“你看到的只是冰山一角,暗網(wǎng)交易的信息非常非常多。金融相關(guān)信息可以占到7成以上。”通過連日多方采訪,記者試圖還原一組金融數(shù)據(jù)是如何被盜取、流入暗網(wǎng)、被誰交易售出、由誰流出市場的暗網(wǎng)鏈條。

龐大數(shù)據(jù)黑色交易網(wǎng):金融相關(guān)占比7成以上

“暗網(wǎng)售賣數(shù)據(jù)是有嚴(yán)密組織的產(chǎn)業(yè)鏈,竊取售賣數(shù)據(jù)是黑產(chǎn)中隱藏最深的、歷史最悠久的、最成熟的變現(xiàn)方式。”騰訊安全數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)人彭思翔直言。

2018年被業(yè)內(nèi)認(rèn)為是數(shù)據(jù)保護(hù)元年,也是數(shù)據(jù)泄露的灰色之年。當(dāng)年3月,F(xiàn)acebook被曝8700多萬用戶數(shù)據(jù)泄露、遭遇其有史以來最大型數(shù)據(jù)泄露危機(jī)。在國內(nèi),2018年初有國內(nèi)某連鎖酒店傳出涉及5億條顧客隱私數(shù)據(jù)在暗網(wǎng)販賣;今年3月,國內(nèi)某APP發(fā)生信息泄露,在暗網(wǎng)上被以“5.38億用戶綁定手機(jī)號數(shù)據(jù),其中1.72億有賬號基本信息”的名義進(jìn)行售賣。

“暗網(wǎng)可以簡單理解為互聯(lián)網(wǎng)的一個(gè)地址,有一定技術(shù)手段都可以訪問。最大特性是匿名平臺,很難追溯,匿名傳輸,匿名貨幣交易。”DataVisor黑產(chǎn)研究專家、高級技術(shù)經(jīng)理周君楨告訴記者,“市場規(guī)模很難統(tǒng)計(jì),你看到的只是冰山一角,暗網(wǎng)交易的信息非常非常多。”

他注意到一個(gè)明顯的變化是,2018年以來,隨著傳統(tǒng)金融數(shù)字化轉(zhuǎn)型的加速,銀行、證券、保險(xiǎn)尤其是互聯(lián)網(wǎng)金融等類型金融數(shù)據(jù)明顯增多,諸多信息經(jīng)常出現(xiàn)在暗網(wǎng)上被交易,“金融相關(guān)的情報(bào)數(shù)據(jù)占到7成以上,尤其涉及金融屬性的個(gè)人隱私信息,如金融開戶信息、信用卡等,國內(nèi)國外同樣如此。”

騰訊安全報(bào)告從2018年暗網(wǎng)數(shù)據(jù)交易的情況(抽樣數(shù)據(jù))來統(tǒng)計(jì),帳號/郵箱類數(shù)據(jù)、個(gè)人信息、網(wǎng)購/物流數(shù)據(jù)、銀行數(shù)據(jù)、網(wǎng)貸數(shù)據(jù)位列前五,占比分別為19.78%、12.19%、9.69%、9.02%和8.3%,其它還有博彩數(shù)據(jù)、股市數(shù)據(jù)、企業(yè)工商數(shù)據(jù)等信息。

彭思翔介紹,黑產(chǎn)者盜取數(shù)據(jù)的具體手段包括技術(shù)入侵、社會工程學(xué)及APT攻擊,也形成了脫、洗、撞三步循環(huán)的模式,“脫庫是指入侵有價(jià)值的企業(yè),把數(shù)據(jù)庫全部盜走;洗庫指對數(shù)據(jù)初步清洗,拿到其中最有價(jià)值的數(shù)據(jù)去變現(xiàn);撞庫指清洗后發(fā)現(xiàn)可以繼續(xù)利用的數(shù)據(jù),會到別的應(yīng)用、企業(yè)繼續(xù)嘗試滲透脫庫,形成循環(huán)操作模式,一個(gè)企業(yè)或者一個(gè)行業(yè)的數(shù)據(jù)將全部被獲取。”

