您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[威胁猎人]:威胁猎人《2024年上半年数据泄露风险态势报告》 - 发现报告
当前位置:首页/行业研究/报告详情/

威胁猎人《2024年上半年数据泄露风险态势报告》

信息技术2024-07-09-威胁猎人土***
AI智能总结
查看更多
威胁猎人《2024年上半年数据泄露风险态势报告》

1 目录Contents 前言2 一、2024年上半年数据泄露风险概况6 1.12024年上半年数据泄露事件共计16011起,较2023年下半年增长59.58%6 1.2监测到非法数据交易黑产团伙1973个,较2023年下半年增长近一倍8 1.3Telegram及暗网依旧活跃,在数据泄露渠道中占比高达95%9 1.4银行、电商、消费金融成为数据泄露事件数量Top3行业12 1.52024年上半年泄露数据量达千万级事件共9起14 二、2024年上半年数据泄露字段及人群画像分析16 2.12024年上半年数据泄露字段分析:基础字段占比65.7%16 2.22024年上半年数据泄露人群画像分析21 三、2024年上半年黑产数据交易市场相关研究27 3.12024年上半年出现多起利用Facetime诈骗活动,IOS字段相关风险事件1237起.273.22024年上半年数据泄露事件中,包含历史数据的事件占30%28 3.32024年上半年“查档”信息事件共657起,事件数呈现快速上升趋势30 3.4利用“共享屏幕”诈骗的事件高发,2024年上半年监测共享屏幕远程软件达25种.31 四、结语34 前言 在快速崛起的数字经济时代,数据作为企业的核心资产及重要战略资源,在高速增长的同时,其背后的数据风险也在不断攀升,日渐复杂的数据泄露形势,已成为企业数字化发展赛道的严重阻碍。 威胁猎人《2024年上半年数据泄露风险态势报告》对2024年上半年数据资产泄露风险概况、黑产数据交易市场等进行具体分析,结合典型行业案例,多维度呈现2024年上半年国内数据泄露的态势全景: 1、2024年上半年全网监测并分析验证有效的数据泄露事件16011起,较2023年下半年 增长59.58%,共9539起; 2、2024年上半年监测到3.4万个黑产团伙中,经分析验证涉及真实数据泄露事件的黑产团伙共计1973个,较2023年下半年增新增984个,增长近一倍。 3、从行业分布来看,2024年上半年数据泄露事件涉及85个行业,数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递; 4、从区域、年龄、性别等维度来看,2024年上半年数据泄露人群最多的区域分别是:浙江、四川、广东;35-54岁占比最高达62%;女性占比最高达64%。 5、针对黑产数据交易市场研究发现,2024年上半年利用Facetime诈骗活动增多,2024年上半年泄露的数据中包含“IOS”字段的相关风险事件高达1237起,较2023年下半年 增加8倍。 相关名词定义: 1、DRRC:威胁猎人成立深圳、重庆两大DRRC数字风险应急响应中心,汇集30+安全运营专家,为企业提供7×24小时应急响应服务; 2、真实性验证引擎:通过不同文件类型的个人要素提取和比对,以及对图片OCR结果中的要素进行提取及验证,有效识别该图片内容中是否含有伪造数据/历史泄露数据; 3、数据泄露情报:威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用”的情报信息,可能包含历史数据、重复数据等,往往量级巨大; 4、数据泄露事件:威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证,排除历史虚假数据、确认有效的数据泄露事件; 5、公民个人信息:指公民个人身份信息,包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等; 6、历史个人信息:指此次数据泄露事件之前就已经泄露过的个人信息,很多历史个人信息被黑产收集整合成社工库; 7、暗网:指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权才能登录; 8、私域群:需通过邀请链接/管理员同意后才能进入的群组,一般外部人员无法监测或进入该群聊。 