百萬(wàn)條銀行客戶信息疑被盜賣 誰(shuí)在守護(hù)安全?
來(lái)源: 券商中國(guó) 2020-04-20 17:05:41
近日,涉及國(guó)內(nèi)多家銀行數(shù)百萬(wàn)條客戶數(shù)據(jù)資料、在暗網(wǎng)被標(biāo)價(jià)兜售的消息廣為流傳。
盡管涉事各家銀行進(jìn)行數(shù)據(jù)比對(duì)核查之后,均否認(rèn)了被兜售的數(shù)據(jù)資料包真實(shí)性。但是,牽涉面甚廣的龐大的金融數(shù)據(jù),尤其是銀行用戶涉敏信息的如何保障安全性,仍持續(xù)在行業(yè)引發(fā)關(guān)注、研討。
尤其是,伴隨銀行線下業(yè)務(wù)線上化、與流量方邊界日益拓寬等新變化,泄密在前端、在外包管理領(lǐng)域,也給銀行數(shù)據(jù)安全管理帶來(lái)新挑戰(zhàn)。截至2019年底,我國(guó)開(kāi)立銀行賬戶113.52億戶、全國(guó)人均擁有銀行賬戶數(shù)達(dá)8.09戶,這些賬戶安全誰(shuí)來(lái)守護(hù)?
這次疑涉百萬(wàn)條客戶數(shù)據(jù)被盜賣的消息,神秘交易地“暗網(wǎng)”浮出水面,再次讓更多人關(guān)注起這個(gè)通過(guò)特殊技術(shù)手段才可登入的秘境。
而更多人不知道的是,“你看到的只是冰山一角,暗網(wǎng)交易的信息非常非常多,金融相關(guān)信息可以占到7成以上。”通過(guò)連日多方采訪,券商中國(guó)記者試圖還原一組金融數(shù)據(jù)是如何被盜取、流入暗網(wǎng)、被誰(shuí)交易售出、由誰(shuí)流出市場(chǎng)的暗網(wǎng)鏈條。
百萬(wàn)條用戶資料被“白菜價(jià)”非法甩賣?
銀行:與真實(shí)數(shù)據(jù)不符
涉及國(guó)內(nèi)多家銀行數(shù)百萬(wàn)條客戶數(shù)據(jù)資料,在暗網(wǎng)被標(biāo)價(jià)兜售,連日來(lái)引發(fā)行業(yè)廣泛關(guān)注。4月15日,一位金融安全技術(shù)人士向券商中國(guó)記者證實(shí)了在暗網(wǎng)看到該條盜賣信息。
從數(shù)據(jù)安全人士此前發(fā)布的相關(guān)截圖來(lái)看:被售賣信息里包含了大規(guī)模的金融機(jī)構(gòu)客戶數(shù)據(jù)泄露,其中涉及上海銀行80.3155萬(wàn)條、浦發(fā)銀行10萬(wàn)條、招商銀行上海分行6.3萬(wàn)條、中國(guó)農(nóng)業(yè)銀行90萬(wàn)條、興業(yè)銀行46萬(wàn)條客戶資料,其中既有儲(chǔ)蓄賬戶、也有信用卡賬戶及私行理財(cái)賬戶,含客戶姓名、客戶類型、性別年齡、手機(jī)號(hào)碼、開(kāi)戶賬號(hào)、住址郵編、存款數(shù)據(jù)等信息。
此外,還包括經(jīng)過(guò)初步分類的20萬(wàn)條企業(yè)代表資料,包含公司名稱、注冊(cè)資本、企業(yè)經(jīng)營(yíng)范圍等。需指出的是,該部分信息多為公開(kāi)可獲取信息。
“46萬(wàn)條銀行信用卡客戶數(shù)據(jù)標(biāo)價(jià)不到100美元,90萬(wàn)條數(shù)據(jù)標(biāo)價(jià)只賣3999美元(折合人民幣約2.8萬(wàn)元),簡(jiǎn)直是‘白菜價(jià)’;如果是真實(shí)數(shù)據(jù),這么龐大的數(shù)據(jù)量實(shí)際售價(jià)至少10倍以上。”一位大數(shù)據(jù)行業(yè)風(fēng)控總監(jiān)向券商中國(guó)記者評(píng)價(jià),盡管截圖顯示的樣例數(shù)據(jù)非常詳盡,但這么大的數(shù)據(jù)量?jī)r(jià)格卻低得離譜,盜賣數(shù)據(jù)是不是真的、可信度要打個(gè)問(wèn)號(hào)。
