2018企業信息安全頭號威脅報告.pdf

1、 1 2 目錄 一、概述.3 二、企業互聯網資產面臨嚴峻安全考驗.4（一）網絡空間資產端口開放較多，隱患較大.5（二）企業服務器需警惕安全漏洞威脅.9 三、現實案例：脆弱的外網資產或致敏感數據泄露.12（一）某快遞企業數據泄露.13（二）某平價連鎖酒店信息泄露.13（三）某知名招聘網站信息被出售.14（四）Facebook.14（五）美國社交問答網站 Quora.15（六）某高端星級酒店集團數據泄露.15 四、“暗流涌動”的黑市交易侵蝕數據安全.16（一）暗網為個人信息販賣的主要渠道.16（二）詳細的個人信息催生精準詐騙.23（三）撞庫攻擊催化信息泄露裂變式增長.25（四）海量的信息泄露滋生了

2、撒網式詐騙.27 五、總結.29 參考鏈接：.31 信息泄露：2018 年企業信息安全頭號威脅 3 一、概述 2017 年 6 月 1 日網絡安全法正式實施，從法律層面積極推進了網絡安全工作，是保障網民個人信息安全的法律武器。同時對企業而言，數據資產的重要性不僅僅體現在經濟層面，還要對關鍵信息基礎設施及其重要數據擔負一定的法律責任。然而在暗處總有一些人在利益的驅使下伺機而動，竊取數據，謀取私利。過去的一年，以比特幣、門羅幣、以太坊幣為代表的虛擬數字加密幣日益普及，這些虛擬加密幣對網絡安全生態產生極大影響：各種非法交易使用虛擬加密幣完成，一方面使得交易更加直接簡單，減少變現中間環節，使非法交易更

3、加隱蔽。另一方面也使執法部門的查處難度大大增強，一定程度上對非法數據買賣、病毒制造傳播等黑色產業起到助推器的作用?；乜?2018 年，數據泄露事件頻發，某平價連鎖酒店集團 5 億條信息數據、快遞訂單數據、某高端星級酒店數據、學生信息、大量銀行卡身份證等個人敏感數據泄露或直接暗網黑市上公開販賣。而這些個人信息泄露歷來都是各類網絡詐騙，尤其是精準詐騙實施的源頭。隨著網絡技術的發展，暴露在互聯網的注冊域名、線上主機、IP 網絡、業務系統等互聯網（外網）資產越來越多，相關的業務也越來越復雜，隨之而來的網絡安全威脅也越來越多，越來越復雜?；ヂ摼W資產存在的安全漏洞、安全弱點等安全問題，已經逐漸成為網絡安全

4、威脅的重要因素。本報告以企業暴露在外部的互聯網資產角度，評估安全風險，同時通過在互聯網、暗網等網絡空間“插眼”從而以攻擊者視角感知外部存在的風險情信息泄露：2018 年企業信息安全頭號威脅 4 況，并結合騰訊安全大數據及第三方授權或公開的信息和數據為基礎，結合抽樣分析/調查報告等方法，經綜合整理、分析得出。其主要選取了信息化程度高，管理水平強的大中型企業指標數據作為參考對象，涵蓋上千家企業網站和線上服務平臺。從報告闡述的問題來看，國內企業互聯網資產仍然存在比較嚴重的已知安全問題，黑客入侵、信息泄露等安全問題對關鍵信息基礎設施及其企業/個人的敏感信息的威脅不容忽視：網絡空間資產端口開放較多，隱患

5、大，如開放高危端口的資產比例高達 36%；服務器漏洞風險較大，仍有部分企業使用的服務軟件/組件未升級到最新版本，如未及時修復基存在的漏洞，則極易遭受外部不法分子的攻擊;數據泄露風險事件頻發，帳號/郵箱類信息等老數據以及網購/物流類數據等與個人息息相關的數據備受暗網等黑市交易平臺青睞。二、企業互聯網資產面臨嚴峻安全考驗 企業互聯網外網資產的安全會影響到內網安全，黑客通過攻擊外網服務器，獲得成功之后，會以這些服務器為跳板，實現對企業內網的攻擊和數據竊取。這也是黑客入侵企業內網最常用的套路。另外一方面，通過釣魚、掛馬等傳統攻擊方式，實現對辦公電腦的控制或數據洗劫，從而獲取進入內網的入口信息（帳號、密

