本文作者:360安全监测与响应中心、360威胁情报中心、360行业安全研究中心
第一章 暗网上非法数据交易统计概况
“暗网”(Darknet或Dark Web)指只能通过特殊软件、授权或对电脑作特别设置才能访问,在流行的搜索引擎上无法查到的特殊网络。这种特殊网络的服务器地址和数据传输通常都是“隐身”的,难以通过常规技术手段查找检索,“暗网”成员的相互联络具有极端私密性,一般技术手段很难拦截,即便拦截也难以破译。
暗网由于自带“隐身”属性,成为了大多数犯罪份子的主要集中地。很多被黑客窃取或者公司内鬼泄漏的数据一般都会在暗网出售。总体来讲,暗网虽然在网络规模上,跟明网相比要小得多,但大多数非法信息交易都集中在暗网。
从某暗网交易平台上,我们抽样收录了9-12月以来不法分子发布的1000条数据交易情况,本章将对暗网上非法数据的交易情况进行总结和简要分析。
一、活跃的数据发布者
暗网不同于明网,需要安装特定的浏览器和部署,才能登录。登录暗网的人群常常是带着特殊目的和属性,以非法交易为目的的暗网使用者,主要分为以下几类:
1) 违法、违禁物品、服务、数据、资料等的提供者;
2) 违法、违禁物品、服务、数据、资料等的购买者;
3) 网络诈骗犯罪团伙;
4) 非法中介、黄牛;
从暗网上数据发布者的活跃人数来看,本文收集这的1000条数据交易中,分别是有368个人发布的,约为每个人发布三条信息。具体来看,发布信息在10条以下的人数占88.9%,发布信息在5-10条的人数占6.3%,发布信息在10-20条的人数占3.8%,发布信息在20-50条的人数占0.8%,发布信息在50条以上仅有1人,占比为0.3%。
二、数据交易所涉及的行业
从暗网上数据交易所涉及的行业来看,金融行业占比为23.1%;互联网行业占比为16.3%;生活服务行业占比为6.1%。还有一部分并未明显说明的行业属性,遂归属于个人信息。个人数据占比为8.5%。
下图给出了暗网上数据交易所涉及的前九大行业及个人数据的情况。
三、数据交易的类型及规模
根据数据的敏感度,我们把暗网上交易的数据分为以下几个类型:
1)实名信息:如姓名、电话、身份证、银行卡、家庭住址等包含实名的信息。
2)帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。
3)保单信息:如保单号、保险信息、车险信息等。
4)行为记录:如聊天记录,购物记录、差旅信息等。
5)机密文件:如财务信息、合同信息、风险投资信息等。
6)用户信息:如邮箱号码、账户列表、QQ号码、会员列表等不包含真实姓名的信息。
7)电话号码:属于用户信息,如账户名及手机号码、注册号码。
从暗网上数据交易的类型来看,实名信息是被贩卖最多的一类信息,占比为45.2%,其次为账号密码、数据库、用户信息、电话号码、行为记录等。
从暗网上数据交易的规模来看,10万条以上的数据占到了46.0%;10万至100万条的数据占到了23.4%;100万至500万条的数据占到了11.0%;500万至1000万条的数据占到了3.6%;1000万至5000万条的数据占到了8.6%;5000万到1亿条的数据占比为1.4%;1亿条以上的数据,占比为5.9%。
四、获取数据后的一般用途
实名信息既是政企机构泄露最多的信息类型,也是暗网上信息贩卖最多的类型。本文的实名信息主要是指姓名、电话、身份证、银行卡、家庭住址等包含实名的信息。下面介绍了几种,信息购买者购买数据的一般用途。
1)精准营销
通过对人群基本属性、行为习惯、商业价值等多种维度信息数据综合分析,精准的进行目标受众的画像和定位,实现基于大数据的精准营销。例如,拥有用户流量入口的社交软件和媒体公司,纷纷通过整合自有和外部的媒介资源,在用户画像的基础上针对行业客户提供广告精准投放服务。
