2018年暗网非法数据交易总结

本文作者：360安全监控与响应中心、360威胁情报中心、360行业安全研究中心

第一章暗网非法数据交易统计

“暗网”（Darknet or Dark Web）是指一种特殊的网络，只能通过计算机上的特殊软件、授权或特殊设置才能访问，而在流行的搜索引擎上是找不到的。服务器地址和数据这种特殊网络的传输通常是“看不见的”，通过常规技术手段很难发现和检索，“暗网”成员之间的相互通信极其私密，很难通过一般技术手段进行拦截，即使截获。破译。

暗网因其“隐形”属性而成为大多数犯罪分子的主要集中地。很多被黑客窃取或公司内部鬼魂泄露的数据一般都是在暗网上出售。一般来说，虽然暗网的网络规模远小于明网，但大部分非法信息交易都集中在暗网。

从一个暗网交易平台，我们对 9 月至 12 月期间犯罪分子发布的 1,000 笔数据交易进行了抽样。本章将对暗网上的非法数据交易进行总结和简要分析。

一、活跃的数据发布者

暗网不同于明网，需要特定的浏览器和部署才能登录。登录暗网的人往往是出于非法交易目的而具有特殊目的和属性的暗网用户。主要分为以下几类：

1）非法和违禁物品、服务、数据、资料等；

2）非法和违禁物品、服务、数据、数据等买家；

3） 网络诈骗犯罪团伙；

4）非法中介，黄牛；

从暗网活跃数据发布者的数量来看，本文收集的1000条数据交易中，有368人发帖，每人约3条消息。具体来说，88.9%的人发布信息少于10条，6.3%为发布5-10条信息，10-20条信息占< @3.8%，发布20-50条信息的人数占0.8%，只有1人发布超过50条信息，占0.3% .

二、数据交易涉及的行业

从涉及暗网数据交易的行业来看，金融行业占比2<@3.1%；互联网行业占比16.3%；生活服务业占比6.1%。还有一些行业属性没有明确说明，则归结为个人信息。个人数据占比8.5%。

下图为暗网数据交易涉及的前九大行业和个人数据。

三、数据交易的类型和规模

根据数据的敏感性，我们分为以下几种：

1）实名信息：如姓名、电话号码、身份证、银行卡、家庭住址等包含实名信息的。

2）账号密码：如各种网站登录账号密码、游戏账号密码、邮箱账号密码等

3）保单信息：如保单号、保险信息、车险信息等

4）行为记录：如聊天记录、购物记录、旅游信息等

5）机密文件：如财务信息、合同信息、风险投资信息等

6）用户信息：如邮箱号、账号列表、QQ号、会员列表等不包含真实姓名的。

7）电话号码：属于用户信息，如账户名和手机号，注册号。

从暗网数据交易类型来看，实名信息是流量最多的信息类型，占比45.2%，其次是账号密码、数据库、用户信息、电话号码、行为记录等

从暗网数据交易规模来看，10万条以上数据占比46.0%； 10万到100万条数据占比2<@3.4%； 100万到500万条数据占11.0%； 500万到1000万条数据占<@3.6%； 1000万到5000万条数据占8.6%； 5000万到1亿条数据占1.4%； 1亿到1亿条数据占8.@5.9%。

四、获取数据后一般使用

实名制信息不仅是政企机构泄露最多的信息类型，也是暗网上销售最多的信息类型。本文中的实名信息主要是指包含实名的信息，如姓名、电话号码、身份证、银行卡、家庭住址等。下面介绍信息买家购买数据的几种常见用途。

1）精准营销

通过对信息和数据的基本属性、行为习惯、商业价值等维度的综合分析，对目标受众进行精准剖析和定位，实现基于大数据的精准营销。例如，拥有用户流量入口的社交软件和媒体公司，整合自身和外部媒体资源，在用户画像的基础上，为行业客户提供精准的广告服务。

