近日�,涉及國(guó)內(nèi)多家銀行數(shù)百萬(wàn)條客戶(hù)數(shù)據(jù)資料�����、在暗網(wǎng)被標(biāo)價(jià)兜售的消息廣為流傳�。
盡管涉事各家銀行進(jìn)行數(shù)據(jù)比對(duì)核查之后����,均否認(rèn)了被兜售的數(shù)據(jù)資料包真實(shí)性��。但是�����,牽涉面甚廣的龐大的金融數(shù)據(jù)�,尤其是銀行用戶(hù)涉敏信息的如何保障安全性,仍持續(xù)在行業(yè)引發(fā)關(guān)注����、研討。
尤其是,伴隨銀行線(xiàn)下業(yè)務(wù)線(xiàn)上化��、與流量方邊界日益拓寬等新變化����,泄密在前端�、在外包管理領(lǐng)域,也給銀行數(shù)據(jù)安全管理帶來(lái)新挑戰(zhàn)�����。截至2019年底��,我國(guó)開(kāi)立銀行賬戶(hù)113.52億戶(hù)、全國(guó)人均擁有銀行賬戶(hù)數(shù)達(dá)8.09戶(hù),這些賬戶(hù)安全誰(shuí)來(lái)守護(hù)��?
這次疑涉百萬(wàn)條客戶(hù)數(shù)據(jù)被盜賣(mài)的消息���,神秘交易地“暗網(wǎng)”浮出水面,再次讓更多人關(guān)注起這個(gè)通過(guò)特殊技術(shù)手段才可登入的秘境��。
而更多人不知道的是��,“你看到的只是冰山一角����,暗網(wǎng)交易的信息非常非常多����,金融相關(guān)信息可以占到7成以上。”通過(guò)連日多方采訪(fǎng),券商中國(guó)記者試圖還原一組金融數(shù)據(jù)是如何被盜取���、流入暗網(wǎng)����、被誰(shuí)交易售出、由誰(shuí)流出市場(chǎng)的暗網(wǎng)鏈條�����。
百萬(wàn)條用戶(hù)資料被“白菜價(jià)”非法甩賣(mài)?銀行:與真實(shí)數(shù)據(jù)不符
涉及國(guó)內(nèi)多家銀行數(shù)百萬(wàn)條客戶(hù)數(shù)據(jù)資料,在暗網(wǎng)被標(biāo)價(jià)兜售�����,連日來(lái)引發(fā)行業(yè)廣泛關(guān)注�����。4月15日����,一位金融安全技術(shù)人士向券商中國(guó)記者證實(shí)了在暗網(wǎng)看到該條盜賣(mài)信息。
從數(shù)據(jù)安全人士此前發(fā)布的相關(guān)截圖來(lái)看:被售賣(mài)信息里包含了大規(guī)模的金融機(jī)構(gòu)客戶(hù)數(shù)據(jù)泄露,其中涉及上海銀行80.3155萬(wàn)條�����、浦發(fā)銀行10萬(wàn)條��、招商銀行上海分行6.3萬(wàn)條�����、中國(guó)農(nóng)業(yè)銀行90萬(wàn)條、興業(yè)銀行46萬(wàn)條客戶(hù)資料,其中既有儲(chǔ)蓄賬戶(hù)�����、也有信用卡賬戶(hù)及私行理財(cái)賬戶(hù),含客戶(hù)姓名��、客戶(hù)類(lèi)型��、性別年齡����、手機(jī)號(hào)碼�����、開(kāi)戶(hù)賬號(hào)��、住址郵編���、存款數(shù)據(jù)等信息��。
此外,還包括經(jīng)過(guò)初步分類(lèi)的20萬(wàn)條企業(yè)代表資料��,包含公司名稱(chēng)�、注冊(cè)資本���、企業(yè)經(jīng)營(yíng)范圍等����。需指出的是�����,該部分信息多為公開(kāi)可獲取信息��。
“46萬(wàn)條銀行信用卡客戶(hù)數(shù)據(jù)標(biāo)價(jià)不到100美元����,90萬(wàn)條數(shù)據(jù)標(biāo)價(jià)只賣(mài)3999美元(折合人民幣約2.8萬(wàn)元)����,簡(jiǎn)直是‘白菜價(jià)’;如果是真實(shí)數(shù)據(jù)����,這么龐大的數(shù)據(jù)量實(shí)際售價(jià)至少10倍以上。”一位大數(shù)據(jù)行業(yè)風(fēng)控總監(jiān)向券商中國(guó)記者評(píng)價(jià)�����,盡管截圖顯示的樣例數(shù)據(jù)非常詳盡���,但這么大的數(shù)據(jù)量?jī)r(jià)格卻低得離譜�,盜賣(mài)數(shù)據(jù)是不是真的�、可信度要打個(gè)問(wèn)號(hào)。
