FireEye在中国地下市场发现了一个包含超过2亿行日本个人身份信息(PII)的数据集。相信这些数据是真实的,并且是从多个日本网站数据库中泄露出来的。
FireEye iSIGHT Intelligence的专家首先注意到2017年12月广告数据集的黑客。这位黑客至少从2013年开始在中国地下论坛上销售网站数据库,并可能与居住在中国浙江省的人有关联。
FireEye国际研究高级经理Oleg Bondarenko解释说,该团队将这些行为者和数据确定为定期监控网络威胁的一部分。
他说,中国地下交易市场主要由即时通讯群组组成,比如QQ。此数据集未在论坛上发现,而是在共享和提供数据的群组中发现。
“是的,我们观察到出售日本PII数据或有兴趣购买的人,”Bondarenko继续说。 “但[我们]从来没有发现这样规模的数据。”
鉴于包含的数据来源和数据类型不同,数据很可能是通过借机收集,而不是有针对性的攻击获得的。
获得这些数据的手段尚未得到证实,但Bondarenko说,一种可能的方式是从以前的公开泄漏中收集数据并接管受害者的账户。动机可能是经济收益。
包含在此集合中的特定数据类型包括:姓名,凭证,电子邮件地址,生日,电话号码和家庭地址。
这些数据似乎来自日本11-50个网站,涉及金融,零售,食品和饮料,交通和娱乐等行业。
一个文件夹显示数据是2016年5月至6月收集的;另一项显示其数据是在2013年5月和7月收购的。
黑客声称所有凭证集都是独一无二的,并为全数据集定价为1000日元(150.96美元,好便宜)。
在随机抽取的200,000个泄漏的电子邮件地址中,大多数以前都是在主要数据泄露事件中泄露的,这个数据集中包含的地址并不是专门为其创建的。
研究人员在一份报告中解释说:“数据差异极大,无法通过公开的数据来源获得;因此,我们认为是真实的。”
他们确实认为真实的和独特的证书数量低于黑客所声称的。在190,000份证书的样本中,研究人员发现超过36%的证据包含重复值,并且有大量伪造的电子邮件地址。
目前有几位黑客对该广告发表评论,表达对购买数据的兴趣。然而,同样的黑客后来发布了负面反馈,声称他们没有收到广告的产品。
广告中的大部分信息通常存储在具有客户登录和个人资料信息的网站上,表明他/她可以访问连接到这些网站或Web门户的服务器。
Bondarenko说:所以我们一直在密切监视,以了解背后的原因,并可能获得更多的线索。(具备可持续监控能力)
声明:本文来自malwarebenchmark,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
