任何一個行業(yè)都是一個江湖，有江湖就有故事，追名逐利的人喜歡被寫入故事，踏實做事的人卻希望被隱匿。久而久之，江湖上的故事越來越虛名浮利，聽故事的人也越來越坐井觀天。豈不見無數(shù)江湖武俠小說，開篇的人物總是讓我們誤以為是江湖大俠，看著看著才發(fā)現(xiàn)一山更比一山高，到最后才發(fā)現(xiàn)開篇人物簡直是不入流的小啰啰。而真正的高人，反而隱匿成傳說。

互聯(lián)網(wǎng)行業(yè)也是如此，大家喜歡創(chuàng)造故事，故事也越來越千篇一律的浮躁：什么產(chǎn)品上線7天就幾百萬用戶、什么開發(fā)階段就上億投資、什么90后霸道總裁顛覆行業(yè)、什么大咖的內(nèi)部分享、從xx看xx的四大趨勢、從xx看xx的十大價值、xx的專注力、xx的微創(chuàng)新、xx的平臺化、xx的獨家專訪首次講述xx辛酸、xx概念的深度解析加獨特見解，等等。翻來覆去，好像也就是那么多東西了。

就好像有些江湖人士，是需要靠賣藝為生，請個會吆喝的幫忙吆喝吆喝，弄個猴子上躥下跳一下，響啰使勁的敲幾下，騙騙幾個外行人，撒點碎銀子，僅此而已。接下來大家再接著吹噓一番，比比誰拿的碎銀子多點，動口不動手。長期以往，有些人招搖撞騙，也竟然成為了一代口碑中的大俠。久而久之，如今很多江湖人士只是賣藝拿貴客的碎銀子為生，如何賣藝賣的更好是大家追求的目標(biāo)。那些內(nèi)功心法，武功秘籍，也都成為了歷史，那些大俠們，也成為了傳說。

難道江湖不再是那個江湖了么？其實不然，浮躁沉淪的只是江湖白道，只是這些大內(nèi)侍衛(wèi)，鏢局鏢師，衙門捕頭而已。而江湖黑道中，黑客技術(shù)、海盜精神，繼續(xù)被追捧，虛浮的商業(yè)模式永遠不如深度技術(shù)被重視，“鐵甲依舊在”的情懷還在回蕩，而地下產(chǎn)業(yè)鏈相關(guān)的進步也在不斷的深入，并且潛伏起來暗自發(fā)展，為了更大的目標(biāo)和黑暗夢想。

TOMsInsight繼續(xù)互聯(lián)網(wǎng)黑市的分析報告系列，今天的主角是：社工庫的傳說。

什么是社工庫

社工庫是社會工程學(xué)數(shù)據(jù)庫的簡稱（Social Engineering Data）。

提到社工庫就必須先介紹一下社會工程學(xué)（Social Engineering），這個名詞最早是在2002年由傳奇黑客米特尼克（Kevin David Mitnick）在提出，但其初始目的是讓全球的網(wǎng)民們能夠懂得網(wǎng)絡(luò)安全，提高警惕，防止沒必要的個人損失。由于米特尼克在黑客界的傳奇地位，很快社會工程學(xué)就開始被深入研究并且發(fā)揚光大。

社會工程學(xué)，準(zhǔn)確來說是一門藝術(shù)和竅門的集合。它利用人性的弱點、心理的缺陷，以順從意愿、滿足欲望的方式，讓人們上當(dāng)，或以此為入口進行攻擊。社會工程學(xué)的竅門也蘊涵了各式各樣的靈活的構(gòu)思與變化因素，利用人的弱點如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點進行攻擊。它集合了心理學(xué)、社會心理學(xué)、組織行為學(xué)等一系列的學(xué)科，由于其非法性和在很多國家地區(qū)都被嚴厲的打擊，社會工程學(xué)也變成了一個見不得光的學(xué)派。

但是在黑客群體中，社會工程學(xué)就是他們的第一方法論和必修課。離開了社會工程學(xué)，黑客們運用的網(wǎng)絡(luò)技術(shù)幾乎都沒有用武之地。如果我們用黑客最喜歡的海盜來比喻，各種網(wǎng)絡(luò)技術(shù)可以比作航海、游泳、劍術(shù)、而社會工程學(xué)即是海盜們的行為準(zhǔn)則和創(chuàng)新指引。