為了核實(shí)上述情況,記者也第一時(shí)間聯(lián)系了涉事銀行,各家銀行相對(duì)一致態(tài)度是:經(jīng)過(guò)核查比對(duì),與真實(shí)數(shù)據(jù)信息不符;不排除不法分子將不明來(lái)源數(shù)據(jù)冠以金融機(jī)構(gòu)名義兜售,以牟取非法利益。
興業(yè)銀行相關(guān)負(fù)責(zé)人回復(fù),“所謂的‘興業(yè)銀行信用卡客戶信息’與我行真實(shí)的客戶信息要素并不吻合,不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當(dāng)利益。”
招商銀行方面人士告訴記者,“經(jīng)比對(duì)相關(guān)數(shù)據(jù),與我行真實(shí)客戶信息并不吻合,網(wǎng)絡(luò)上的信息不屬實(shí)。我行譴責(zé)任何偽造并販賣公民信息的犯罪行為,并保留追究損害我行聲譽(yù)法律責(zé)任的權(quán)利。”
浦發(fā)銀行方面回應(yīng)稱,“經(jīng)排查比對(duì),相關(guān)數(shù)據(jù)無(wú)我行賬戶信息,且與我行客戶信息要素不符。”
上海銀行相關(guān)人士回應(yīng)記者稱,“進(jìn)行了詳細(xì)比對(duì),發(fā)現(xiàn)其所謂客戶信息中并無(wú)我行銀行賬戶信息,且與我行真實(shí)客戶信息關(guān)鍵要素并不匹配??烧J(rèn)定該販賣信息非我行泄露數(shù)據(jù),不排除系不法分子為牟取不當(dāng)利益?zhèn)卧?、拼湊、出售所謂銀行的客戶信息。”
全國(guó)開(kāi)立銀行賬戶達(dá)113.5億
誰(shuí)在守護(hù)安全?
百萬(wàn)條被兜售的數(shù)據(jù)資料包盡管真實(shí)性被駁,但龐大的金融數(shù)據(jù)尤其是銀行用戶涉敏信息的安全性如何保障?已足夠引起行業(yè)及監(jiān)管對(duì)金融數(shù)據(jù)安全的重視。
央行統(tǒng)計(jì)顯示,銀行賬戶數(shù)量穩(wěn)步增長(zhǎng),截至2019年末,全國(guó)共開(kāi)立銀行賬戶113.52億戶、同比增長(zhǎng)12.07%,其中,全國(guó)開(kāi)立單位銀行賬戶6836.87萬(wàn)戶、同比增長(zhǎng)11.73%,個(gè)人銀行賬戶112.84億戶,同比增長(zhǎng)12.07%,全國(guó)人均擁有銀行賬戶數(shù)達(dá)8.09戶。
為業(yè)界所公認(rèn)的是,金融行業(yè)尤其是銀行業(yè)是風(fēng)控建設(shè)最好的行業(yè),其中信息科技領(lǐng)域的風(fēng)控建設(shè)和落地水平遠(yuǎn)高于其他行業(yè)。依據(jù)銀保監(jiān)會(huì)“商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引”,銀行業(yè)有嚴(yán)格的風(fēng)控建設(shè)體系和風(fēng)控監(jiān)督體系,有嚴(yán)謹(jǐn)?shù)娘L(fēng)險(xiǎn)控制點(diǎn)的識(shí)別、評(píng)價(jià)、處置、跟蹤機(jī)制。
“銀行業(yè)信息科技風(fēng)控要求較高,需要符合國(guó)內(nèi)外風(fēng)控管理要求,包括商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引、巴薩爾協(xié)議、塞班斯法案等。”騰訊安全數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)人彭思翔告訴記者。
杭州某大型技術(shù)公司金融事業(yè)部總經(jīng)理曾負(fù)責(zé)過(guò)銀行物聯(lián)網(wǎng)解決方案,涉及到數(shù)據(jù)服務(wù)采集業(yè)務(wù),他向記者舉例,“設(shè)備采集的信息一般會(huì)保存在當(dāng)?shù)劂y行機(jī)構(gòu),在信息保存、傳輸安全性方面,一方面是,銀行本身設(shè)有專網(wǎng),內(nèi)網(wǎng)、外網(wǎng)隔開(kāi),還有硬件設(shè)施方面的防火墻設(shè)置防護(hù);另一方面,各家銀行內(nèi)部有各個(gè)層級(jí)對(duì)安全認(rèn)證的嚴(yán)格復(fù)核管理。”
