威胁猎人《2024年上半年数据泄露风险态势报告》对2024年上半年数据资产泄露风险概况、黑产数据交易市场等进行具体分析,结合典型行业案例,多维度呈现2024年上半年国内数据泄露的态势全景:
1、2024年上半年全网监测并分析验证有效的数据泄露事件16011起,较2023年下半年增长59.58%,共9539起;
2、2024年上半年监测到3.4万个黑产团伙中,经分析验证涉及真实数据泄露事件的黑产团伙共计1973个,较2023年下半年增新增984个,增长近一倍;
3、从行业分布来看,2024年上半年数据泄露事件涉及85个行业,数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递;
4、从区域、年龄、性别等维度来看,2024年上半年数据泄露人群最多的区域分别是:浙江、四川、广东;35-54岁占比最高达62%;女性占比最高达64%。
5、针对黑产数据交易市场研究发现,2024年上半年利用Facetime诈骗活动增多,2024年上半年泄露的数据中包含“IOS”字段的相关风险事件高达1237起,较2023年下半年增加8倍。
相关名词定义
1、DRRC:威胁猎人成立深圳、重庆两大DRRC数字风险应急响应中心,汇集30+安全运营专家,为企业提供7×24小时应急响应服务;
2、真实性验证引擎:通过不同文件类型的个人要素提取和比对,以及对图片OCR结果中的要素进行提取及验证,有效识别该图片内容中是否含有伪造数据/历史泄露数据;
3、数据泄露情报:威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用” 的情报信息,可能包含历史数据、重复数据等,往往量级巨大;
4、数据泄露事件:威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证,排除历史虚假数据、确认有效的数据泄露事件;
5、公民个人信息:指公民个人身份信息,包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等;
6、历史个人信息:指此次数据泄露事件之前就已经泄露过的个人信息,很多历史个人信息被黑产收集整合成社工库;
7、暗网:指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权才能登录;
8、私域群:需通过邀请链接/管理员同意后才能进入的群组,一般外部人员无法监测或进入该群聊。
9、历史数据事件:黑产将泄露过的真实信息进行整合并再次用于交易的事件,通常黑产会对数据进行精细化处理,补充数据字段完整性,从而提升数据价值及盈利空间;
10、虚假数据事件:黑产将伪造的虚假数据数据用于交易的事件。
一、2024年上半年数据泄露风险概况
1.1 2024年上半年数据泄露事件共计16011起,较2023年下半年增长59.58%
据威胁猎人数据泄露风险监测平台数据显示,2024年上半年(1-6月)全网监测到的1.1亿条情报中,基于真实性验证引擎及DRRC人工分析验证有效的数据泄露事件共计16011起,较2023年下半年增长59.58%,9539起。
威胁猎人发现,在2024年2月数据泄露事件量出现大幅下降,较2024年1月下降36%(898起),进一步分析了解到,主要有以下两个方面所致:
从数据泄露源头来看,第三方泄露、短信通道泄露等不同原因所引发的数据泄露事件量均在2024年2月出现下降的情况,可以看出主要是受到春节期间黑产放假带来的交易行为放缓的影响。
2024年上半年数据泄露的主要原因包括:
短信通道泄露:随着历年来短信收发业务的发展,短信通道商开始通过压低价格的方式来获取更高的订单,比如会以低于市场标准价格与短信下发方(甲方)达成交易,而其收益空间降低很多,因此内部会通过非法售卖短信信息数据的方式获取更多收益。
运营商通道:黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息;
内鬼泄露:企业内部员工在利益的驱使下,采用资料导出、人工拍摄等方式,获取客户敏感信息后进行售卖;
黑客攻击:外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据;