那么什么是社會工程學(xué)數(shù)據(jù)庫（社工庫）呢？即黑客在運用社會工程學(xué)進行攻擊的時候，積累的各方面數(shù)據(jù)的結(jié)構(gòu)化數(shù)據(jù)庫。簡單的說，社工庫是黑客用來記錄攻擊手段和方法的數(shù)據(jù)庫，這個數(shù)據(jù)庫里面有大量的信息，甚至可以找到每個人各種行為記錄（每個人在每個網(wǎng)站上的賬號、密碼、分享的照片、信用卡記錄、訂的機票記錄、通話記錄、短信內(nèi)容、各種社交軟件的聊天等等包羅萬象），比如之前有很火爆的查詢開房記錄的數(shù)據(jù)庫，就是一個典型的極簡單的社工庫的例子。

那么社工庫又是如何產(chǎn)生的，在國內(nèi)的互聯(lián)網(wǎng)地下產(chǎn)業(yè)鏈中，又是什么模式的存在，發(fā)展又是什么情況呢，我們接著分析。

社工庫的發(fā)展：數(shù)據(jù)盜竊

既然是傳說，背后就有很多故事，說到社工庫的產(chǎn)生和發(fā)展，我們就得先從互聯(lián)網(wǎng)的數(shù)據(jù)竊取與交易開始說起。

互聯(lián)網(wǎng)用戶數(shù)據(jù)泄露一直是行業(yè)關(guān)注的焦點，從最近的京東用戶密碼泄露事件，到之前的CSDN的數(shù)據(jù)庫完全爆出，再到如家酒店的用戶數(shù)據(jù)泄露，網(wǎng)站和黑客在用戶數(shù)據(jù)上一直在進行著曠日持久的攻防戰(zhàn)。但是爆出來的數(shù)據(jù)泄露，僅僅是冰山一角，甚至也不到。而且這些信息其實對于黑客來說，根本沒有什么價值。而對于用戶來說的危害，也沒有想象的那么大，因為大多數(shù)時候這些數(shù)據(jù)在黑市中幾乎都已經(jīng)是半公開的性質(zhì)了。

而數(shù)據(jù)竊取與交易這個細分領(lǐng)域也幾乎是地下產(chǎn)業(yè)鏈隱藏的最深的一部分，很多在互聯(lián)網(wǎng)地下產(chǎn)業(yè)鏈中沉寂了多年的大佬都并不了解此道的相關(guān)信息。絕大多數(shù)被盜竊后的網(wǎng)站數(shù)據(jù)，并不會公開與眾，只是交易后進入到地下產(chǎn)業(yè)鏈的其他環(huán)節(jié)而已。所以目前到底有多少網(wǎng)站的數(shù)據(jù)已經(jīng)被竊取我們沒法客觀的進行數(shù)據(jù)分析。但在互聯(lián)網(wǎng)黑市中，大家說起來類似的問題，常用的一個詞是“十墓九空”，也許這個說法有點夸張，但是也可以參考。

我們從2009年以來，通過黑市的輿情監(jiān)控和專業(yè)網(wǎng)絡(luò)調(diào)查，對互聯(lián)網(wǎng)每年的流量排名前100的網(wǎng)站（刨去沒有用戶賬號機制的）進行調(diào)查，結(jié)果如下：

數(shù)據(jù)竊取產(chǎn)業(yè)雖然隱藏的非常深，但是發(fā)展歷史永久，地下產(chǎn)業(yè)鏈也隨之成熟，對于如何把數(shù)據(jù)變成貨幣，已經(jīng)有了非常完整的程序的分工協(xié)作渠道。而其模式相對簡單，一般只包括：脫庫、洗庫、撞庫這幾個階段。

在地下產(chǎn)業(yè)術(shù)語里面，“脫庫”是指入侵有價值的網(wǎng)絡(luò)站點，把數(shù)據(jù)庫全部盜走的行為，因為諧音，也經(jīng)常被戲稱作“脫褲”。在取得大量的用戶數(shù)據(jù)之后，黑客會通過一系列的技術(shù)手段清洗數(shù)據(jù)，并在黑市上將有價值的用戶數(shù)據(jù)變現(xiàn)交易，這通常也被稱作“洗庫”。最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進行嘗試登陸，叫做“撞庫”，因為很多用戶喜歡使用統(tǒng)一的用戶名密碼，“撞庫”也可以是黑客收獲頗豐。

