社工庫,全稱為社會工程學數據庫(Social Engineering Database)。社工庫是黑客與大數據方式進行結合的一種產物,黑客們將泄漏的用戶數據整合分析,然后集中歸檔為一種結構化數據庫。
社工庫中的數據是通過拖庫、洗庫、撞庫等手段取得的,包括公開可獲取的信息、社交媒體的數據、泄露的數據庫等。社工庫是用各大網站用戶的資料數據庫搭建的數據庫查詢平臺,“人肉搜索”有時候就會靠查詢社工庫信息來進行。社工庫的構建過程包括三個階段:1、數據盜竊;2、抽取有價值的信息;3、利用數據再次攻擊。
社工庫中的數據涉及個人身份信息和個人行為信息,均為敏感度極高的公民個人隱私信息。公民個人隱私被竊取后,將嚴重損害人民群眾的合法權益,滋生電信網絡詐騙、敲詐勒索等下游犯罪,社會危害嚴重。
名稱來源
社工庫出自社會工程學,最早由傳奇黑客凱文·米特尼克(Kevin David Mitnick)與2002年提出。社會工程學是利用人性弱點(本能反應、貪婪、易于信任等)進行欺騙獲取利益的攻擊方法。
社工庫是黑客在運用社會工程學攻擊的時候,積累的各方面數據組成的結構化數據庫,其中包含大量的網民隱私信息和網絡行為記錄。
數據
數據來源
社工庫中的數據是通過拖庫、洗庫、撞庫等手段從不同的來源取得的。其中的個人信息數據的來源主要有三種渠道。第一種是黑客利用某種手段(非法)入侵獲得數據,包括盜號、使用木馬;第二種是某些能夠接觸到個人數據的人監守自盜,通過出售這些數據非法牟利;第三種是使用網絡爬蟲等技術手段非法爬取個人數據。
數據類型
社工庫中的數據是海量且多樣的,包括但不限于個人、組織或公司的相關信息,其中個人信息包含個人身份信息(姓名、出生日期,身份證號、手機號、職業信息等)和個人行為信息(各類網站的賬號和密碼、分享的照片、信用卡記錄、機票記錄、通話記錄、短信記錄等)。
防范方法
社工庫的全稱是社會工程數據庫,與社會工程學緊密聯系。社會工程攻擊是利用了人類的脆弱性,那么防范也要從人入手。一方面提高個人安全防范意識,實施定期的安全意識培訓,內容包括如何辨別垃圾郵件、不點擊可疑鏈接、不泄露個人信息等;另一方面是加強網絡安全管理,結合先進的網絡安全技術,如入侵檢測系統(IDS)、防火墻和反病毒軟件,以提供額外的層面來防范社會工程學攻擊。
影響及危害
社工庫中的數據涉及個人身份信息和個人行為信息,均為敏感度極高的公民個人隱私信息。公民個人隱私被竊取后,將嚴重損害人民群眾的合法權益,滋生電信網絡詐騙、敲詐勒索等下游犯罪,社會危害嚴重。 社工庫里的信息往往涉及用戶隱私,所以社工庫網站往往是非法的。很多網站經常被舉報或者查封,過段時間又會換一個網址重新出現。一些社工庫網站的服務器還設置在境外,以躲避公安機關的調查。
相關案例
案例一
2020年6月至9月,李某制作了一款可以竊取安裝者手機內的照片的軟件。當手機用戶下載安裝該軟件打開使用時,軟件就會自動獲取手機相冊的照片并且上傳到李某搭建的服務器后臺。李某將該軟件發布在暗網某論壇售賣,截至2021年2月9日,共賣得網站虛擬幣30$。后李某為炫耀技術、滿足虛榮心,又將該軟件偽裝成“顏值檢測”軟件,發布在某論壇供網友免費下載安裝,以此方式竊取安裝者手機相冊照片1751張。其中,含有人臉信息、姓名、身份證號碼、聯系方式、家庭住址等100余條公民個人信息。2020年9月,李某又用虛擬幣在該暗網的論壇購買“社工庫資料”并轉存于網盤。2021年2月,李某為炫耀自己的能力,明知“社工庫資料”含有戶籍信息、車主信息等,仍將網盤鏈接分享到“業主交流”QQ群(150名成員)。經去除無效數據、合并去重后,該“社工庫資料”包含公民個人信息共計8100余萬條。
上海市奉賢區人民法院于2021年8月23日以(2021)滬0120刑初828號刑事判決,認定被告人李開祥犯侵犯公民個人信息罪,判處有期徒刑三年,宣告緩刑三年,并處罰金人民幣一萬元;扣押在案的犯罪工具予以沒收。判決李開祥在國家級新聞媒體上對其侵犯公民個人信息的行為公開賠禮道歉、刪除“顏值檢測”軟件及相關代碼、刪除騰訊云網盤上存儲的涉案照片、刪除存儲在“MEGA”網盤上相關公民個人信息,并注銷侵權所用QQ號碼。一審判決后,沒有抗訴、上訴,判決現已生效。
案例二
2016年6月,北京公安機關網絡安全保衛部門破獲顧某非法獲取計算機信息系統數據案。經查,自2016年1月起,顧某伙同他人制作用于非法獲取某公司賬號的軟件程序,并在互聯網上大肆收購網站身份認證信息,使用軟件大量實施“撞庫”行為,非法獲取該公司賬號約10萬組,并通過互聯網大量出售賬號及掃號程序,非法獲利10萬余元。
案例三
2016年8月,福建泉州公安機關網絡安全保衛部門破獲“浮云網”侵犯公民個人信息案,抓獲犯罪嫌疑人51人,成功打掉買賣公民個人信息的網站“浮云網”,查獲公民個人信息2200萬余條,打掉了一條非法獲取、買賣公民個人信息進而實施詐騙犯罪的產業鏈。
案例四
2016年6月,江蘇徐州公安機關網絡安全保衛部門破獲一起非法獲取計算機信息系統數據案,抓獲犯罪嫌疑人8名,摧毀一條以黑客和快遞公司內部員工為泄露源頭的倒賣快遞信息的黑色產業鏈,查扣各類快遞信息500余萬條,犯罪嫌疑人非法獲利30余萬元。
參考資料 >
“社工庫”網站成人肉搜索工具遭舉報 可查開房.新浪財經.2025-06-02
公安部:嚴打侵犯公民個人信息犯罪.中國政府網.2023-12-18
指導性案例192號:李開祥侵犯公民個人信息刑事附帶民事公益訴訟案.中華人民共和國最高人民法院.2023-12-21
檢察機關依法懲治侵犯公民個人信息犯罪典型案例.中華人民共和國最高人民檢察院.2023-12-21