保健品、保险、财富管理、房地产中介等行业是数据的主要购买者。在公民众多的个人信息中，老年人和学生的信息相对来说比较受欢迎。老年人的信息经常被相关公司用来宣传保健品，而学生的信息则被一些教育机构用来宣传招生。

信息购买者根据购买的数据对人群进行有针对性的营销推广。常见情况包括：销售电话、短信骚扰、垃圾邮件和广告弹窗。

2）准确欺诈

信息泄露后，一些上门推销、诈骗电话、短信、垃圾邮件、神秘包裹等不请自来。调查显示，最麻烦的网民是诈骗电话和短信。中新网PC端和微信端70%以上的网友表示，诈骗电话和短信是信息泄露后最困扰他们的事情。此前，中国银联利用大数据分析向社会发布安全提醒。 90%以上的电信诈骗案件、银行卡被盗、非法套现、冒用他人银行卡、网上消费诈骗等都是由个人数据泄露造成的。成为犯罪的主要来源。

3）在其他渠道销售

信息转售者低价购买公民个人信息，然后高价出售，牟取非法利益。

据中研网消息，2017年齐齐哈尔农垦区人民法院的判决中，被告人崔文虎是一名信息转售者，从网店低价购买公民个人信息，然后以低价出售。高价。 从2015年5月开始，崔文虎在一年半的时间里6次转售公民个人信息，共获利近万元。

第二章暗网上的主要数据交易事件

本章主要总结了2018年曝光的一系列暗网重大数据交易事件，涉及军事、政府、互联网等事件行业。

一、军政机关暗网重大数据交易事件

(一）问题总结

2018年，发生了多起涉及军队单位、政府机关和事业单位的暗网交易事件。这些事件背后的影响是非常严重的。比如3500万选民数据泄露，必然会导致大规模身份泄露，干扰美国总统大选。 ; FBI探员包括职务在内的个人信息被泄露，势必会给相关人员带来新的突破。

一般而言，军政相关机构应多做安全相关工作。这些信息一旦泄露，将会产生非常大的影响。但事实表明，在现阶段，各国还未能达到牢不可破的安全水平，安全问题也不少。在下面列出的重大事件中，有针对FBI等情报机构的反击活动，也有单纯因内部人员或内部人员的账户泄露而引发的信息贩卖活动。可以看出，到目前为止，相关机构都容易受到来自内部和外部方面的攻击。<​​/p>

(二）数万FBI探员信息在暗网上被泄露新加坡比特币诈骗，很多国外情报机构受到影响

2018 年 12 月，Twitter 上的 ID 为 Anonymous Unity 用户表示，数万名 FBI 特工和法国警方的个人信息在暗网上被披露，并附上暗网链接。进入暗网链接，可以看到两万多名联邦调查局特工和法国警方的个人信息。 FBI特工公布的个人信息包括：姓名、职位、电话号码、邮箱地址等。公布的法国警方个人信息还包括：姓名、电话号码和邮箱地址。此外，暗网发布的这些信息还包括法国警方、美国DGSE、FBI、CIA、MI6下的各级网站的域名和对应IP。

由于任何黑客都可以以Anonymous组织的名义发布活动，因此用于披露这些信息的Anonymous的身份暂时无法核实。根据披露者展示的《圣战宣言》，这名联邦调查局特工进行个人信息披露活动的目的是为了反击情报机构对多人的监视和逮捕。暗网对应的“Part 1”显然意味着后续会有数据泄露。

(三）11月中期选举临近，3500万美国选民数据通过暗网出售

来自 Anomali Labs 和 Intel 471 的安全研究人员追踪了 2018 年美国选民登记记录的暗网兜售。选民数据来自以下 19 个州：乔治亚州、爱达荷州、爱荷华州、堪萨斯州、肯塔基州、路易斯安那州、明尼苏达州、密西西比州、蒙大拿州、新墨西哥州、俄勒冈州、南卡罗来纳州、南达科他州其他州、田纳西州、德克萨斯州、犹他州、西弗吉尼亚州、威斯康星州、怀俄明州。出售的信息包括选民的全名、电话号码、真实地址、历史投票和其他未指明的投票数据。每个选民的信息以 150 美元到 12,500 美元的价格出售。卖家还声称，一旦数据被购买新加坡比特币诈骗，他们将定期为买家提供每周更新。