在早期的數(shù)據(jù)竊取過程中，這幾個階段幾乎都是由同一個團隊、甚至單個人來完成的。發(fā)展到今天，已經(jīng)完全細化成產(chǎn)業(yè)鏈，很少有人從脫庫、洗庫一起做了，而變成：定制化模式，或交易化模式。

定制化模式：就是現(xiàn)有下游客戶指定的某一家網(wǎng)站，然后聘請黑客去脫庫，脫庫后獲得傭金的模式，在定制化模式中，有很強的黑產(chǎn)規(guī)矩即數(shù)據(jù)屬于下游客戶，而黑客不可以再次出售，或者在一定的窗口期內(nèi)不能再次出售。

交易化模式：黑客去某一家網(wǎng)站脫庫，脫庫后直接在黑市上尋找下家，在這種模式下一般可以反復(fù)出售，但是由于風(fēng)險較大，而且數(shù)據(jù)真實度和新鮮度不一定能得到保證，又充滿了騙局，越來越?jīng)]落了。

而下游客戶定制某特定一家網(wǎng)站的脫庫，是怎么盈利呢？

大多數(shù)時候，都是競爭對手或者上下游企業(yè)采購，而且大多數(shù)都是主流互聯(lián)網(wǎng)產(chǎn)業(yè)鏈中的客戶，甚至是傳統(tǒng)企業(yè)客戶。其實這個模式很簡單，想一想在生意場上，這家網(wǎng)站的數(shù)據(jù)庫對誰誰有利，誰就可能是潛在的定制客戶，只不過由于很多主流互聯(lián)網(wǎng)企業(yè)或者傳統(tǒng)行業(yè)很少了解這個地下產(chǎn)業(yè)，所以就會有一些中間人，來做中介促成相關(guān)的生意，而這些中間一般情況就是黑市里面的買家或者定制客戶了。

----------------

我們用實際的例子說明：M哥在黑客圈小有名氣，技術(shù)過硬。某互聯(lián)網(wǎng)醫(yī)療產(chǎn)品最近要拿投資，深度用戶不夠啊，通過中間人，輾轉(zhuǎn)的找到了M哥。M哥奮戰(zhàn)了幾天，直接脫褲了幾家三甲醫(yī)院的網(wǎng)絡(luò)掛號系統(tǒng)，歷史數(shù)據(jù)應(yīng)有盡有，結(jié)構(gòu)化分類一應(yīng)俱全。M哥到手200w，中間人到手300w，而這家互聯(lián)網(wǎng)醫(yī)療產(chǎn)品由于用戶的激增和數(shù)據(jù)的全面性，以及對應(yīng)新產(chǎn)品的虛假運營，多拿來1000w的投資，絕對雙贏。

社工庫的發(fā)展：洗庫撞庫

如之前分析，不管數(shù)據(jù)如何販賣交易，賣給誰，怎么賣，最后黑客手里面還會有一份數(shù)據(jù)，由于黑市一般都采取定制化交易，黑客們不能再次出售了，所以一般情況下黑客們會用這份數(shù)據(jù)進行洗庫撞庫再洗庫操作。

洗庫主要是清洗這些數(shù)據(jù)中可以直接變現(xiàn)的部分，但是這樣可以直接洗庫的就能洗出價值的數(shù)據(jù)，其實并不多。一般都是有預(yù)存款或者虛擬物品交易的數(shù)據(jù)庫才能洗出來價值，例如：游戲賬號、電商賬號等等。

更多的時候，黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進行嘗試登陸，叫做“撞庫”，因為很多用戶喜歡使用統(tǒng)一的用戶名密碼，“撞庫”其實可以收獲頗豐。而撞庫和洗庫的過程是配合的，黑客使用自己開發(fā)的工具、直接數(shù)據(jù)庫匹配登錄技術(shù)以及配合黑色產(chǎn)業(yè)鏈中的打碼機制（之前TOMsInsight報告中有介紹）可以對很多網(wǎng)站進行批量撞庫，一旦成功，可以進行再次洗庫。

這就好比黑客們拿到了一份沒什么價值的網(wǎng)站的全部用戶名和密碼，沒關(guān)系，可以用這份用戶名密碼來嘗試著登錄有價值的網(wǎng)站嘛，如果能登錄，不就可以洗出來價值了么，我們還是繼續(xù)看M哥的例子。

----------------

M哥賣掉了幾家三甲醫(yī)院患者的掛號數(shù)據(jù)，雖然到手200w，但是也不滿足。想想這幾百萬條數(shù)據(jù)，應(yīng)該還會有別的價值吧。但是M哥又是一個傳統(tǒng)的講道義的黑客，不會再次出售給別的買家。只能從這些數(shù)據(jù)本身來找到價值了。