“銀行的IT系統(tǒng)不具備大規(guī)模向外泄露數(shù)據(jù)的可能性。”一家股份行風(fēng)險(xiǎn)管理部門總監(jiān)向券商中國(guó)記者分析,“按銀保監(jiān)會(huì)的相關(guān)規(guī)定,銀行業(yè)IT系統(tǒng)基本分為:生產(chǎn)域、測(cè)試域、互聯(lián)網(wǎng)域等,其中,三個(gè)域之間的數(shù)據(jù)傳輸收到嚴(yán)格限制。只有在生產(chǎn)域才能看到數(shù)據(jù)的全貌,測(cè)試域只有用于測(cè)試的數(shù)據(jù),有數(shù)據(jù)量和脫敏的相關(guān)要求,互聯(lián)網(wǎng)域基本沒(méi)有客戶信息。從技術(shù)上、系統(tǒng)上,大規(guī)模數(shù)據(jù)外泄講不通。”
DataVisor黑產(chǎn)研究專家、高級(jí)技術(shù)經(jīng)理周君楨的看法類似,金融機(jī)構(gòu)尤其是銀行的安全風(fēng)險(xiǎn)等級(jí)最為嚴(yán)格,一方面是監(jiān)管要求高、管理嚴(yán);另一方面是業(yè)務(wù)屬性決定,對(duì)于銀行來(lái)說(shuō),客戶賬戶信息是核心商業(yè)價(jià)值要素之一,銀行會(huì)投入大量人力、物力做相關(guān)保障,大中型銀行也具備強(qiáng)大技術(shù)團(tuán)隊(duì)和實(shí)力。
流量經(jīng)濟(jì)爆發(fā)的安全新挑戰(zhàn):泄密在前端
從近期發(fā)布的國(guó)有六大行年報(bào)來(lái)看,其中有四家2019年科技投入總金額突破百億元,最高的建設(shè)銀行投入176.33億元;截至2019年末,工商銀行金融科技人員規(guī)模多達(dá)3.48萬(wàn)名、在全員占比高達(dá)7.82%,其次是建設(shè)銀行、交通銀行、中國(guó)銀行、農(nóng)業(yè)銀行金融科技人員占比分別為2.75%、4.05%、2.58%、1.58%。
銀行加大科技投入、科技人員擴(kuò)容規(guī)??涨?。然而,銀行數(shù)據(jù)涉密各個(gè)環(huán)節(jié),盡管被最高等級(jí)的風(fēng)險(xiǎn)防護(hù),仍難有萬(wàn)全之說(shuō)。
首先是不同金融機(jī)構(gòu)之間、金融機(jī)構(gòu)內(nèi)部之間的安全能力有差異。“大中型的金融機(jī)構(gòu)風(fēng)險(xiǎn)等級(jí)高,但是一些分支機(jī)構(gòu)風(fēng)險(xiǎn)能力就較弱,可能賬戶密碼保護(hù)不嚴(yán)密。一些地下灰黑產(chǎn)業(yè),就會(huì)有組織、有目的性地去攻擊,抓住一些系統(tǒng)平臺(tái)存在的漏洞。”周君楨介紹。
“銀行的風(fēng)控水平并不是一碗水端平。”上述股份行智能風(fēng)控中心總監(jiān)直言,“有的銀行風(fēng)控水平高、有的銀行風(fēng)控水平低,實(shí)力強(qiáng)的銀行所有的模型都是行內(nèi)專業(yè)人員建模;但是對(duì)于部分地方偏遠(yuǎn)地區(qū)的銀行等,缺乏高端數(shù)據(jù)專業(yè)人才,只能通過(guò)外包方式去建模型。甚至部分不具備技術(shù)能力的銀行直接拿過(guò)來(lái)就用一些第三方公司流量數(shù)據(jù),這些數(shù)據(jù)包括身份認(rèn)證三要素和部分行為特征,但是往往這類數(shù)據(jù)可能在使用前已經(jīng)可能被泄密了。”
“泄密環(huán)節(jié)出在前端。”——在數(shù)位金融機(jī)構(gòu)風(fēng)控資深從業(yè)人士看來(lái),這是伴隨著近幾年的銀行線下業(yè)務(wù)線上化,在風(fēng)險(xiǎn)防控上一個(gè)更應(yīng)該引起行業(yè)注意的新變化。