為了核實(shí)上述情況���,記者也第一時(shí)間聯(lián)系了涉事銀行,各家銀行相對(duì)一致態(tài)度是:經(jīng)過(guò)核查比對(duì)�,與真實(shí)數(shù)據(jù)信息不符;不排除不法分子將不明來(lái)源數(shù)據(jù)冠以金融機(jī)構(gòu)名義兜售����,以牟取非法利益��。
興業(yè)銀行相關(guān)負(fù)責(zé)人回復(fù)��,“所謂的‘興業(yè)銀行信用卡客戶(hù)信息’與我行真實(shí)的客戶(hù)信息要素并不吻合�����,不排除系不法分子偽造����、售賣(mài)所謂銀行客戶(hù)信息牟取不當(dāng)利益����。”
招商銀行方面人士告訴記者����,“經(jīng)比對(duì)相關(guān)數(shù)據(jù),與我行真實(shí)客戶(hù)信息并不吻合����,網(wǎng)絡(luò)上的信息不屬實(shí)����。我行譴責(zé)任何偽造并販賣(mài)公民信息的犯罪行為����,并保留追究損害我行聲譽(yù)法律責(zé)任的權(quán)利。”
浦發(fā)銀行方面回應(yīng)稱(chēng)�,“經(jīng)排查比對(duì),相關(guān)數(shù)據(jù)無(wú)我行賬戶(hù)信息��,且與我行客戶(hù)信息要素不符。”
上海銀行相關(guān)人士回應(yīng)記者稱(chēng)���,“進(jìn)行了詳細(xì)比對(duì),發(fā)現(xiàn)其所謂客戶(hù)信息中并無(wú)我行銀行賬戶(hù)信息����,且與我行真實(shí)客戶(hù)信息關(guān)鍵要素并不匹配�?����?烧J(rèn)定該販賣(mài)信息非我行泄露數(shù)據(jù),不排除系不法分子為牟取不當(dāng)利益?zhèn)卧?����、拼湊���、出售所謂銀行的客戶(hù)信息��。”
全國(guó)開(kāi)立銀行賬戶(hù)達(dá)113.5億誰(shuí)在守護(hù)安全?
百萬(wàn)條被兜售的數(shù)據(jù)資料包盡管真實(shí)性被駁���,但龐大的金融數(shù)據(jù)尤其是銀行用戶(hù)涉敏信息的安全性如何保障?已足夠引起行業(yè)及監(jiān)管對(duì)金融數(shù)據(jù)安全的重視���。
央行統(tǒng)計(jì)顯示���,銀行賬戶(hù)數(shù)量穩(wěn)步增長(zhǎng)���,截至2019年末����,全國(guó)共開(kāi)立銀行賬戶(hù)113.52億戶(hù)、同比增長(zhǎng)12.07%�,其中����,全國(guó)開(kāi)立單位銀行賬戶(hù)6836.87萬(wàn)戶(hù)����、同比增長(zhǎng)11.73%,個(gè)人銀行賬戶(hù)112.84億戶(hù),同比增長(zhǎng)12.07%�,全國(guó)人均擁有銀行賬戶(hù)數(shù)達(dá)8.09戶(hù)����。
為業(yè)界所公認(rèn)的是����,金融行業(yè)尤其是銀行業(yè)是風(fēng)控建設(shè)最好的行業(yè),其中信息科技領(lǐng)域的風(fēng)控建設(shè)和落地水平遠(yuǎn)高于其他行業(yè)�����。依據(jù)銀保監(jiān)會(huì)“商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引”,銀行業(yè)有嚴(yán)格的風(fēng)控建設(shè)體系和風(fēng)控監(jiān)督體系,有嚴(yán)謹(jǐn)?shù)娘L(fēng)險(xiǎn)控制點(diǎn)的識(shí)別�����、評(píng)價(jià)、處置����、跟蹤機(jī)制�����。