9、历史数据事件:黑产将泄露过的真实信息进行整合并再次用于交易的事件,通常黑产会对数据进行精细化处理,补充数据字段完整性,从而提升数据价值及盈利空间; 10、虚假数据事件:黑产将伪造的虚假数据数据用于交易的事件。 5 01 2024年上半年 数据泄露风险概况 一、2024年上半年数据泄露风险概况 1.12024年上半年数据泄露事件共计16011起,较2023年下半年增长59.58% 据威胁猎人数据泄露风险监测平台数据显示,2024年上半年(1-6月)全网监测到的1.1亿条情报中,基于真实性验证引擎及DRRC人工分析验证有效的数据泄露事件共计16011起,较2023年下半年增长59.58%,9539起。 威胁猎人发现,在2024年2月数据泄露事件量出现大幅下降,较2024年1月下降36% (898起),进一步分析了解到,主要有以下两个方面所致: (1)从数据泄露源头来看,第三方泄露、短信通道泄露等不同原因所引发的数据泄露事件量均在2024年2月出现下降的情况,可以看出主要是受到春节期间黑产放假带来的交易行为放缓的影响。 2024年上半年数据泄露的主要原因包括: 短信通道泄露:随着历年来短信收发业务的发展,短信通道商开始通过压低价格的方式来获取更高的订单,比如会以低于市场标准价格与短信下发方(甲方)达成交易,而其收益空间降低很多,因此内部会通过非法售卖短信信息数据的方式获取更多收益。 运营商通道:黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息; 内鬼泄露:企业内部员工在利益的驱使下,采用资料导出、人工拍摄等方式,获取客户敏感信息后进行售卖; 黑客攻击:外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据; 第三方泄露:和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中; (2)从贩卖数据(中间商)的黑产团伙数量来看,2024年2月非法数据交易黑产团伙数量出现下降。 1.2监测到非法数据交易黑产团伙1973个,较2023年下半年增长近一倍 威胁猎人针对非法数据交易团伙进行深入分析,2024年1月至6月监测到3.4万个黑产团 伙中,经分析验证涉及真实数据泄露事件的黑产团伙共计1973个,较2023年下半年增新 增984个,增长近一倍。 针对非法数据交易黑产团伙Top10研究发现,2024年上半年各团伙关联的数据泄露风险事件总量均高于2023年下半年,可见非法数据交易团伙的整体活跃度不断上升、非法交易行为更加高频,同时新的大型黑产团伙的不断加入(如小富豪**、阿包**等),使得黑产通过Telegaram进行非法数据交易的形势更加严峻。 1.3Telegram及暗网依旧活跃,在数据泄露渠道中占比高达95% 2024年上半年威胁猎人监测到的数据泄露事件中,发生在Telegram及暗网的达95%以上,其中87%集中在Telegram。 1.3.1Telegram“私域群”捕获超1400起风险事件,较2023年下半年增长近2倍 自2023年起,大多数黑产团伙开始转向私域群进行交易,数据交易团伙也对自身的账号信息进行匿名隐藏。Telegram渠道监测到风险事件最多的频道/群聊为私域群,2024年上半年,威胁猎人在私域群累计发现超过1400起风险事件,较2023年下半年增长近2倍。 私域群:需通过邀请链接/管理员同意后才能进入的群组,一般外部人员无法监测或进入该群聊,群组有管理员定期清洗群成员名单,一定程度上过滤了广告、机器人、二道贩子、中介等可信度较低的人员,群组内容质量更接近真实数据泄露源头。 2024年上半年Telegram“私域群”数量快速增长,黑产团伙在“私域群”中通过加密消息、暗号和私密聊天等方式与买家进行交流联络,使黑产非法交易更加难以被监管机构察觉。 1.3.22024年上半年暗网平台数量较2023年下半年新增46个 暗网平台作为黑产非法数据交易的主流渠道之一,其平台数量的快速增长也侧面反映出暗网的活跃性持续提升,为黑产非法数据交易提供了更多新的隐蔽渠道。 