你的帳號可能正在暗網上被標價出售——資料盜取的完整鏈條揭秘

每一次你在钓鱼頁面輸入的帳號密碼，都可能在暗網以不到百美元的價格被打包兜售。這不是危言耸聽，而是網路犯罪已經構建的一條完整產業鏈。本文追蹤了被盜資料從收集、流轉到最終被利用的全過程，揭示了暗網資料交易背後的黑色生意。

資料是如何被偷走的？

在釣魚攻擊真正開始前，攻擊者需要先建立收集資料的"裝置"。我們對真實釣魚頁面的分析發現，網路犯罪分子主要採用三種方式來取得你在假冒網站上輸入的資訊：

第一種：電子郵件轉發（正在淘汰）

受害者在釣魚頁面的表單中輸入資料後，這些資訊會透過PHP腳本自動傳送到攻擊者控制的信箱。這是最傳統的方式，但它也存在致命缺陷——郵件投遞延遲、易被攔截、發件伺服器容易被封禁。因此，這種方法正逐漸被更隱蔽的手段取代。

我們曾分析過一個針對DHL用戶的釣魚工具包。其中的腳本會自動將受害者的信箱地址和密碼轉發至指定信箱，但由於電子郵件的諸多限制，這類操作已成過去式。

第二種：Telegram機器人（日益流行）

與電子郵件不同，使用Telegram機器人的攻擊者會在程式碼中嵌入一個API連結，包含機器人令牌和聊天ID。當受害者提交資訊後，資料會即時推送到機器人，操作者立刻收到通知。

這種方式為何更受歡迎？因為Telegram機器人更難被追蹤和封禁，而且性能不依賴於釣魚頁面的托管品質。攻擊者甚至可以使用一次性機器人，大大降低被捕獲的風險。

第三種：自動化管理面板（最專業）

較老練的犯罪團夥會購買或租賃專門的釣魚框架，如BulletProofLink或Caffeine等商業平台。這些"平台即服務"為攻擊者提供一個Web儀表板——所有被盜資料都匯總到一個統一資料庫中。

這些管理面板通常具備強大功能：按國家、時間統計攻擊成功數量，自動驗證被盜資料的有效性，支援多種格式匯出資料。對於組織化的犯罪團夥而言，這是提高效率的關鍵工具。值得注意的是，一次釣魚活動往往同時採用多種收集方式。

泄露資料都有哪些？價值各不相同

並非所有被盜資料的價值都相同。在犯罪分子手中，這些資料被分為不同等級，對應不同的價格和用途。

根據過去一年的統計分析，我們發現釣魚攻擊的目標分布為：

• 線上帳號憑證（88.5%）：用戶名和密碼。這是最常被竊取的資料，因為即使只有信箱或手機號碼，對攻擊者也有價值——他們可以用來進行帳號恢復攻擊或後續釣魚。

• 個人身份資訊（9.5%）：姓名、地址、出生日期等。這類資訊常被用於社會工程學攻擊，或者與其他資料關聯後用於精準詐騙。

• 銀行卡資訊（2%）：卡號、有效期、CVV碼等。雖然占比最小，但價值最高，因此被嚴密保護。

資料的具體價值還取決於帳號的附加屬性——帳號年齡、餘額、是否啟用雙因素認證、綁定的支付方式等。一個新註冊、餘額為0、未啟用2FA的帳號幾乎一文不值，但一個十年老帳號、有大量購買記錄、綁定了真實銀行卡的帳號，價值可能高達數百美元。

暗網市場的生意經：資料如何完成"從盜取到售賣"

被盜資料的最終去向是暗網。這裡發生了什麼？讓我們追蹤這條隱秘的產業鏈：

第一步：資料打包與批量售賣

被盜資料不會在收集後立即被利用，而是被打包成壓縮包——通常包含數百萬條來自各類釣魚和資料外洩事件的記錄。這些"資料包"在暗網論壇上以低廉的價格出售，有的僅售50美元。