第三方泄露:和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中。
从贩卖数据(中间商)的黑产团伙数量来看,2024年2月非法数据交易黑产团伙数量出现下降。
1.2 监测到非法数据交易黑产团伙1973个,较2023年下半年增长近一倍
威胁猎人针对非法数据交易团伙进行深入分析,2024年1月至6月监测到3.4万个黑产团伙中,经分析验证涉及真实数据泄露事件的黑产团伙共计1973个,较2023年下半年增新增984个,增长近一倍。
针对非法数据交易黑产团伙Top10研究发现,2024年上半年各团伙关联的数据泄露风险事件总量均高于2023年下半年,可见非法数据交易团伙的整体活跃度不断上升、非法交易行为更加高频,同时新的大型黑产团伙的不断加入(如小富豪**、阿包**等),使得黑产通过Telegaram进行非法数据交易的形势更加严峻。
1.3 Telegram及暗网依旧活跃,在数据泄露渠道中占比高达95%
2024年上半年威胁猎人监测到的数据泄露事件中,发生在Telegram及暗网的达95%以上,其中87%集中在Telegram。
1.3.1 Telegram“私域群”捕获超1400起风险事件,较2023年下半年增长近2倍
自2023年起,大多数黑产团伙开始转向私域群进行交易,数据交易团伙也对自身的账号信息进行匿名隐藏。Telegram渠道监测到风险事件最多的频道/群聊为私域群,2024年上半年,威胁猎人在私域群累计发现超过1400起风险事件,较2023年下半年增长近2倍。
私域群:需通过邀请链接/管理员同意后才能进入的群组,一般外部人员无法监测或进入该群聊,群组有管理员定期清洗群成员名单,一定程度上过滤了广告、机器人、二道贩子、中介等可信度较低的人员,群组内容质量更接近真实数据泄露源头。
2024年上半年 Telegram“私域群”数量快速增长,黑产团伙在“私域群”中通过加密消息、暗号和私密聊天等方式与买家进行交流联络,使黑产非法交易更加难以被监管机构察觉。
1.3.2 2024年上半年暗网平台数量较2023年下半年新增46个
暗网平台作为黑产非法数据交易的主流渠道之一,其平台数量的快速增长也侧面反映出暗网的活跃性持续提升,为黑产非法数据交易提供了更多新的隐蔽渠道。
2024年上半年,威胁猎人在暗网渠道发现数据泄露事件累计1229起,共涉及73个网站(如spyhackerz、crakingx等),较2023年下半年新增46个网站。
威胁猎人基于数据泄露事件量最高的Top10暗网网站,共发现994起数据泄露事件,占捕获暗网数据泄露事件总量的80%以上,主要集中在长安不夜城、breachforums以及cracked这几大网站。
1.4 银行、电商、消费金融成为数据泄露事件数量Top3行业,银行事件数量2961起位列第一
从行业分布来看,2024年上半年数据泄露事件涉及85个行业,1524家企业,数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递。其中,银行行业数据泄露事件数量高达2961起,成为数据泄露事件数最多的行业。
2024年上半年TOP10行业排名变化情况如下:
排名靠前的数据泄露行业中以金融、电商行业为主,金融行业的数据泄露事件主要体现在银行、消费金融、保险等企业的客户信息倒卖,通常被下游黑产团伙用于精准营销及诈骗,因涉及大量高价值用户数据,且靠近交易环节,成为了个人信息泄露的重灾区。
近年来线上购物发展更加火热,据2024年3月发布的《中国互联网络发展状况统计报告》显示,截至2023年12月,我国网络购物用户规模达9.15亿人,占网民整体的83.8%。线上购物的持续稳定增长下,电商平台产生了海量购物订单及物流信息,这些购物订单及物流信息由于暴露面较大,成为了黑产团伙的重点目标,同样被用于营销或诈骗。
同时,在公安部近期公布的“十大高发电信网络诈骗类型”中,刷单返利、虚假网络投资理财、虚假购物服务、冒充电商物流客服、虚假征信等10种常见的电信网络诈骗类型发案占比近88.4%。
其中刷单返利类诈骗是发案量最大和造成损失最多的诈骗类型,虚假网络投资理财类诈骗的个案损失金额最大,虚假购物服务类诈骗发案量明显上升,已位居第三位,而金融、电商类用户群体正是此类诈骗案件的受害群体。