2024年上半年,威胁猎人在暗网渠道发现数据泄露事件累计1229起,共涉及73个网站 (如spyhackerz、crakingx等),较2023年下半年新增46个网站。 威胁猎人基于数据泄露事件量最高的Top10暗网网站,共发现994起数据泄露事件,占捕获暗网数据泄露事件总量的80%以上,主要集中在长安不夜城、breachforums以及cracked这几大网站。 1.4银行、电商、消费金融成为数据泄露事件数量Top3行业,银行事件数量2961起位列第一 从行业分布来看,2024年上半年数据泄露事件涉及85个行业,1524家企业,数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递。其中,银行行业数据泄露事件数量高达2961起,成为数据泄露事件数最多的行业。 2024年上半年TOP10行业排名变化情况如下: 排名靠前的数据泄露行业中以金融、电商行业为主,金融行业的数据泄露事件主要体现在银行、消费金融、保险等企业的客户信息倒卖,通常被下游黑产团伙用于精准营销及诈骗,因涉及大量高价值用户数据,且靠近交易环节,成为了个人信息泄露的重灾区。 近年来线上购物发展更加火热,据2024年3月发布的《中国互联网络发展状况统计报告》 显示,截至2023年12月,我国网络购物用户规模达9.15亿人,占网民整体的83.8%。线上购物的持续稳定增长下,电商平台产生了海量购物订单及物流信息,这些购物订单及物流信息由于暴露面较大,成为了黑产团伙的重点目标,同样被用于营销或诈骗。 同时,在公安部近期公布的“十大高发电信网络诈骗类型”中,刷单返利、虚假网络投资理财、虚假购物服务、冒充电商物流客服、虚假征信等10种常见的电信网络诈骗类型发案占比近88.4%。 其中刷单返利类诈骗是发案量最大和造成损失最多的诈骗类型,虚假网络投资理财类诈骗的个案损失金额最大,虚假购物服务类诈骗发案量明显上升,已位居第三位,而金融、电商类用户群体正是此类诈骗案件的受害群体。 1.52024年上半年泄露数据量达千万级事件共9起,以公民三要素信息及网购数据为主 威胁猎人在2024年上半年监测到泄露数据量达千万级的事件共9起,其中最高泄露数据量 达12亿,经过威胁猎人多次深入分析验证发现,该事件泄露数据主要由发布者整合拼接而成(基于此前发生的多起国内大型数据泄露事件),并非近期泄露数据。 泄露的数据信息中主要以公民个人信息三要素(姓名、手机号、身份证)为主,其次是网购电商数据,最后是金融数据(银行、借贷信息)。从泄露渠道来看,主要集中在breachforums、长安不夜城、cc2crd等知名暗网,以及Telegram匿名群聊。 15 02 2024年上半年数据泄露 字段及人群画像分析 二、2024年上半年数据泄露字段及人群画像分析 2.12024年上半年数据泄露字段分析:基础字段占比65.7% 威胁猎人针对泄露字段调研统计发现,数据泄露字段主要包含基础字段、业务字段、黑产定义字段等类型,基础字段占比最高,达65.7%,基础字段中姓名、手机号、身份证号占比最高。 泄露数据价值与其所包含的具体字段密切相关,下游黑产可通过“全格式”数据字段构建完整的公民画像,进行定向性作恶,使整体作恶成功率及收益更高。 “全格式”数据是黑产描述数据所包含字段格式的专业通用型词汇,通常指包含身份证、姓名、手机号等基础字段信息,加上不同行业相关的业务字段信息,以保险行业为例,保险行业全格式信息通常包括身份证、姓名、手机号、投保金额、保险类型等。 基础字段:主要指个人基础信息,包括姓名、手机号、身份证号、银行卡号、地理位置、详细地址等; 业务字段:主要指业务相关信息,包括平台名称、保险类型、品牌、快递单号、航空公司、航班号等; 黑产定义字段:主要指黑产团伙数据清洗后定义的字段,如:验证ID、设备信息(IOS/安卓)、所属运营商等(验证ID主要是黑产对数据进行标记,防止被二次

你可能感兴趣

hot

威胁猎人情报报告:数据泄露

信息技术
splunk2021-07-06
hot

数据泄露态势月度报告(2024年7月)

信息技术
数世咨询2024-07-27
hot

全球数据泄露态势(2024年9月)

信息技术
数世咨询2024-09-01
hot

全球数据泄露态势(2024年6月)

数字世界咨询&零零信安2024-07-09