近年来,各类数据泄露事件频发,其中“开盒”这一网络黑灰产术语近期进入公众视野。黑灰产交易犯罪团伙为了规避审查,创造了黑灰产团伙之间的“黑话”,这些“黑话”构成了数据黑市的交易语言,且不同作恶场景的黑话不尽相同。

作为长期扎根黑灰产攻防一线的威胁情报安全厂商,威胁猎人积累沉淀了大量与黑灰产作恶相关的黑话,整理形成业内首个《黑话词典》,对黑灰产常见黑话进行揭秘。

该词典收录了营销欺诈、信贷欺诈、跑分洗钱、数据泄露、电信诈骗等风险场景共计245个黑话,后续将会持续更新。

本文主要整理“数据泄露场景”相关的黑话,按照类型以及拼音首字母先后顺序排列。


数据泄露场景

01 非法数据交易中不同类型的“料”




E

二手料




【释义】在非法数据交易中指经过一次或多次转手的个人或组织数据等,也称“历史料”。相比一手料,二手料可能因为多次转手而出现信息不完整、不准确或被篡改的情况,其价值通常低于一手料。



F

泛料




【释义】在非法数据交易中指范围广泛但不够具体的个人或组织数据等。这类数据通常没有经过精细筛选或验证,可能包含大量无用信息,准确性和有效性较低。因此,泛料在黑灰产市场上的价值通常较低。



F

翻新料




【释义】在非法数据交易中指经过处理和更新的旧数据,使其看起来像是新的或更有价值的数据。翻新过程可能包括补充、修改、去重,目的是提高数据的准确性和有效性,从而增加其在黑灰产市场上的价值。



F

扶贫料




【释义】在非法数据交易中指和扶贫对象相关的个人信息或数据,这些数据被黑产非法获取后,通常会转售给第三方,用于定向营销、诈骗等非法活动。   

【关联报告】

【黑产大数据】2024年数据泄露风险态势报告(点击查看报告详情)

威胁猎人情报人员通过对非法数据交易产业链各环节深入研究发现,非法交易市场中兜售的“扶贫料”有来自资金盘APP、手工打扶贫粉等。



G

隔夜料




【释义】数据泄露后,一些攻击者为了规避风险,可能不会立即在在黑市出售刚获取到的数据,而是选择第二天或者一段时间后再进行交易,这类数据就被称为“隔夜料”。隔夜数据泄露带来的风险和损失可能在事发后的一段时间才显现,使得防范和补救措施难以迅速实施。



G

Gm料




【释义】又称股民料,在非法数据交易中指指股民的个人信息数据,通常包含高净值或活跃股民的关键信息。这类数据因其高价值和精准度,在黑市交易中较为抢手。



G

轨道料 




【释义】在非法数据交易中指通过改装POS机获取到的银行卡信息,这种信息一般非常精准,通常会转售给第三方,用于定向营销、诈骗等非法活动。



H

活料 




【释义】在非法数据交易中指仍然有效且可以立即使用的个人或组织信息。这些数据通常是最新的、准确的,并且可以直接用于各种非法活动,因此在黑灰产市场上具有较高的价值。 



J

精准料




【释义】在非法数据交易中一般指高度准确和详细的个人或组织信息,这些数据经过精细筛选和验证后,真实性和有效性有保障,通常包括具体的联系方式、地址、账户信息等,可以直接用于定向营销、诈骗等非法活动,因此在黑市上价值最高。



L




【释义】通常指被非法获取并可能用于不正当目的的敏感数据。这些数据包括但不限于个人信息、企业信息、商业机密、用户登录凭证等。 



L

冷门料




【释义】在非法数据交易中指需求量较低、不太被市场关注的个人或组织信息。这类数据可能因为用途有限或目标受众小而在黑灰产市场上不太受欢迎,因此其交易量和价值相对较低。 



M

毛料




【释义】毛料指未经加工、未清洗或分类的原始数据,通常包括大量未经处理的个人信息或企业信息,但因为未经筛选和整理,可能包含许多无用或冗余的信息。 



M

母婴料




【释义】在非法数据交易中指和母婴相关的个人信息或数据,如孕妇信息、婴儿出生日期、母婴产品购买记录等,这些数据被黑产非法获取后,通常会转售给第三方,用于定向营销、诈骗等非法活动。



M

面单 




【释义】即“快递面单”,指快递行业在运送货物的过程中用以记录发件人、收件人以及产品重量、价格等相关信息的单据,这些数据被黑产非法获取后,通常会转售给第三方,用于定向营销、诈骗等非法活动。  

【关联报告】

【黑产大数据】2022年数据泄露风险态势报告(点击查看报告详情)

2022年威胁猎人累计捕获到超过1200起物流行业相关的数据泄露事件,涉及40家物流快递公司,泄露量级最高超过100万,平均每天有超过1万条的用户信息在地下黑市交易,价格基本保持在3-4元每条。其中主要是快递面单导致的泄露,泄露的信息包含寄收件人的姓名、手机号、商品信息、快递单号、时间等敏感字段。