保健品、保险、理财、房地产中介等行业是数据的主要购买者。在众多公民个人信息中,老人和学生的信息相对来说更受欢迎。老人的信息经常会被相关公司用来推销保健品,而学生的信息则被一些教育机构用来招生宣传。
信息购买者根据购买的数据,对人群进行定向的营销推广,常见的形势有:推销电话、短信骚扰、垃圾邮件和广告弹窗等。
2)精准诈骗
信息被泄露后,一些上门推销、诈骗电话短信、垃圾邮件、神秘包裹等不请自来。调查显示,其中最困扰网友的是诈骗电话和短信。中新网PC端与微信端均有超过70%的网友表示诈骗电话、短信是自己信息被泄露后,最困扰自己的事情。而此前中国银联就曾利用大数据分析向社会发布安全提醒,电信诈骗案、盗窃银行卡、非法套现、冒用他人银行卡、网络消费诈骗等,其中超过90%是由于个人数据泄露引致,已成为犯罪主要源头。
3)在其他渠道贩卖
信息倒卖者以低价购买公民个人信息、随后以高价卖出,非法获益。
根据中研网报道,在齐齐哈尔农垦区人民法院2017年的一起判决中,被告人崔文虎便是一名从上线低价购买公民个人信息、随后以高价卖出的倒卖信息者。从2015年5月开始,崔文虎在一年半的时间里先后倒卖6次公民个人信息,累计获利近10000元。
第二章 暗网上重大数据交易事件
本章主要梳理了2018年被爆出的一系列暗网重大数据交易事件,涉及军事、政府、互联网等多个行业。
一、军政及事业单位在暗网的重大数据交易事件
(一)问题综述
2018年,发生多起与军事单位,政府机构和事业单位相关的暗网交易事件。这些事件背后的影响都非常严重,如:3500万的选民数据被泄露势必会造成大规模地身份泄露,干预到美国总统大选;FBI的特工包含职务在内的个人信息被泄露,势必给了相关人员一个新的突破口。
一般来讲,军政相关的机构,更应该做好安全相关的工作,因这些信息一旦被泄露,将会造成非常大的影响,然而事实表明,在目前阶段各国在安全方面还未能做到牢不可破的程度,存在着很多安全问题。在下面列出的重大事件中,有针对FBI等情报机构的反击活动,也有简单因内鬼或内部人员账号泄露而导致的信息售卖活动,可以看出,到目前为止,相关机构易受到的攻击同时包含内部和外部两个方面。
(二)FBI数万名特工信息在暗网遭披露,国外多家情报机构均受影响
2018年12月,Twitter上ID为 Anonymous Unity用户表示在暗网公开了FBI数万名特工以及法国警察的个人信息,并且附上了暗网链接。进入该暗网链接,可以看到2万余名FBI特工及法国警察的个人信息。被公布FBI特工的个人信息包含:姓名、职务、电话、邮箱等;被公开的法国警察的个人信息同样包含:姓名、电话和邮箱地址。此外,此份在暗网被公开的信息,还包括法国对外安全局DGSE、美国FBI、CIA、英国军情六处下的各级网站域名和对应的IP。
因任何黑客都可以通过Anonymous 组织的名义发布活动,对于在暗网直接披露这些信息所使用的Anonymous这个身份我们暂且无法考证。据披露者展示的“圣战宣言”,表明了此次的FBI特工个人信息披露活动的目的:对情报机构监视和逮捕多人的反击。而对应暗网页面的“Part 1”显然意味着还有后续的数据披露。
(三)11月中期选举临近,3500万美国选民数据通过暗网出售
Anomali Labs和 Intel 471的安全研究人员追踪到有人在暗网兜售2018年美国选民登记记录。这些选民数据来自以下19个州:格鲁吉亚、爱达荷州、爱荷华州、堪萨斯、肯塔基、路易斯安那州、明尼苏达、密西西比州、蒙大拿、新墨西哥、俄勒冈、南卡罗来纳、南达科他州、田纳西、德州、犹他州、西弗吉尼亚、威斯康星、怀俄明。被售卖的信息包含选民的全名、电话号码、真实地址、历史投票和其他暂未明确的投票数据。而每个选民的信息以150~12,500美元的价格出售。售卖者还声称,一旦购买这些数据,他们将每周都为购买者提供定期的更新。
