治理之提质降本

    有赞数据治理之提质降本

    有赞数据治理的精髓就是九个字:大质量、全成本、重运营,其中涉及的质量分、成本账单都有可借鉴之处! 导读:有赞是通过SaaS起家的,经过多年的数据沉淀,有大量数据,可以说是一家大数据公司,但是有赞的最终目标是成为AI公司。在这个阶段,数据积累到一定体量,数据治理是非常有必要的。数据治理的最终目的也是服务AI、做智能应用,发挥数据的价值,而质量和成本是数据价值的核心所在。在有赞,是如何衡量质量好坏、成本高低的?又是如何依靠产品,结合运营的手段,提升质量,降低成本的?本文,为你揭晓。 一、数据治理概述…

    技术追踪 2022-02-09

联系我们

19910713760

在线咨询:qq号: 83544844

邮件:19910713760@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信