互聯網黑市分析：社工庫的傳說_數據分析師

任何一個行業都是一個江湖，有江湖就有故事，追名逐利的人喜歡被寫入故事，踏實做事的人卻希望被隱匿。久而久之，江湖上的故事越來越虛名浮利，聽故事的人也越來越坐井觀天。豈不見無數江湖武俠小說，開篇的人物總是讓我們誤以為是江湖大俠，看著看著才發現一山更比一山高，到最后才發現開篇人物簡直是不入流的小啰啰。而真正的高人，反而隱匿成傳說。

互聯網行業也是如此，大家喜歡創造故事，故事也越來越千篇一律的浮躁：什么產品上線7天就幾百萬用戶、什么開發階段就上億投資、什么90后霸道總裁顛覆行業、什么大咖的內部分享、從xx看xx的四大趨勢、從xx看xx的十大價值、xx的專注力、xx的微創新、xx的平臺化、xx的獨家專訪首次講述xx辛酸、xx概念的深度解析加獨特見解，等等。翻來覆去，好像也就是那么多東西了。

就好像有些江湖人士，是需要靠賣藝為生，請個會吆喝的幫忙吆喝吆喝，弄個猴子上躥下跳一下，響啰使勁的敲幾下，騙騙幾個外行人，撒點碎銀子，僅此而已。接下來大家再接著吹噓一番，比比誰拿的碎銀子多點，動口不動手。長期以往，有些人招搖撞騙，也竟然成為了一代口碑中的大俠。久而久之，如今很多江湖人士只是賣藝拿貴客的碎銀子為生，如何賣藝賣的更好是大家追求的目標。那些內功心法，武功秘籍，也都成為了歷史，那些大俠們，也成為了傳說。

難道江湖不再是那個江湖了么？其實不然，浮躁沉淪的只是江湖白道，只是這些大內侍衛，鏢局鏢師，衙門捕頭而已。而江湖黑道中，黑客技術、海盜精神，繼續被追捧，虛浮的商業模式永遠不如深度技術被重視，“鐵甲依舊在”的情懷還在回蕩，而地下產業鏈相關的進步也在不斷的深入，并且潛伏起來暗自發展，為了更大的目標和黑暗夢想。

TOMsInsight繼續互聯網黑市的分析報告系列，今天的主角是：社工庫的傳說。

什么是社工庫

社工庫是社會工程學數據庫的簡稱（Social Engineering Data）。

提到社工庫就必須先介紹一下社會工程學（Social Engineering），這個名詞最早是在2002年由傳奇黑客米特尼克（Kevin David Mitnick）在提出，但其初始目的是讓全球的網民們能夠懂得網絡安全，提高警惕，防止沒必要的個人損失。由于米特尼克在黑客界的傳奇地位，很快社會工程學就開始被深入研究并且發揚光大。

社會工程學，準確來說是一門藝術和竅門的集合。它利用人性的弱點、心理的缺陷，以順從意愿、滿足欲望的方式，讓人們上當，或以此為入口進行攻擊。社會工程學的竅門也蘊涵了各式各樣的靈活的構思與變化因素，利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行攻擊。它集合了心理學、社會心理學、組織行為學等一系列的學科，由于其非法性和在很多國家地區都被嚴厲的打擊，社會工程學也變成了一個見不得光的學派。

但是在黑客群體中，社會工程學就是他們的第一方法論和必修課。離開了社會工程學，黑客們運用的網絡技術幾乎都沒有用武之地。如果我們用黑客最喜歡的海盜來比喻，各種網絡技術可以比作航海、游泳、劍術、而社會工程學即是海盜們的行為準則和創新指引。

那么什么是社會工程學數據庫（社工庫）呢？即黑客在運用社會工程學進行攻擊的時候，積累的各方面數據的結構化數據庫。簡單的說，社工庫是黑客用來記錄攻擊手段和方法的數據庫，這個數據庫里面有大量的信息，甚至可以找到每個人各種行為記錄（每個人在每個網站上的賬號、密碼、分享的照片、信用卡記錄、訂的機票記錄、通話記錄、短信內容、各種社交軟件的聊天等等包羅萬象），比如之前有很火爆的查詢開房記錄的數據庫，就是一個典型的極簡單的社工庫的例子。