6、碼等），或者直接對有價值的辦公網系統實施勒索等破壞性攻擊。信息泄露：2018 年企業信息安全頭號威脅 5 圖 2_1：黑客攻擊/入侵內網示意圖（一）網絡空間資產端口開放較多，隱患較大 1.端口開放情況 網絡空間的基礎設施包含網站的服務器以及運行在服務器上的各種服務。網絡空間的基礎設施承載了包括網站、電子郵件、文件傳輸等各種網絡通信功信息泄露：2018 年企業信息安全頭號威脅 6 能。他們在互聯網上的機器語言表現形式是以基于 TCP 和 UDP 的各種端口的網絡通信。圖 2_2：端口開放情況 由上圖可以看到，80 端口的開放數量是排名第一位的，這與行業慣例會將 Web 服務(網站)開放在 80

7、端口是一致的。另外，我們看到 443 端口開放量也比較高，由于 443 端口常用于加密的 https 網站通信，說明相關的企事業單位在保護網絡通信方面已經有了一定的成就。信息泄露：2018 年企業信息安全頭號威脅 7 2.高危端口開放情況 我們將最近幾年黑客攻擊事件中出現頻率較高的端口劃為高危端口，并對3000 多個抽樣 WEB 服務器等互聯網空間資產做了空間測繪，發現仍有 36%的資產開放著這些高危端口，存在較高的安全隱患。圖 2_3：開放高危端口的主機比例 除了 22、1900 等端口之外，還有較大比重的郵件服務、數據庫服務等端口暴露在公網上。信息泄露：2018 年企業信息安全頭號威脅 8

8、 圖 2_4：高危端口開放情況 22 端口常用于 Linux 平臺的 SSH 遠程連接服務，3389 端口常用于Windows 系統的遠程桌面連接。如果管理員使用的密碼強度不夠，黑客可以輕松的通過暴力破解直接登錄網站服務器。1900 UDP 端口 源于 SSDP Discovery Service 服務。通過使用 SSDP 協議對端口 1900 進行掃描可以發現 UPnP（即插即用協議）設備，攻擊者可以利用這些設備發動 DDos 攻擊，制造出大量流量，導致目標企業的網站和網絡癱瘓。信息泄露：2018 年企業信息安全頭號威脅 9 7001 端口是 WebLogic 的默認端口，WebLogic

9、今年被爆出多個可被遠程攻擊的高危漏洞，如果漏洞未能及時修復，則不排除有遠程攻擊的可能。3306 是 MySQL 數據庫的默認端口，而數據庫是幾乎所有黑客都覬覦的東西，所以數據庫系統直接暴露在外網是非常危險的行為，而使用默認端口的數據庫暴露在外網會極大減低黑客攻擊的難度，增加被攻擊的風險。數據庫攻擊者，除了竊取數據信息（拖庫）之外，還可能針對數據庫的數據實施經濟勒索攻擊。攻擊者先將數據庫進行備份，然后利用遠程命令刪除數據庫從而實施勒索。最典型的勒索攻擊莫過于 2017 年 5 月份爆發的WannaCry，該病毒會對公網隨機 IP 地址的 445 端口進行掃描感染。根據測繪結果分析，仍有部分服務器

