黑灰产报告:致数据泄露事件频发 API已然成为攻击焦点
《2021年黑灰产行业研究及趋势洞察报告》报告由永安在线·鬼谷实验室独家编写,联合安全419共同发布。本文为报告第三章内容摘编,重点针对2021年黑灰产攻击变化情况给出总结。
2021年是疫情的第二年,是十四五规划大规模数字化转型开启的元年,同时伴随着多项新法规的正式实施,数据安全合规被企业提到日常运营当中。数据资产在数字经济时代的重要性不言而喻,目前已成为一种新型生产要素,推动着各行各业的发展。因此,对数据的窃取变成了黑灰产作恶的重要部分。API作为承载数据流转和业务功能实现的核心,在2021年已成为黑灰产攻击的焦点,也是致使数据泄露事件频繁的重要原因。
2021年黑灰产攻击变化情况
2021年,在黑灰产攻击上也出现了一些突出的现象,如:因小程序高速发展带来的微信授权的大规模泛滥、数字化经济发展衍生的用户信息安全问题、因API的管理失控带来的数据泄露问题,都值得大家关注。
微信授权攻击猖獗一时
2021年,黑灰产利用众多因违规被封、不能正常使用支付等重要业务功能,但仍然可以授权各类平台的微信号进行不同业务登录,从而生成新身份的微信登录攻击方式猖獗一时。
此类微信授权登录的方式,主要有三种:
第一种,使用62或A16数据,配合孔雀签或外星人工具进行微信账号登录后扫码授权。a16、62数据是微信登录后产生的身份凭证数据,有了a16或者62数据就可以实现免账号密码,免验证登录微信;
第二种,在手机上安装如“柠檬”等的微信授权工具后,唤醒工具跳转登录;
第三种,使用如“利群”类微信授权平台,提供的API接口,集成到自动化工具中,进行登录。
这三类微信授权的作恶方式,为黑产提供了丰富的攻击弹药,从2021年开始,此类微信授权便逐渐规模化,在发展高峰期间,活跃的授权平台数十家,活跃的授权APP数十个的规模,同时,黑产市场上活跃的微信账号也超百万量级。
但后来由于微信对于账号的治理,大量微信授权平台倒闭跑路,而这项黑产“生意”,也如昙花一现,迅速凋零,到如今只有很少一部分存活。除此之外,基于微信授权平台开发的自动化工具数量也在巅峰之后,急速下降。
数据泄露问题频发 各个行业均面临威胁
数据泄露事件覆盖各行业,快递/物流行业占比最高,达25%
2021年,经过永安在线人工运营和专家分析,共监测到有效数据泄露情报事件共1700余起,涉及企业近500家,涉及30多个行业。其中11月份事件数量剧增,较10月份上涨2倍,主要归因为双十一大量电商网购、物流快递信息泄露导致。
其中,快递/物流行业为数据泄露事件数排名第一的行业,占比为25%;借贷行业排名第二,占比近21%,证券行业排名第三,占比近15%。
根据永安在线对国内各行业的,数据资产泄露风险监测统计结果显示,快递/物流行业为数据泄露事件数排名第一的行业,占比为25%;借贷行业排名第二,占比近21%,证券行业排名第三,占比近15%。
泄露后的数据,通常会被用于诈骗、广告推广和同行竞争等。以诈骗为例,每个行业数据泄露后的诈骗手法都有所区别,以下是TOP5行业常见诈骗手法:
数据泄露行业常见诈骗手法TOP5
01·快递物流行业
犯罪分子通过非法渠道获取受害者数据,冒充电商平台或物流公司客服,谎称受害人购买的商品出现问题或快件丢失,诱使受害人提供银行卡等信息,最后通过非法操作,转走受害人银行卡内钱款。
02·借贷机构行业
了解受害者贷款需求,主动添加微信好友诱导下载APP,谎称贷款需缴纳手续费进行下款操作,再谎称信息填写有误,账户冻结要求缴纳解冻费,证明偿还能力,并说明所有费用将全数返还以骗取受害者信任。
03·证券股票行业
高收益投资项目稳赚不赔方式接近受害人,让受害人下载非法app,前期引导受害人少量投入,虚拟货币升值快,让受害人得到高收益甜头,再诱导受害人大量购买进行收割;已知的收割方式有:忽悠受害人频繁交易收取高额手续费、提现失败需充值才能提现、直接后台更改数据库让你亏多少就亏多少、直接删好友卷款消失。
04·电子商务行业
被骗群体集中在喜欢网购40岁以下的年轻女性,诈骗团伙通过非法渠道获取受害人信息后,利用受害人贪图小便宜的心理,伪装成“客服”谎称商品存在质量或其他问题进行多倍赔偿,诈骗团伙通过“客服”制定的“赔款流程”骗取钱财。
