黑灰产泄漏的类型和行业分布
黑灰产是一个巨大的产业链,尤其数据黑灰产更加触目惊心。近些年全球经济下行明显,但数据泄漏情况却在快速增长。以威胁猎人2023年三季度发布报告为例,其风险情报平台监测到数据泄露相关情报7300多万条,梳理出有效的数据泄露事件共计5110起,较第二季度增加153%。
从数据泄漏信息类型占比看,用户信息泄漏高达92.74%,剩余数据泄漏的类型包括内部文件文档泄漏、员工信息泄漏、敏感代码泄漏。
2023年三季度数据泄露信息类型占比(来源威胁猎人)
从数据泄漏的行业看,占比TOP 5的行业分别是:金融占比51.9%、物流23.28%、航旅8.06%、汽车5.07%、综合电商4.79%;消费电子、短视频、异性社交和教育四个行业整体占比也较高。
2023年三季度行业数据泄露事件数占比(来源威胁猎人)
因此,结合泄漏数据的类型和行业看,金融、物流、航旅的用户信息泄漏是数据黑灰产的集中地。
数据泄漏黑/灰产生态链概览
数据泄漏的黑/灰产生态链总体包括上游、中游、渠道和下游,见下图:
数据泄漏黑/灰生态链概览
(1)上游
数据泄漏的供应方式主要包括六类,分别是短信劫持、运营商DPI、黑客攻击、违规APP&SDK、快递渠道、内鬼。
(2)中游
料商是黑市中的数据中间人,负责连接数据买卖双方。他们通过非法手段获取个人信息,如短信代理商泄露、黑客攻击或内鬼泄露等。他们可能通过撞库、暗网搜集或买卖等方式收集数据,并可能伪造数据进行销售。这些经过处理的数据因其真实性和质量,在黑市上非常受欢迎,尤其是短信数据。
(3)渠道
Telegram和暗网,黑灰产的数据交易通道。Telegram是一款提供高度加密、无审查、无广告的即时通讯软件。暗网是互联网一个隐秘的部分,包含未被传统搜索引擎搜索的内容。
(4)下游
黑灰产相关数据的购买方。例如电信诈骗、灰色电销、X情/博X团伙、网络勒索、恶意代维等。其中恶意代维是指一些个人或机构在没有法律执业资格的情况下,通过虚假宣传、误导消费者,以帮助消费者维权的名义进行非法活动,牟取不正当利益的行为。这些行为不仅侵犯了消费者的权益,也扰乱了金融市场的秩序,对社会诚信体系造成了破坏。
暗网数据泄漏的主要途径
暗网数据泄漏的主要途径
(1)短信劫持
一种网络犯罪手段,它通过非法获取用户手机接收到的短信验证码来实施犯罪活动。以前人与人之间的短信被即时通信软件替代了,但人与系统、人与业务的短信验证码却急剧增长,如今几乎所有网页应用、APP应用需要通过验证码进行注册、登入和访问,尤其涉及金融、商旅与钱相关的场景。短信变成了身份认证、营销通知工具。短信通道监管不严格、层层分包、低价恶意竞争可能造成短信通道成为数据泄漏的重要原因。
(2)网络服务商DPI
Deep Packet Inspection,深度数据包检测,一种基于应用层的流量检测和控制技术。用户访问网址或者App时,会产生对应的网络流量,通过这些流量进行分析,将用户手机号、访问地址关联匹配。针对HTTP明文流量,可以精确到URL(访问地址);针对HTTPS,虽然经过了加密,但依然能够抓到对应的接口域名、端口等信息,关联出更有价值的内容。
通常,网络服务商的内鬼,违规外包、违规代理商通过网络DPI筛选出高价值信息进行利用。该方式最大特征是能够筛选出特定浏览记录的用户,甚至可以根据App的API接口区分出对应注册、登录等操作。此类数据时效性较高,一般获取当天或者隔天的数据,单条均价较高。
(3)违规APP及SDK
SDK(软件开发工具包)因其可获取用户个人信息、网络行为记录、个人账号等,其数据被黑产获取后会用于网购退货诈骗、金融诈骗等特定类型的电信诈骗犯罪。此类数据获取方式主要是利用SDK采集用户手机上近期新装、活跃的App及对应的用户机号信息。
基于流量检测:通过分析SDK与后端接口的通信数据,利用每个SDK的标识符获取到用户的App信息,利用运营商流量数据匹配出对应手机号。
被第三方泄漏:通过SDK所属的第三方公司内部数据流出或者某些仿冒App所包含恶意SDK直接收集相关信息,可通过IMEI、IMSI等信息匹配出用户手机号。
受害机型主要为Android手机,SDK数据获取特征是能够筛选出安装使用特定App的用户,数量虽多但准确性较低。不过,黑产团伙往往为了增加出售价值,会通过撞库的方式额外增加一些家属信息。该数据时效性较高,一般为两天内,平均单价接近0.5元/条。
(4)内鬼(有意识)
由于庞大的暗网市场,使得黑产组织通过超出想象的报酬,尝试收买一些企事业单位拥有特权的内部人员,通过这些“内鬼”非法获取数据并进行贩卖。
(5)安全意识薄弱(无意识)
企业员工安全意识薄弱,在无意识下(非主动)情况下造成的数据泄漏,流转到各个料商。
(6)黑客攻击
因网络、业务、系统、应用等有漏洞,由黑客攻击造成的数据泄漏情况。
数据安全建设
针对数据泄漏黑灰产可通过体系化建设企业数据安全的基本架构。企业搭建数据安全框架主要包括五大部分:数据安全管理及运营、云端数据安全、业务应用数据安全、办公数据安全、运维/研发数据安全。如下图:
企业数据安全基础架构
(1)数据安全管理及运营:流程上应用“IPDRR”模型,平台建设上数据安全管理平台、用户行为实体分析、信息安全管理中心(SOC),进行整体风险监测与告警,通过预警、通知、处置实现安全闭环。
(2)云端数据安全:IT基础环境的通用安全能力,依赖云上安全措施。企业建设私有云环境,可参考配置相关安全能力。例如数据库安全审计、KMS/HSM密钥管理系统、敏感数据识别系统等;
(3)业务应用数据安全:与业务相关的各类系统,主要聚焦APP(如有)隐私合规、API数据安全网关、WEB应用程序和API保护等。
(4)办公数据安全:容易被忽视的场景安全,可再细分成三类:终端安全、网络安全、邮件安全。标准的安全产品包括终端数据防泄漏、数据泄漏、VPN(远程接入)、NAC网络准入、安全浏览器(零信任原理)
(5)运维/研发数据安全:也是出现内部泄漏的典型场景,包括有意识和无意识情形。标准的安全产品包括堡垒机、数据运维或审核平台、云桌面(数据沙箱)、数据脱敏平台等。
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。
内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
因篇幅有限,仅展示部分资料,需要见下图即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
侵权,请联系删除。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
