在暗網論壇(如著名的 DarkForums 或各類駭客論壇)上,資料通常被標價販售或作為「信譽證明(Reputation)」免費釋出。究竟有那些暗網常見的洩漏資料類型呢 ? 以下是 CyberQ 資安顧問實際經驗的彙整。
1、個人識別資訊 (PII) 與 客戶資料庫
這是很常見的洩漏資料類型,包括姓名、電話、Email、地址、身分證號、甚至部分遮蔽的信用卡資訊。
駭客會利用這種資料的方式,主要是拿來用在精準釣魚(Spear Phishing)上,這種行為是一大重點,如果駭客擁有真實資料,那他們發出的釣魚郵件被辨識出來的難度就會大幅增加,更好騙到人。
其次是撞庫攻擊(Credential Stuffing),這則是利用洩漏的 Email / 密碼組合去嘗試登入其他高價值服務(如資料庫、銀行、企業 VPN)。
CyberQ 指出,針對這類外洩資料的防禦,企業需要有的啟示是不能再去信任靜態個資驗證,以客服中心為例,他們不能僅憑「身分證號」或「生日」就重置密碼,必須強制實施多因素驗證(MFA),從員工的 SOP 流程與教育訓練就要調整和驗證。
另外,也儘量實施 FIDO2/Passkey,如此一來可大幅降低密碼被撞庫的風險。
2、企業系統與軟體的原始碼 (Source Code) 與開發文檔
包括 Git Repository 的壓縮檔、專利演算法、API 文件、甚至是含有硬編碼(Hard-coded)憑證的程式碼,都是駭客愛用的。其中包括白箱測試(White-box Testing)讓攻擊者不再需要盲測,可以直接從程式碼中快速找出零日漏洞(Zero-day)。
同時他們也會尋找隱藏後門或密鑰則會繼續掃描程式碼中被開發者遺忘的 AWS Key 、其他雲端服務的 API Keys 或資料庫密碼。
CyberQ 建議在 Secrets Management(密鑰管理)要多強化,導入 Vault 等工具,並在 CI/CD 流程中加入自動化掃描(如 TruffleHog),確保公司的程式碼庫中無敏感憑證。
而近年來業界大力提倡的軟體供應鏈安全(SBOM),讓團隊去了解自身依賴的元件有哪些,萬一當原始碼洩漏時,能快速評估哪些模組風險最高,進而能快速妥站處理。
3、初始存取權限 (Initial Access)
這是目前最熱門的商品,包含 RDP 伺服器權限、VPN 帳號、或是已植入 Webshell 的企業伺服器入口。這類賣家被稱為 IAB (Initial Access Brokers)。
許多駭客與勒索軟體組織(Ransomware Gangs)會直接購買這些已經被開採的「後門」,省去自行滲透的時間,直接進場加密檔案。
CyberQ 建議各家對於暴露面管理(ASM)要儘量完善,企業必須比坊間駭客先知道自己有哪些 RDP/VPN 暴露在公網上,資安團隊與資訊團隊要合作無間找出公司的暴露面再做強化和管理。
而業界很常強化的行為分析(UEBA),去監控 VPN 登入後的異常行為,比方說半夜從異常國家登入並進行內部伺服器大量橫向移動,這類案例要能儘量提早發現並即時阻斷。
如何透過 CTI 監控暗網威脅
各國許多公司或機構會仰賴威脅情資(Cyber Threat Intelligence, CTI)來將暗網的混亂資訊轉化為可執行的防禦策略。這通常不是由企業內部 IT 手動去逛論壇,而是去採購訂閱專業服務或使用自動化工具。
1、監控的「關鍵字」與「資產」 (Asset Monitoring)
CTI 系統會針對企業的數位資產設定「雷達」,一旦在暗網被提及即發出警報。品牌監控會針對企業名稱、縮寫、網域名稱(Domain)。而VIP 監控則是進行高階主管(C-Level)的姓名、個人 Email(防止變臉詐騙 BEC)等等進行必要措施。
技術特徵的部分會將公司特有的 IP 段、Hash 值、或是特定的程式碼片段納入監控範圍。再來是 BIN 碼監控,資安公司也會對於金融業、銀行等,監控特定信用卡發卡號段(BIN Code)在暗網黑市的出現頻率。
2、CTI 的運作三層次
企業導入 CTI 通常分為三個層次深度:
| 層次 | 運作方式 | 目的 |
| 戰術級 (Tactical) | 自動化爬蟲 (Crawlers) 利用機器人 24/7 抓取數百個暗網論壇、Pastebin 網站、Telegram 群組的公開貼文。 | 快速發現憑證或API、企業資料洩漏,立即重置密碼或修補漏洞。 |
| 營運級 (Operational) | 人為分析 (Human Analysts) 資安分析師潛伏在駭客社群,分辨哪些是「吹牛(Scam)」哪些是「真實威脅」。 | 了解攻擊者的 TTPs(戰術、技術與程序),調整防火牆與 SIEM 規則。 |
| 戰略級 (Strategic) | 趨勢預測 分析駭客近期對特定產業(如台灣半導體、科技業與醫療生技產業)的興趣度。 | 協助資安長或資安團隊向董事會、管理階層報告風險,爭取資安預算。 |
3、當發現威脅時的處置流程 (Takedown & Mitigation)
CyberQ 依據實務經驗,認為監控只是手段,處置才是重點。
通常第一步最重要的是驗證真偽,這是因為許多暗網資料通常是「舊瓶裝新酒」,重新打包幾年前的舊資料再上來賣,或者只是單一或數個未妥善設防的用戶設備資料外流,CTI 團隊需比對樣本資料,確認是否為新洩漏的威脅情資。
再來是像駭客購買資料與銷毀,這則是極具爭議的部分,在極少數情況下,某些企業會透過第三方談判專家與駭客接觸,試圖確認資料範圍,但通常不建議也不會付費贖回資料,因為並無法保證駭客會百分百刪除他手上資料。
而處理這些過程中還有一個很重要的工作項目是通知與阻斷,比方說發現員工帳密洩漏,立即予以強制重置,再讓員工去重新綁定,特別若有特權帳號,管理上要更加小心。若發現系統或城市的原始碼洩漏,最重要的關鍵是,立即更換所有相關的 API Keys,避免駭客能夠進一步登入取得更多資料和權限。
這也考驗團隊在控管 API Keys 可用 IP 範圍、內外部防火牆等議題和實作上,程式邏輯也需要更清楚。