Anomali Labs 声称，这是它首次发现出售 2018 年以来的选民登记数据。暗网上出售美国选民数据的时间是 2018 年 10 月 5 日，大约在 11 月中期选举前一个月。在发布选民记录销售帖子的几个小时内，论坛上发起了购买选民记录的众筹活动。从过去Facebook 5000万用户数据被泄露并用于干预选举的事件来看，美国中期选举很可能会发生大规模的恶意身份盗用。

(四）某省1000万学籍数据在暗网上出售

2018年8月1日晚，微信公众号披露有人暗中被监控。在线销售某省1000万学籍数据。从卖家公布的测试数据来看，所售学籍数据覆盖了某省大部分市区，年龄主要分布在1995年到2006年之间，即12岁到23岁之间。泄露的数据涉及多个维度：学生姓名、身份证、学籍号、户籍所在地、监护人号码、居住地址、出生地和学校名称等。此外，售出的数据还提供100G照片链接。卖家表示数据可以单独购买：500万数据0.01比特币； 1000万数据0.02比特币

据分析，这些出售的数据主要是小学生的信息，几乎不包括大学生的信息。据合理推测，数据来源应该是全省中小学生信息管理系统被拖入数据库，而“拖库”事件很可能是内部原因造成的人员泄露或内部人员账目泄露。

(五）暗网最大托管商被黑，6500+网站被删除

2018 年 11 月 15 日，暗网最大的托管服务商 Daniel's Hosting 发布公告称，黑客攻击了他们的服务器，其服务器上托管的多达 6500 多个网站被删除。暗网向来充斥着各种不法分子的集中地，充斥着毒品、枪支、色情等交易，在很多人眼中是法外之地。目前尚不清楚为什么暗网最大的保管人被黑客入侵。但根据公司的公告可以肯定，这起事件并非一时之举，而是早有准备。

事实上，暗网被黑已经不是第一次了。早在去年2月。 Freedom Hosting II (FH2）) 是暗网上最大的服务托管商，曾被黑客删除，黑客一开始只想获取托管儿童色情网站的数据。

无论这次暗网主机被谁、出于什么目的攻击，6500+暗网被删除，无疑在一定程度上打击了暗网违法犯罪活动，给了对相关行业造成重大打击。

二、IT互联网公司在暗网上发生的重大信息交易事件

(一）问题概述

在 2018 年 6 月 13 日左右的一周内，发生了多起大型企业数据在暗网上出售的事件。除了某知名动漫网站发布公告承认近千万用户数据被盗外，我们目前无法确认同期售出的其他数据是否为对应的官方数据。 ，因为也很有可能是用其他数据打库得到的。但是经过测试，可以确定的是，这些数据是真实有效的。

从暗网上销售的帖子来看，数据来源主要涉及以下两个方面：黑客攻击和撞库。由于大型互联网公司普遍具有数据量大、日流量高的特点，一些黑客除了出售相关数据外，还会出售大型网站的外壳和内网权限。此外，由于很多人在不同的网站上也使用相同的帐号和密码，因此有兴趣的人会使用他们现有的帐号和密码撞到数据库以获取更多信息。在下面列出的事件中，有大量的数据是通过撞库获得的。