“銀行業(yè)信息科技風(fēng)控要求較高,需要符合國(guó)內(nèi)外風(fēng)控管理要求,包括商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引、巴薩爾協(xié)議、塞班斯法案等。”騰訊安全數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)人彭思翔告訴記者���。
杭州某大型技術(shù)公司金融事業(yè)部總經(jīng)理曾負(fù)責(zé)過(guò)銀行物聯(lián)網(wǎng)解決方案�,涉及到數(shù)據(jù)服務(wù)采集業(yè)務(wù)����,他向記者舉例�,“設(shè)備采集的信息一般會(huì)保存在當(dāng)?shù)劂y行機(jī)構(gòu)����,在信息保存����、傳輸安全性方面����,一方面是,銀行本身設(shè)有專(zhuān)網(wǎng),內(nèi)網(wǎng)���、外網(wǎng)隔開(kāi),還有硬件設(shè)施方面的防火墻設(shè)置防護(hù);另一方面���,各家銀行內(nèi)部有各個(gè)層級(jí)對(duì)安全認(rèn)證的嚴(yán)格復(fù)核管理�。”
“銀行的IT系統(tǒng)不具備大規(guī)模向外泄露數(shù)據(jù)的可能性。”一家股份行風(fēng)險(xiǎn)管理部門(mén)總監(jiān)向券商中國(guó)記者分析��,“按銀保監(jiān)會(huì)的相關(guān)規(guī)定���,銀行業(yè)IT系統(tǒng)基本分為:生產(chǎn)域、測(cè)試域���、互聯(lián)網(wǎng)域等���,其中���,三個(gè)域之間的數(shù)據(jù)傳輸收到嚴(yán)格限制。只有在生產(chǎn)域才能看到數(shù)據(jù)的全貌�,測(cè)試域只有用于測(cè)試的數(shù)據(jù),有數(shù)據(jù)量和脫敏的相關(guān)要求���,互聯(lián)網(wǎng)域基本沒(méi)有客戶(hù)信息�����。從技術(shù)上���、系統(tǒng)上,大規(guī)模數(shù)據(jù)外泄講不通���。”
DataVisor黑產(chǎn)研究專(zhuān)家���、高級(jí)技術(shù)經(jīng)理周君楨的看法類(lèi)似���,金融機(jī)構(gòu)尤其是銀行的安全風(fēng)險(xiǎn)等級(jí)最為嚴(yán)格,一方面是監(jiān)管要求高����、管理嚴(yán);另一方面是業(yè)務(wù)屬性決定,對(duì)于銀行來(lái)說(shuō),客戶(hù)賬戶(hù)信息是核心商業(yè)價(jià)值要素之一����,銀行會(huì)投入大量人力、物力做相關(guān)保障���,大中型銀行也具備強(qiáng)大技術(shù)團(tuán)隊(duì)和實(shí)力����。
流量經(jīng)濟(jì)爆發(fā)的安全新挑戰(zhàn):泄密在前端
從近期發(fā)布的國(guó)有六大行年報(bào)來(lái)看,其中有四家2019年科技投入總金額突破百億元,最高的建設(shè)銀行投入176.33億元;截至2019年末�����,工商銀行金融科技人員規(guī)模多達(dá)3.48萬(wàn)名�����、在全員占比高達(dá)7.82%����,其次是建設(shè)銀行、交通銀行��、中國(guó)銀行、農(nóng)業(yè)銀行金融科技人員占比分別為2.75%、4.05%���、2.58%、1.58%。
銀行加大科技投入、科技人員擴(kuò)容規(guī)模空前�����。然而�,銀行數(shù)據(jù)涉密各個(gè)環(huán)節(jié)����,盡管被最高等級(jí)的風(fēng)險(xiǎn)防護(hù)�����,仍難有萬(wàn)全之說(shuō)。