在彭思翔看來(lái),銀行數(shù)據(jù)泄露可能發(fā)生的場(chǎng)景,除了信息科技運(yùn)行領(lǐng)域訪問(wèn)控制策略不當(dāng),開(kāi)發(fā)、測(cè)試和維護(hù)領(lǐng)域三個(gè)環(huán)節(jié)未分離或分離后數(shù)據(jù)未脫敏,以及信息安全領(lǐng)域系統(tǒng)漏洞之外,其中一個(gè)重要的方面就發(fā)生在“外包管理領(lǐng)域”,“特別是對(duì)外包研發(fā)、測(cè)試的管理不當(dāng)。生產(chǎn)環(huán)境暴露、數(shù)據(jù)庫(kù)過(guò)度授權(quán),都會(huì)引起數(shù)據(jù)泄露。”
“因?yàn)樾袠I(yè)業(yè)務(wù)屬性不同,銀行的IT系統(tǒng)和互聯(lián)網(wǎng)公司之間,往往有代際差異。”該股份行智能風(fēng)控中心總監(jiān)向記者舉例。“比如面對(duì)一個(gè)互聯(lián)網(wǎng)流量平臺(tái)采用流量分發(fā)模型,100萬(wàn)客戶分發(fā)給數(shù)十家不同的銀行,與之相應(yīng)的,銀行與之對(duì)接的是流量準(zhǔn)入模型;很天然地,這兩個(gè)模型之間是對(duì)抗關(guān)系,準(zhǔn)入模型希望準(zhǔn)入更多,而分發(fā)模型希望篩掉更多;在現(xiàn)實(shí)情況中,相比互聯(lián)網(wǎng)公司,銀行IT系統(tǒng)靈活度、可使用工具、覆蓋的行為數(shù)據(jù)數(shù)等,都處于相對(duì)劣勢(shì)。”
“今后銀行數(shù)據(jù)風(fēng)控管理必將趨嚴(yán)”
“為促進(jìn)金融行業(yè)健康發(fā)展與風(fēng)險(xiǎn)控制,監(jiān)管層已經(jīng)通過(guò)發(fā)布監(jiān)管指引并將數(shù)據(jù)治理與監(jiān)管評(píng)級(jí)掛鉤的方式,來(lái)提高銀行業(yè)對(duì)數(shù)據(jù)治理工作的重視,不管有沒(méi)有出現(xiàn)這次的事件,銀行今后數(shù)據(jù)風(fēng)控管理上必將是趨嚴(yán)的。”數(shù)位銀行業(yè)內(nèi)人士均認(rèn)為,盡管這次盜賣數(shù)據(jù)真實(shí)性存疑,但它后續(xù)仍然會(huì)也業(yè)務(wù)層面產(chǎn)生影響。
2018年5月,銀保監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》,旨在引導(dǎo)銀行業(yè)金融機(jī)構(gòu)加強(qiáng)數(shù)據(jù)治理。去年12月,金融業(yè)移動(dòng)金融APP備案首批試點(diǎn)開(kāi)啟,首批23家試點(diǎn)備案名單中就有16家銀行,含5家國(guó)有大行、5家股份行、3家城商行、2家農(nóng)商行、1家農(nóng)信聯(lián)社,涉及提升安全防護(hù)、加強(qiáng)個(gè)人金融信息保護(hù)、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律5個(gè)方面,并劃定了涉及個(gè)人金融信息采集、使用、留存等方面四大紅線。
事實(shí)上,銀行數(shù)據(jù)管理趨嚴(yán)背后,是國(guó)家層面對(duì)個(gè)人信息數(shù)據(jù)管理工作地系統(tǒng)性出擊。去年下半年,工信部等數(shù)次公開(kāi)點(diǎn)名批評(píng)百余款應(yīng)用軟件及其運(yùn)營(yíng)企業(yè),涉及未經(jīng)用戶同意超范圍及非必要使用個(gè)人信息等違規(guī)情形。
券商中國(guó)記者注意到,去年5月份到8月份,監(jiān)管部門密集出臺(tái)了關(guān)于數(shù)據(jù)安全管理辦法、APP違規(guī)收集使用個(gè)人信息行為認(rèn)定方法等多項(xiàng)征求意見(jiàn)稿及草案。這也和上述數(shù)位銀行業(yè)人士的判斷類似,當(dāng)前央行對(duì)銀行數(shù)據(jù)治理指引已經(jīng)非常詳盡,未來(lái)的變化更多出現(xiàn)在相關(guān)立法層面。