那么社工庫又是如何產生的，在國內的互聯網地下產業鏈中，又是什么模式的存在，發展又是什么情況呢，我們接著分析。

社工庫的發展：數據盜竊

既然是傳說，背后就有很多故事，說到社工庫的產生和發展，我們就得先從互聯網的數據竊取與交易開始說起。

互聯網用戶數據泄露一直是行業關注的焦點，從最近的京東用戶密碼泄露事件，到之前的CSDN的數據庫完全爆出，再到如家酒店的用戶數據泄露，網站和黑客在用戶數據上一直在進行著曠日持久的攻防戰。但是爆出來的數據泄露，僅僅是冰山一角，甚至也不到。而且這些信息其實對于黑客來說，根本沒有什么價值。而對于用戶來說的危害，也沒有想象的那么大，因為大多數時候這些數據在黑市中幾乎都已經是半公開的性質了。

而數據竊取與交易這個細分領域也幾乎是地下產業鏈隱藏的最深的一部分，很多在互聯網地下產業鏈中沉寂了多年的大佬都并不了解此道的相關信息。絕大多數被盜竊后的網站數據，并不會公開與眾，只是交易后進入到地下產業鏈的其他環節而已。所以目前到底有多少網站的數據已經被竊取我們沒法客觀的進行數據分析。但在互聯網黑市中，大家說起來類似的問題，常用的一個詞是“十墓九空”，也許這個說法有點夸張，但是也可以參考。

我們從2009年以來，通過黑市的輿情監控和專業網絡調查，對互聯網每年的流量排名前100的網站（刨去沒有用戶賬號機制的）進行調查，結果如下：

數據竊取產業雖然隱藏的非常深，但是發展歷史永久，地下產業鏈也隨之成熟，對于如何把數據變成貨幣，已經有了非常完整的程序的分工協作渠道。而其模式相對簡單，一般只包括：脫庫、洗庫、撞庫這幾個階段。

在地下產業術語里面，“脫庫”是指入侵有價值的網絡站點，把數據庫全部盜走的行為，因為諧音，也經常被戲稱作“脫褲”。在取得大量的用戶數據之后，黑客會通過一系列的技術手段清洗數據，并在黑市上將有價值的用戶數據變現交易，這通常也被稱作“洗庫”。最后黑客將得到的數據在其它網站上進行嘗試登陸，叫做“撞庫”，因為很多用戶喜歡使用統一的用戶名密碼，“撞庫”也可以是黑客收獲頗豐。

在早期的數據竊取過程中，這幾個階段幾乎都是由同一個團隊、甚至單個人來完成的。發展到今天，已經完全細化成產業鏈，很少有人從脫庫、洗庫一起做了，而變成：定制化模式，或交易化模式。

定制化模式：就是現有下游客戶指定的某一家網站，然后聘請黑客去脫庫，脫庫后獲得傭金的模式，在定制化模式中，有很強的黑產規矩即數據屬于下游客戶，而黑客不可以再次出售，或者在一定的窗口期內不能再次出售。

交易化模式：黑客去某一家網站脫庫，脫庫后直接在黑市上尋找下家，在這種模式下一般可以反復出售，但是由于風險較大，而且數據真實度和新鮮度不一定能得到保證，又充滿了騙局，越來越沒落了。

而下游客戶定制某特定一家網站的脫庫，是怎么盈利呢？

大多數時候，都是競爭對手或者上下游企業采購，而且大多數都是主流互聯網產業鏈中的客戶，甚至是傳統企業客戶。其實這個模式很簡單，想一想在生意場上，這家網站的數據庫對誰誰有利，誰就可能是潛在的定制客戶，只不過由于很多主流互聯網企業或者傳統行業很少了解這個地下產業，所以就會有一些中間人，來做中介促成相關的生意，而這些中間一般情況就是黑市里面的買家或者定制客戶了。