Anomali Labs声称这是第一次发现有人售卖2018年的选民登记数据。此次美国选民的数据在暗网被出售发生在2018年10月5日,距离11月中期大选大约才一个月的时间。而出售选民记录的帖子在贴出的几个小时内,就有人在论坛上发起了众筹购买选民记录的活动。根据以往的Facebook 5000万用户数据被泄露且用于干涉选举的事件来看,在美国中期大选中,很有可能会出现大规模的出于恶意的身份盗用。
(四)某省1000万学籍数据在暗网出售
2018年8月1日晚,某微信公众号披露称,监测到有人在暗网出售某省1000万学籍数据。从卖家放出来的测试数据来看,这些被售卖的学籍数据覆盖了某省的大部分市区,年龄主要分布在95年~06年之间,即12岁到23岁之间。泄露的数据涉及到多个维度:学生姓名、身份证、学籍号、户籍位置、监护人号码、居住地址、出生地和学校名称等。此外,被出售的数据还提供100G照片链接。出售者表示,这些数据可以分开购买:500万条数据0.01个比特币;1000万条数据0.02个比特币
根据分析,这些被售卖的数据主要为小学生的信息,几乎不包含大学生的信息。根据合理推测,该数据来源应该是该省中小学生的信息管理系统被拖库,并且该“拖库”事件很有可能是内部人员泄露或者内部人员的账号被泄露而导致的。
(五)暗网最大的托管商被黑客攻击,6500+网站被删
2018年11号15号,暗网最大的托管商Daniel’s Hosting发出公告声称,有黑客攻击了他们的服务器,托管在他们服务器上的多达6500+个网站被删除。一直以来暗网都是都是各种非法分子的集中地,充满了毒品、枪支、色情等交易,是很多人眼中的法外之地。此次暗网最大托管商被黑客攻击事件,目前尚不清楚缘由。但根据该公司的公告可以肯定,此次事件绝非临时起意,而是筹备了很久。
事实上,这并不是暗网第一次发生黑吃黑的事件了,早在去年2月份左右当时暗网最大的服务托管商Freedom Hosting II (FH2)就曾因托管儿童色情网站被一开始只想搞到数据读取权限的黑客删库。
不管此次暗网托管商是被何人以何种目的攻击,6500+暗网网站被删除,无疑从一定程度上打击了暗网上违法犯罪活动,给了相关产业一个重大的打击。
二、IT互联网企业在暗网的重大信息交易事件
(一)问题综述
2018年6月13日左右的一周内,发生了多起大型企业的数据在暗网被售卖的事件,除去某知名动漫网站发布过通告承认有近千万用户的数据被盗外,我们目前无法确认其他同期售卖的数据是否为对应的官方数据,因为也有很大可能为利用其他数据撞库而得。但是经过测试,可以确定的是,这些数据都是真实有效的。
从暗网中哪些出售的帖子来看,数据的来源主要涉及以下黑客攻击和撞库两个方面。因互联网大型公司一般都有数据量大和日流量高的特点,所有有些黑客出来出售相关的数据外,还会出售大型网站的shell和内网权限。此外由于很多人在不同的网站也使用同样的账号和密码,导致有心人会拿着已有的账户和密码去撞库,以求获得更多的信息,在下列被列出的事件中,就有不少数据为撞库所得。
此外,近年来区块链越来越火热,针对区块链的攻击和数据泄露也越来越多。根据以往经验,针对区块链的攻击活动的背后,一般都不是个人而是团队,且多利用恶意软件盗取信息和货币。
(二)某动漫网站以及某共享单车平台近千万用户信息在暗网出售