首先是不同金融機(jī)構(gòu)之間�����、金融機(jī)構(gòu)內(nèi)部之間的安全能力有差異。“大中型的金融機(jī)構(gòu)風(fēng)險(xiǎn)等級(jí)高��,但是一些分支機(jī)構(gòu)風(fēng)險(xiǎn)能力就較弱,可能賬戶(hù)密碼保護(hù)不嚴(yán)密。一些地下灰黑產(chǎn)業(yè)�����,就會(huì)有組織�����、有目的性地去攻擊�,抓住一些系統(tǒng)平臺(tái)存在的漏洞��。”周君楨介紹�。
“銀行的風(fēng)控水平并不是一碗水端平��。”上述股份行智能風(fēng)控中心總監(jiān)直言���,“有的銀行風(fēng)控水平高�����、有的銀行風(fēng)控水平低,實(shí)力強(qiáng)的銀行所有的模型都是行內(nèi)專(zhuān)業(yè)人員建模;但是對(duì)于部分地方偏遠(yuǎn)地區(qū)的銀行等,缺乏高端數(shù)據(jù)專(zhuān)業(yè)人才,只能通過(guò)外包方式去建模型����。甚至部分不具備技術(shù)能力的銀行直接拿過(guò)來(lái)就用一些第三方公司流量數(shù)據(jù)���,這些數(shù)據(jù)包括身份認(rèn)證三要素和部分行為特征,但是往往這類(lèi)數(shù)據(jù)可能在使用前已經(jīng)可能被泄密了����。”
“泄密環(huán)節(jié)出在前端�。”——在數(shù)位金融機(jī)構(gòu)風(fēng)控資深從業(yè)人士看來(lái),這是伴隨著近幾年的銀行線(xiàn)下業(yè)務(wù)線(xiàn)上化����,在風(fēng)險(xiǎn)防控上一個(gè)更應(yīng)該引起行業(yè)注意的新變化���。
在彭思翔看來(lái),銀行數(shù)據(jù)泄露可能發(fā)生的場(chǎng)景,除了信息科技運(yùn)行領(lǐng)域訪(fǎng)問(wèn)控制策略不當(dāng),開(kāi)發(fā)��、測(cè)試和維護(hù)領(lǐng)域三個(gè)環(huán)節(jié)未分離或分離后數(shù)據(jù)未脫敏���,以及信息安全領(lǐng)域系統(tǒng)漏洞之外�,其中一個(gè)重要的方面就發(fā)生在“外包管理領(lǐng)域”���,“特別是對(duì)外包研發(fā)�、測(cè)試的管理不當(dāng)。生產(chǎn)環(huán)境暴露�����、數(shù)據(jù)庫(kù)過(guò)度授權(quán)�,都會(huì)引起數(shù)據(jù)泄露����。”
“因?yàn)樾袠I(yè)業(yè)務(wù)屬性不同,銀行的IT系統(tǒng)和互聯(lián)網(wǎng)公司之間,往往有代際差異����。”該股份行智能風(fēng)控中心總監(jiān)向記者舉例�����。“比如面對(duì)一個(gè)互聯(lián)網(wǎng)流量平臺(tái)采用流量分發(fā)模型�����,100萬(wàn)客戶(hù)分發(fā)給數(shù)十家不同的銀行�,與之相應(yīng)的��,銀行與之對(duì)接的是流量準(zhǔn)入模型;很天然地����,這兩個(gè)模型之間是對(duì)抗關(guān)系,準(zhǔn)入模型希望準(zhǔn)入更多,而分發(fā)模型希望篩掉更多;在現(xiàn)實(shí)情況中,相比互聯(lián)網(wǎng)公司���,銀行IT系統(tǒng)靈活度、可使用工具��、覆蓋的行為數(shù)據(jù)數(shù)等��,都處于相對(duì)劣勢(shì)���。”
“今后銀行數(shù)據(jù)風(fēng)控管理必將趨嚴(yán)”
“為促進(jìn)金融行業(yè)健康發(fā)展與風(fēng)險(xiǎn)控制����,監(jiān)管層已經(jīng)通過(guò)發(fā)布監(jiān)管指引并將數(shù)據(jù)治理與監(jiān)管評(píng)級(jí)掛鉤的方式�,來(lái)提高銀行業(yè)對(duì)數(shù)據(jù)治理工作的重視�����,不管有沒(méi)有出現(xiàn)這次的事件���,銀行今后數(shù)據(jù)風(fēng)控管理上必將是趨嚴(yán)的。”數(shù)位銀行業(yè)內(nèi)人士均認(rèn)為�����,盡管這次盜賣(mài)數(shù)據(jù)真實(shí)性存疑�����,但它后續(xù)仍然會(huì)也業(yè)務(wù)層面產(chǎn)生影響�����。