—————-

我們用實際的例子說明：M哥在黑客圈小有名氣，技術過硬。某互聯網醫療產品最近要拿投資，深度用戶不夠啊，通過中間人，輾轉的找到了M哥。M哥奮戰了幾天，直接脫褲了幾家三甲醫院的網絡掛號系統，歷史數據應有盡有，結構化分類一應俱全。M哥到手200w，中間人到手300w，而這家互聯網醫療產品由于用戶的激增和數據的全面性，以及對應新產品的虛假運營，多拿來1000w的投資，絕對雙贏。

社工庫的發展：洗庫撞庫

如之前分析，不管數據如何販賣交易，賣給誰，怎么賣，最后黑客手里面還會有一份數據，由于黑市一般都采取定制化交易，黑客們不能再次出售了，所以一般情況下黑客們會用這份數據進行洗庫撞庫再洗庫操作。

洗庫主要是清洗這些數據中可以直接變現的部分，但是這樣可以直接洗庫的就能洗出價值的數據，其實并不多。一般都是有預存款或者虛擬物品交易的數據庫才能洗出來價值，例如：游戲賬號、電商賬號等等。

更多的時候，黑客將得到的數據在其它網站上進行嘗試登陸，叫做“撞庫”，因為很多用戶喜歡使用統一的用戶名密碼，“撞庫”其實可以收獲頗豐。而撞庫和洗庫的過程是配合的，黑客使用自己開發的工具、直接數據庫匹配登錄技術以及配合黑色產業鏈中的打碼機制（之前TOMsInsight報告中有介紹）可以對很多網站進行批量撞庫，一旦成功，可以進行再次洗庫。

這就好比黑客們拿到了一份沒什么價值的網站的全部用戶名和密碼，沒關系，可以用這份用戶名密碼來嘗試著登錄有價值的網站嘛，如果能登錄，不就可以洗出來價值了么，我們還是繼續看M哥的例子。

—————-

M哥賣掉了幾家三甲醫院患者的掛號數據，雖然到手200w，但是也不滿足。想想這幾百萬條數據，應該還會有別的價值吧。但是M哥又是一個傳統的講道義的黑客，不會再次出售給別的買家。只能從這些數據本身來找到價值了。

M哥嘗試用這些數據登陸QQ、京東、支付寶、淘寶、各類網游，從而洗掉里面的資產，但是由于各種網絡的安全策略的保護，M哥雖然有收益，但是卻不多，甚至都不夠自己的洗庫撞庫的網絡成本，于是M哥繼續沉寂下來，這一沉寂，開辟了一個傳說。

社工庫的發展：構建傳說

在很多時候，社工庫都是一個傳說，就像海盜里面流傳的那筆誰也不知道的寶藏，只有那塊已經不知道轉了多少手的臟兮兮的殘缺的藏寶圖才預示著它的存在。但是社工庫卻又很客觀的放在那里，一直存在，一直沉寂。

除了販賣數據本身得到金錢上的利益之外，黑客還會把得到的數據進行整理，制作成社工庫。社工庫是一個積累的過程，也需要大量的人力物力的去建設，同時還是一個漫長的過程。開始的時候就像M哥一樣，單兵作戰的去積累，今天是三甲醫院的數據庫，明天是旅游網站的數據庫，后天的演唱會訂票網站的數據庫，這些數據庫積累越來越多。

M哥后來遇到了V哥，V哥是同行，手里面也有很多數據庫，可以和M哥互補，兩人一拍即合，把雙方的數據庫融合起來，內容變得更豐富。而且兩個人不斷的進行分析維護，排除噪點數據和沒有價值的數據，相互關聯，刻意的去豐富一些必需的數據字段：比如QQ號和密碼、比如手機號、比如身份證號。再刻意的去交換購買補充一些極其有價值的，比如征信報告。

社工庫的內容越來越豐富，而M哥和V哥兩個人力量還是小，兩人刻意的去聯合同行，組成利益聯盟，把手里面的數據都放到一個社工庫，組織力量去維護去分析。

這是一個放大的效應，由于社工庫的日益龐大，信息的日益完善，再加上時間的沉淀，很多數據都可以慢慢地浮出水面，可以獲得相當多的信息。目前有一些公開的社工庫，信息全面性和對于用戶隱私的了解以及讓人震驚，但是這才是僅僅公開的社工庫，對于黑客們來說其實已經是沒有價值的信息。真正地下的社工庫的數據信息豐富程度要遠遠更大，也絕對隱匿。