2018年6月13日,某动漫网站发布公告称近千万用户数据被盗,被盗的数据包含:用户的ID、用户昵称和加密存储的密码等数据。而这些数据早在3月8日就已经在暗网被出售。出售数据被分为3组,其中一组为800万条该视频网站数据,以12,000元,即1元800条的价格出售。而另外两组的数据也分别达到了70万和600万条,以7,000和12,000元的价格出售。这些被出售的数据均包含:用户名、手机号码和密码,且均为一手数据,一整份价格约为0.49个比特币。
此外,暗网中还有人在兜售该视频网站的Shell和内网权限,据称主要卖点为:数据量大以及日流量高。
(三)某知名招聘网站近200万条用户数据在暗网公开出售
2018年6月14日,在A站公开声明表示近千万用数据被泄露且在暗网被出售的第二天,就有人在暗网发帖公开出售另一家大型招聘网站的用户数据。卖家声称拥有近200万条相关数据,至少包含用户的账户、密码和邮箱。
有人表示这些数据可能为卖家从别处整理,伪装成招聘网站的数据。但据测试,卖家所展示数据同样真实有效,可能为撞库所得。
(四)某社交平台3000万用户数据以仅仅50美元的价格在暗网抛售
2018年11月30日,有人在暗网中出售某社交平台的3000万用户数据,包含:手机号和密码。卖家声称这些数据共31,613,301条数据,其中有仅有不到1%的用户密码为空,也就说至少有3000万用户的被出售的数据同时包含手机号和密码。这些数据应该为2015年7月17日之前的数据,一直到今年11月份才在暗网出售,且出售的价格非常低,仅仅只需50美元,折合人民币不到350元。
根据卖家泄露,这些数据为3年前撞库所得,因此无法保障数据的时效性。但是如此大规模地数据,仍然适合用来制作字典和撞库。
(五)8比特币网站数据库以及网站源码在暗网被出售
2018年12月17日,8比特币网站最新数据库以及网站源码在暗网被出售。源码售价为0.5个比特币,数据售价为4个比特币。其中源码内含接口API等信息,而数据涉及到14万会员的信息,包含用户的账号、密码、联系方式等,并且据卖家声称,这些数据均为原始数据库数据,而非整理后的数据。
近年来随着区块链的火热,很多黑产从业人员纷纷转向了区块链行业。此次该网站的数据以及网站源码在暗网被出售,背后的攻击者应该为一个团队而非个人。
三、出行、酒店及餐饮行业在暗网的重大信息交易事件
(一)问题综述
出行、酒店等行业是与我们日常息息相关的行业,而因实名制等相关政策以及行业本身的特性,这些行业的相关企业和机构往往拥有着非常详细的信息,如姓名、省份证号等,从而驱使着黑客或者内部人员去窃取相关的信息。在今年发生的几起相关行业的大型数据买卖事件中,数据的来源多为黑客攻击窃取。同互联网行业一样,因这些企业数据量大和日流量高以及即时价值大等特点,黑客还公开在暗网出售相关企业的shell和内网权限。
(二)某酒店数据在暗网出售,涉及1.3亿用户开房记录
2018年8月28日,某集团旗下多家连锁酒店的数据在中文暗网市场交易网站出售。卖家声称,这些数据涉及到多个知名酒店,共1.3亿人的个人信息以约五亿余条的开房记录。出售的数据包含三个部分,官网的注册资料,如:姓名、手机号、邮箱、身份证号和登录密码等;酒店入住时登记的登录信息,包含姓名、身份证、家庭住址、生日和内部ID;酒店开房记录包含同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间等。
在卖家提供的附件中,包含了10,000余条的用于买家验证数据证实性的测试数据。经过验证这些数据大多都真实有效。并且据卖家透露,此次出售的数据库为8月14号拖库所得,以5个比特币或520个门罗币的价格打包出售。且卖家承诺只要权限不丢失,后续的数据可以免费提供给买家。
这次事件涉及到的数据量非常巨大,大致为史上之最。
(三)疑似某官方火车票购买平台3000万条数据在暗网兜售