2018年5月,銀保監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》,旨在引導(dǎo)銀行業(yè)金融機(jī)構(gòu)加強(qiáng)數(shù)據(jù)治理。去年12月,金融業(yè)移動(dòng)金融APP備案首批試點(diǎn)開(kāi)啟���,首批23家試點(diǎn)備案名單中就有16家銀行����,含5家國(guó)有大行、5家股份行�、3家城商行�、2家農(nóng)商行����、1家農(nóng)信聯(lián)社,涉及提升安全防護(hù)、加強(qiáng)個(gè)人金融信息保護(hù)、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律5個(gè)方面,并劃定了涉及個(gè)人金融信息采集�、使用、留存等方面四大紅線(xiàn)。
事實(shí)上���,銀行數(shù)據(jù)管理趨嚴(yán)背后��,是國(guó)家層面對(duì)個(gè)人信息數(shù)據(jù)管理工作地系統(tǒng)性出擊�����。去年下半年���,工信部等數(shù)次公開(kāi)點(diǎn)名批評(píng)百余款應(yīng)用軟件及其運(yùn)營(yíng)企業(yè),涉及未經(jīng)用戶(hù)同意超范圍及非必要使用個(gè)人信息等違規(guī)情形。
券商中國(guó)記者注意到,去年5月份到8月份�����,監(jiān)管部門(mén)密集出臺(tái)了關(guān)于數(shù)據(jù)安全管理辦法、APP違規(guī)收集使用個(gè)人信息行為認(rèn)定方法等多項(xiàng)征求意見(jiàn)稿及草案�。這也和上述數(shù)位銀行業(yè)人士的判斷類(lèi)似����,當(dāng)前央行對(duì)銀行數(shù)據(jù)治理指引已經(jīng)非常詳盡�,未來(lái)的變化更多出現(xiàn)在相關(guān)立法層面���。
“在數(shù)據(jù)確權(quán)、數(shù)據(jù)治理上,中國(guó)有著絕對(duì)的優(yōu)勢(shì)��,將是一個(gè)世界性的數(shù)據(jù)資產(chǎn)大國(guó)�����。”京東數(shù)科數(shù)字技術(shù)中心數(shù)據(jù)資產(chǎn)部總經(jīng)理張旭認(rèn)為,數(shù)據(jù)資產(chǎn)是銀行的核心資產(chǎn)�����,是政府安保數(shù)據(jù)之外最值得信賴(lài)的數(shù)據(jù)����,但數(shù)據(jù)向前發(fā)展必然面臨著確權(quán),以及海量數(shù)據(jù)在手之后如何通過(guò)人工智能等新技術(shù)做深度挖掘���、開(kāi)發(fā)應(yīng)用���。
“從大環(huán)境的導(dǎo)向來(lái)看��,為業(yè)內(nèi)普遍認(rèn)同的是,監(jiān)管曾仍然鼓勵(lì)在合規(guī)前提下推動(dòng)金融機(jī)構(gòu)數(shù)據(jù)高質(zhì)量發(fā)展���,比如與各類(lèi)政務(wù)數(shù)據(jù)互聯(lián)互通����,建立跨區(qū)域的數(shù)據(jù)融合應(yīng)用等��。”蘇寧金融研究院院長(zhǎng)助理薛洪言接受券商中國(guó)記者采訪(fǎng)時(shí)稱(chēng)。
龐大數(shù)據(jù)黑色交易網(wǎng):金融相關(guān)占比7成以上
“暗網(wǎng)售賣(mài)數(shù)據(jù)是有組織嚴(yán)密的產(chǎn)業(yè)鏈����,竊取售賣(mài)數(shù)據(jù)是黑產(chǎn)中隱藏最深的����、歷史最悠久的�、最成熟的變現(xiàn)方式�����。”騰訊安全數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)人彭思翔直言�。