经调查分析,快递面单泄露的主要原因包括:


1、人为拍摄泄露:快递站点工作人员进行面单拍摄并出售给黑产;


2、第三方渠道泄露:企业使用的第三方渠道存储了大量快递数据,相关第三方平台对快递数据保管不当,或受黑产攻击导致数据泄露。




N

内料 




【释义】指境内卡的四大件:银行卡账号、密码,持卡人身份证号及绑定手机号四大类信息(又称CVV四大件)。这类信息包含公民个人信息,通常会转售给第三方,用于定向营销、诈骗等非法活动。  



Q

清关




【释义】原意为进出口或转运货物出入一国关境时,依照各项法律法规和规定应当履行的手续流程。在非法数据交易中,该名词指海外货物进关过程中数据被黑产窃取,称为“清关料”,被黑产进行非法贩卖收益。



S

实时料




【释义】指最新获得的一手数据,即刚被窃取的个人信息或组织信息,这种料最好卖,价格也是最高的。



S

死料




【释义】在非法数据交易中指已经过时或无效的个人或组织数据。这些数据由于失去时效性或不再可用,通常在黑灰产市场上没有利用价值。



T

跳转号/授权号




【释义】常见的有微博/微信/QQ授权号,一般情况下原账号已经被用于刷量/薅羊毛等批量操作,被平台识别出风险,限制了其使用功能,但是能够跳转授权登录其他平台,在非法数据交易中会被黑产低价出售。



W

外料 




【释义】指境外卡的四大件:银行卡账号、密码,持卡人身份证号及绑定手机号四大类信息(又称CVV四大件)。这类信息包含公民个人信息,通常会转售给第三方,用于定向营销、诈骗等非法活动。 



X

相亲料




【释义】在非法数据交易中指在相亲网站等渠道获取的与相亲相关的用户信息,包括个人简介、联系方式、相亲记录等,这些数据被黑产非法获取后,通常会转售给第三方,用于定向营销、诈骗等非法活动。



Y

一手料




【释义】在非法数据交易中指未经转手的个人或组织数据等。由于没有经过多次转手,一手料通常更加新鲜、完整和准确,因而在黑产交易市场上更具价值。



Z

诊股料




【释义】在非法数据交易中,诊指客户在股票交易平台或投资顾问公司中的敏感信息,如个人身份数据、交易历史和投资偏好等,这些数据被黑产非法获取后,通常会转售给第三方,用于定向营销、诈骗等非法活动。


02 数据泄露产业链中涉及的不同角色和手段




C

 查档




【释义】指黑产团伙可提供指定人员的资料档案,如通过一个手机号,可以查询这个手机号相关的身份信息,如地址、银行卡号、名下资产等。查档服务包含查询类服务、解密服务、强登类服务等。

【关联报告】

【黑产大数据】2024年数据泄露风险态势报告(点击查看报告详情)

2024年,“查档”模式迅速发展,并“解密”与“强登”两种新型数据泄露方式。“强登”自6月起现身,先在电商巨头平台出现,后波及外卖、快递等多平台;“解密”则是黑产为破解隐私面单而生,近一年来,相关数据泄露事件呈上升趋势。



J

解密




【释义】订单解密主要是针对快递隐私面对单,通过“快递单号+虚拟号码(或前三后四打码的手机号)”进行解密,获取完整手机号。

【关联报告】

【黑产大数据】2024年数据泄露风险态势报告(点击查看报告详情)

近年来,“隐私面单”技术不断发展,通过隐藏用户真实手机号来保护个人信息安全。过去一年,在物流行业监管加强和企业的共同努力下,隐私面单的推广有效减少了快递面单泄露事件,整体治理效果明显(见下图)。但道高一尺魔高一丈,2024年黑产推出了新的查档服务——“解密”来破解隐私面单,最近一年,“解密”相关数据泄露事件逐渐增多。



K

开盒




【释义】指黑灰产分子通过非法手段获取并公开曝光他人隐私数据与信息。在数据泄露场景下,黑灰产分子会在匿名群聊上进行“开盒”操作,非法获取并披露个人敏感信息,例如身份证号、住址、电话号码、社交账号、财务记录等隐私数据。



K

库主




【释义】

通常指掌握并运营社工库、撞库数据、泄露数据库的关键人物。这些人通过非法渠道获取、整理和管理大量敏感数据,提供查询、售卖、订阅等服务,构建起地下数据交易的核心生态。



L

料主




【释义】指那些掌握并出售大量泄露数据的主要人物或组织。料主通常是黑产链条中的核心角色,他们通过各种手段获取数据,然后将这些数据整理、分类,并高价出售给下游买家(料客)。这些买家通常会将数据用于各种非法活动,如诈骗、身份盗窃、网络攻击等。   



L

料客




【释义】指那些从料主或其他渠道购买泄露数据的个人或组织,他们利用这些数据从事各种非法活动,牟取利益。通常料客会将数据进行金融诈骗、身份盗窃、网络攻击、垃圾邮件和广告、社交工程攻击、二次贩卖、数据交换等。料客是地下数据交易产业链中的重要组成部分,他们通过非法手段使用泄露的数据,对个人、企业甚至社会带来广泛的危害。   



