作者:Olga Altukhova 編輯:far@Centreless
編譯:Centreless X(Twitter)@Tocentreless
典型的網路釣魚攻擊通常包括用戶點擊一個欺詐性鏈接,並在假冒網站上輸入自己的憑證資訊。然而,攻擊在此時遠未結束。一旦機密資訊落入網路犯罪分子手中,它會立即變成一種商品,進入暗網市場的「流水線」。
在本文中,我們將追蹤被盜數據的流轉路徑:從透過各種工具(如Telegram機器人和高階管理面板)收集數據,到數據的銷售及其後續用於新的攻擊。我們將探討曾經洩露過的用戶名和密碼如何被整合進龐大的數位檔案,以及為何即使多年前的資料洩露,犯罪者仍可加以利用,實施針對性攻擊。
網路釣魚攻擊中的資料收集機制在追蹤被盜資料的後續去向之前,我們需要先了解這些資料是如何離開釣魚頁面並到達網路犯罪分子手中的。
透過對真實釣魚頁面的分析,我們識別出以下最常見的資料傳輸方式:
- 寄至電子郵件地址
- 發送至Telegram機器人
- 上傳至管理面板
值得一提的是,攻擊者有時會利用合法服務進行資料收集,以使其伺服器更難被發現。例如,他們可能使用Google表單、Microsoft表單等線上表單服務。被盜資料也可能儲存在GitHub、Discord伺服器或其他網站上。不過,為便於本次分析,我們將聚焦於上述主要的資料收集方式。
電子郵件
受害者在釣魚頁面HTML表單中輸入的數據,會透過PHP腳本傳送到攻擊者的伺服器,再由該伺服器轉送至攻擊者控制的電子郵件地址。然而,由於電子郵件服務有許多限制——例如投遞延遲、託管服務商可能會封鎖寄件伺服器,以及處理大量資料時操作不便——這種方式正逐漸減少。
Phishing kit contents
舉例來說,我們曾分析過一個針對DHL用戶的釣魚工具包(phishing kit)。其中,index.php檔案包含一個用於竊取使用者資料(此處為郵箱地址和密碼)的釣魚表單。
Phishing form imitating the DHL website
受害者輸入的資訊隨後通過next.php檔案中的腳本,發送至mail.php檔案中指定的郵件地址。
Contents of the PHP scripts
Telegram機器人
與上述方法不同,使用Telegram機器人的腳本會指定一個包含機器人令牌(bot token)和對應聊天ID(Chat ID)的Telegram API網址,而非電子郵件地址。在某些情況下,該連結甚至直接硬編碼在釣魚HTML表單中。攻擊者會設計詳細的訊息模板,在成功竊取資料後自動發送給機器人。程式碼範例如下:
Code snippet for data submission
相較於透過電子郵件發送數據,使用Telegram機器人能為釣魚者提供更強的功能,因此此方法正日益普及。資料會即時傳送到機器人,並立即通知操作者。攻擊者常使用一次性機器人,這類機器人更難追蹤和封鎖。此外,其效能也不依賴釣魚頁面託管服務的品質。
自動化管理面板
較老練的網路犯罪分子會使用專門的軟體,包括BulletProofLink和Caffeine等商業框架,通常以「平台即服務」(PaaS)的形式提供。這些框架為釣魚活動提供一個Web介面(儀錶板),以便於集中管理。
所有由攻擊者控制的釣魚頁面所收集的數據,都會匯總到一個統一資料庫中,並可透過其帳戶介面查看和管理。
Sending data to the administration panel
這些管理面板用於分析和處理受害者資料。特定功能因面板自訂選項而異,但大多數儀表板通常具備以下能力:
- 即時統計分類:按時間、國家查看成功攻擊數量,並支援資料篩選
- 自動驗證:部分系統可自動驗證被盜資料的有效性,如信用卡資訊或登入憑證
- 數據導出:支援以多種格式下載數據,方便後續使用或出售
Example of an administration panel
管理面板是組織化網路犯罪集團的關鍵工具。
值得注意的是,一次釣魚活動往往同時採用上述多種資料收集方式。
網路犯罪者覬覦的資料型態
網路釣魚攻擊所竊取的數據,其價值和用途各不相同。在犯罪者手中,這些數據既是牟利手段,也是實施複雜多階段攻擊的工具。
根據用途,被盜資料可分為以下幾類:
- 即時變現:直接大量出售原始數據,或立即從受害者的銀行帳戶或電子錢包中盜取資金
- 銀行卡資訊:卡號、有效期限、持卡人姓名、CVV/CVC碼
- 網路銀及電子錢包帳號:登入名稱、密碼,以及一次性雙重認證(2FA)驗證碼
- 綁定銀行卡的帳戶:如線上商店、訂閱服務或Apple Pay/Google Pay等付款系統的登入憑證
- 用於後續攻擊以進一步變現:利用被盜資料發動新攻擊,獲取更多收益