2018年被業(yè)內(nèi)認(rèn)為是數(shù)據(jù)保護(hù)的元年���,卻也是數(shù)據(jù)泄露的灰色之年。當(dāng)年3月�,F(xiàn)acebook被曝8700多萬(wàn)條用戶(hù)數(shù)據(jù)泄露、遭遇其有史以來(lái)最大型數(shù)據(jù)泄露危機(jī)。而在國(guó)內(nèi)��,2018年初有國(guó)內(nèi)某評(píng)價(jià)連鎖酒店傳出涉及5億條顧客隱私數(shù)據(jù)在暗網(wǎng)販賣(mài);今年3月�����,國(guó)內(nèi)某APP發(fā)生信息泄露�,在暗網(wǎng)上被以“5.38億用戶(hù)綁定手機(jī)號(hào)數(shù)據(jù),其中1.72億有賬號(hào)基本信息”的名義進(jìn)行售賣(mài)�。
近年來(lái)頻繁爆發(fā)重大企業(yè)信息資料或用戶(hù)數(shù)據(jù)泄漏事件���,讓暗網(wǎng)這個(gè)“地下黑市”逐漸被社會(huì)所認(rèn)知。
“暗網(wǎng)��,可以簡(jiǎn)單理解為互聯(lián)網(wǎng)的一個(gè)地址�����,有一定技術(shù)手段都可以訪(fǎng)問(wèn)����。最大特性是匿名平臺(tái),很難追溯���,匿名傳輸��,匿名貨幣交易����。”周君楨告訴記者,“市場(chǎng)規(guī)模很難統(tǒng)計(jì)�����,你看到的只是冰山一角�����,暗網(wǎng)交易的信息非常非常多。”
“金融相關(guān)的數(shù)據(jù)情報(bào)數(shù)據(jù)占到7成以上,尤其涉及金融屬性的個(gè)人隱私信息,如金融開(kāi)戶(hù)信息���,信用卡等,國(guó)內(nèi)國(guó)外同樣如此�����。”
而他注意到一個(gè)明顯的變化是����,從2018年以來(lái)�����,隨著傳統(tǒng)金融數(shù)字化轉(zhuǎn)型的加速,銀行、證券、保險(xiǎn)尤其是互聯(lián)網(wǎng)金融等類(lèi)型金融數(shù)據(jù)明顯增多�����,諸多信息經(jīng)常在暗網(wǎng)上被倒賣(mài)���,
騰訊安全報(bào)告從2018年暗網(wǎng)數(shù)據(jù)交易的情況(抽樣數(shù)據(jù))來(lái)看����,帳號(hào)/郵箱類(lèi)數(shù)據(jù)、個(gè)人信息��、網(wǎng)購(gòu)/物流數(shù)據(jù)、銀行數(shù)據(jù)�、網(wǎng)貸數(shù)據(jù)位列前五,分別占比為19.78%、12.19%���、9.69%����、9.02%和8.3%����,其它還有博彩數(shù)據(jù)、股市數(shù)據(jù)����、企業(yè)工商數(shù)據(jù)等信息�����。
2018年暗網(wǎng)交易數(shù)據(jù)分布占比情況
來(lái)源:騰訊安全
彭思翔介紹,黑產(chǎn)者盜取數(shù)據(jù)的具體手段包括技術(shù)入侵、社會(huì)工程學(xué)及APT攻擊,也形成了脫���、洗、撞三步循環(huán)的模式���,“脫庫(kù)是指入侵有價(jià)值的企業(yè),把數(shù)據(jù)庫(kù)全部盜走;洗庫(kù)指對(duì)數(shù)據(jù)初步清洗�,拿到其中最有價(jià)值的數(shù)據(jù)去變現(xiàn);撞庫(kù)指清洗后發(fā)現(xiàn)可以繼續(xù)利用的數(shù)據(jù)�,會(huì)到別的應(yīng)用、企業(yè)繼續(xù)嘗試滲透脫庫(kù),形成循環(huán)操作模式�����,一個(gè)企業(yè)或者一個(gè)行業(yè)的數(shù)據(jù)將全部被獲取。”
比如���,銀行業(yè)里儲(chǔ)存了大量用戶(hù)敏感信息且又全又準(zhǔn)確��,而銀行開(kāi)展了大量業(yè)務(wù)應(yīng)用����、更新速度快,這又帶來(lái)攻擊面大�、窗口多�,但銀行又很難做到滴水不漏的防護(hù)�,“這就會(huì)成為黑產(chǎn)重點(diǎn)攻擊的目標(biāo)���。”
