證券時報記者 段久惠
「你看到的只是冰山一角,暗網交易的信息非常非常多。金融相關信息可以佔到7成以上。」通過連日多方採訪,記者試圖還原一組金融數據是如何被盜取、流入暗網、被誰交易售出、由誰流出市場的暗網鏈條。
龐大數據黑色交易網:
金融相關佔比7成以上
「暗網售賣數據是有嚴密組織的產業鏈,竊取售賣數據是黑產中隱藏最深的、歷史最悠久的、最成熟的變現方式。」騰訊安全數據安全團隊負責人彭思翔直言。
2018年被業內認為是數據保護元年,也是數據洩露的灰色之年。當年3月,Facebook被曝8700多萬用戶數據洩露、遭遇其有史以來最大型數據洩露危機。在國內,2018年初有國內某連鎖酒店傳出涉及5億條顧客隱私數據在暗網販賣;今年3月,國內某APP發生信息洩露,在暗網上被以「5.38億用戶綁定手機號數據,其中1.72億有帳號基本信息」的名義進行售賣。
「暗網可以簡單理解為網際網路的一個地址,有一定技術手段都可以訪問。最大特性是匿名平臺,很難追溯,匿名傳輸,匿名貨幣交易。」DataVisor黑產研究專家、高級技術經理周君楨告訴記者,「市場規模很難統計,你看到的只是冰山一角,暗網交易的信息非常非常多。」
他注意到一個明顯的變化是,2018年以來,隨著傳統金融數位化轉型的加速,銀行、證券、保險尤其是網際網路金融等類型金融數據明顯增多,諸多信息經常出現在暗網上被交易,「金融相關的情報數據佔到7成以上,尤其涉及金融屬性的個人隱私信息,如金融開戶信息、信用卡等,國內國外同樣如此。」
騰訊安全報告從2018年暗網數據交易的情況(抽樣數據)來統計,帳號/郵箱類數據、個人信息、網購/物流數據、銀行數據、網貸數據位列前五,佔比分別為19.78%、12.19%、9.69%、9.02%和8.3%,其它還有博彩數據、股市數據、企業工商數據等信息。
彭思翔介紹,黑產者盜取數據的具體手段包括技術入侵、社會工程學及APT攻擊,也形成了脫、洗、撞三步循環的模式,「脫庫是指入侵有價值的企業,把資料庫全部盜走;洗庫指對數據初步清洗,拿到其中最有價值的數據去變現;撞庫指清洗後發現可以繼續利用的數據,會到別的應用、企業繼續嘗試滲透脫庫,形成循環操作模式,一個企業或者一個行業的數據將全部被獲取。」
由誰賣出
被誰買入
不少人有類似的經歷:在某銀行剛辦理按揭貸款,隨後不斷收到各類第三方平臺的信貸類、消費類營銷電話和簡訊。
「這是典型的個人信息洩露的情況,比如房貸辦理需書面填寫較多個人信息,不排除有機構人員或信息接觸者將信息留存再轉手倒賣,比如一些信息中介或金融代理機構,聯合第三方營銷推廣平臺的慣用操作手法。」周君楨解釋,「不過,相比這類信息洩露,暗網更多是有組織、有目標的盜取、買賣。」
「早期一般一個團隊或者單人來完成,但是目前已經完全產業化、專業化,固定的團隊進行脫庫,再賣給洗庫團隊,最後賣給撞庫團隊,互不幹涉,通過虛擬化貨幣交割,追查極其困難。」彭思翔告訴記者,「絕大部分被盜數據不會公開出來,而是進入到秘密交易環節,作用在特定的場景中,如競爭對手戰略分析、同業用戶爭奪、上下遊業務定推等,此類秘密交易也可稱為定製化數據交易,特點是數據只賣一次或在某個時間窗口禁售,而公開在暗網交易的數據是多次多家進行販售。」
另一特徵是全球化趨勢,全球都存在數據黑產,且成為數據跨境非法流動的主要渠道。「如非洲國家的個人信息,被不法代理用於亞馬遜用戶註冊,進行欺詐和作弊行為。」彭思翔介紹,黑客會把數據進行整理並相互交流、形成黑產的大數據服務商,具體來講就是社工庫,在利益的驅使下,黑產向大數據服務和基礎設施建設等大規模、高技術發展,這也給數據安全的治理加大了挑戰難度。
三大變現途徑:精準詐騙、
撞庫攻擊、撒網式詐騙
騰訊安全報告統計,信息洩露催生三大變現途徑:精準詐騙、撞庫攻擊以及撒網式詐騙。
一個寫在騰訊安全報告上的案例是,網購用戶買完東西後,收到熱心「客服」的電話,「客服」以質量問題、物流問題等事由,發送一個退款網頁連結或二維碼,用戶按照提示操作即可退還高於購物款的退款或退款保證金,之後「客服」會進一步引導用戶把多收到的錢退還給網店。
而很多人不知道的是,這是詐騙者通過暗網等獲得網購用戶詳細信息後進行的針對性電信詐騙。用戶收到的款項其實是一些正規的貸款平臺的快速貸款,詐騙者利用網銀或第三方支付平臺上快速授信貸款等服務,誤導用戶從貸款平臺貸款、然後將「多餘」的款項打回詐騙者的網絡帳戶。
此外,近四年來,撞庫攻擊催化信息洩露在全球呈裂變式增長,這種惡意登錄更多是撞庫和掃號的攻擊。「從個人角度,需要提高防護意識,從業務必要性的角度看是否給出授權信息;個人在使用金融帳戶時,建議不同帳戶使用不同密碼,避免被有的技術公司利用信息進行撞庫,帶來資料洩露風險。」周君楨說。