“在數(shù)據(jù)確權(quán)、數(shù)據(jù)治理上,中國(guó)有著絕對(duì)的優(yōu)勢(shì),將是一個(gè)世界性的數(shù)據(jù)資產(chǎn)大國(guó)。”京東數(shù)科數(shù)字技術(shù)中心數(shù)據(jù)資產(chǎn)部總經(jīng)理張旭認(rèn)為,數(shù)據(jù)資產(chǎn)是銀行的核心資產(chǎn),是政府安保數(shù)據(jù)之外最值得信賴的數(shù)據(jù),但數(shù)據(jù)向前發(fā)展必然面臨著確權(quán),以及海量數(shù)據(jù)在手之后如何通過(guò)人工智能等新技術(shù)做深度挖掘、開(kāi)發(fā)應(yīng)用。
“從大環(huán)境的導(dǎo)向來(lái)看,為業(yè)內(nèi)普遍認(rèn)同的是,監(jiān)管曾仍然鼓勵(lì)在合規(guī)前提下推動(dòng)金融機(jī)構(gòu)數(shù)據(jù)高質(zhì)量發(fā)展,比如與各類政務(wù)數(shù)據(jù)互聯(lián)互通,建立跨區(qū)域的數(shù)據(jù)融合應(yīng)用等。”蘇寧金融研究院院長(zhǎng)助理薛洪言接受券商中國(guó)記者采訪時(shí)稱。
龐大數(shù)據(jù)黑色交易網(wǎng):金融相關(guān)占比7成以上
“暗網(wǎng)售賣數(shù)據(jù)是有組織嚴(yán)密的產(chǎn)業(yè)鏈,竊取售賣數(shù)據(jù)是黑產(chǎn)中隱藏最深的、歷史最悠久的、最成熟的變現(xiàn)方式。”騰訊安全數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)人彭思翔直言。
2018年被業(yè)內(nèi)認(rèn)為是數(shù)據(jù)保護(hù)的元年,卻也是數(shù)據(jù)泄露的灰色之年。當(dāng)年3月,F(xiàn)acebook被曝8700多萬(wàn)條用戶數(shù)據(jù)泄露、遭遇其有史以來(lái)最大型數(shù)據(jù)泄露危機(jī)。而在國(guó)內(nèi),2018年初有國(guó)內(nèi)某評(píng)價(jià)連鎖酒店傳出涉及5億條顧客隱私數(shù)據(jù)在暗網(wǎng)販賣;今年3月,國(guó)內(nèi)某APP發(fā)生信息泄露,在暗網(wǎng)上被以“5.38億用戶綁定手機(jī)號(hào)數(shù)據(jù),其中1.72億有賬號(hào)基本信息”的名義進(jìn)行售賣。
近年來(lái)頻繁爆發(fā)重大企業(yè)信息資料或用戶數(shù)據(jù)泄漏事件,讓暗網(wǎng)這個(gè)“地下黑市”逐漸被社會(huì)所認(rèn)知。
“暗網(wǎng),可以簡(jiǎn)單理解為互聯(lián)網(wǎng)的一個(gè)地址,有一定技術(shù)手段都可以訪問(wèn)。最大特性是匿名平臺(tái),很難追溯,匿名傳輸,匿名貨幣交易。”周君楨告訴記者,“市場(chǎng)規(guī)模很難統(tǒng)計(jì),你看到的只是冰山一角,暗網(wǎng)交易的信息非常非常多。”
而他注意到一個(gè)明顯的變化是,從2018年以來(lái),隨著傳統(tǒng)金融數(shù)字化轉(zhuǎn)型的加速,銀行、證券、保險(xiǎn)尤其是互聯(lián)網(wǎng)金融等類型金融數(shù)據(jù)明顯增多,諸多信息經(jīng)常在暗網(wǎng)上被倒賣,“金融相關(guān)的數(shù)據(jù)情報(bào)數(shù)據(jù)占到7成以上,尤其涉及金融屬性的個(gè)人隱私信息,如金融開(kāi)戶信息,信用卡等,國(guó)內(nèi)國(guó)外同樣如此。”