另外，近年来区块链越来越流行，针对区块链的攻击和数据泄露事件也越来越多。根据以往的经验，对区块链的攻击一般不是个人而是团队，恶意软件经常被用来窃取信息和货币。

(二）一个动漫网站和一个共享单车平台近千万用户的信息在暗网上出售

2018年6月13日，某动漫网站发布公告称，近千万用户数据被盗，被盗数据包括：用户ID、用户昵称和加密存储密码等数据。这些数据早在 3 月 8 日就已经在暗网上进行了销售。销售数据分为 3 组，其中 800 万条视频网站数据，以 12000 元的价格出售，或者 800 条 1元。另外两组数据也分别达到了70万和600万条，分别为7000元和12000元 售出的数据都包括：用户名、手机号和密码，都是一手数据，一个整体的价格大约0.49 个比特币。

除此之外，还有人在暗网上兜售视频网站的shell和内网权限。据说主要卖点是：数据量大，日流量高。

(三）某知名招聘网站近日在暗网上公开售卖200万条用户数据

2018年6月14日，A站发表公开声明称，近千万条用户数据泄露，在暗网售卖后的第二天，有人在暗网发帖公开售卖用户另一个大型招聘网站的数据。卖家声称拥有近200万条相关数据，至少包括用户的账号、密码和邮箱。

有人说，数据可能是卖家从Organized else获得的，伪装成招聘网站的数据。但经测试，卖家展示的数据也是真实有效的，可能是通过凭证填充获得的。

(四）某社交平台3000万用户数据仅基于暗网售价50美元售出

2018 年 11 月 30 日，有人在暗网上卖出了 3000 万个社交平台的用户数据，包括：手机号码和密码。卖家称，数据总计31,613,301条数据中，只有不到1%的用户密码为空，也就是说，所售出的至少3000万用户的数据中同时包含手机号和密码。这些数据应该是2015年7月17日之前的数据，直到今年11月才在暗网上出售，售价很低，只有50美元，折合人民币不到350元。

根据卖家的泄漏，这些数据是3年前收集的。因此，无法保证数据的及时性。不过，这么大的数据量，还是适合做字典和数据库的。

(五）8Bitcoin网站数据库和网站源代码在暗网出售

2018年12月17日，8Bitcoin网站最新数据库及网站源代码在暗网上出售。源代码售价为 0.5 个比特币，数据售价为 4 个比特币。源码中包含接口API等信息，数据涉及14万会员的信息，包括用户账号、密码、联系方式等，据卖家称，这些数据均为原始数据库数据，并非整理数据。

近年来，随着区块链的火爆，不少黑行业从业者纷纷转向区块链行业。网站的数据和网站的源代码这次都是在暗网上出售的，背后的攻击者应该是一个团队而不是个人。

三、暗网旅游、酒店、餐饮行业重大信息交易事件

(一）问题总结

旅游、酒店等行业与我们的日常生活息息相关。由于实名制等相关政策以及行业本身的特点，这些行业的相关公司和机构往往拥有非常详细的信息，例如名称、省牌号等，从而驱动黑客。或内部人员窃取相关信息。在今年相关行业发生的几起大规模数据交易事件中，数据来源多为黑客攻击和盗窃。与互联网行业一样，这些公司数据量大、日流量高、价值即时。黑客还在暗网上公开出售相关公司的外壳和内网权限。

(二）某酒店数据在暗网上售卖，涉及1.3亿用户开启记录

2018年8月28日，某集团旗下多家连锁酒店的数据在中国暗网市场交易网站上出售。卖家称，该数据涉及多家知名酒店，共有1.3亿人的个人信息基于5亿多条记录。待售数据由三部分组成，官网注册信息，如：姓名、手机号、邮箱、身份证号和登录密码等；酒店入住登记时登记的登录信息，包括姓名、身份证、家庭住址、生日和内部ID；酒店开房记录包括与房间相关的号码、姓名、卡号、手机号码、邮箱、入住时间、出发时间等。

在卖家提供的附件中，有10000多条测试数据用于验证数据的真实性。经核实，这些数据大部分是真实有效的。据卖家介绍，本次发售的数据库为8月14日从拖号库中获得的收益，将以5比特币或520门罗币的价格打包发售。卖家承诺只要权限不丢失，后续数据均可免费提供给买家。

