自2025年8月起,威胁猎人监测发现,非法数据交易市场中“新生儿”相关数据情报量急剧攀升,其热度被黑产从业者形容为“近期大热”。
通过对相关情报的溯源及关联分析,我们确认,这股异常的交易热潮背后,隐藏着一条由下游“育儿补贴”精准诈骗需求驱动,并贯穿上游多渠道数据窃取与中游数据整合贩卖的完整黑色产业链。
一、新生儿数据泄露市场呈现显著增长态
威胁猎人观察显示,“新生儿”信息泄露并非今年首次出现,早在去年10月便已在黑产渠道中流通。
但其情报量从2024年10月-12月的82条风险情报,到2025年5月-8月共计1026条风险情报,上涨1151.22%,清晰反映了下游黑产需求的变化趋势。
主要分为三个阶段:
萌芽期(2024年10月-2024年12月):新生儿数据交易量维持在较低水平,月均情报量约20条。 数据主要购买方为传统母婴用品、月子中心等正规或灰色营销机构,数据价值尚未被充分挖掘。
酝酿攀升期(2025年1月-2025年4月):新生儿数据交易量开始呈现攀升态势。 尤其在3月国家出台相关补贴政策,明确将推动发放育儿补贴后,诈骗团伙敏锐嗅到商机,迅速制定“育儿补贴”类诈骗手法,并开始在非法数据交易市场大量搜寻“新生儿”家庭个人信息数据。
爆发期(2025年5月-2025年8月):一方面经过前期市场培育供需对接,整体产业链已臻于成熟;另一方面在7、8月国家育儿补贴制度实施方案公布以及育儿补贴系统试运行后,新生儿信息数据交易在8月达到顶峰,单月情报量飙升至645条。
此时,“新生儿数据”已成为黑产市场的“硬通货”,形成了稳定的供给渠道和庞大的下游诈骗消费群体。黑产渠道中“最近大火的新生儿”的说法,正是这一市场现状的直接体现。
同时威胁猎人深入跟进收购新生儿数据的黑产,对方也明确表示主要用于诈骗作恶方向。结合非法数据交易市场情况,综合判断,5月-8月“新生儿数据”交易的爆发是下游“育儿补贴”诈骗规模化、产业化的直接结果,是典型的由犯罪需求驱动的数据泄露市场反应。
二、新生儿数据泄露源头多样化:
基层服务与商业机构CRM系统成为高风险点
根据威胁猎人的观察,新生儿数据主要为四类,分别是“xx之子(女、婴)”类数据、“头胎单胎”类数据、“住院电子病历”类数据以及“出生医学证明”类数据。
其中本次事件主要流传的数据类型为“xx之子(女、婴)”类数据、“头胎单胎”类数据,且该两类事件占整体事件情况超83%,因此威胁猎人进行着重深入分析。
2.1 “xx之子(女、婴)”类数据
1、数据最早出现时间:2024年11月
2、数据特征: 关键字段为“新生儿名”,其格式并非标准姓名,而是“[母亲姓名]之子/女/婴”。数据还包含父母双方姓名、联系电话及详尽的家庭住址。
3、影响范围:浙江、四川、青海、河南、广东等地区。
4、数据价格情况:据威胁猎人深入调研,在非法数据交易市场上此类数据平均价格在5元-7元/条。
(泄露数据样例)
5. 泄露来源分析:
基于泄露的信息字段内容分析:“[母亲姓名]之子/女”的非标准化命名规则,为临时性命名方式,在实践中高度符合医院产科病房为了区分和管理尚未正式取名的新生儿而采用的临时标识习惯(例如:床头卡、手腕/脚腕带、临时病历标签等);
基于社工黑产关于泄露来源分析: 在与黑灰产卖家的沟通中,对方声称数据来自“政府渠道”的“内鬼”,并表示渠道“稳定”,可提供“当天”的数据;
尽管黑灰产人员的说法将源头直接指向政府内部,但该情报的可靠性有待验证。这既可能是真实情况的反映,也可能是卖家为抬高数据价值、证明其“权威性”而采取的话术。
基于泄露数据影响范围分析:威胁猎人研究人员对黑产售卖的泄露数据涉及到的省份进行分析后发现,目前出售的【新生儿数据】所涉及的省份,均推行育儿补贴政策,包含四川、广东、河南、浙江等地;
整体结论:
综合对泄露数据特征及其影响范围的深度分析,威胁猎人发现本次新生儿信息泄露事件与特定省份推行的育儿补贴政策流程高度关联。数据泄露的核心环节,极有可能发生在推广育儿补贴的医疗机构或社区服务点的内部人员违规操作导致数据泄露。
(黑产表示关于数据来源的关键信息)
2.2 “头胎单胎”类数据:
1、数据最早出现时间:2025年3月
2、数据特征: 除基础身份信息(家长姓名、年龄、手机号)外,数据中包含了诸如“一胎”、“单胎”等具有显著商业营销价值的分类标签。
3、影响范围:全国范围。