由誰(shuí)賣(mài)出����、被誰(shuí)買(mǎi)入
不少人有類(lèi)似的經(jīng)歷:在某銀行剛辦理按揭貸款,隨后不斷收到各類(lèi)第三方平臺(tái)的信貸類(lèi)�、消費(fèi)類(lèi)營(yíng)銷(xiāo)電話(huà)和短信����。
“這是典型的個(gè)人信息泄露的情況�����,比如房貸辦理需書(shū)面填寫(xiě)較多個(gè)人信息��,不排除有機(jī)構(gòu)人員或信息接觸者將信息留存在轉(zhuǎn)手倒賣(mài)����,比如一些信息中介或金融代理機(jī)構(gòu)����,聯(lián)合第三方營(yíng)銷(xiāo)推廣平臺(tái)的慣用操作手法��。”周君楨解釋?zhuān)?ldquo;不過(guò),相比這類(lèi)信息泄露,暗網(wǎng)更多是有組織�、有目標(biāo)的盜取�����、買(mǎi)賣(mài)���。”
“早期一般一個(gè)團(tuán)隊(duì)或者單人來(lái)完成����,但是目前已經(jīng)完全產(chǎn)業(yè)化�、專(zhuān)業(yè)化�,固定的團(tuán)隊(duì)進(jìn)行脫庫(kù),再賣(mài)給洗庫(kù)團(tuán)隊(duì)�,再賣(mài)給撞庫(kù)團(tuán)隊(duì)���,互不干涉�����,通過(guò)虛擬化貨幣交割���,追查極其困難。”彭思翔告訴記者����,“絕大部分被盜數(shù)據(jù)不會(huì)公開(kāi)出來(lái)����,而是進(jìn)入到秘密交易環(huán)節(jié),作用在特定的場(chǎng)景中���,如競(jìng)爭(zhēng)對(duì)手戰(zhàn)略分析�、同業(yè)用戶(hù)爭(zhēng)奪�����、上下游業(yè)務(wù)定推等��,此類(lèi)秘密交易也可稱(chēng)為定制化數(shù)據(jù)交易���,特點(diǎn)是數(shù)據(jù)只賣(mài)一次或在某個(gè)時(shí)間窗口禁售��,而公開(kāi)在暗網(wǎng)交易的數(shù)據(jù)是多次多家進(jìn)行販?zhǔn)邸?rdquo;
而在買(mǎi)方上��,“更多不是在個(gè)人論壇賣(mài)�����,往往是賣(mài)給專(zhuān)業(yè)信息商或數(shù)據(jù)商���,后者對(duì)數(shù)據(jù)加工�、匹配����、拼接��,數(shù)據(jù)完整性會(huì)更好���,層層轉(zhuǎn)包���、價(jià)值會(huì)更高���。”周君楨介紹����,通過(guò)數(shù)據(jù)加工完善��,信息精準(zhǔn)度明顯提高�����,國(guó)內(nèi)的電信詐騙、國(guó)外的信用卡盜刷往往由此�。
另一特征是其全球化趨勢(shì)���,全球都存在數(shù)據(jù)黑產(chǎn),且成為數(shù)據(jù)跨境非法流動(dòng)的主要渠道��。“如非洲國(guó)家的個(gè)人信息,被不法代理用于亞馬遜用戶(hù)注冊(cè)��,進(jìn)行欺詐和作弊行為。”彭思翔介紹���,黑客會(huì)把數(shù)據(jù)進(jìn)行整理并相互交流����、形成黑產(chǎn)的大數(shù)據(jù)服務(wù)商,具體來(lái)講就是社工庫(kù)���,在利益的驅(qū)使下,黑產(chǎn)向大數(shù)據(jù)服務(wù)和基礎(chǔ)設(shè)施建設(shè)等大規(guī)模����、高技術(shù)發(fā)展,這也給數(shù)據(jù)安全的治理加大了挑戰(zhàn)難度�����。
三大變現(xiàn)途徑:精準(zhǔn)詐騙、撞庫(kù)攻擊���、撒網(wǎng)式詐騙