由誰賣出 被誰買入

不少人有類似的經(jīng)歷:在某銀行剛辦理按揭貸款,隨后不斷收到各類第三方平臺的信貸類、消費(fèi)類營銷電話和短信。

“這是典型的個(gè)人信息泄露的情況,比如房貸辦理需書面填寫較多個(gè)人信息,不排除有機(jī)構(gòu)人員或信息接觸者將信息留存再轉(zhuǎn)手倒賣,比如一些信息中介或金融代理機(jī)構(gòu),聯(lián)合第三方營銷推廣平臺的慣用操作手法。”周君楨解釋,“不過,相比這類信息泄露,暗網(wǎng)更多是有組織、有目標(biāo)的盜取、買賣。”

“早期一般一個(gè)團(tuán)隊(duì)或者單人來完成,但是目前已經(jīng)完全產(chǎn)業(yè)化、專業(yè)化,固定的團(tuán)隊(duì)進(jìn)行脫庫,再賣給洗庫團(tuán)隊(duì),最后賣給撞庫團(tuán)隊(duì),互不干涉,通過虛擬化貨幣交割,追查極其困難。”彭思翔告訴記者,“絕大部分被盜數(shù)據(jù)不會公開出來,而是進(jìn)入到秘密交易環(huán)節(jié),作用在特定的場景中,如競爭對手戰(zhàn)略分析、同業(yè)用戶爭奪、上下游業(yè)務(wù)定推等,此類秘密交易也可稱為定制化數(shù)據(jù)交易,特點(diǎn)是數(shù)據(jù)只賣一次或在某個(gè)時(shí)間窗口禁售,而公開在暗網(wǎng)交易的數(shù)據(jù)是多次多家進(jìn)行販?zhǔn)邸?rdquo;

另一特征是全球化趨勢,全球都存在數(shù)據(jù)黑產(chǎn),且成為數(shù)據(jù)跨境非法流動(dòng)的主要渠道。“如非洲國家的個(gè)人信息,被不法代理用于亞馬遜用戶注冊,進(jìn)行欺詐和作弊行為。”彭思翔介紹,黑客會把數(shù)據(jù)進(jìn)行整理并相互交流、形成黑產(chǎn)的大數(shù)據(jù)服務(wù)商,具體來講就是社工庫,在利益的驅(qū)使下,黑產(chǎn)向大數(shù)據(jù)服務(wù)和基礎(chǔ)設(shè)施建設(shè)等大規(guī)模、高技術(shù)發(fā)展,這也給數(shù)據(jù)安全的治理加大了挑戰(zhàn)難度。

三大變現(xiàn)途徑:精準(zhǔn)詐騙、撞庫攻擊、撒網(wǎng)式詐騙

騰訊安全報(bào)告統(tǒng)計(jì),信息泄露催生三大變現(xiàn)途徑:精準(zhǔn)詐騙、撞庫攻擊以及撒網(wǎng)式詐騙。

一個(gè)寫在騰訊安全報(bào)告上的案例是,網(wǎng)購用戶買完東西后,收到熱心“客服”的電話,“客服”以質(zhì)量問題、物流問題等事由,發(fā)送一個(gè)退款網(wǎng)頁鏈接或二維碼,用戶按照提示操作即可退還高于購物款的退款或退款保證金,之后“客服”會進(jìn)一步引導(dǎo)用戶把多收到的錢退還給網(wǎng)店。

而很多人不知道的是,這是詐騙者通過暗網(wǎng)等獲得網(wǎng)購用戶詳細(xì)信息后進(jìn)行的針對性電信詐騙。用戶收到的款項(xiàng)其實(shí)是一些正規(guī)的貸款平臺的快速貸款,詐騙者利用網(wǎng)銀或第三方支付平臺上快速授信貸款等服務(wù),誤導(dǎo)用戶從貸款平臺貸款、然后將“多余”的款項(xiàng)打回詐騙者的網(wǎng)絡(luò)賬戶。

此外,近四年來,撞庫攻擊催化信息泄露在全球呈裂變式增長,這種惡意登錄更多是撞庫和掃號的攻擊。“從個(gè)人角度,需要提高防護(hù)意識,從業(yè)務(wù)必要性的角度看是否給出授權(quán)信息;個(gè)人在使用金融賬戶時(shí),建議不同賬戶使用不同密碼,避免被有的技術(shù)公司利用信息進(jìn)行撞庫,帶來資料泄露風(fēng)險(xiǎn)。”周君楨說。

標(biāo)簽: 黑色交易網(wǎng)