10、資產開放了 445 端口。如果這些服務器沒有打上相應的補丁，那么仍然存在被勒索病毒攻擊的風險。即便是打上了補丁，也仍然需要面對勒索病毒變種的攻擊。（二）企業服務器需警惕安全漏洞威脅 基于 2018 年幾個高危漏洞對應的服務軟件/組件產品和影響版本號，我們比對了抽樣企業服務器的相應的服務軟件/組件產品和版本號，仍然有部分服務器使用的服務軟件/組件的版本在幾個高危漏洞受影響的范圍內，如果這些漏洞未能及時修復，則不排除有遠程攻擊的可能。信息泄露：2018 年企業信息安全頭號威脅 10 圖 2_5：WEB 服務器高危漏洞風險分布情況 1.Nginx 漏洞（CVE-2018-16843，CVE-2018

11、-16844）2018 年 11 月 nginx 被爆出存在安全問題，有可能會致使 1400 多萬臺服務器易遭受 Dos 攻擊。而導致安全問題的漏洞存在于 HTTP/2 和 MP4 模塊中。nginx Web 服務器于 11 月 6 日 發布了新版本，用于修復影響 1.15.6,1.14.1 之前版本的多個安全問題，被發現的安全問題有一種這樣的情況 允許潛在的攻擊者觸發拒絕服務(DoS)狀態并訪問敏感的信息。2.WebLogic 反序列化漏洞 WebLogic 今年被爆出多個可被遠程攻擊的高危漏洞，如果漏洞未能及時修復，則不排除有遠程攻擊的可能。ThinkPHP5CNVD-2018-24942

12、WebLogicCVE-2018-3245WebLogicCVE-2018-2628WebLogicCVE-2018-2893WebLogicCVE-2018-2894nginxCVE-2018-16844nginxCVE-2018-16843WEB服務器高危漏洞風險分布情況信息泄露：2018 年企業信息安全頭號威脅 11 CVE-2018-2628 Oracle 官方發布的 4 月份的關鍵補丁更新 CPU（Critical Patch Update）中包含了一個 Weblogic 反序列化漏洞，可導致遠程代碼執行漏洞。漏洞威脅等級為高危，對應的 CVE 編號為 CVE-2018-2628。漏

13、洞影響版本：10.3.6.0，12.2.1.2，12.2.1.3，12.1.3.0 CVE-2018-2893 Oracle官方在2018年7月發布的關鍵補丁更新中包含了Oracle WebLogic Server 的一個高危的 WebLogic 反序列化漏洞 CVE-2018-2893，通過該漏洞，攻擊者可以在未授權的情況下遠程執行代碼。此漏洞產生于 WebLogic T3 服務，當開放 WebLogic 控制臺端口（默認為7001 端口）時，T3 服務會默認開啟，因此會造成較大影響。結合曾經爆出的WebLogic WLS 組件漏洞，不排除會有攻擊者利用漏洞挖礦的可能，因此，建議受影響企業用

14、戶盡快部署防護措施。漏洞影響版本：10.3.6.0，12.2.1.2，12.2.1.3，12.1.3.0 CVE-2018-3245 攻擊者可利用這些漏洞在未授權的情況下發送攻擊數據，通過 T3 協議在WebLogic Server 中執行反序列化操作,最終實現遠程代碼執行。漏洞影響版本：10.3.6.0,12.2.1.3，12.1.3.0 信息泄露：2018 年企業信息安全頭號威脅 12 WebLogic 任意文件上傳漏洞(CVE-2018-2894)基于 JavaEE 結構的中間件 WebLogic 產品存在一個遠程上傳漏洞，攻擊者利用這個漏洞，可上傳惡意腳本文件，在被攻擊 Weblogi

15、c 服務器上執行任意代碼。漏洞影響版本：10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3 ThinkPHP5 遠程代碼執行高危漏洞(CNVD-2018-24942)ThinkPHP 官方 12 月安全更新中公告了一個遠程命令執行的高危漏洞(CNVD-2018-24942)，該漏洞主要因為 php 代碼中 route/dispatch 模塊沒有對 URL 中的惡意命令進行過濾導致，在沒有開啟強制路由的情況下，能夠造成遠程命令執行，包括執行 shell 命令，調用 php 函數，寫入 webshell 等。漏洞影響版本：5.x 5.1.31，5.x=5.0.23 三、現實案例