騰訊安全報(bào)告從2018年暗網(wǎng)數(shù)據(jù)交易的情況(抽樣數(shù)據(jù))來(lái)看,帳號(hào)/郵箱類數(shù)據(jù)、個(gè)人信息、網(wǎng)購(gòu)/物流數(shù)據(jù)、銀行數(shù)據(jù)、網(wǎng)貸數(shù)據(jù)位列前五,分別占比為19.78%、12.19%、9.69%、9.02%和8.3%,其它還有博彩數(shù)據(jù)、股市數(shù)據(jù)、企業(yè)工商數(shù)據(jù)等信息。
彭思翔介紹,黑產(chǎn)者盜取數(shù)據(jù)的具體手段包括技術(shù)入侵、社會(huì)工程學(xué)及APT攻擊,也形成了脫、洗、撞三步循環(huán)的模式,“脫庫(kù)是指入侵有價(jià)值的企業(yè),把數(shù)據(jù)庫(kù)全部盜走;洗庫(kù)指對(duì)數(shù)據(jù)初步清洗,拿到其中最有價(jià)值的數(shù)據(jù)去變現(xiàn);撞庫(kù)指清洗后發(fā)現(xiàn)可以繼續(xù)利用的數(shù)據(jù),會(huì)到別的應(yīng)用、企業(yè)繼續(xù)嘗試滲透脫庫(kù),形成循環(huán)操作模式,一個(gè)企業(yè)或者一個(gè)行業(yè)的數(shù)據(jù)將全部被獲取。”
比如,銀行業(yè)里儲(chǔ)存了大量用戶敏感信息且又全又準(zhǔn)確,而銀行開(kāi)展了大量業(yè)務(wù)應(yīng)用、更新速度快,這又帶來(lái)攻擊面大、窗口多,但銀行又很難做到滴水不漏的防護(hù),“這就會(huì)成為黑產(chǎn)重點(diǎn)攻擊的目標(biāo)。”
由誰(shuí)賣出、被誰(shuí)買入
不少人有類似的經(jīng)歷:在某銀行剛辦理按揭貸款,隨后不斷收到各類第三方平臺(tái)的信貸類、消費(fèi)類營(yíng)銷電話和短信。
“這是典型的個(gè)人信息泄露的情況,比如房貸辦理需書面填寫較多個(gè)人信息,不排除有機(jī)構(gòu)人員或信息接觸者將信息留存在轉(zhuǎn)手倒賣,比如一些信息中介或金融代理機(jī)構(gòu),聯(lián)合第三方營(yíng)銷推廣平臺(tái)的慣用操作手法。”周君楨解釋,“不過(guò),相比這類信息泄露,暗網(wǎng)更多是有組織、有目標(biāo)的盜取、買賣。”
“早期一般一個(gè)團(tuán)隊(duì)或者單人來(lái)完成,但是目前已經(jīng)完全產(chǎn)業(yè)化、專業(yè)化,固定的團(tuán)隊(duì)進(jìn)行脫庫(kù),再賣給洗庫(kù)團(tuán)隊(duì),再賣給撞庫(kù)團(tuán)隊(duì),互不干涉,通過(guò)虛擬化貨幣交割,追查極其困難。”彭思翔告訴記者,“絕大部分被盜數(shù)據(jù)不會(huì)公開(kāi)出來(lái),而是進(jìn)入到秘密交易環(huán)節(jié),作用在特定的場(chǎng)景中,如競(jìng)爭(zhēng)對(duì)手戰(zhàn)略分析、同業(yè)用戶爭(zhēng)奪、上下游業(yè)務(wù)定推等,此類秘密交易也可稱為定制化數(shù)據(jù)交易,特點(diǎn)是數(shù)據(jù)只賣一次或在某個(gè)時(shí)間窗口禁售,而公開(kāi)在暗網(wǎng)交易的數(shù)據(jù)是多次多家進(jìn)行販?zhǔn)邸?rdquo;
而在買方上,“更多不是在個(gè)人論壇賣,往往是賣給專業(yè)信息商或數(shù)據(jù)商,后者對(duì)數(shù)據(jù)加工、匹配、拼接,數(shù)據(jù)完整性會(huì)更好,層層轉(zhuǎn)包、價(jià)值會(huì)更高。”周君楨介紹,通過(guò)數(shù)據(jù)加工完善,信息精準(zhǔn)度明顯提高,國(guó)內(nèi)的電信詐騙、國(guó)外的信用卡盜刷往往由此。
另一特征是其全球化趨勢(shì),全球都存在數(shù)據(jù)黑產(chǎn),且成為數(shù)據(jù)跨境非法流動(dòng)的主要渠道。“如非洲國(guó)家的個(gè)人信息,被不法代理用于亞馬遜用戶注冊(cè),進(jìn)行欺詐和作弊行為。”彭思翔介紹,黑客會(huì)把數(shù)據(jù)進(jìn)行整理并相互交流、形成黑產(chǎn)的大數(shù)據(jù)服務(wù)商,具體來(lái)講就是社工庫(kù),在利益的驅(qū)使下,黑產(chǎn)向大數(shù)據(jù)服務(wù)和基礎(chǔ)設(shè)施建設(shè)等大規(guī)模、高技術(shù)發(fā)展,這也給數(shù)據(jù)安全的治理加大了挑戰(zhàn)難度。