1.5 2024年上半年泄露数据量达千万级事件共9起,以公民三要素信息及网购数据为主
威胁猎人在2024年上半年监测到泄露数据量达千万级的事件共9起,其中最高泄露数据量达12亿,经过威胁猎人多次深入分析验证发现,该事件泄露数据主要由发布者整合拼接而成(基于此前发生的多起国内大型数据泄露事件),并非近期泄露数据。
泄露的数据信息中主要以公民个人信息三要素(姓名、手机号、身份证)为主,其次是网购电商数据,最后是金融数据(银行、借贷信息)。从泄露渠道来看,主要集中在breachforums、长安不夜城、cc2crd等知名暗网,以及Telegram匿名群聊。
二、数据泄露字段及人群画像分析
2.1 2024年上半年数据泄露字段分析:基础字段占比65.7%
威胁猎人针对泄露字段调研统计发现,数据泄露字段主要包含基础字段、业务字段、黑产定义字段等类型,基础字段占比最高,达65.7%,基础字段中姓名、手机号、身份证号占比最高。
泄露数据价值与其所包含的具体字段密切相关,下游黑产可通过“全格式”数据字段构建完整的公民画像,进行定向性作恶,使整体作恶成功率及收益更高。
“全格式”数据是黑产描述数据所包含字段格式的专业通用型词汇,通常指包含身份证、姓名、手机号等基础字段信息,加上不同行业相关的业务字段信息,以保险行业为例,保险行业全格式信息通常包括身份证、姓名、手机号、投保金额、保险类型等。
基础字段:主要指个人基础信息,包括姓名、手机号、身份证号、银行卡号、地理位置、详细地址等;
业务字段:主要指业务相关信息,包括平台名称、保险类型、品牌、快递单号、航空公司、航班号等;
黑产定义字段:主要指黑产团伙数据清洗后定义的字段,如:验证ID、设备信息(IOS/安卓)、所属运营商等(验证ID主要是黑产对数据进行标记,防止被二次贩卖);
2.1.1 泄露的基础字段中"手机号"出现频率最高达86%
威胁猎人针对泄露字段调研统计发现,数据泄露字段中基础字段占比最高,达65.7%。
手机号作为重要基础数据字段之一,是黑产作恶的不可或缺的数据资源,频繁被下游营销/诈骗团伙用于对相关手机号发送短信、电话营销等,进一步实施非法作恶行为。
2024年1-6月公民信息泄露事件超过15000起,其中泄露信息字段包含“手机号”的超过86%。
威胁猎人安全运营人员调查了解到,部分上游黑产团伙因技术手段受限,仅能获取到“手机号”字段,黑产团伙会通过多种方法拼接个人信息、补齐数据字段信息,从而提高数据的价值。
2.1.2 泄露的业务字段中"银行"占比最高,其中“银行卡号”字段占比最高达57%
经统计分析,泄露的业务字段中"银行"行业占比最高,进一步分析发现,银行行业泄露的数据中出现频率最高的业务字段信息为“银行卡号”,在银行行业所有业务字段中出现占比达57.08%。
银行数据出现频率TOP3业务字段如下:
2.1.3 黑产自定义字段中,2024年1月首次出现“低频骚扰”、“验证ID”字段
威胁猎人针对泄露的数据中进行分析发现,2024年1月黑产自定义的字段中首次出现“低频骚扰”、“验证ID”等字段,针对相关字段研究分析发现:
① 黑产通过对数据“低频过滤清洗”提升诈骗成功率,相关事件累计发现52起
威胁猎人发现自2024年1月起,泄露的数据字段开始高频出现“低频骚扰”字段内容,2024年上半年共发现52起该类型的风险事件。
(低频数据样例形式)
威胁猎人与发布相关数据的黑产进一步沟通了解到,黑产将此类数据定义为低频骚扰数据。
“低频过滤清洗”主要指数据售卖方在对数据筛选时,会对普通用户手机号的骚扰频率进行分析,从而过滤筛选出低骚扰率的用户手机号,即平时接收到骚扰电话的情况较少,对陌生电话的接听抗拒程度较低的用户手机号。
针对这类手机号,作恶团伙可以在进行营销推广或诈骗时,实现更高的用户接听率,可以更好地套取到用户的信任从而进行精准推广,极大提升诈骗成功率。
② 黑产通过“验证ID”标识校验定位可信度更高的数据源,相关事件累计发现37起
2024年1月,威胁猎人在泄露的数据字段中发现“验证ID”字段高频出现,2024年上半年共发现37起该类型的风险事件。
(验证ID字段类数据)
深入调研发现,“验证ID”实际上是非法数据交易黑产团伙为了验证数据是否真实,同时防止数据被中介二次贩卖而制作的标识,下游购买数据的团伙可通过其提供的数据验证系统校验数据是否真实。