16、：脆弱的外網資產或致敏感數據泄露 暴露在外網中的互聯網資產存在的業務漏洞、敏感端口開放等安全問題，會給未授權訪問和黑客入侵滲透帶來極大的便利，從而增加數據泄露的風險。眼觀全球，黑客攻擊造成的的信息泄露事件仍然頻發。過去的 2018 年，單次泄露數據大于 500 條的數據泄露事件就發生了數百起，幾乎每個月都會發生數起重大數據泄露事件，涉及互聯網、酒店、物流等多個行業企業。信息泄露：2018 年企業信息安全頭號威脅 13 （一）某快遞企業數據泄露 6 月 19 日，一用戶在暗網上開始兜售某快遞公司的 10 億條快遞數據，該用戶表示售賣的數據為 2014 年下旬的數據，數據信息包括寄(收)件人姓名，

17、電話，地址等信息，10 億條數據已經經過去重處理，數據重復率低于 20%，并以 1 比特幣打包出售。并且該用戶還支持用戶對數據真實性進行驗貨，但驗貨費用為 0.01 比特幣(約合 431.98 元)，驗貨數據量為 100 萬條。此驗貨數據是從 10 億條數據里隨機抽選的，每條數據完全不同，也就是說用戶只要花 430 元人民幣即可購買到100 萬條某快遞公司的個人用戶信息，而 10 億條數據則需要 43197 元人民幣。（二）某平價連鎖酒店信息泄露 某平價連鎖酒店開房信息數據正在暗網出售，受到影響的酒店，包括HT酒店、MJ、XY、MX、NFT、MJ、CG、JZ、QJ、XC、YBS、YL、HY等等

18、10余個連鎖子品牌，泄露數據總數更是近 5億!從網絡上流傳的截圖可以看出，黑客目前正在數據信息如下，有幾大數字值得我們注意：1.該平價連鎖酒店官網注冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共 53 G，大約1.23 億條記錄;2.酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內部 ID 號，共 22.3 G，約 1.3 億人身份證信息;3.酒店開房記錄，包括內部ID賬號，同房間關聯號、姓名、卡號、手機信息泄露：2018 年企業信息安全頭號威脅 14 號、郵箱、入住時間、離開時間、酒店ID賬號、房間號、消費金額等，共66.2 G，約 2.4 億條記錄;數據之齊全，令人咋

19、舌。發帖人聲稱，所有數據脫庫時間是 8 月 14 日，每部分數據都提供 10000 條測試數據。所有數據打包售賣 8 比特幣，按照當天匯率約約合 37 萬人民幣。而經過媒體報道之后，該發帖人稱要減價至 1 比特幣出售 據研究人員表示，此次泄露的原因是華住公司程序員將數據庫連接方式及密碼上傳到 GitHub 導致的。而數據庫信息是20天前傳到了Github上，而黑客拖庫是在14天前，黑客很可能是利用此信息實施攻擊并拖庫.信息化時代的今天，面對數據泄露事件的層出不窮，國家，企事業單位，個人都應提高對數據安全的重視，加強對自身數據的保護措施。（三）某知名招聘網站信息被出售 2018 年 6 月 16

20、 日，有人在暗網叫賣某招聘網站的用戶信息，其中涉及195 萬用戶的求職簡歷，隨后官方強調，確認了部分用戶帳號密碼泄露源于被撞庫而非拖庫，而其中的大部分數據均在 2013 年以前注冊，且來自于一些郵箱泄露的帳號密碼。（四）Facebook 2018 年 3 月，一家名為 Cambridge Analytica 的數據分析公司通過一個應用程序收集了 5000 萬 Facebook 用戶的個人信息，該應用程序詳細描述了用戶的個性、社交網絡以及在平臺上的參與度。盡管 Cambridge Analytica 公信息泄露：2018 年企業信息安全頭號威脅 15 司聲稱它只擁有 3000 萬用戶的信息，但經