本次事件涉及的数据量非常庞大，大致是历史上最大的。

(三）疑似某官方火车购票平台3000万条数据在暗网上售出

2018年6月13日下午，某官方火车票平台暗网售卖数据达3000万条。泄露的数据包括手机号码、密码、支付密码、姓名、身份证号码和验证答案。传闻该信息在暗网上以10比特币的价格出售，当时比特币价格4万多人民币。

今年 6 月，出现了多起大型企业数据在暗网上出售的案例。事件集中在6月13日左右。比如6月14日，招聘平台近200万用户的数据在暗网上被售卖，6月13日，近1000家动漫网站的数据在暗网售卖。网上长达3个月的时间，还出售了共享单车平台等疑似企业的一手数据。卖家除了出售用户数据外，还出售相关的shell和内网权限。

因为很多事件的时间点都非常接近，所以很难判断这些数据是否与官方的第一手数据相对应。通过凭证填充获得的数据。

四、暗网快递行业重大数据交易事件

(一）问题总结

快递行业受公司下属影响 一般代理和临时工较多，快递信息一直是一大安全隐患。在今年两起与快递行业相关的买卖信息大事件中，涉及的数据量以亿为单位。如此可怕的数据量 普通员工可不容易获取这些数据。两起实时事件中，一是几年前的数据，另一起疑似是去年被快递员和内部员工泄露的。

值得注意的是，由于快递信息的特殊性，即使是多年前的数据，今年仍有很多信息通过电子邮件发送，尤其是姓名和家庭住址。

(二）某快递公司千亿数据在暗网上以1个比特币的价格售出

2018年6月19日，有人在暗网上公开售卖某快递公司近10亿条数据。这个数据不是最新的数据，是2014年之前的数据。出售的数据包含寄件人和收件人的姓名、电话号码、地址等基本细节。卖家表示，这个信息已经去重。 ，目前复制率低于20%，所有数据打包出售，以1个比特币价格出售。

(三）某快递公司3亿用户数据在暗网上售出，仅售2个比特币

2018 年 7 月 18 日，一家快递公司的近 3 亿条信息在暗网上以 2 个比特币的价格出售。这些数据是快递物流的详细信息，包括发件人姓名、地址和电话等。据卖家介绍，这些数据是一手数据，可以从3亿条数据中随机抽取10万条数据。资料供查阅，但需要支付0.01比特币。

虽然实际检验数据只给出了6万多条，但经过验证，这些信息基本是真实有效的。该卖家出售这件作品涉及3亿件 10多天后，他再次发布并出售了公司2017年泄露的2000万件数据。

相关证据显示，迄今为止，至少有近3200万条数据进入市场。

五、医疗卫生机构在暗网上发生的重大数据交易事件

(一）新加坡150万公民医保信息暗网每份35元起售

2018 年 7 月 27 日，新加坡近 150 万公民的医疗保险数据被泄露，并在暗网上以每人 35 美元起的价格出售。出售的数据包括患者的个人数据。姓名、国际、地址、性别、种族和出生日期等，受害者甚至包括新加坡总理李显龙。

近年来，医疗机构呈现加速数字化转型的趋势，但仍缺乏相应的网络安全能力，因此成为众多恶意攻击者的攻击目标。医疗相关数据在暗网上非常流行。一份文件一般35元起，这反过来又促使黑客窃取医疗相关数据。新加坡的事件绝不是孤立的。在中国，某部委医疗服务信息系统被黑，大量验孕信息被泄露甚至交易。

六、金融行业重大数据泄露事件

(一）某金融网络30万用户的数据被链接到暗网，比特币价格出售

今年11月，某财经记者发现，部分黑客盗取了汽车金融平台的后台权限，并在暗网公开售卖平台上价值30万的用户数据。待售数据包含65个维度，如：身份证、银行卡、地址电话等基本信息、工作单位、月薪、车型、担保人手机号等。一个比特币在线销售的价格。