三大變現(xiàn)途徑:精準(zhǔn)詐騙、撞庫(kù)攻擊、撒網(wǎng)式詐騙
截至2019年末,中國(guó)網(wǎng)民數(shù)達(dá)8.29億,手機(jī)網(wǎng)民規(guī)模達(dá)到8.17億,在網(wǎng)民總數(shù)中的占比提升至98.6%;數(shù)字經(jīng)濟(jì)滲透在社會(huì)生活方方面面,個(gè)人的數(shù)據(jù)軌跡也無(wú)處不在。
暗流涌動(dòng)的黑市交易侵蝕著用戶隱私,而被盜取販賣隱私數(shù)據(jù)在直接變現(xiàn)以外,黑產(chǎn)從業(yè)者往往還會(huì)被利用購(gòu)得數(shù)據(jù)進(jìn)行精準(zhǔn)詐騙等犯罪行為,進(jìn)一步損害個(gè)人權(quán)益。
騰訊安全報(bào)告統(tǒng)計(jì),信息泄露催生三大變現(xiàn)途徑:精準(zhǔn)詐騙、撞庫(kù)攻擊以及撒網(wǎng)式詐騙。
一個(gè)寫在騰訊安全報(bào)告的案例是,網(wǎng)購(gòu)用戶買完?yáng)|西后,收到熱心“客服”的電話,“客服”以質(zhì)量問(wèn)題、物流問(wèn)題等事由,發(fā)送一個(gè)退款網(wǎng)頁(yè)鏈接或二維碼,用戶按照提示操作即可退還高于購(gòu)物款的退款或退款保證金,之后“客服”會(huì)進(jìn)一步引導(dǎo)用戶把多收到的錢退還給網(wǎng)店。
而很多人不知道的是,這是詐騙者通過(guò)暗網(wǎng)等獲得網(wǎng)購(gòu)用戶詳細(xì)信息后進(jìn)行的針對(duì)性電信詐騙。用戶收到的款項(xiàng)其實(shí)是一些正規(guī)的貸款平臺(tái)的快速貸款,詐騙者利用網(wǎng)銀或第三方支付平臺(tái)上快速授信貸款等服務(wù),誤導(dǎo)用戶從貸款平臺(tái)貸款、然后將“多余”的款項(xiàng)打回詐騙者的網(wǎng)絡(luò)帳戶。
騰訊安全報(bào)告指出,包括“購(gòu)物退款”、冒充“公檢法”、“發(fā)放助學(xué)金”、“航班取消”、“二胎生育退費(fèi)”、“交通違章提醒”、“積分兌換現(xiàn)金”等精準(zhǔn)詐騙行為,均是詐騙者基于個(gè)人信息特點(diǎn)精心設(shè)計(jì)的具有針對(duì)性的詐騙劇本。
此外,近四年來(lái),撞庫(kù)攻擊催化信息泄露在全球呈裂變式增長(zhǎng),這種惡意登陸更多是撞庫(kù)和掃號(hào)的攻擊。“從個(gè)人角度,需要提高防護(hù)意識(shí),從業(yè)務(wù)必要性的角度看是否給出授權(quán)信息;個(gè)人在使用金融賬戶時(shí),建議不同賬戶使用不同密碼,避免被有的技術(shù)公司利用信息進(jìn)行撞庫(kù),帶來(lái)資料泄露風(fēng)險(xiǎn)。”周君楨說(shuō)。
彭思翔也建議,個(gè)人密碼定期更換、一個(gè)密碼最長(zhǎng)使用時(shí)間不超過(guò)6個(gè)月;加密自己的終端設(shè)備,包括電腦、手機(jī)、硬盤;仔細(xì)查看服務(wù)提供商的隱私協(xié)議,對(duì)不合理?xiàng)l款提出質(zhì)疑。
“當(dāng)前一些高端的數(shù)據(jù)盜竊團(tuán)伙不會(huì)再接一般的數(shù)據(jù)定制需求,而是專注在變現(xiàn)能力更強(qiáng)的金融詐騙。”彭思翔告訴券商中國(guó)記者,隨著越來(lái)越多的終端支付和豐富的網(wǎng)絡(luò)電商活動(dòng),涉金融的數(shù)據(jù)安全管理形勢(shì)并不樂(lè)觀,也因此這也成為當(dāng)前多國(guó)關(guān)注和管控的重點(diǎn)。
標(biāo)簽:
猜你喜歡
ipod touch有什么功能?touch蘋果皮是什么?