2018年6月13日下午,网传有在暗网有人出售某官方火车票平台的3000万条相关数据。被泄露的数据包含手机号、密码、支付密码、姓名、身份证号码和验证答案等。传言这些信息在暗网以10个比特币的价格出售,而当时的比特币价格折合人民币超过4万元。
今年的6月份发生过多起大型企业数据在暗网出售的事件,且集中在6月13号左右。如,6月14日招聘平台近200万用户数据在暗网被兜售,6月13日,动漫网站近千名数据被爆在暗网出售长达3个月之久,同时被出售的还有疑似共享单车平台等公司的一手数据。除了出售用户数据,卖家还出售了相关shell和内网权限。
因多起事件发生的时间点非常的接近,很难判别这些数据是否为对应官方的一手数据,哪怕经过测试这些数据都是真实有效的,因为这些都可以在已有的数据上,经过撞库所得。
四、快递行业在暗网的重大数据交易事件
(一)问题综述
快递相关行业因企业下属一般有很多代理商和临时工,快递信息一直都存在着很大的安全隐患。今年发生的两起重大快递行业相关信息买卖事件,涉及到的数据量均以亿为单位,如此可怕的数据量的数据,远非一个普通员工可以轻易得到的。实时上这两起事件中,有一起为几年前的数据,而另一起疑似为去年快递代理商和内部员工泄露。
值得注意的是,因快递信息的特殊性,哪怕多年前的数据,很多信息到今年依旧邮箱,尤其是姓名和家庭地址等。
(二)某快递公司数10亿条数据在暗网以1个比特币的价格出售
2018年6月19日,有人在暗网公开出售某快递公司近10亿条数据。这份数据并不是最新的数据,而是2014年以前的数据,被售卖的数据包含寄件人和收件人的姓名、电话、地址等快递必有的基本详细信息。卖家表示,这些信息已经做了去重处理,目前的重复率低于20%,所有的数据打包后以一个比特币的价格出售。
(三)某快递公司3亿用户的数据在暗网被兜售,仅售2个比特币
2018年7月18日,某快递公司近3亿条信息在暗网以2个比特币的价格在暗网出售。这些数据为快递物流的详细信息,包含收寄件人的姓名、地址和电话等。据卖家透露这些数据均为一手数据,且可以在3亿条信息中随机抽取出10万条数据用于验货,但需要支付0.01个比特币。
虽然实际的验货数据只给出6万余条,但经过验证,这些信息基本上真实有效。在这名卖家出售该份涉及3亿条数据的10多天后,他曾再度发贴出售2000w条该公司在2017年泄露的数据。
有关证据表明,到目前为止,至少有近3200万条数据流入市场。
五、医疗卫生机构在暗网的重大数据交易事件
(一)新加坡150万公民医保资料以每份35元起步的价格在暗网出售
2018年7月27日,新加坡近150万公民的医保资料遭泄露,并以每份35元起的价格在暗网出售。这些被出售的数据包含患者的姓名、国际、地址、性别、种族和出生日期等,而受害者甚至包括新加坡的总理李显龙。
近年来,医疗机构一直呈现着加速数字化的转变趋势,然而,相应的网络安全能力却依然很匮乏,因此被很多心怀不轨的攻击者盯上。而医疗相关的数据在暗网非常的受欢迎,一份资料一般以35元起步,这又不断的驱使着黑客去窃取医疗相关的数据。此次新加坡的事件绝不是孤立,在国内,某部委的医疗服务信息系统就曾遭到黑客入侵,大量孕检信息遭到泄露甚至是买卖。
六、金融行业重大数据泄露事件交易事件
(一)某金融网30万用户数据被挂暗网,以一个比特币的价格出售
今年11月份,一本财经的记者发现有人黑客盗取了汽车金融平台的后台权限,并在暗网公开出售该平台上的价值30万的用户数据。该被出售的数据共包含65个维度,如:身份证、银行卡、住址和电话等基本信息、工作单位、月薪、车型号和担保人手机号码等。这些数据被卖家以一个比特币的价格在暗网出售。
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。