誰購買這些資料？並非直接進行詐騙的黑客，而是暗網資料分析人員——供應鏈中的中間商。

第二步：分類、驗證與檔案構建

暗網資料分析人員會對購入的資料進行處理。他們按類型（信箱、電話、銀行卡等）分類，然後運行自動化腳本進行驗證——檢查這個Facebook帳號的密碼是否也能登入Steam或Gmail。

這一步至關重要，因為用戶傾向於在多個網站使用相同或相似的密碼。幾年前從某個服務外洩的舊資料，今天仍可能打開其他帳號的大門。那些經過驗證、仍可正常登入的帳號在再次出售時價格更高。

除此之外，分析人員還會將來自不同攻擊的資料進行關聯整合。一份舊的社交媒體外洩密碼、一份釣魚表單取得的登入憑證、一個留在詐騙網站上的電話號碼——這些看似無關的碎片被彙編成關於某個特定用戶的完整數字檔案。

第三步：在暗網市場專業出售

經過驗證和加工的資料被上架到暗網論壇或Telegram頻道——這些"線上店鋪"展示價格、商品介紹和買家評價，與普通電商無異。

帳號售價差異巨大。一個已驗證的社交媒體帳號可能只值1-5美元，但一個擁有長期使用歷史、綁定了真實銀行卡、啟用了2FA的高餘額網銀帳號，可能值數百美元。價格取決於多個因素：帳號年齡、餘額、綁定的支付方式、2FA狀態以及所屬平台的知名度。

第四步：高價值目標的精準狩獵

暗網上的資料不僅被用於大規模的通用詐騙，還被用於精準的"鯨魚釣魚"攻擊。這是一種針對企業高管、會計或IT系統管理員等高價值目標的定向侵害。

想像這樣一個場景：A公司發生資料外洩，其中包含一名離職員工的資訊，該員工現在是B公司的高管。攻擊者利用開源情報（OSINT）分析，確認此人目前的職位和信箱。隨後，他們精心偽造一封似來自B公司CEO的釣魚郵件，甚至在郵件中引用了受害者在前公司的一些事實細節——這些正是從暗網購買的資料中獲得的。透過這種方式，攻擊者大幅降低了受害者的警覺性，從而有機會進一步入侵整個B公司。

類似的攻擊不僅限於企業領域。攻擊者也會盯上銀行帳戶餘額較高的個人，或掌握重要證件（如貸款申請所需文件）的用戶。

被盜資料的可怕真相

被盜資料就像一件永遠不會被銷毀的商品——它被積累、整合、重新包裝，然後一次又一次地被利用。一旦你的資料進入暗網，它可能在幾個月甚至數年後被用來針對你發起精準攻擊、勒索或身份盜用。

這不是危言耸聽。這就是當今網路環境的現實。

現在就該採取的防護措施

如果你還沒有為自己的帳號採取措施，現在就應該開始：

立即行動（防止資料外洩）：

1. 為每個帳號設定獨一無二的密碼。這是最基本但也是最有效的防護。如果在某個平台外洩，不會影響你的其他帳號。
2. 啟用多因素認證（MFA/2FA）。在所有支援的服務中啟用，這能阻止即使掌握你密碼的攻擊者。
3. 定期檢查你的資料是否外洩。造訪Have I Been Pwned等服務，檢查你的信箱是否出現在已知資料外洩事件中。

成為受害者後的補救措施：

1. 如果銀行卡資訊外洩，立即致電銀行掛失並凍結卡片。
2. 立即更改被盜帳號的密碼，同時修改所有使用相同密碼的其他服務。
3. 檢查帳號的登入歷史，終止任何可疑會話。
4. 如果社交媒體或即時通訊帳號被盜，立即通知親友提防以你名義發送的詐騙訊息。
5. 對任何意外收到的郵件、電話或優惠保持警覺——它們看起來可信，恰恰可能是因為攻擊者正在利用你外洩在暗網的資料。

暗網市場的存在改變了網路犯罪的遊戲規則。資料不再是一次性的戰利品，而是可以反覆利用的商品。保護自己的最佳方式，就是現在就開始行動，而不是等到被攻擊時才後悔。