利用社工庫，幾乎可以暴漏出一個網絡用戶的全部網絡行為、大量的用戶隱私，和一些牽扯到個人身份財產的相關的數據信息。

首先讓洗庫變得更加容易：由于數據量很大信息很全，很多的賬號的的虛擬財產的轉移就不像之前那么困難，了解到信息之多甚至都可以偽裝成這個用戶去進行操作了。

其次讓各種詐騙變得簡單：之前大多數詐騙都是光撒網模式，而社工庫的完善后，可以非常有針對性對一些特定的用戶進行詐騙。利用數據技術，甚至通過木馬分析一些用戶QQ聊天的內容，尋找有價值的目標，和相對更信任的關系網絡。這種模式風險會更小，而且由于詐騙目標相對較大，收益更大。在這種模式下，完成技術分析工作的一般是黑客，但是最后完成詐騙的卻一般不是，黑客把按照客戶要求去分析，最后把可以完成某種特定詐騙的目標連通相關信息出售（黑市稱腳本）。

最后社工庫也成為地下產業鏈的基礎服務商：全面的社工庫基礎數據，也是精準的流量獲取來源，成為流量獲取分發的地下產業鏈的基礎服務和大數據服務商。一些特有的黑色產業目前非常依賴社工庫，例如精準定位的賭博平臺、一些p2p金融類型的詐騙、或者是一些商業騙術。

社工庫還可以進行網絡的定向攻擊，有時候一些不懂行的人進入互聯網，糊里糊涂的就被騙的搞的一塌糊涂，互聯網并不簡單，簡單的是那些幼稚的主流科技媒體，真正的中國互聯網行業水很深，深到還沒有外企可以成功的地步。

而社工庫也在不斷的擴大，豐富，并且繼續沉寂。

社工庫的發展：未來趨勢

從2013年以后，國內互聯網黑市上的數據交易產生了嚴重的分層：一些大的數據盜竊團伙早已經完成早期的數據積累構建非常完善的社工庫，對于一般的數據定制需求都不會再接，會專注于更深度變現更強的金融詐騙；而一些小的數據盜竊團伙還在不斷的相互交易、交換數據、而且相對高調的浮出水面，其實危害反而沒有那么大。

而且出于用戶交互方面的考慮，目前越來越多的移動終端支付或者金融產品的安全策略略淺，再加上更豐富的網絡電商活動，導致沉寂在黑產中的數據危害也越來越大。這可能也會是更多的互聯網產品的設計時需要考慮的問題所在。

而真正沉浸起來的社工庫，一方面已經成為傳說，另外還在構建著自己未來的目標，這些才是真正危害，也是對于我們最大的威脅。我們TOMsInsight分析到此很矛盾：在這個主流互聯網都在炒作概念玩擊鼓傳花的騙術，而地下互聯網都在積累的年代，也許我們真的應該沉下心去仔細的去研究去分析去洞察，而不是人云亦云。

“暴漏出來的社工庫都是小孩玩的，真正有價值的社工庫誰也不會暴漏，都在沉寂”， M哥對我們TOMsInsight的調研員說到“有時候真的看不懂現在主流的互聯網，拿幾百萬投資就嘚瑟的不得了，其實就是不入流的賣藝打賞唄，小孩過家家。我們這行很多人都能一天賺出來這個投資數的現金來，反而繼續去沉寂，沉下心鉆研，為了未來更大的打算?！?M哥的話有些絕對了，但是在某種程度上也值得我們反思。

給我們的啟示

江湖的故事會繼續，傳說也會繼續。有些人可以選擇視而不見，有些人也會選擇去逃避。但是冬天始終都會到來，冷暖自知。我們不能要求每一個互聯網人都踏實下來，畢竟一些浮躁的跟風賣藝求打賞也會是很多人的生存之道，但是我們應該知道，江湖并不是由他們構成，那些傳說，也都和每一個故事一樣的真正的存在我們的身邊。

當一個行業的地下產業比主流產業更踏實，看的更長遠，也更注重積累的時候，也許很值的我們所有的從業人員反思。畢竟，傳說應該屬于真正的英雄！