L

料站




【释义】在黑市交易中特指CVV料售卖的地方,料站成员间通过虚拟货币进行交易,它的背后由成千上万的料主构成,料主专门提供新鲜的CVV料信息,出于风险和技术的原因,他们选择直接倒卖信息,而非自己动手。      



L

猎魔




【释义】

也称lm,在非法数据交易中指一种在社工库中常见的模糊查询方式。通常用于定位并提取特定目标的敏感信息。

如:查询者在社工库中输入一个常见名字(例如“张三”)时,系统会返回包含生日、地区、性别等字段的多个记录。利用这些辅助信息,查询者就能从众多同名信息中精准地筛选出你想要查找的那一条数据。



M

卖库




【释义】指出售数据库信息的非法行为。参与卖库的组织或个人通过各种方式获取大量的个人信息、账号密码等敏感数据,然后在黑市上进行交易,获取非法利润。卖库者可能通过夸大数据的价值和使用效果,吸引买家购买这些非法数据。卖库行为带来的短期收益往往很高,但同时也伴随着极高的法律和道德风险。 



Q

强登




【释义】指黑灰产通过多种复杂手法强行登录用户的平台账号,获取账号下的具体订单等敏感信息,再把这些信息提供给下游数据购买者,在中游数据售卖时售卖广告会标注【强登】。

【关联报告】

【黑产大数据】2024年数据泄露风险态势报告(点击查看报告详情)

新型数据泄露类型“强登”出现,涉及电商、外卖、快递等行业头部平台.


威胁猎人在2024年发现了一种新的查档类型——“强登”,泄露信息主要涉及用户的网购订单、外卖配送订单、出行打车订单、快递订单信息等,涵盖了电商、快递、本地生活服务(主要是外卖行业)和出行服务等多个行业的头部平台。




S

扫号




【释义】“扫号”指通过自动化工具或脚本批量尝试登录账号,以获取有效账号和密码的过程。这种行为常常利用已经泄露的账号信息进行尝试登录,寻找那些密码没有改变或安全性较低的账号。扫号常用作于账号验证、数据滥用、二次攻击,对个人隐私及资金造成危害。   

【关联报告】

《注意!API扫号攻击已成为账号安全的重要威胁》(点击查看报告详情)

扫号攻击指黑产通过注册、登录或其他业务接口的返回值,如“账号已存在”或“账号不存在”,“您是老用户”或‘您是新用户’等来判断某个账号(用户名、邮箱、手机号等)是否在该平台注册过。


如果接口缺乏安全防护,黑产极易对接口发起大规模的扫号攻击,通过暴力枚举的方式,大量获取平台注册用户的账号。


暗网或地下黑市经常会有不法分子贩卖某些平台注册用户的手机号,其中不少就是由于扫号攻击导致的信息泄露。



S

手剥




【释义】

原词为“手拨”,通“手剥、手波、首波”等,词意为手动拨打的形式,主要为数据交易下游中的营销/诈骗团伙通过手动拨打电话的形式进行作恶,在非法数据交易过程中与中游黑产反馈交流中会使用到。    



S

手工打扶贫粉




【释义】

指黑产团伙通过人工方式在社交媒体等渠道大规模收集扶贫对象的个人信息。

【关联报告】

【黑产大数据】2024年数据泄露风险态势报告(点击查看报告详情)

威胁猎人情报人员通过对非法数据交易产业链各环节深入研究发现,非法交易市场中兜售的“扶贫料”有来自资金盘APP、手工打扶贫粉等。



S

社工库




【释义】指一种包含大量个人或组织信息的数据库,这些数据既可以是公开获取的,也可能来源于数据泄露、社交媒体或其他途径。通过构建一个全面的社工库,攻击者可以更有针对性地进行攻击,从而提高攻击的成功概率。



T

拖库




【释义】指黑客通过非法手段从数据库中大规模窃取数据的行为。通过漏洞利用、网络钓鱼、获取普通用户权限后,利用系统漏洞提升为管理员权限,从而获取数据库的完整访问权。利用有权限的内部人员非法获取并下载数据库数据等手段去窃取数据,目的是为了获得个人信息、账户信息、企业数据等,对个人隐私、企业造成危害。



X

洗料




【释义】指对原始数据进行清洗和整理的过程。这个过程包括去除无用信息、纠正错误数据、删除重复记录等,以使数据更加干净和有用,清洗后的数据通常更容易被利用和出售。



X

洗客




【释义】主要通过多种手段方式针对上游获取到的数据进行清洗以及补充,目的是为了提高数据的可利用价值。比如会针对用户信息数据中的无效电话号码、空号等这一类进行过滤清洗,对用户手机号的归属地地区进行归类、年龄情况等进行补充。而下游在进行作恶时可以更针对性的,精准的进行营销/诈骗。