双十一期间,2135亿元的交易额再创网购平台交易额新高,10亿件快递包裹已来势汹汹。以货物质量、物流问题、包裹查禁等套路的诈骗陷阱也可能随之而来,还包括常见的“购物退款”诈骗、冒充“公检法”诈骗等等电信诈骗。这些电信诈骗使用的用户数据除了内鬼泄露之外,黑产从业者通过撞库攻击等方式获得的购物订单信息也成为了电信诈骗的关键数据,这些数据通过一些交易平台进行贩卖交易。
信息就是资源,资源就是利益,有利益的地方势必会吸引使用非法手段攫取利益的黑产群体。黑产从业者往往会利用一些平台泄露的帐号密码等信息通过撞库等手段,获取更多的用户信息从而实施变现。除了盗号、发广告、刷量(刷量、刷赞、刷粉、刷榜……)等直接变现之外,黑产从业者还会利用撞库攻击得到一些新的用户数据,然后通过大数据分析等技术手段,获得更丰富的用户信息,从而放到暗网等黑产平台继续售卖,不法分子通过购买得到数据,并利用这些数据进行精准诈骗和敲诈勒索等违法犯罪活动。数据贩卖、撞库、社工库、定向攻击(诈骗攻击)示意图
我们基于腾讯智慧安全的蜜罐流量分析发现,一些撞库攻击可能利用了暗网平台上仍在兜售的“老”数据。其中仅通过某平台的招聘网站登录入口,每天就有100万左右的撞库攻击量,撞库成功率在20%以上。
一、暗网为个人信息贩卖的主要渠道
暗网,即“洋葱暗网”,简单理解就是一个互联网的“地下黑市”,它是美国军方出于政治目而进行研发和支持的一种隐蔽的网络,暗网论坛等一些暗网网站通过谷歌、百度等普通的搜索引擎是无法搜索到的,仅对于知道怎么打开它的人可见。
洋葱暗网在数据传输时会经过层层的洋葱路由,每个路由之间输出的信息都会进行一层加密,数据经由的每个节点恰似一层层的洋葱皮,故名洋葱网络(Tor),同时洋葱网络的数据会通过层层的“洋葱皮”进行“接力”传输,数据接收者只能看到上一层“洋葱皮”的“接力”传输者,而不能看到首位发送者,从而实现了互联网的匿名交流和沟通。然而暗网带来更多的却是违法犯罪行为的传播,人性的丑陋和罪恶尽在其中,暗网网络中充满了犯罪、黄暴血腥画面。同时比特币的发明,又助推了暗网的发展,几乎所有的黑市都使用比特币进行匿名交易,这也导致了用于网络诈骗、定向攻击的个人隐私数据也越来越多的被“明码标价”挂售。暗网贩卖快递实时订单的帖子截图
华住集团5亿条信息数据、浙江学生学籍、母婴数据信息、快递订单数据等等公民个人信息交易帖层出不穷。黑产从业者除了利用技术攻击、钓鱼攻击和勾结内鬼等手段获取这些一手信息资料之外,撞库攻击也是其获得用户隐私数据的主要方式。暗网中兜售的帐号密码类信息,为撞库攻击提供了第一素材。
暗网“数据-情报类”版块中,有很多邮箱帐号类信息被挂出来贩卖。从用户名为yb1214的卖家在暗网发布的一交易帖子可以看到,该卖家号称所贩卖的数据包含了16亿邮箱+密码数据,涵盖了国内各大互联网平台。从成交量来看,已经成交了38单,另外从商品单价来看售价0.0005比特币,价值3.25美元(约合人民币22元),低廉的售价不难看出这份数据应该是一份老数据。暗网中贩卖16亿邮件帐号数据的帖子截图
一贩卖某邮箱帐号数据的帖子号称包括了该平台52G的帐号+密码数据,该批帐号信息泄露的时间最早可以追溯到2015年。
暗网中贩卖某邮件帐号数据的帖子截图
二、撞库攻击将信息泄露影响放大
帐号密码类数据多被用来做撞库攻击。一个完整的攻击链条一般包括拖库、洗库、撞库三个环节的活动。黑产从业者通过拖库得到原始的信息库,然后通过洗库将数据进行分门别类,最后通过撞库获取更多平台的用户信息,而撞库所得信息又可以再次进行洗库操作,拖、洗、撞相辅相成,构成了完整的信息窃取产业链。
1、拖库,黑产从业者通过社工手段或者技术手段盗取目标网站用户资料数据;2、洗库,黑产从业者将用户帐户中的财产或虚拟财产通过黑产渠道进行变现;3、撞库,黑产从业者将得到的数据进行整理,除了丰富社工库之外,还利用这些数据对其他网站进行试探性登陆,从而获得其他网站上的帐号信息;简单理解就是拿A网站的帐号密码,去B网站上尝试登陆。因为很多用户喜欢在不同的平台使用统一的帐号密码。4、拖库、洗库、撞库得到的用户信息可以形成一个具有黑产价值的社工库,黑产从业者可以根据这些信息绘制详细的用户画像,对特定的人或者人群进行诈骗勒索等针对性的犯罪活动。撞库攻击产业链示意图
基于抽样的蜜罐流量数据,可以看到,黑产从业者仅通过某网络平台的招聘网站登录入口就有约100万/天的撞库攻击量,其中超过一半的请求被平台主动拦截。
某网络平台撞库趋势