21、過 Facebook 的確認，最初的估計實際上很低。4 月，該公司通知了在其平臺上的 8700 萬名用戶，他們的數據已經遭到泄露。不幸的是，隨著對 Facebook 應用程序更深入的審查，看起來Cambridge Analytica 丑聞可能只是冰山一角。6 月 27 日，安全研究員 Inti DeCeukelaire 透露了另一個名為 N 的應用程序，它已經暴露了超過 1.2 億用戶的信息。（五）美國社交問答網站 Quora 當地時間 11 月 3 號，美國社交問答網站 Quora CEO 周一發表題為Quora 安全更新的博文稱，其用戶數據遭第三方未經授權惡意訪問，包括用戶帳戶信息(姓名、

22、電子郵件地址、加密后的密碼等等)和其他私人信息（非匿名評論、回答等數據）等大約 1 億 Quora 用戶的信息可能已被泄露。（六）某高端星級酒店集團數據泄露 某高端星級酒店集團 11 月 30 號天公布公告，稱其旗下某子品牌酒店一個客房預訂數據庫遭黑客入侵，可能有約 5 億顧客信息遭泄露，包括客戶的姓名、地址、電話、郵箱、護照等，甚至還可能包括部分客戶的支付卡號碼和有效日期。萬豪集團稱，此次用戶數據泄露事件僅與旗下四家子品牌酒店有關，而其他不使用同一系統的酒店未受影響。信息泄露：2018 年企業信息安全頭號威脅 16 四、“暗流涌動”的黑市交易侵蝕數據安全 黑產從業者往往會利用一些平臺泄露的帳

23、號密碼等信息通過撞庫等手段，獲取更多的用戶信息從而實施變現。除了盜號、發廣告、刷量（刷量、刷贊、刷粉、刷榜）等直接變現之外，黑產從業者還會利用撞庫攻擊得到一些新的用戶數據，然后通過大數據分析等技術手段，獲得更豐富的用戶信息，從而放到暗網等黑產平臺繼續售賣，不法分子通過購買得到數據，并利用這些數據進行精準詐騙、敲詐勒索等犯罪活動，或利用大量非法獲取的個人信息去注冊大量帳號方便進一步從事網絡犯罪活動。（一）暗網為個人信息販賣的主要渠道 暗網，即“洋蔥暗網”，簡單理解就是一個互聯網的“地下黑市”，它是美國軍方出于政治目而進行研發和支持的一種隱蔽的網絡，暗網論壇等一些暗網網站通過谷歌、百度等普通的搜索

24、引擎是無法搜索到的，僅對于知道怎么打開它的人可見。洋蔥暗網在數據傳輸時會經過層層的洋蔥路由，每個路由之間輸出的信息都會進行一層加密，數據經由的每個節點恰似一層層的洋蔥皮，故名洋蔥網絡（Tor），同時洋蔥網絡的數據會通過層層的“洋蔥皮”進行“接力”傳輸，數據接收者只能看到上一層“洋蔥皮”的“接力”傳輸者，而不能看到首位發送者，從而實現了互聯網的匿名交流和溝通。信息泄露：2018 年企業信息安全頭號威脅 17 圖 4_1：Tor 網絡訪問網絡示意圖 1.暗網的數據交易情況 然而暗網帶來更多的卻是違法犯罪行為的傳播,人性的丑陋和罪惡盡在其中，暗網網絡中充滿了犯罪、黃暴血腥畫面。同時比特幣的發明，又助

25、推了暗網的發展，幾乎所有的黑市都使用比特幣進行匿名交易，這也導致了用于網絡詐騙、定向攻擊的個人隱私數據也越來越多的被“明碼標價”掛售。ABOPQRelay加密鏈路未加密鏈路R發送者接收者數據Q BOPP QQ BAOOPP QQ BP QQ B用SK_AO加密的數據用SK_AP加密的數據用SK_AQ加密的數據信息泄露：2018 年企業信息安全頭號威脅 18 圖 4_2：2018 年暗網中數據交易的情況 從 2018 年暗網數據交易的情況（抽樣數據）來看帳號/郵箱類數據、個人信息（身份證、通信/通訊類信息）、網購/物流數據是主要是數據賣點，撞庫、拖庫等手段對個人信息進行裂變式擴散以及精準電信詐騙