05·银行金融行业
(1)、冒充银联中心或公安民警设套,套取银行账号、密码实施犯罪;
(2)、窃取受害者网银登录账号和密码,制造银行卡上有资金流出的假象,假冒客服要求受害者提供自己手机收到的验证码来进一步诈骗;
(3)、用个人信息注册各种账号,之后如果想申请注册会提示已经注册,无法重新注册,严重影响工作和生活。
数据泄露多为各平台的用户信息 占比高达98%
2021年泄露的数据中,数据类型主要集中在平台用户信息,占比达98%;其次是公民个人信息、数据库账号、后台源码信息等。
平台用户信息主要分为描述类信息,行为类信息和关联类信息三种类型基本资料。平台用户信息泄露,极有可能会被用于各种类型的营销推广,同时也是诈骗频发的重要原因。
数据资产交易的主要渠道仍是Telegram,交易发生占比达80%
黑产进行数据交易,主要集中在隐蔽性较高的渠道,其中,Telegram占比近80%、暗网占比近19%。
(据了解,Telegram是一款号称“自由且安全”的社交类通讯软件,由于其支持匿名及阅后即焚等“隐私”功能,正逐渐成为各路网络犯罪不法分子的聚集地。)
API管控不当是引发数据泄露的主因
大量黑灰产作恶工具攻击API接口,涉及场景丰富,其中账号场景接口数占比高达63%
永安在线从2021年监控的17.59万款黑产工具中,提取出了大量被攻击的API接口,涉及场景包括:登录场景、验证码场景、注册场景、活动场景、内容场景等。
其中,遭受攻击的API接口占比最高的是登录场景,达44%;其次是验证码场景,达22.2%;第三是注册场景,达19.31%。
2021年永安在线对监控到的1700余起数据泄露事件进行分析后发现,引发数据资产泄露最大的原因有:
(1)API管控不当造成的内部安全缺陷,占比达45.45%,这主要是企业数据流转节点的不断增多,导致大量无法感知到的API暴露在外,被黑产利用并进行攻击导致;
(2)运营商/短信通道泄露,占比达36.23%;
(3)内部人员泄露,占比达14.83%。
2021年下半年API管控不当导致的数据泄露事件
2021年7月,国内某大型教育机构的40万条用户信息数据,在暗网被售卖。经验证分析,证实为:数据接口暴露在外,API被爬取导致;
2021年8月,国内某房地产开发商的公司内部员工通讯录、销售合同等机密文件以及客户信息档案明细数据,在暗网被进行售卖。经验证分析,证实为:数据接口暴露在外,API被爬取导致;
2021年9月,国内头部旅游公司的大量航班订单数据,包括:个人姓名、手机号、飞机起降时间、航班号等敏感信息,在数据交易平台被售卖。经验证分析,证实为:内部系统API,被内鬼利用获取数据导致;
2021年10月,国内头部物流公司后台系统的订单数据,包括:寄件人姓名、手机号、运单编号、产品类型以及配送信息等敏感数据,以每日5万条的量级在数据交易平台被售卖。经验证分析,证实为:离职员工数据访问权限,未及时收回导致;
2021年11月,国内某大型航空公司的航班数据,包括:航班信息、用户姓名、手机号等内容,在数据交易平台被售卖,量级达1千多万条。经验证分析,证实为:内部数据API,被离职员工利用导致;
2021年12月,国内某证券公司的客户信息数据,包括:用户姓名、手机号、开户时间、交易情况等敏感数据,以每日1万多条的量级在数据交易平台被售卖。经验证分析,证实为:内部系统数据API管控疏忽导致。
因API管控不当引发的数据泄露会越来越多,API安全问题越来越值得被重视。
随着大数据、微服务、云原生等技术的持续发展,API发挥着越来越重要的作用,我们当前丰富的数字生活背后,就是成千上万个API在工作,因此,承载着企业核心业务逻辑和敏感数据的API,一旦被攻击,将对企业及其所服务的客户造成巨大的危害。
并且,随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规在2021年的施行,无论是政府还是普通大众,对于数据和隐私越来越重视,而作为数据泄露的主要来源之一,API安全应当被提到重要位置。
如需报告原文,可点击阅读原文下载完整版报告。如需转载、摘编或利用其它方式使用本报告文字或观点请联系本报告的出品者——永安在线。
THE END