揭秘 利用“社工库” 黑客盗取个人信息

互联网安全公司知道创宇的安全专家说，目前这些黑客称能查询到QQ密码或者聊天记录，主要是利用一种名为“社工库”的数据来源。

该专家称，黑客先将网站“脱库”，即主动找网站的漏洞，破解了网站用户的数据库，在该网站上注册的用户资料包括账号、联系方式等就被黑客记录，并收录在“社工库”中。

“像之前曝出的私人记录，就属于社工库的内容。”专家表示，“有一些网站即使未被‘脱库’，但已经被黑客破解了。这些被破解出的数据库整合在一起，就类似于用户的信息库，输入一个账号或者一个关键字，就能从这些整合的库里找到相关记录，这样就可以很简单地了解用户的个人信息，甚至可以用找到的密码去登录其他网站的账号，获取更多的资料等。”

“在没有社工库前，黑客盗取手段相对传统，比如在收集资料这一环节主要用搜索引擎，查看上网足迹，搜集用户发出的各种信息等进行整合;很多用户都没有安全意识，社工库出现后，信息更容易泄露。”专家说。

动起“歪心思” 客户要查伴侣信息

国家互联网应急中心的一位工程师表示，在线贩售用户信息的地下黑客非常多，“有非常多的骗子充当技术人员骗人钱财，要去了你的QQ号后，一步步向你要钱。”

由于一些大型网站被曝信息遭到泄露，一些用户开始动起了“歪心思”，希望通过黑客查询朋友、家人的隐秘信息。

而记者在调查过程中发现，这些声称自己是黑客的商家表示，接到的业务中主要是替夫妻或者男女朋友查询伴侣的私人信息，如QQ密码、QQ聊天记录等。

“想看看男朋友的QQ里有没有其他暧昧对象，老公有没有出轨等。”一位商家说，“也有少部分可能是商业对手，想刺探点机密。”

“由于这些都是不正当的‘地下’生意，因此很多受害者也只能吃哑巴亏。”国家互联网应急中心工程师说。

大成律师事务所知识产权部主任王卫东律师表示，在网上倒卖用户信息的行为，本身就涉及侵犯用户隐私权的法律问题，但由于信息被倒卖后的用途和造成的结果不同，因此所应承担的法律责任也不同。

“比如说，买家只是用买来的信息登录了对方的QQ，偷窥了对方的隐私，并没有进一步的行为，这种行为可能触犯的就是民事法律;但如果买家使用买来的信息做了一些触犯刑法的事情，比如盗取钱财等，触犯的就是刑事法律。”

王卫东表示，目前对于网络上这种倒卖用户信息的行为，并没有专门的法律法规，“属于灰色地带，所以在很多时候，用户信息等不能得到有效保护，而对于侵犯用户信息的行为，违法成本太低，不能对违法者形成震慑。”

互联网安全专家提醒，不要上网找所谓的黑客查询用户的QQ密码等信息，否则可能人财两空。

(责任编辑：安博涛)