虚假数据泄露信息泛滥暗网

暗网论坛正被一波虚假数据泄露声明淹没，其中大部分出售的所谓"新数据"实则是历史泄露事件的回收材料。活跃在中文网络犯罪生态的威胁行为者将这些陈旧数据重新包装，作为"最新企业情报"进行营销，诱使企业为从未实际发生的事件浪费时间和金钱。

随着这类欺诈性声明的数量持续攀升，全球安全团队已进入高度戒备状态。这些数据清单遍布暗网论坛和Telegram频道，通常宣称包含数百万条涉及银行、投资公司及其他跨地区企业的记录。由于发布速度和规模惊人，人手不足的安全团队几乎无法从噪声中识别真实威胁。

中文暗网生态的造假模式

Group-IB分析师发现这一增长趋势，并追踪到五个专门在中文暗网论坛和Telegram活动的核心数据源。研究发现，大多数广告数据集均来自历史泄露事件，包含生成数据，且无任何新企业入侵迹象。据Group-IB向网络安全新闻(CSN)提供的报告显示，这些数据源每月定期发布600至1000条消息，若泄露声明属实，这一数量将极不寻常。

该骗术之所以有效，关键在于数据并非完全伪造。贩子们从Facebook 2021泄露、Eatigo 2020事件等知名历史泄露中提取真实的个人身份信息，再混入生成或不一致数据以夸大记录数量。这使得清单具有足够可信度引发恐慌，尽管其余数据经不起推敲。

这种手法最危险之处在于消耗防御者的时间。安全团队若追查这些虚假警报，就会分散对真实事件的注意力，给威胁行为者创造更多隐蔽行动空间。

暗网泄露骗局运作机制

快速传播、海量发布与低质量声明的组合形成迷雾，直接有利于幕后操纵者。研究人员追踪了中文暗网空间的五个主要数据贩子，包括Exchange Market（又名Deepmix）、长安不夜城、爱钱进、蚁群数据和凤凰海外资源等平台。每个贩子都通过Telegram频道或暗网市场分发所谓的数据包。仅爱钱进在2024年7月停止运营前，Telegram订阅者就接近5000人，可见这些渠道传播错误信息的广度。

Group-IB分析师验证多个清单的样本数据后，每次都发现相同模式：姓名和电话号码可追溯至Facebook 2021数据集；密码哈希指向Eatigo 2020泄露事件；电子邮件地址与Truecaller 2022泄露记录匹配。所有案例中，贩子都将历史事件的数据碎片拼接重组，标注为"新窃取的企业数据"。经过交叉比对后，矛盾之处显而易见——字段显示混合语言值、非典型翻译，以及正规数据库绝不会使用的字段名称。

企业防御建议

Group-IB建议企业遇到此类声明时采取结构化分析方法。第一步是验证广告字段是否与企业内部记录结构匹配。若数据集声称包含客户数据，其字段名称、数据类型和记录数量应与公司实际存储数据一致。不匹配强烈表明数据完全来自其他来源。

企业还应检查样本数据中的标识符（如电子邮件或电话号码）是否确实属于其客户或员工。一两个看似真实的标识符不足以验证声明有效性，尤其是当同条记录中其他字段不一致时。安全团队应在升级潜在事件前，使用威胁情报平台进行更新的泄露交叉引用。基于证据的冷静分析（而非紧急反应），才是应对依赖混淆手法获利的数据贩子的最有效防御。

注：为防止意外解析或超链接，IP地址和域名已进行无害化处理（如_[.]_）。仅在MISP、VirusTotal或SIEM等受控威胁情报平台中恢复原始格式。

参考来源：

Dark Web Brokers Repackage Old Breaches as Fresh Corporate Data Leaks

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）