电信诈骗“黑色产业链”

■解密

　　电信诈骗不仅一直以来屡禁不止，而且经过长年的积累，通过“产业升级”和“结构调整”，剧本越来越高级，对象越来越精准，得手率也越来越高。如今，电信诈骗已形成从上游的个人信息攫取、中间的信息批发销售到面向公众实施诈骗、最后分赃销赃的完整的黑色产业链，这个黑色产业链环节明晰，分工专业，二三十个“工种”环环相扣，让人叹为观止。

“黑帽”海量完整的“社工库”

　　在电信诈骗的黑色产业链上，信息获取和批发销售是诈骗的首要环节，也是关键因素之一。据业内人士介绍，电信诈骗产业链的信息获取主要来自网络“黑帽”和企业“内鬼”。

　　网络“黑帽”是专门在互联网上通过各种技术手段盗取用户信息的人员。这些人精通互联网技术，他们利用网络和计算机存在的安全漏洞和缺陷，通过开发和散布木马病毒，或制作钓鱼网站，对计算机系统及网络进行恶意攻击及破坏（或控制用户终端，业内称“挂马”），批量窃取原始个人数据和信息。

　　据腾讯“网络黑色产业链”报告，“黑帽”窃取个人原始信息的手段俗称“拖库”。盗取网站数据库的“拖库”已在业内成为惯招，“拖库”的对象一般为有价值的网络站点，如求职网站、高校学生信息系统、网购平台、存有手机备份数据的各种云端服务器、政府信息登记部门等。近期国内引起强烈反响的山东高考考生徐玉玉被骗致死案，经过警方侦查，犯罪嫌疑人正是利用技术手段攻击了“山东省2016高考网上报名信息系统”并在网站植入木马病毒，获取了网站后台登录权限，盗取包括徐玉玉在内的大量考生报名信息后，对其进行了“精准”诈骗。

　　而“拖库”只是信息窃取的第一步。第二步，在取得大量的用户数据之后，“黑帽”会通过一系列的技术手段清洗数据，并通过QQ群、论坛等途径将有价值的用户数据变现交易，通常被称作“洗库”；其后，“黑帽”还会将得到的数据在其他网站上进行尝试登录，此行为业内称为“撞库”，因为很多用户喜欢使用统一的用户名密码，“撞库”经常会让“黑帽”收获颇丰。2015年年底，中国铁路购票网站12306被爆有超过13万条用户隐私数据在互联网疯传，就是由“黑帽”通过“撞库”攻击获得的。

　　最后一步，“黑帽”还会把多个不同类型的数据库整合成统一的地下数据库，业内称为“社工库”。随着“社工库”的日益完善，个人的隐私信息、上网行为、金融财产数据被重新整合和关联分析，“姓名、家庭住址、手机号、银行卡号、银行卡密码、情感经历”等信息越来越完整，维度越来越多，海量而完整的信息为各种精准式电信诈骗提供了数据来源。

来自“内鬼”的信息价值更高

　　除了“黑帽”入侵目标获取数据，另外一种个人信息泄露来自企业的“内鬼”。这些“内鬼”一般为接触到数据的企业内部工作人员或者为公司提供第三方IT系统服务的人员。据媒体从公安机关了解的信息，近年来，京东、淘宝等网物平台，以及航空公司、培训机构、电信运营商、银行、房产中介、互联网服务商等企业的不法员工，为谋取私利向违法机构和个人售卖公民个人信息的案例时有发生。

　　企业“内鬼”泄露的个人信息虽然没有“黑帽”入侵获取的信息量大，但是这些数据与个人资产结合更紧密，因对诈骗更有帮助而更具“价值”。如京东、淘宝等购物平台掌握客户网购订单，航空公司掌握航班机票信息，房产中介、银行掌握的个人金融账号等。

倒卖数据的“个信批发商”

  “黑帽”“拖库”之后会“洗库”，“内鬼”从企业窃取信息也会拿到黑市上去兜售。黑市上，个人信息会以“对诈骗是否有帮助”为标准定价。由于个人信息数据的需求量大，市场活跃，有人专门从事数据倒卖，业内称为“个信批发商”（又称“数据掮客”）。

  “个信批发商”可以反复倒卖个人信息，或“注水加工”（不同时间段的老数据注入最新数据列表或者不同类型的数据拼在一起）再次出售。据媒体调查，“个信批发商”1000元买入的批量账户数据，只需倒卖两次，就可以收回成本；“注水加工”后实现回报更高。这些“个信批发商”虽既不参加盗取信息的环节，也不参与实施诈骗的环节，但是却为电信诈骗提供了工具。

  经过“个信批发商”倒卖信息后，产业链进入面向公众的诈骗环节。这时，“电话诈骗经理”“短信群发代理”等一线人员才粉墨登场。“电话诈骗经理”根据获知的个人信息，事先写好“诈骗剧本”，假冒投资公司、熟人、公检法或者客服等通过电话进行诈骗；“短信群发代表”编写诈骗短信，群发给用户引诱其上当。一旦诈骗成功，专门的“财务会计师”负责从一个网银账户转移分散到多个其他网银账户，以增加警方破案和银行冻结账户的难度；最后，“ATM小马仔”负责从提款机取出赃款，交给诈骗团伙的组织者。

  至此，整个电信诈骗的黑色链条才算是基本走完了。（本文部分内容根据相关资料整理）