26、等活動的需求推動了數據交易的需求，另外這也與今年酒店、物流等行業暴露的數據泄露信息有一定的關聯。除此之外，銀行數據和網貸數據等金融數據在今年下半年開始增多，可能與今年爆雷的 P2P 等金融平臺相關。信息泄露：2018 年企業信息安全頭號威脅 19 圖 4_3：網貸（金融類）用戶數據交易交易趨勢 2.典型的數據交易案例 某平價連鎖酒店集團 5 億條信息數據、浙江學生學籍、母嬰數據信息、快遞訂單數據等等公民個人信息交易帖層出不窮。黑產從業者除了利用技術攻擊、釣魚攻擊和勾結內鬼等手段獲取這些一手信息資料之外，撞庫攻擊也是其獲得用戶隱私數據的主要方式。暗網中兜售的帳號密碼類信息，為撞庫攻擊提供了第一手

27、資料。信息泄露：2018 年企業信息安全頭號威脅 20 圖 4-4 暗網販賣快遞實時訂單的帖子截圖 2018 年-12 月-30 日 凌晨 01:55，暗網中文論壇出現一個帖子，聲稱售賣30 萬某酒店的數據，內含身份證、住址、電話等用戶敏感信息，叫價 0.00268比特幣，約合人民幣 69 元，從數據的時間來看，疑似一份 2012 年的老數據。該酒店成立于 2010 年，旗下擁有 3400 多家分店，會員數據超 4400 萬，主要分布在二三線城市。信息泄露：2018 年企業信息安全頭號威脅 21 圖 4_5：某酒店數據在暗網中販賣截圖 另外暗網“數據-情報類”版塊中，有很多郵箱帳號類信息被掛出

28、來販賣。暗網一交易帖子號稱所販賣的數據包含了 16 億郵箱+密碼數據，涵蓋了國內各大互聯網平臺。從成交量來看，已經成交了 38 單，另外從商品單價來看售價0.0005 比特幣，價值 3.25 美元（約合人民幣 22 元），低廉的售價不難看出這份數據應該是一份老數據。信息泄露：2018 年企業信息安全頭號威脅 22 圖 4-6 暗網中販賣 16 億郵件帳號數據的帖子截圖 一販賣某郵箱帳號數據的帖子號稱包括了該平臺 52G 的帳號+密碼數據，該批帳號信息泄露的時間最早可以追溯到 2015 年。信息泄露：2018 年企業信息安全頭號威脅 23 圖 4-7 暗網中販賣某郵件帳號數據的帖子截圖（二）詳細

29、的個人信息催生精準詐騙 通過大數據分析等技術，黑產從業者可以將不平臺獲得的用戶信息進行關聯分析，從而精準的做出用戶畫像，比如用戶住哪里、去過哪里旅游、住過哪些酒店、購買過什么物品等等。然后再通過暗網等交易平臺販賣給電信詐騙者。詐騙者通過暗網等黑產平臺獲得用戶的個人詳細信息后，就會通過手機、電腦等終端對受害者實施針對性的電信詐騙?！百徫锿丝睢?、冒充“公檢法”、“發放助學金”、“航班取消”、“二胎生育退費”、“交通違章提醒”、“積分兌換現金”等等精準詐騙，均是詐騙者基于個人信息特點精心設計的具有針對性的詐騙劇本。信息泄露：2018 年企業信息安全頭號威脅 24 1.“購物退款”詐騙 購物者在網購平

