在過去一年,由網絡攻擊引發的數據泄露事件依舊猖獗,醫療、保健、電信運營商等行業和人事管理、社保、稅務等政府部門受災嚴重,身份證、社保、電話、信用卡、醫療、財務、保險等相關信息都是黑客竊取的目標。從目前來看,拖庫攻擊、終端木馬和APP的超量采集、流量側的信息劫持獲取,已經成為數據泄露的三個主要渠道。
信息泄露的背后已經形成了一條完整的利益鏈,這些用戶信息或被用于團伙詐騙、釣魚,或被用于精準營銷。安天安全研究與應急處理中心(安天 CERT)發布《2015網絡安全威脅的回顧與展望》,其中揭露非法泄露的數據和隱私正在匯入地下經濟的基礎設施。
圖 2015年重大數據泄露事件
“拖庫門”事件的每一次曝光都令人關注,但實際上,依托這些數據達成的侵害往往早已存在,在其曝光時,其“價值”已經衰減。很多拖庫數據都是在被攻擊者充分利用、經過多手轉賣后才會曝光。當前,數據泄露的地下產業鏈已經成熟,并且有了完整的分工協作程序。其模式往往包括:拖庫、洗庫、撞庫和再洗庫等階段。當前,地下產業已經形成了與需求對接的一個“綜合業務代理機制”,在“需求方”提出目標后,“業務代理”會找到接手的“攻擊者”,“攻擊者”成功拖庫后拿到客戶的傭金,并且將獲得的數據庫洗庫,可以直接提取其中可變現的部分(如有預存款或虛擬貨幣的賬戶);之后,這些數據會被用來撞庫,嘗試登陸其他有價值的網站,再對撞庫成功的數據進行層層利用。經過日積月累,和相互交換,攻擊組織和黑產團伙的數據庫會越來越龐大,數據類型越來越豐富,危害也就越來越嚴重。
并非所有數據都是從“拖庫”攻擊中獲得的,同樣也有直接從終端和流量獲取的。2015年,因惡意代碼導致的信息泄露事件中,XcodeGhost 事件是一個值得所有IT從業人員深刻反思的事件。截止到 2015年9月20日,各方累計確認發現共692種APP受到污染,其中包括微信、滴滴、網易云音樂等流行應用。盡管有人認為被竊取的信息“價值有限”,但一方面其數量十分龐大,隨之衍生的風險也可能十分嚴重;另一方面,通過向開發工具中植入代碼來污染其產品,這種方式值得我們警醒。同時,本次事件采用非官方供應鏈污染的方式,也反映出了我國互聯網廠商研發環境的缺陷和安全意識薄弱的現狀。
圖 安天在XcodeGhost 事件報告中繪制的非官方供應鏈污染示意圖
近兩年在國內肆虐的短信攔截木馬在2015年不斷出現新變種,并結合社會工程學手段瘋狂傳播,竊取用戶的聯系人、短信、設備信息等,如安天本年度重點分析處理的“相冊木馬”。從 PC 側上看,2011 年出現的 Tepfer 木馬家族目前依舊活躍,且已有數十萬變種,Tepfer 家族可以盜取 60 種以上的 FTP 客戶端軟件保存的密碼、10 種以上的瀏覽器保存的密碼、31 種比特幣信息;還能獲取多個郵件客戶端保存的密碼,是一個利用垃圾郵件傳播,無需交互、自動竊密并上傳的木馬家族。
大量數據的泄露一方面讓用戶的虛擬財產受到威脅,另一方面也使各種詐騙、精準釣魚攻擊變得更簡單。之前大多數的詐騙都是采用廣撒網的形式,而大量數據泄露使黑客的社工庫完善后,可以有針對性地利用泄露信息匹配并精確定位用戶,以此進行的詐騙和釣魚攻擊將更具欺騙性。
從過去來看,流量側的灰色活動,更多用來劫持頁面、騙取點擊的方式來變現,但這種普遍性的流量劫持,同樣具備著流量側竊取的能力,這一點對于HTTPS尚未有效普及的國內網絡應用來看,是具有高度殺傷力的。更何況 HTTPS 在過去兩年,同樣暴露出了大量工程實現層面的問題,包括 CDN 等的挑戰。
人的身份幾乎是永久的,關系是基本穩定的,此類數據泄露帶來的影響,很難在短時間內被沖淡。一個值得關注的情況是,隨著黑產的規模化,這些數據將持續匯入黑產的“基礎設施”當中,從而使其可能具備超越公共安全和安全廠商的資源能力,安天年報同時指出,也不排除這種地下基礎設施搖身一變,以“威脅情報”的形式,同時為黑產和白帽子服務。
京公網安備 11010502049343號