近日，360数科旗下信息安全知微实验室通过反诈分析研究，追踪溯源网络黑灰产数据非法交易链条，发布系列反诈研究《黑灰产数据流转分析报告》（以下简称“报告”）。报告称，目前在网络黑产平台流转的数据主要来源于两大渠道，一是不合规的短信代理商泄露，二是外部黑客攻击或渗透。其中不合规短信代理商泄露的数据分为短信、SDK（软件开发工具包）、DPI（深度包检测）三种类型。据报告抽样数据分析，三者占比分别为35%、26%、4%，渗透类数据占比35%。上述数据在被不法分子非法获取后，会经过加工处理，再被明码标价进行买卖，单价从几毛到十几元不等。360数科知微实验室定期将反诈线索提交给警方和相关部门，并提醒广大涉及数据使用的厂商，在做好自身数据安全管理的同时，也要注重把控与第三方平台的合作，建立完善的数据安全全链路管理体系。

（图：数据来源360数科信息安全知微实验室）

短信泄露成重灾区 违规代理商成最大风险

据360数科知微实验室报告分析，当前黑市交易的短信和SDK数据因其信息真实性较高、质量较好，是黑市流转的主流数据，在黑产高质量数据类型中分别占比67%、22%，尤其是短信类数据，在黑市最“吃香”。短信类数据主要泄露源头为各类不合规或管理不规范的代理商平台，泄露途径多数为平台被黑客攻击、渗透或内部泄露。

据了解，此类数据可以提取到相关短信人员信息，并可根据短信模板或者短信标签、关键字进行定向筛选，几乎涵盖各大主流企业所发送短信，影响范围广泛。该数据通常为裸号或者包含短信内容，一旦泄露，极易被下游诈骗团伙利用实施电信诈骗。此类数据时效性较强，一般为隔天或三天内，单条均价在0.6-1.5元不等。

（图：数据来源360数科信息安全知微实验室）

SDK专盯Android手机 收集特定App数据

作为被黑产盯上的第二大高质量数据，SDK（软件开发工具包）因其可获取用户个人信息、网络行为记录、个人账号等，其数据被黑产获取后会用于网购退货诈骗、金融诈骗等特定类型的电信诈骗犯罪。此类数据获取方式主要是利用SDK采集用户手机上近期新装、活跃的App及对应的用户手机号信息。

360数科知微实验室报告显示，目前该数据非法获取来源有两种：一种是基于流量检测方式，通过分析SDK与后端接口的通信数据，利用每个SDK的标识符获取到用户的App信息，利用运营商流量数据匹配出对应手机号；另外一种则是SDK所属的第三方公司内部数据流出或者某些仿冒App所包含恶意SDK直接收集相关信息，可通过IMEI、IMSI等信息匹配出用户手机号。

此类数据受害机型主要为Android手机，Android用户被泄露数据的风险最大。SDK数据获取特征是能够筛选出安装使用特定App的用户，数量虽多但准确性较低。不过，黑产团伙往往为了增加出售价值，会通过撞库的方式额外增加一些家属信息。该数据时效性较高，一般为两天内，平均单价0.45元/条。

DPI数据时效性最高 筛选特定浏览记录

DPI技术是一种基于应用层的流量检测和控制技术，称为“深度包检测”。用户访问网址或者App时，会产生对应的网络流量，通过这些流量进行分析，可以将用户手机号、访问地址关联上。针对HTTP明文流量，可以精确到URL（访问地址）；针对HTTPS，虽然经过了加密，但依然能够抓到对应的接口域名。
通常，黑产人员通过企业内鬼、第三方平台、漏洞等各种渠道拿到这些数据，从中筛选出高价值信息进行利用。该方式最大特征是能够筛选出特定浏览记录的用户，甚至可以根据App的Api接口区分出对应注册、登录等操作。此类数据时效性较高，一般获取当天或者隔天的数据，单条均价0.5-0.8元。在黑产流转的数据类型中，该数据仅占4%，比例虽不高但影响范围较广。

渗透数据鱼龙混杂 单价最高15元一条

除了相关平台泄露，外部黑客攻击或渗透是数据泄露最常见的方式。一般黑客会通过攻击企业的相关后台、数据库等获取数据，此种方式有时也被黑产从业者称为“爬虫”（并非通常意义上的爬虫）。此类数据价格不定，单条最高能卖到15元，在黑产流转数据类型中占比35%，但此数据类型鱼龙混杂，大部分为虚假或者多部分为伪造信息，数据价值低，影响范围较小。

值得注意的是，除了黑客攻击或渗透，第三方分发App也逐渐成为黑产获取用户信息的方式。据此前360数科知微实验室发布的《黑灰产分发平台分析报告》，在第三方平台分发的黑灰产App多为“黄赌骗”和假冒App,这些App多包含恶意SDK，会诱骗用户填写个人信息，或以读取通讯录、短信、摄像头等方式非法获取个人数据。用户一旦填写，其个人数据也将流入黑产交易市场。

数据黑产交易产业成熟 需社会各界共同防治

当前，黑灰产数据非法交易链发展已比较成熟，在数据获取、加工、贩卖、流通等各环节都拥有详细的团队分工和各类自动化工具。360数科知微实验室报告也进一步指出，在贩卖环节，数据贩卖商会开发专门的后台软件，用于各个下游代理商下载相关数据；在获取环节，产业链中也存在不少规模化运作的数据提供公司，主要贩卖DPI、SDK、微信好友等信息，他们拥有自己的官网，有至少5个客户群组、1万个以上的账号关注。

大数据时代，非法获取、买卖数据的黑灰产不仅有一条自己的完整产业链，还常常作为其他黑灰产的上游。不法分子通过购买数据，利用数据进行精准诈骗、敲诈勒索、盗窃账户、恶意营销、恶意刷量甚至从事洗钱等违法活动。

打击治理数据黑灰产，强化数据信息保护迫在眉睫。今年我国也相继出台《数据安全法》、《个人信息保护法》，建立数据资源的确权、开放、流通以及交易的相关制度，与网络安全法一起构成规范性、系统性、完整性的保护体系，为保护个人信息安全提供法律保障。

但盘根在“暗网黑市”的数据黑产错综复杂，打击治理之路依然任重道远。360数科信息安全专家也指出，数据流通使用涉及多环节、多合作机构，企业注重自身数据安全管理的同时，也要把控好第三方合作和管理，完善数据全链路监控和管理体系，同时积极探索与监管机构、公安等合作打击治理数据黑灰产。