30、臺購物完成之后，會收到熱心“客服”的電話，“客服”會以質量問題、物流問題等事由，通過核對購買物品的信息和受害者個人信息，并強調要退款給受害者等話術，從而騙取受害者的信任，然后實施詐騙。一般情況下，“客服”會發送給受害者一個所謂的退款網頁鏈接或二維碼，受害者進去之后按照提示操作，就會收到高于購物款的退款或退款保證金，之后“客服”會進一步引導受害者將多收到的退款或退款保證金通過掃描指定二維碼的方式退還給網店。在這個過程中，受害者收到的款項其實是一些正規的貸款平臺的快速貸款，詐騙者利用網銀或第三方支付平臺上快速授信貸款等服務，誤導受害者從貸款平臺貸款，然后將“多余”的款項打回（騙回）詐騙者的網絡帳戶

31、。圖 4-8“購物退款”詐騙作案流程示意圖 2.冒充“公檢法”詐騙 一般情況下詐騙者會告知受害者涉嫌洗黑錢或快遞包裹被查禁等違法犯罪行為，同時會引導受害者登錄一個假的中華人民共和國最高人民檢察院的網站對自己的“犯罪記錄”進行查詢和澄清登記，繼而騙取用戶的銀行卡以及個人敏感信息，并“好心”引導受害者下載一款名為檢察院安全控件的軟信息泄露：2018 年企業信息安全頭號威脅 25 件，該軟件是款定制版的遠程控制終端，騙子通過該終端并利用已經騙取的銀行卡等信息遠程操控受害者的電腦上，將受害者網上銀行能夠轉走的錢洗劫一空。圖 4-9 冒充“公檢法”詐騙作案流程示意圖 上述的詐騙流程和主要方法多年來沒有太

32、大的變化。與以往不同的是，隨著反詐騙宣傳力度的不斷增強、反詐騙意識的不斷提升，詐騙對象從普撒網式的人群轉變為了特定、精準人群詐騙，用戶的詳細信息一旦被泄露，落入詐騙者手中，就很容易被詐騙“瞄準打擊”從而實施精準詐騙。詐騙者不但知道受害者的基本信息，還能知道受害者的職業、愛好以及最近關注的事物、當前的狀態等等信息，甚至在有些方面的信息，詐騙者比受害者還了解其自身的情況。（三）撞庫攻擊催化信息泄露裂變式增長 全球惡意登錄的次數在不斷增加，情況不容樂觀。據國外某安全研究團隊撰寫的2018 年互聯網安全狀況報告：撞庫攻擊，僅在 2016 年 11 月到2017 年 6 月末期間，全球惡意登錄嘗試就超過

33、 300 億次。而惡意登錄嘗試多信息泄露：2018 年企業信息安全頭號威脅 26 數是撞庫攻擊，撞庫攻擊簡單理解就是拿 A 網站的帳號密碼，去 B 網站上嘗試登陸。由于很多用戶喜歡在不同的平臺使用統一的帳號密碼，導致了以撞庫攻擊造成的數據泄露可以像裂變原子一樣呈指數級增長。從近三個月的蜜罐流量可以看到，惡意攻擊的流量穩中有長，而這些惡意攻擊流量當中更多是一些撞庫和掃號攻擊。圖 4-10 惡意流量攻擊趨勢(近三個月)基于抽樣的蜜罐流量數據，可以看到，黑產從業者僅通過某網絡平臺的一登錄入口就有約 100 萬/天的撞庫攻擊量，其中超過一半的請求被平臺主動攔截。信息泄露：2018 年企業信息安全頭號威

34、脅 27 圖 4-11 針對某平臺撞庫攻擊趨勢 被平臺攔截的撞庫請求大約占總量的 55%，其中有 52%的請求被認為為異常 IP 被直接封禁了 IP，另外 3%的請求被檢測出了登錄風險，從而通過驗證碼進行攔截。值得關注的是撞庫成功的賬號約為 23%左右，按照每天 100 萬條撞庫賬號預估，每天約有 23 萬賬戶被撞庫成功。（四）海量的信息泄露滋生了撒網式詐騙 除了用來撞庫和精準詐騙之外，這些泄露的數據還被用來做撒網式詐騙。前一段一些網友紛紛發帖，稱自己從“黑客”手里收到了恐嚇郵件，郵件里稱在其訪問成人網站植入了惡意程序，能盜取用戶帳號密碼，并控制攝像頭錄制用戶觀看成人視頻的隱私過程，以此要求支