截至2019年末�,中國(guó)網(wǎng)民數(shù)達(dá)8.29億,手機(jī)網(wǎng)民規(guī)模達(dá)到8.17億,在網(wǎng)民總數(shù)中的占比提升至98.6%;數(shù)字經(jīng)濟(jì)滲透在社會(huì)生活方方面面��,個(gè)人的數(shù)據(jù)軌跡也無(wú)處不在�����。
暗流涌動(dòng)的黑市交易侵蝕著用戶(hù)隱私��,而被盜取販賣(mài)隱私數(shù)據(jù)在直接變現(xiàn)以外,黑產(chǎn)從業(yè)者往往還會(huì)被利用購(gòu)得數(shù)據(jù)進(jìn)行精準(zhǔn)詐騙等犯罪行為��,進(jìn)一步損害個(gè)人權(quán)益�。
騰訊安全報(bào)告統(tǒng)計(jì)���,信息泄露催生三大變現(xiàn)途徑:精準(zhǔn)詐騙、撞庫(kù)攻擊以及撒網(wǎng)式詐騙����。
一個(gè)寫(xiě)在騰訊安全報(bào)告的案例是����,網(wǎng)購(gòu)用戶(hù)買(mǎi)完?yáng)|西后�,收到熱心“客服”的電話(huà)�����,“客服”以質(zhì)量問(wèn)題�����、物流問(wèn)題等事由,發(fā)送一個(gè)退款網(wǎng)頁(yè)鏈接或二維碼����,用戶(hù)按照提示操作即可退還高于購(gòu)物款的退款或退款保證金,之后“客服”會(huì)進(jìn)一步引導(dǎo)用戶(hù)把多收到的錢(qián)退還給網(wǎng)店�。
而很多人不知道的是�����,這是詐騙者通過(guò)暗網(wǎng)等獲得網(wǎng)購(gòu)用戶(hù)詳細(xì)信息后進(jìn)行的針對(duì)性電信詐騙����。用戶(hù)收到的款項(xiàng)其實(shí)是一些正規(guī)的貸款平臺(tái)的快速貸款�����,詐騙者利用網(wǎng)銀或第三方支付平臺(tái)上快速授信貸款等服務(wù)����,誤導(dǎo)用戶(hù)從貸款平臺(tái)貸款、然后將“多余”的款項(xiàng)打回詐騙者的網(wǎng)絡(luò)帳戶(hù)�。
“購(gòu)物退款”詐騙作案流程示意����,來(lái)自騰訊安全報(bào)告
騰訊安全報(bào)告指出�����,包括“購(gòu)物退款”��、冒充“公檢法”��、“發(fā)放助學(xué)金”����、“航班取消”�、“二胎生育退費(fèi)”���、“交通違章提醒”、“積分兌換現(xiàn)金”等精準(zhǔn)詐騙行為��,均是詐騙者基于個(gè)人信息特點(diǎn)精心設(shè)計(jì)的具有針對(duì)性的詐騙劇本���。
此外�,近四年來(lái)��,撞庫(kù)攻擊催化信息泄露在全球呈裂變式增長(zhǎng),這種惡意登陸更多是撞庫(kù)和掃號(hào)的攻擊�����。“從個(gè)人角度,需要提高防護(hù)意識(shí),從業(yè)務(wù)必要性的角度看是否給出授權(quán)信息;個(gè)人在使用金融賬戶(hù)時(shí),建議不同賬戶(hù)使用不同密碼,避免被有的技術(shù)公司利用信息進(jìn)行撞庫(kù),帶來(lái)資料泄露風(fēng)險(xiǎn)��。”周君楨說(shuō)���。
彭思翔也建議,個(gè)人密碼定期更換��、一個(gè)密碼最長(zhǎng)使用時(shí)間不超過(guò)6個(gè)月;加密自己的終端設(shè)備,包括電腦���、手機(jī)�、硬盤(pán);仔細(xì)查看服務(wù)提供商的隱私協(xié)議���,對(duì)不合理?xiàng)l款提出質(zhì)疑���。
“當(dāng)前一些高端的數(shù)據(jù)盜竊團(tuán)伙不會(huì)再接一般的數(shù)據(jù)定制需求���,而是專(zhuān)注在變現(xiàn)能力更強(qiáng)的金融詐騙�����。”彭思翔告訴券商中國(guó)記者��,隨著越來(lái)越多的終端支付和豐富的網(wǎng)絡(luò)電商活動(dòng)����,涉金融的數(shù)據(jù)安全管理形勢(shì)并不樂(lè)觀,也因此這也成為當(dāng)前多國(guó)關(guān)注和管控的重點(diǎn)��。
[責(zé)任編輯:h001]