非法数据交易市场中数据二次售卖、多次售卖的情况屡见不鲜。威胁猎人调研发现,平均同一份数据样例就有至少2个黑产团伙进行售卖,同一份数据样例最多被433个黑产团伙进行售卖。
黑产交易市场新旧真假数据鱼龙混杂,ID验证的方式在一定程度上帮助下游购买数据的黑产团伙有效寻找到可信度更高的数据。
2.2 2024年上半年数据泄露人群画像分析
2.2.1 2024年数据泄露人群地区分布TOP3:浙江、四川、广东
威胁猎人针对全行业数据泄露人群相关信息进行分析,从所在区域维度来看,数据泄露人群数量最多TOP3区域分别是:浙江、四川、广东。
2.2.2 2024年数据泄露人群年龄段分布:35-54岁占比达62%
各年龄阶段分布定义(供参考):
未成年人:18岁以下
青年阶段:18-34岁
中年阶段:35-54岁
老年阶段:55岁以上(退休年龄)
2.2.3 2024年数据泄露人群性别分布:女性占比较大,达64%
2.2.4 TOP3行业(银行、电商、消费金融)人群画像分析
① 银行数据泄露人员画像
威胁猎人针对银行数据泄露人群相关信息进行分析,数据泄露人群最多的区域分别是:广东、四川、江苏、安徽、河南。泄露人群年龄主要在35-54岁,占数据泄露人群中61.78%,女性占66.42%。
② 电商数据泄露人员画像
威胁猎人针对电商数据泄露人群相关信息进行分析,数据泄露人群最多的区域分别是:浙江、四川、福建、江苏、陕西。泄露人群年龄主要在35-54岁,占电商数据泄露人群中65.98%,女性占68.25%。
③ 消费金融数据泄露人员画像
威胁猎人针对消费金融数据泄露人群相关信息进行分析,数据泄露人群最多的区域分别是:浙江、安徽、江西、四川、陕西。泄露人群年龄主要在35-54岁,占消费金融数据泄露人群中57.71%,女性占52.46%。
三、黑产数据交易市场相关研究
3.1 2024年上半年出现多起利用Facetime诈骗活动,“IOS”字段相关风险事件共1237起,较2023年下半年增长8倍
威胁猎人安全研究员发现2024年上半年泄露的数据中,“设备信息”字段信息出现频率逐渐增多,尤其是“IOS”类数据字段,从数贩卖黑产团伙与下游数据购买者的聊天记录来看,下数据购买者对于数据的复购要求中多次提及“IOS”设备数据的筛选要求。
(威胁猎人捕获的泄露数据中包含设备信息)
威胁猎人统计发现,2024年上半年泄露的数据中包含“IOS”字段的相关风险事件高达1237起,较2023年下半年增加8倍。
随着国家公安机关对传统电话诈骗的打击加大、运营商监管加强,而Facetime日渐普及,不法分子开始盯上Facetime通话功能,试图通过这一功能实施诈骗活动。
“IOS”类数据字段的大幅增加,以及黑产沟通验证,进一步佐证了利用Facetime进行诈骗的现状使得上游数据清洗产业链发展更加猖獗。
自2024年起,威胁猎人发现不少诈骗分子冒充“金融平台客服”、“国家征信中心工作人员”等身份,使用FaceTime功能向苹果手机用户发起通话,以“开通百万医疗保险需要关闭”、“有未结清的贷款需要处理”等为由进行诈骗,告知手机用户如不取消会被强制扣款,或个人征信受损,从而诱骗手机用户将相关款项转移至指定账户,给受害者带来巨额损失。
3.2 2024年上半年数据泄露事件中,包含历史数据的事件占30%
历史数据事件:威胁猎人通过与过往泄露数据的匹配验证,识别出黑产发布数据样本中包含旧数据的事件;
虚假数据事件:威胁猎人对数据样例中所包含的三要素进行匹配验证,识别黑产伪造的虚假数据的事件。
威胁猎人基于数据真实性验证引擎的优化,有效识别样本数据泄露事件中包含历史数据的事件数占比,经抽样分析发现2024年上半年黑产交易市场中30.60%数据泄露事件包含历史数据,即10次非法数据交易就有3次是历史数据售卖,较2023年下半年上涨15.93%。
可见,数据交易市场中诸多黑产多次通过售卖历史数据、伪造数据、拼接数据等方式进行牟利的行为更为严峻。
3.3 2024年上半年“查档”信息事件共657起,事件数呈现快速上升趋势
黑产在Telegram等渠道社工查档的事件屡见不鲜,例如通过一个手机号,就可以查询这个手机号相关的所有身份信息,如地址、银行卡号、名下资产等等。