被平台拦截的撞库请求大约占总量的55%,其中有52%的请求被认为为异常IP被直接封禁了IP,另外3%的请求被检测出了登录风险,从而通过验证码进行拦截。
值得关注的是撞库成功的账号约为23%左右,按照每天100万条撞库账号预估,每天约有23万账户被撞库成功。以下数据来源于“腾讯蜜罐流量分析”。某网络平台撞库请求响应状态分布
另外,黑产从业者不但会利用社工库对电商平台进行撞库攻击,还会查看、分析撞库成功的帐户的浏览、消费记录,以获得用户购物的习惯。以对某电商平台的攻击数据可以看出,双十一期间每天约有百万次的恶意攻击。
某电商平台撞库趋势
撞库利用的邮箱帐号中,多为国内主流邮箱平台的邮箱,其中部分邮箱帐号信息可能与2015年某邮箱数据泄露有关。
三、个人信息泄露助长精准诈骗等定向攻击
通过大数据分析等技术,黑产从业者可以将不平台获得的用户信息进行关联分析,从而精准的做出用户画像,比如用户住哪里、去过哪里旅游、住过哪些酒店、购买过什么物品等等。然后再通过暗网等交易平台贩卖给电信诈骗者。
诈骗者通过暗网等黑产平台获得用户的个人详细信息后,就会通过手机、电脑等终端对受害者实施针对性的电信诈骗。“购物退款”、冒充“公检法”、“发放助学金”、“航班取消”、“二胎生育退费”、“交通违章提醒”、“积分兑换现金”等等精准诈骗,均是诈骗者基于个人信息特点精心设计的诈骗剧本。“购物退款”诈骗购物者在网购平台购物完成之后,会接到热心“客服”的电话,“客服”会以质量问题、物流问题等事由,通过核对购买物品的信息和受害者个人信息,并强调要退款给受害者等话术,从而骗取受害者的信任,然后实施诈骗。一般情况下,“客服”会发送给受害者一个所谓的退款网页链接或二维码,受害者进去之后按照提示操作,就会收到高于购物款的退款或退款保证金,之后“客服”会进一步引导受害者将多收到的退款或退款保证金通过扫描指定二维码的方式退还给网店。在这个过程中,受害者收到的款项其实是一些正规的贷款平台的快速贷款,诈骗者利用网银或第三方支付平台上快速授信贷款等服务,误导受害者从贷款平台贷款,然后将“多余”的款项打回(骗回)诈骗者的网络帐户。“购物退款”诈骗作案流程示意图
冒充“公检法”诈骗
诈骗者会告知受害者涉嫌洗黑钱或快递包裹被查禁等违法犯罪行为,同时会引导受害者登录一个假的《中华人民共和国最高人民检察院》的网站对自己的“犯罪记录”进行查询和澄清登记,继而骗取用户的银行卡以及个人敏感信息,并“好心”引导受害者下载一款名为《检察院安全控件》的软件,该软件是款定制版的远程控制终端,骗子通过该终端并利用已经骗取的银行卡等信息远程操控受害者的电脑上,将受害者网上银行能够转走的钱洗劫一空。冒充“公检法”诈骗作案流程示意图
上述的诈骗流程和主要方法多年来没有太大的变化。与以往不同的是,随着反诈骗宣传力度的不断增强、反诈骗意识的不断提升,诈骗对象从普撒网式的人群转变为了特定、精准人群诈骗,用户的详细信息一旦被泄露,落入诈骗者手中,就很容易被诈骗“瞄准打击”从而实施精准诈骗。
诈骗者不但知道受害者的基本信息,还能知道受害者的职业、爱好以及最近关注的事物、当前的状态等等信息,甚至在有些方面的信息,诈骗者比受害者还了解其自身的情况。
四、总结
君子爱财取之有道。黑产的利润是诱人的,不乏一些心存侥幸心理的不法分子游离在法律的边缘。随着网络技术和大数据技术的发展,暗网也未必是绝对的”安全岛”,如泄露华住集团酒店开房信息的30岁嫌犯已被上海警方抓获。
对于普通用户而言,注意保护自己的个人隐私数据。谨防通过朋友圈等渠道传播或者参与需要填写个人身份信息的活动;另外需要注意在不同的平台不要使用同一个帐号密码,并定期更换平台的帐号密码,密码中尽可能避免使用姓名拼音、生日日期、手机号、身份证号等个人信息数字,建议使用密码管理器等软件随机生成复杂密码。
对互联网行业来讲,随着业务的不断发展,势必会出现新的业务风险,风控系统也需要在不断升级变化的攻防对抗中不断优化和完善,提升业务运营过程风险感知和发现能力,提高风险门槛。腾讯智慧安全致力于为终端用户提供恶意攻击防御方案,还提供企业业务风险监测服务,在企业品牌风险监测、企业资产风险监测、业务安全风险监测、供应链风险监测及企业安全量化方面提供实时、可视的预警解决方案,第一时间帮助企业发现业务系统安全问题,协助企业做出正确的业务风险判断和处置方案。声明:本文来自腾讯御见威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。