2022-06-17 16:00:32
雙wifi是什么意思??? 雙頻wifi好處有哪些?
2022-06-17 15:59:08
首套國(guó)產(chǎn)化深水水下采油樹(shù)正式投入使用
2022-06-17 15:57:39
研究人員發(fā)現(xiàn):細(xì)菌“親密行為”或解釋抗生素耐藥性成因
2022-06-17 15:56:47
未來(lái)手機(jī)可像樂(lè)高積木般搭建 相關(guān)研究發(fā)表在《自然·電子學(xué)》上
2022-06-17 15:55:47
待機(jī)動(dòng)畫是什么意思? 電腦待機(jī)動(dòng)畫怎么弄?
2022-06-16 16:40:55
壓縮文件kz怎么轉(zhuǎn)換 kz文件怎么打開(kāi)如何解壓kz文件?
2022-06-16 16:39:05
研究人員發(fā)現(xiàn)常見(jiàn)大麥蟲(chóng)能吃掉塑料垃圾
2022-06-16 16:36:14
將人類基因與其功能一一對(duì)應(yīng) 項(xiàng)目數(shù)據(jù)在線發(fā)表于《細(xì)胞》雜志上
2022-06-16 16:35:45
“智能皮膚”可探測(cè)微生物 有助促進(jìn)靈敏機(jī)器人和智能假肢的研發(fā)
2022-06-16 16:35:14
xv轉(zhuǎn)rmvb格式轉(zhuǎn)換器xv如何轉(zhuǎn)換成rmvb?視頻怎么轉(zhuǎn)rmvb格式?
2022-06-15 16:42:04
巨大的“鱷魚臉”恐龍被發(fā)現(xiàn) “歐洲最大的陸地捕食者”
2022-06-15 16:39:13
研究發(fā)現(xiàn):犬類與人為友的遺傳線索
2022-06-15 16:36:32
超靈敏磁強(qiáng)計(jì)可將信號(hào)功率放大64% 并顯示出創(chuàng)紀(jì)錄的33%的超高對(duì)比度
2022-06-15 16:33:17
視網(wǎng)膜上這類細(xì)胞在近視形成中起重要作用 相關(guān)論文發(fā)表在《科學(xué)·進(jìn)展》上
2022-06-15 16:32:50
黑鯊618狂歡盛典福利多,購(gòu)黑鯊最新旗艦至高立減800元
2022-06-15 15:01:28
油價(jià)破十,雙擎當(dāng)時(shí) 百公里4.8L的混動(dòng)皓極即將預(yù)售
2022-06-15 14:26:16
今日訊!載人航天工程30年 聽(tīng)航天設(shè)計(jì)師們?cè)趺凑f(shuō)
2022-06-13 09:44:58
每日聚焦:中國(guó)天眼“看到”持續(xù)活躍快速射電暴
2022-06-13 09:57:03
焦點(diǎn)快報(bào)!視網(wǎng)膜上這類細(xì)胞在近視形成中起重要作用
2022-06-13 09:46:52
訊息:揭秘“時(shí)間魔盒”原子鐘:三千萬(wàn)年誤差小于一秒
2022-06-13 09:43:48
今日?qǐng)?bào)丨畝產(chǎn)801.72公斤:中國(guó)超強(qiáng)筋小麥單產(chǎn)新紀(jì)錄誕生
2022-06-13 09:39:01
要聞:商用迎來(lái)三周年之際:5G全連接工廠有啥不一樣
2022-06-13 09:43:15
視點(diǎn)!三家網(wǎng)店三個(gè)運(yùn)營(yíng)商 FOREVER21的低價(jià)策略還能奏效?
2022-06-13 08:37:45
時(shí)訊:叮咚買菜再退一城 前置倉(cāng)還沒(méi)過(guò)春天就入冬了?
2022-06-13 08:49:11