35、付指定贖金，否則向郵箱里的所有聯系人發送視頻文件。信息泄露：2018 年企業信息安全頭號威脅 28 圖 4-12 慌稱掌握用戶隱私視頻的恐嚇郵件截圖 另外，近期一些網友也收到了一些帳號異常的釣魚郵件，“黑客”冒充官方身份向郵箱發送帳號異常提醒，并引導受害者進入一個假冒的網站進行撤銷、解凍等操作，而一旦受害者通過打開假冒網站，就會被假冒網站要求輸入正確的帳號密碼，從而導致用戶帳號密碼被假冒網站收集竊取，造成用戶信息二次泄露。信息泄露：2018 年企業信息安全頭號威脅 29 圖 4-13 假冒帳號異常的釣魚郵件截圖 五、總結 大規模的信息泄露在世界各地接連出現，一起大規模信息泄露的影響可能持續很久

36、，影響范圍也會擴散到各個行業。不管是企業受害者，還是個人消費者，遭遇信息泄露事件之后，往往難以應付次生風險。只有預防信息泄露，讓這些事件不再發生，才是根本的解決辦法。對于普通用戶而言，注意保護自己的個人隱私數據。不要在多個平臺使用相同的帳號密碼，并保持定期更換復雜密碼的習慣。安全專家反復建議個人用戶宜將所有已提供雙重驗證功能的互聯網服務開通雙重驗證。開通雙重驗證后，當自己的帳號因某種原因泄露到攻擊者手中，也能及時保障個人信息安全。對企業來講，數據安全保護不僅僅是對數據本身的保護，也是對企業經濟利益和信任感的維護。企業終端設備被入侵及內部安全管理機制不完善等問題值得關注。雖然一些大型企業都組建有

37、自己的技術團隊，但其在安全信息安全信息泄露：2018 年企業信息安全頭號威脅 30 方面可能并沒有做好足夠的準備，隨著大數據、人工智能、云計算等技術的不斷深入發展，網絡攻擊事件防不勝防，數據安全不再局限于防火墻、入侵檢測和防病毒等層面，而需要通過構建從內到外、全面的信息安全防護體系，建立可感知、可控、可審計的安全環境，第一時間發現企業暴露在外部的各類安全風險，及時感知、及時處理，才能解決企業在網絡安全上的痛點。另外隨著歐盟 GDPR（一般數據保護條例）以及國內的網絡安全法、公安機關互聯網安全監督檢查規定等相關法律法規的生效和實施，企業保護用戶數據安全也是一種法律責任。企業履行保護用戶數據的責任

38、需要加強在信息安全領域的投入、建立系統化的安全保障體系，包括選擇專業的安全解決方案，建立系統化的安全保障體系，定期排查風險隱患、強化防護技術手段、完善安全管理制度、落實網絡安全責任等等，從而提升企業業務運營過程風險感知和發現能力，降低安全風險。騰訊安全不僅在終端推出了針對惡意攻擊的有效解決方案，還面向企業推出了騰訊安脈外部風險防控體系，為企業提供有效的業務風險監測和預警 SaaS服務。騰訊安脈以互聯網、暗網中的開放數據、部署的全球蜜罐節點為基礎，借助騰訊多年來積累的大數據處理和安全研究經驗，幫助企業第一時間發現各類安全風險，如互聯網資產暴露、企業品牌形象監測、高危漏洞預警、互聯網業務安全風險。提供行業安全動態，協助企業做出正確的業務風險判斷和處置建議。信息泄露：2018 年企業信息安全頭號威脅 31 信息泄露：2018 年企業信息安全頭號威脅32