M哥嘗試用這些數(shù)據(jù)登陸QQ、京東、支付寶、淘寶、各類網(wǎng)游，從而洗掉里面的資產(chǎn)，但是由于各種網(wǎng)絡(luò)的安全策略的保護，M哥雖然有收益，但是卻不多，甚至都不夠自己的洗庫撞庫的網(wǎng)絡(luò)成本，于是M哥繼續(xù)沉寂下來，這一沉寂，開辟了一個傳說。

社工庫的發(fā)展：構(gòu)建傳說

在很多時候，社工庫都是一個傳說，就像海盜里面流傳的那筆誰也不知道的寶藏，只有那塊已經(jīng)不知道轉(zhuǎn)了多少手的臟兮兮的殘缺的藏寶圖才預(yù)示著它的存在。但是社工庫卻又很客觀的放在那里，一直存在，一直沉寂。

除了販賣數(shù)據(jù)本身得到金錢上的利益之外，黑客還會把得到的數(shù)據(jù)進行整理，制作成社工庫。社工庫是一個積累的過程，也需要大量的人力物力的去建設(shè)，同時還是一個漫長的過程。開始的時候就像M哥一樣，單兵作戰(zhàn)的去積累，今天是三甲醫(yī)院的數(shù)據(jù)庫，明天是旅游網(wǎng)站的數(shù)據(jù)庫，后天的演唱會訂票網(wǎng)站的數(shù)據(jù)庫，這些數(shù)據(jù)庫積累越來越多。

M哥后來遇到了V哥，V哥是同行，手里面也有很多數(shù)據(jù)庫，可以和M哥互補，兩人一拍即合，把雙方的數(shù)據(jù)庫融合起來，內(nèi)容變得更豐富。而且兩個人不斷的進行分析維護，排除噪點數(shù)據(jù)和沒有價值的數(shù)據(jù)，相互關(guān)聯(lián)，刻意的去豐富一些必需的數(shù)據(jù)字段：比如QQ號和密碼、比如手機號、比如身份證號。再刻意的去交換購買補充一些極其有價值的，比如征信報告。

社工庫的內(nèi)容越來越豐富，而M哥和V哥兩個人力量還是小，兩人刻意的去聯(lián)合同行，組成利益聯(lián)盟，把手里面的數(shù)據(jù)都放到一個社工庫，組織力量去維護去分析。

這是一個放大的效應(yīng)，由于社工庫的日益龐大，信息的日益完善，再加上時間的沉淀，很多數(shù)據(jù)都可以慢慢地浮出水面，可以獲得相當(dāng)多的信息。目前有一些公開的社工庫，信息全面性和對于用戶隱私的了解以及讓人震驚，但是這才是僅僅公開的社工庫，對于黑客們來說其實已經(jīng)是沒有價值的信息。真正地下的社工庫的數(shù)據(jù)信息豐富程度要遠遠更大，也絕對隱匿。

利用社工庫，幾乎可以暴漏出一個網(wǎng)絡(luò)用戶的全部網(wǎng)絡(luò)行為、大量的用戶隱私，和一些牽扯到個人身份財產(chǎn)的相關(guān)的數(shù)據(jù)信息。

首先讓洗庫變得更加容易：由于數(shù)據(jù)量很大信息很全，很多的賬號的的虛擬財產(chǎn)的轉(zhuǎn)移就不像之前那么困難，了解到信息之多甚至都可以偽裝成這個用戶去進行操作了。

其次讓各種詐騙變得簡單：之前大多數(shù)詐騙都是光撒網(wǎng)模式，而社工庫的完善后，可以非常有針對性對一些特定的用戶進行詐騙。利用數(shù)據(jù)技術(shù)，甚至通過木馬分析一些用戶QQ聊天的內(nèi)容，尋找有價值的目標(biāo)，和相對更信任的關(guān)系網(wǎng)絡(luò)。這種模式風(fēng)險會更小，而且由于詐騙目標(biāo)相對較大，收益更大。在這種模式下，完成技術(shù)分析工作的一般是黑客，但是最后完成詐騙的卻一般不是，黑客把按照客戶要求去分析，最后把可以完成某種特定詐騙的目標(biāo)連通相關(guān)信息出售（黑市稱腳本）。

