數(shù)字經(jīng)濟時代中，數(shù)據(jù)就像石油一樣寶貴。個人數(shù)據(jù)的商業(yè)市場已經(jīng)形成，而那些擁有大量用戶數(shù)據(jù)的公司的價值就會直線上升。與此同時，一些專門買賣用戶信息的網(wǎng)絡(luò)犯罪組織也越來越張狂，像“cybercrime-as-a-service”服務(wù)更是激發(fā)了網(wǎng)絡(luò)犯罪的發(fā)生。

通過多年與執(zhí)法部門的合作和對在線平臺、社區(qū)、買賣數(shù)據(jù)市場的長期監(jiān)視，發(fā)現(xiàn)了一些地下網(wǎng)絡(luò)犯罪市場的商業(yè)交易、業(yè)務(wù)和價格情況。

報告中列出了所有黑市上可以買賣的物種，包括PayPal賬戶、信用卡/借記卡數(shù)據(jù)等。銀行登陸憑證的價格從190美元到1200美元不等，含2200美元的結(jié)算帳戶登錄憑證售價190美元。能夠暗中向美國銀行轉(zhuǎn)移資金的銀行帳戶登錄憑證價格中，余額為6000美元的售價500美元,余額為20000美元的賬戶售價1200美元。而可向英國轉(zhuǎn)移資金的銀行帳戶登錄憑證中，余額為10000美元的售價為700美元帳戶, 16000美元的賬戶價格是900美元。

信用卡和借記卡的價格也會因地域不同有所差異，在美國是從5美元到30美元不等，在英國是20到35美元不等，加拿大是20到40美元不等，澳大利亞是21到40美元不等，歐盟是25到45美元不等。

地下市場：大隱隱于市

事實上，買賣用戶數(shù)據(jù)的地下市場都有一個隱秘的入口，但不是每個人都能找到并進入。而且這些市場并不像我們想象的那般——有一個隱秘的房屋，后面有個沒人知道的小庭院。

現(xiàn)在黑市上交易的物品種類繁多，所有網(wǎng)絡(luò)犯罪者得到的非法信息都可以拿來買賣。尤其是在網(wǎng)絡(luò)犯罪服務(wù)(cybercrime-as-a-service)出現(xiàn)之后，地下市場上出現(xiàn)了更多可供交易的商品。

但是，隨著各種數(shù)據(jù)泄露事件、網(wǎng)站入侵事件的披露，越來越多的人對個人信息泄露已經(jīng)“麻木”，所以本報告的一個目的就是對抗麻木，不是說要喚起大家的危急意識，但要對數(shù)據(jù)泄露有一定的認知。

金融數(shù)據(jù)

買賣金融數(shù)據(jù)是一個很大的話題，這里所說的金融數(shù)據(jù)買賣主要指的是支付卡信息的買賣問題。出現(xiàn)在地下市場上的支付卡信息價格會因信息內(nèi)容不同而不同，具體的價格劃分如下面的表格：

其中cvv是card verification value的縮寫;Software-generated是主賬號(PAN)、有效期、CVV2的有效結(jié)合;Fullzinfo是指包含所有了所有的信息：全名、賬單地址、支付卡號、有效期、PIN碼、社保號、母親姓、出生日期、CVV2。

買方在購買這些信息時，也可以設(shè)定一些限定條件，而且卡的價格也會因地域和可用余額的信息不同而不同：

你要相信一切皆有可能，只有想不到的沒有做不到的。下面這張圖展示的是地下市場上的銀行-銀行的轉(zhuǎn)賬行為：

登錄憑證

地下市場上還會出售訪問系統(tǒng)的有效憑證：有直接登錄憑證，有需要一定技術(shù)的登錄憑證(比如漏洞)。如下圖所示，利用漏洞可以訪問位于歐洲、亞洲、美國的銀行和航空系統(tǒng)。

某些企業(yè)數(shù)據(jù)也可以被出售，下面這張圖就是賣方在出售某大學(xué)的數(shù)據(jù)。

在線服務(wù)

有很多人喜歡訂閱數(shù)字服務(wù)，如音樂、視頻、積分計劃等，因為訂閱這些服務(wù)相對來說比較便宜，但也給網(wǎng)絡(luò)犯罪者留下了一個廣闊的活動空間。如果用戶的賬戶被盜取，則會對用戶造成很大的影響，輕則賬號可能會被凍結(jié)或者關(guān)閉數(shù)周，重則甚至?xí)斐梢欢ǖ媒?jīng)濟損失，比如利用賬戶中存儲的信用卡信息購買一些東西(禮品、服務(wù)等)，有時還會錯失一些優(yōu)惠積分。

被買賣的在線服務(wù)賬號

甚至一些積分賬號、積分卡都會被網(wǎng)絡(luò)犯罪者拿到地下市場上拍賣，比如某酒店100000積分的賬號就會被賣到20美元。

報告中還評估了黑市中在線服務(wù)賬戶登錄憑證了價格,如在線視頻(0.55-1美元),額外的有線電視頻道流媒體服務(wù)(7.50美元),額外的漫畫書服務(wù)(0.55美元)和職業(yè)體育流媒體服務(wù)(15美元)。

數(shù)字身份

買賣受害者的身份信息是最為嚴重的，因為身份信息是非常私人的信息。

正如我們所熟知的，有很多僵尸網(wǎng)絡(luò)會自動下載惡意程序，比如ZBot網(wǎng)銀密碼竊取器、病毒、勒索軟件等，進而竊取用戶的敏感信息。一旦用戶的數(shù)字身份信息被在網(wǎng)上買賣，那么購買者則可以完全掌控受害者的信息：社交賬號、郵件等。

總結(jié)

網(wǎng)絡(luò)犯罪其實是傳統(tǒng)犯罪某種形式的進化，網(wǎng)絡(luò)犯罪者們購買這些數(shù)據(jù)之后便會進行大規(guī)模的攻擊活動，如此造成的危害可想而知。本報告中列舉的數(shù)據(jù)只是冰山一角，還有很多種類的數(shù)據(jù)、服務(wù)沒有列舉出來，但是希望能通過這些例子引起大家的注意。

完整報告點我查看!