ZD至顶网网络频道 02月14日 消息: 在过去一年,由网络攻击引发的数据泄露事件依旧猖獗,医疗、保健、电信运营商等行业和人事管理、社保、税务等政府部门受灾严重,身份证、社保、电话、信用卡、医疗、财务、保险等相关信息都是黑客窃取的目标。从目前来看,拖库攻击、终端木马和APP的超量采集、流量侧的信息劫持获取,已经成为数据泄露的三个主要渠道。
信息泄露的背后已经形成了一条完整的利益链,这些用户信息或被用于团伙诈骗、钓鱼,或被用于精准营销。安天安全研究与应急处理中心(安天 CERT)发布《2015网络安全威胁的回顾与展望》,其中揭露非法泄露的数据和隐私正在汇入地下经济的基础设施。
图 2015年重大数据泄露事件
“拖库门”事件的每一次曝光都令人关注,但实际上,依托这些数据达成的侵害往往早已存在,在其曝光时,其“价值”已经衰减。很多拖库数据都是在被攻击者充分利用、经过多手转卖后才会曝光。当前,数据泄露的地下产业链已经成熟,并且有了完整的分工协作程序。其模式往往包括:拖库、洗库、撞库和再洗库等阶段。当前,地下产业已经形成了与需求对接的一个“综合业务代理机制”,在“需求方”提出目标后,“业务代理”会找到接手的“攻击者”,“攻击者”成功拖库后拿到客户的佣金,并且将获得的数据库洗库,可以直接提取其中可变现的部分(如有预存款或虚拟货币的账户);之后,这些数据会被用来撞库,尝试登陆其他有价值的网站,再对撞库成功的数据进行层层利用。经过日积月累,和相互交换,攻击组织和黑产团伙的数据库会越来越庞大,数据类型越来越丰富,危害也就越来越严重。
并非所有数据都是从“拖库”攻击中获得的,同样也有直接从终端和流量获取的。2015年,因恶意代码导致的信息泄露事件中,XcodeGhost 事件是一个值得所有IT从业人员深刻反思的事件。截止到 2015年9月20日,各方累计确认发现共692种APP受到污染,其中包括微信、滴滴、网易云音乐等流行应用。尽管有人认为被窃取的信息“价值有限”,但一方面其数量十分庞大,随之衍生的风险也可能十分严重;另一方面,通过向开发工具中植入代码来污染其产品,这种方式值得我们警醒。同时,本次事件采用非官方供应链污染的方式,也反映出了我国互联网厂商研发环境的缺陷和安全意识薄弱的现状。
图 安天在XcodeGhost 事件报告中绘制的非官方供应链污染示意图
近两年在国内肆虐的短信拦截木马在2015年不断出现新变种,并结合社会工程学手段疯狂传播,窃取用户的联系人、短信、设备信息等,如安天本年度重点分析处理的“相册木马”。从 PC 侧上看,2011 年出现的 Tepfer 木马家族目前依旧活跃,且已有数十万变种,Tepfer 家族可以盗取 60 种以上的 FTP 客户端软件保存的密码、10 种以上的浏览器保存的密码、31 种比特币信息;还能获取多个邮件客户端保存的密码,是一个利用垃圾邮件传播,无需交互、自动窃密并上传的木马家族。
大量数据的泄露一方面让用户的虚拟财产受到威胁,另一方面也使各种诈骗、精准钓鱼攻击变得更简单。之前大多数的诈骗都是采用广撒网的形式,而大量数据泄露使黑客的社工库完善后,可以有针对性地利用泄露信息匹配并精确定位用户,以此进行的诈骗和钓鱼攻击将更具欺骗性。
从过去来看,流量侧的灰色活动,更多用来劫持页面、骗取点击的方式来变现,但这种普遍性的流量劫持,同样具备着流量侧窃取的能力,这一点对于HTTPS尚未有效普及的国内网络应用来看,是具有高度杀伤力的。更何况 HTTPS 在过去两年,同样暴露出了大量工程实现层面的问题,包括 CDN 等的挑战。
人的身份几乎是永久的,关系是基本稳定的,此类数据泄露带来的影响,很难在短时间内被冲淡。一个值得关注的情况是,随着黑产的规模化,这些数据将持续汇入黑产的“基础设施”当中,从而使其可能具备超越公共安全和安全厂商的资源能力,安天年报同时指出,也不排除这种地下基础设施摇身一变,以“威胁情报”的形式,同时为黑产和白帽子服务。
原文发布时间为:2016-02-14
本文作者:陈广成
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。