最后社工庫也成為地下產(chǎn)業(yè)鏈的基礎(chǔ)服務(wù)商：全面的社工庫基礎(chǔ)數(shù)據(jù)，也是精準(zhǔn)的流量獲取來源，成為流量獲取分發(fā)的地下產(chǎn)業(yè)鏈的基礎(chǔ)服務(wù)和大數(shù)據(jù)服務(wù)商。一些特有的黑色產(chǎn)業(yè)目前非常依賴社工庫，例如精準(zhǔn)定位的賭博平臺、一些p2p金融類型的詐騙、或者是一些商業(yè)騙術(shù)。

社工庫還可以進行網(wǎng)絡(luò)的定向攻擊，有時候一些不懂行的人進入互聯(lián)網(wǎng)，糊里糊涂的就被騙的搞的一塌糊涂，互聯(lián)網(wǎng)并不簡單，簡單的是那些幼稚的主流科技媒體，真正的中國互聯(lián)網(wǎng)行業(yè)水很深，深到還沒有外企可以成功的地步。

而社工庫也在不斷的擴大，豐富，并且繼續(xù)沉寂。

社工庫的發(fā)展：未來趨勢

從2013年以后，國內(nèi)互聯(lián)網(wǎng)黑市上的數(shù)據(jù)交易產(chǎn)生了嚴重的分層：一些大的數(shù)據(jù)盜竊團伙早已經(jīng)完成早期的數(shù)據(jù)積累構(gòu)建非常完善的社工庫，對于一般的數(shù)據(jù)定制需求都不會再接，會專注于更深度變現(xiàn)更強的金融詐騙；而一些小的數(shù)據(jù)盜竊團伙還在不斷的相互交易、交換數(shù)據(jù)、而且相對高調(diào)的浮出水面，其實危害反而沒有那么大。

而且出于用戶交互方面的考慮，目前越來越多的移動終端支付或者金融產(chǎn)品的安全策略略淺，再加上更豐富的網(wǎng)絡(luò)電商活動，導(dǎo)致沉寂在黑產(chǎn)中的數(shù)據(jù)危害也越來越大。這可能也會是更多的互聯(lián)網(wǎng)產(chǎn)品的設(shè)計時需要考慮的問題所在。

而真正沉浸起來的社工庫，一方面已經(jīng)成為傳說，另外還在構(gòu)建著自己未來的目標(biāo)，這些才是真正危害，也是對于我們最大的威脅。我們TOMsInsight分析到此很矛盾：在這個主流互聯(lián)網(wǎng)都在炒作概念玩擊鼓傳花的騙術(shù)，而地下互聯(lián)網(wǎng)都在積累的年代，也許我們真的應(yīng)該沉下心去仔細的去研究去分析去洞察，而不是人云亦云。

“暴漏出來的社工庫都是小孩玩的，真正有價值的社工庫誰也不會暴漏，都在沉寂”， M哥對我們TOMsInsight的調(diào)研員說到“有時候真的看不懂現(xiàn)在主流的互聯(lián)網(wǎng)，拿幾百萬投資就嘚瑟的不得了，其實就是不入流的賣藝打賞唄，小孩過家家。我們這行很多人都能一天賺出來這個投資數(shù)的現(xiàn)金來，反而繼續(xù)去沉寂，沉下心鉆研，為了未來更大的打算?！?M哥的話有些絕對了，但是在某種程度上也值得我們反思。

給我們的啟示

江湖的故事會繼續(xù)，傳說也會繼續(xù)。有些人可以選擇視而不見，有些人也會選擇去逃避。但是冬天始終都會到來，冷暖自知。我們不能要求每一個互聯(lián)網(wǎng)人都踏實下來，畢竟一些浮躁的跟風(fēng)賣藝求打賞也會是很多人的生存之道，但是我們應(yīng)該知道，江湖并不是由他們構(gòu)成，那些傳說，也都和每一個故事一樣的真正的存在我們的身邊。

當(dāng)一個行業(yè)的地下產(chǎn)業(yè)比主流產(chǎn)業(yè)更踏實，看的更長遠，也更注重積累的時候，也許很值的我們所有的從業(yè)人員反思。畢竟，傳說應(yīng)該屬于真正的英雄！

原文鏈接：

http://mp.weixin.qq.com/s?__biz=MzA3NTcwOTIwNg==&mid=201530781&idx=1&sn=12ba7dc1147bc518dec17d0c7495cd76&scene=0#rd