查档:指提供对指定人员信息的资料档案进行调查或相关数据提取服务。
常见的查档服务有:轨迹类(人物轨迹、车辆轨迹)、名下财产(名下卡、名下车、名下房)、快递业务(快递地址、物流信息)、个人信息(婚姻、户籍、社保)等。
在2024年上半年发现的数据泄露事件中,威胁猎人累计发现657起“查档”信息泄露事件,占整体数据泄露事件的4.10%。
从每月变化趋势来看,查档类的相关风险事件数呈上升趋势,相关黑产团伙数量也不断增加。一定程度上反映出通过查档进行非法收益的形式更加普遍,背后收益更加可观。
3.4 利用“共享屏幕”诈骗的事件高发,2024年上半年监测“共享屏幕”远程软件达25种
2024年上半年,利用“共享屏幕”诈骗的事件频繁发生,诈骗分子通过一些非法渠道获取乘客个人信息、航班信息,冒充航空公司工作人员,通过短信或电话的方式通知航班延误或取消。
通过一些特定的话术,以“退费”“理赔”等理由引导受害人下载具有屏幕共享功能的App,再通过屏幕共享状态下获取的用户信息实施诈骗,具体流程如下:
举一个真实的案例:
李某接到陌生来电,冒充某航空公司的“客服”告知其航班需要改签同时会进行相关赔偿,要求李某点击某线上会议链接开启屏幕共享,由于对方能准确说出自己的航班信息,李某信以为真,按照其要求进行了屏幕共享的操作。
此时诈骗者利用该功能趁机获取李某个人信息,并以进行身份认证、解绑银行卡为由,要求李某提供自己的银行卡号、密码、手机验证码等信息,并进行人脸识别,最终李某银行卡里的30000元被对方全部转走。
进一步研究发现,利用“屏幕共享”的诈骗手法层出不穷,“共享屏幕”远程软件快速更新,据威胁猎人风险情报平台数据统计,仅在2024年上半年就发现了25种被黑产恶意利用的“共享屏幕”远程软件,如常见的“畅联云”、“Vymeet”等等。
四、结语
从2024年上半年数据泄露风险现状来看,企业需要重点关注以下问题:
1、“数据泄露有效事件数”及“黑产交易团伙数量”持续上涨,数据泄露风险态势不容乐观
2024年上半年(1-6月)全网监测并验证有效的数据泄露事件共计16011起,较2023年下半年增长59.58%;此外监测涉及数据交易的黑产团伙共计1973个,较2023年下半年增新增984个(增长近一倍),Telegram非法数据交易团伙的整体活跃度不断上升。
2、银行、电商、消费金融等行业仍处数据泄露高位,银行数据泄露事件2876起位列第一
2024年上半年数据泄露事件涉及85个行业,涉及企业1489家,数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递。其中,银行行业数据泄露事件数量高达2876起,成为数据泄露事件数最多的行业。
3、2024年数据泄露人群地区分布TOP3:浙江、四川、广东
从区域维度来看,2024年上半年数据泄露人群最多的区域分别是:浙江、四川、广东;从年龄段维度来看,35-54岁占比达62%;从性别维度来看,女性占比达64%。
针对以上情况,企业需要全面提升对风险的识别及应对能力,了解风险事件的细节,包括对风险真实性进行验证,及时进行溯源、处置下架并跟进潜在风险,增强数据泄露风险监测及预警的及时性等。
对此,威胁猎人提出了针对性的解决方案:
1、全网情报监测及挖掘:覆盖暗网、匿名群聊、网盘文库、代码托管平台等各渠道,从不同维度持续提升渠道覆盖的全面性,包括新渠道的持续发现和更新、深层情报源(Deep Source)的专项挖掘、多语种的渠道覆盖。
2、数据泄露风险精准预警:针对监测到的黑产交易数据,通过风险真实性验证引擎+人工数据验证服务,提供综合的可信度评估结果,帮助企业精准感知风险、及时处置风险:
① 风险真实性验证引擎:基于“信源置信度要素、三要素匹配度要素、历史重合度要素”3个要素对风险真实性进行验证;
② 人工数据验证服务:通过二次验证、主动验证等方式进一步帮助企业精准感知风险。
3、「7×24」应急响应:2023年10月,在深圳、重庆建立两大应急响应中心,并在深圳、上海、杭州、重庆、北京等地建立售后服务中心,对企业相关风险情报进行全天候监测、审核和预警,提供「7×24」样例获取、情报挖掘、协助溯源、处置下架等服务,同时提供月度数据泄露风险监测报告,以及典型风险事件分析结果。