- 各類線上帳戶憑證:使用者名稱和密碼。值得注意的是,即使沒有密碼,僅憑作為登入名稱的郵箱或手機號,對攻擊者也具有價值
- 手機號碼:用於電話詐騙(如騙取2FA驗證碼)或透過即時通訊應用程式實施釣魚
- 個人識別資訊:全名、出生日期、住址等,常用於社會工程攻擊
- 用於精準攻擊、勒索、身分盜用及深度偽造
- 生物特徵資料:語音、臉部影像
- 個人證件掃描件及編號:護照、駕照、社保卡、納稅人識別號碼等
- 持證自拍照:用於線上貸款申請和身分核驗
- 企業帳戶:用於針對企業的定向攻擊
我們對2025年1月至9月期間發生的釣魚與詐騙攻擊進行了分析,以確定犯罪分子最常瞄準的資料類型。結果顯示:88.5%的攻擊旨在竊取各類線上帳戶憑證,9.5%針對個人識別資訊(姓名、地址、出生日期),僅有2%專注於竊取銀行卡資訊。
在暗網市場出售數據
除用於即時攻擊或即時變現外,大多數被盜資料並不會立即被使用。讓我們更深入地看看它的流轉路徑:
1.數據打包出售
資料整合後,以「資料包」(dumps)形式在暗網市場上出售——這些壓縮包通常包含數百萬筆來自各類釣魚攻擊和資料外洩的記錄。一個數據包售價可能低至50美元。主要買家往往並非活躍的詐騙者,而是暗網數據分析人員,他們是供應鏈中的下一環。
2.分類與驗證
暗網資料分析人員會依照類型(郵件帳號、電話號碼、銀行卡資訊等)對資料進行篩選,並執行自動化腳本進行驗證。這包括檢視資料的有效性及其重複使用潛力-例如,某組Facebook帳號密碼是否也能登入Steam或Gmail。由於使用者習慣在多個網站使用相同密碼,幾年前從某服務竊取的資料今天仍可能適用於其他服務。經過驗證、仍可正常登入的帳號在出售時價格較高。
分析人員也會將來自不同攻擊事件的使用者資料進行關聯整合。例如,一份舊的社群媒體洩漏密碼、一份仿冒政府入口網站釣魚表單取得的登入憑證,以及詐騙網站留下的電話號碼,都可能被彙編成關於特定使用者的完整數位檔案。
3.在專業市場出售
被盜資料通常透過暗網論壇和Telegram出售。後者常被用作“線上店鋪”,展示價格、買家評價等資訊。
Offers of social media data, as displayed in Telegram
帳戶價格差異巨大,取決於多種因素:帳戶年齡、餘額、綁定的支付方式(銀行卡、電子錢包)、是否啟用雙因素認證(2FA),以及所屬服務平台的知名度。例如,一個綁定郵箱、啟用2FA、擁有長期使用歷史和大量訂單記錄的電商帳戶,售價會更高;對於Steam等遊戲帳戶,昂貴的遊戲購買記錄會提升其價值;而網銀數據若涉及高餘額帳戶且來自信譽良好的銀行,則溢價顯著。
下表顯示了截至2025年在暗網論壇上發現的各類帳戶售價範例*。
4.高價值目標甄選與定向攻擊
犯罪者尤其關注高價值目標-即掌握重要資訊的用戶,如企業高階主管、會計或IT系統管理員。
舉一個「鯨釣」(whaling)攻擊的可能場景:A公司發生資料洩露,其中包含一名曾在此任職、現為B公司高管的員工資訊。攻擊者透過開源情報(OSINT)分析,確認該用戶目前就職於B公司。隨後,他們精心偽造一封看似來自B公司CEO的釣魚郵件發給該高階主管。為增強可信度,郵件中甚至引用了該用戶在前公司的一些事實(當然,攻擊手法不止於此)。透過降低受害者的警覺性,犯罪者便有機會進一步入侵B公司。
值得注意的是,此類定向攻擊不僅限於企業領域。攻擊者也可能盯上銀行帳戶餘額較高的個人,或持有重要個人證件(如微貸申請所需文件)的用戶。
關鍵啟示
被竊資料的流轉如同一條高效運作的流水線,每一則資訊都成為帶有明確標價的商品。現今的網路釣魚攻擊已廣泛採用多樣化的系統來收集和分析敏感資訊。資料一經竊取,便迅速流入Telegram機器人或攻擊者的管理面板,進而被分類、驗證並變現。
我們必須清醒地認識到:一旦資料洩露,它不會憑空消失。相反,它會被不斷累積、整合,並可能在數月甚至數年後被用來對受害者實施精準攻擊、勒索或身分盜用。在當今的網路環境中,保持警覺、為每個帳戶設定唯一密碼、啟用多因素認證,並定期監控自己的數位足跡,已不再是建議,而是生存必需。
如果您不幸成為釣魚攻擊的受害者,請採取以下措施:
- 如銀行卡資訊洩露,請立即致電銀行掛失並凍結卡片。
- 如帳戶憑證被盜,請立即變更該帳戶密碼,並同步修改所有使用相同或相似密碼的其他線上服務密碼。務必為每個帳戶設定唯一密碼。
- 在所有支援的服務中啟用多因素認證(MFA/2FA)。
- 檢查帳戶的登入歷史,終止任何可疑會話。
- 如您的即時通訊或社群媒體帳號被盜,請立即通知親友,提醒他們警惕以您名義發送的詐騙訊息。
- 使用專業服務(如Have I Been Pwned等)檢查您的資料是否出現在已知的資料外洩事件中。
- 對任何意外收到的郵件、電話或優惠資訊保持高度警惕——它們之所以顯得可信,很可能是因為攻擊者正在利用您的洩漏資料。