4、数据价格情况:据威胁猎人深入调研,在非法数据交易市场上此类数据平均价格在6元/条。
5、泄露来源分析:
基于泄露的信息字段内容分析:公立医疗机构核心业务系统通常不包含“一胎”、“单胎”这类标签信息,其泄露来源疑似为商业化运营机构。
基于社工黑产关于泄露来源分析:售卖相关数据的黑产明确表示主要通过实时渗透月子中心获取相关数据。 结合泄露数据样例中出现的“ ”字符,更偏向于外部攻击抓包获取到的信息数据内容,进一步增强了外部攻击获取数据的可能性;
基于泄露数据影响范围分析:数据涉及全国各地,推断并非单一月子中心内部系统泄露,而是与全国各地月子中心用户信息相关的系统性泄露。
整体结论:
疑似数据泄露来源为连锁月子中心或高端产后康复机构的CRM(客户关系管理)系统。
原因:这类机构以营利为目的,精细化运营客户数据,为客户打上多维度标签(如“头胎”、“高龄产妇”、“VIP客户”等)以便后续营销。 同时,这类商业机构的网络安全投入和防护能力参差不齐,使其更容易成为黑客渗透攻击的目标。
三、下游犯罪团伙构建“育儿补贴”
精准诈骗闭环及非法精准营销
在获取精准的新生儿个人信息后,不法分子不仅围绕“育儿补贴”的核心话术构建了一套分工明确、流程严密的欺诈实施方案,还将其用于更广泛的非法精准营销活动。
以下为具体流程图:
1、新生儿信息数据窃取
数据窃取团伙通过非法手段(外部攻击、内部人员违规)的方式获取到新生儿家庭的信息数据,并贩卖至非法数据交易市场,流通至下游诈骗环节。
2、建立信任与导入
电话直连: 诈骗分子冒充“社保局”、“卫健委”等政府部门工作人员,直接致电受害者。在电话开头便能准确报出受害者姓名、新生儿出生日期等信息,建立初步信任。
社交流量导入: 通过在直播等平台进行“育儿补贴政策解读”直播,或建立相关主题的微信群/QQ群,吸引目标人群加入。随后,在群内利用已掌握的数据进行“身份核实”,营造官方氛围,诱导受害者进入下一步流程。
(上图为黑产在TG群招育儿补贴粉丝拉群的需求;右图为育儿补贴钓鱼诈骗的枪术,即流程或关键步骤)
3、实施诈骗与收割:
钓鱼网站/APP: 诱导受害者点击短信中的链接,或在群内发布的链接,跳转至高仿的“政府官方网站”或下载虚假APP。这些平台会要求受害者输入姓名、身份证、银行卡号、预留手机号甚至取款密码,以“完成补贴申领”。
远程操控与屏幕共享: 另一种更为隐蔽的方式是,诱导受害者下载带有远程控制功能的软件,或通过视频会议的“屏幕共享”功能,“手把手”指导受害者操作。在此过程中,诈骗分子会窃取受害者的银行卡验证码,或直接操控其手机银行进行转账。
(左图为育儿补贴群内发送钓鱼链接,右图为育儿补贴仿冒网站)
下游作恶手段的延伸:非法精准营销
新生儿数据的泄露其危害不仅限于直接的精准诈骗,非法精准营销同样是此类数据的重要下游应用,威胁猎人观察发现,被窃取的新生儿家庭信息,尤其是那些带有特定“分类标签”的数据,在黑产市场中具备显著的商业营销价值,并被不法分子或灰色营销机构用于非法精准营销。
比如“头胎单胎”类新生儿数据包含“一胎”、“单胎”等“具有显著商业营销价值的分类标签”,可用于精细化客户运营和后续营销;
如今年年初4月有关新闻就有报道,上海十多家医院近4万条新生儿信息被售卖,被用于儿童摄影机构精准营销,此类精准营销案例屡见不鲜。
写在最后:
新生儿数据泄露,是一起典型的由下游高价值变现场景(精准诈骗)倒逼上游数据供给的案例。 它暴露了我国在基层公共卫生服务系统和母婴商业机构两个关键环节的数据安全短板。 诈骗分子利用了社会热点(育儿补贴政策)和新生儿家庭的特殊心理状态,通过精准信息实现了“降维打击”,亟需引起相关监管部门和行业的高度警惕。
社会公众的自我防护与倡导
面对新生儿数据泄露和精准诈骗风险,社会公众尤其是新生儿家庭应强化信息安全意识。
务必警惕任何声称发放“育儿补贴”的不明链接、电话和社交媒体信息,所有通知需通过官方渠道核实。
切勿在非官方平台填写敏感个人信息或新生儿详细资料,更不可随意提供银行卡密码、验证码或允许远程操控。
一旦遭遇疑似诈骗或发现数据泄露线索,应立即向公安机关报案,并积极倡导相关部门加强对基层服务和商业机构的数据安全监管,共同构筑个人信息安全防线。
声明:本文来自威胁猎人Threat Hunter,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
