专业IT科技资讯平台,关注科技、手机、电脑、智能硬件、电脑知识!
当前位置:主页 > 科技 > 电脑行情 >

百万条银行客户信息疑被盗卖 黑市“暗网”曝光

导读:

  事实上,银行数据管理趋严背后,是国家层面对个人信息数据管理工作地系统性出击。去年下半年,工信

  事实上,银行数据管理趋严背后,是国家层面对个人信息数据管理工作地系统性出击。去年下半年,工信部等数次公开点名批评百余款应用软件及其运营企业,涉及未经用户同意超范围及非必要使用个人信息等违规情形。

  券商中国注意到,去年5月份到8月份,监管部门密集出台了关于数据安全管理办法、APP违规收集使用个人信息行为认定方法等多项征求意见稿及草案。这也和上述数位银行业人士的判断类似,当前央行对银行数据治理指引已经非常详尽,未来的变化更多出现在相关立法层面。

  “在数据确权、数据治理上,中国有着绝对的优势,将是一个世界性的数据资产大国。”京东数科数字技术中心数据资产部总经理张旭认为,数据资产是银行的核心资产,是政府安保数据之外最值得信赖的数据,但数据向前发展必然面临着确权,以及海量数据在手之后如何通过人工智能等新技术做深度挖掘、开发应用。

  “从大环境的导向来看,为业内普遍认同的是,监管曾仍然鼓励在合规前提下推动金融机构数据高质量发展,比如与各类政务数据互联互通,建立跨区域的数据融合应用等。”苏宁金融研究院院长助理薛洪言接受券商中国时称。

  庞大数据黑色交易网:金融相关占比7成以上

  “暗网售卖数据是有组织严密的产业链,窃取售卖数据是黑产中隐藏最深的、历史最悠久的、最成熟的变现方式。”腾讯安全数据安全团队负责人彭思翔直言。

  2018年被业内认为是数据保护的元年,却也是数据泄露的灰色之年。当年3月,Facebook被曝8700多万条用户数据泄露、遭遇其有史以来最大型数据泄露危机。而在国内,2018年初有国内某评价连锁酒店传出涉及5亿条顾客隐私数据在暗网贩卖;今年3月,国内某APP发生信息泄露,在暗网上被以“5.38亿用户绑定手机号数据,其中1.72亿有账号基本信息”的名义进行售卖。

  近年来频繁爆发重大企业信息资料或用户数据泄漏事件,让暗网这个“地下黑市”逐渐被社会所认知。

  “暗网,可以简单理解为互联网的一个地址,有一定技术手段都可以访问。最大特性是匿名平台,很难追溯,匿名传输,匿名货币交易。”周君桢称,“市场规模很难统计,你看到的只是冰山一角,暗网交易的信息非常非常多。”

  而他注意到一个明显的变化是,从2018年以来,随着传统金融数字化转型的加速,银行、证券、保险尤其是互联网金融等类型金融数据明显增多,诸多信息经常在暗网上被倒卖,“金融相关的数据情报数据占到7成以上,尤其涉及金融属性的个人隐私信息,如金融开户信息,信用卡等,国内国外同样如此。”

  腾讯安全报告从2018年暗网数据交易的情况(抽样数据)来看,帐号/邮箱类数据、个人信息、网购/物流数据、银行数据、网贷数据位列前五,分别占比为19.78%、12.19%、9.69%、9.02%和8.3%,其它还有博彩数据、股市数据、企业工商数据等信息。

  2018年暗网交易数据分布占比情况

  彭思翔介绍,黑产者盗取数据的具体手段包括技术入侵、社会工程学及APT攻击,也形成了脱、洗、撞三步循环的模式,“脱库是指入侵有价值的企业,把数据库全部盗走;洗库指对数据初步清洗,拿到其中最有价值的数据去变现;撞库指清洗后发现可以继续利用的数据,会到别的应用、企业继续尝试渗透脱库,形成循环操作模式,一个企业或者一个行业的数据将全部被获取。”

  比如,银行业里储存了大量用户敏感信息且又全又准确,而银行开展了大量业务应用、更新速度快,这又带来攻击面大、窗口多,但银行又很难做到滴水不漏的防护,“这就会成为黑产重点攻击的目标。”

  由谁卖出、被谁买入

  不少人有类似的经历:在某银行刚办理按揭贷款,随后不断收到各类第三方平台的信贷类、消费类营销电话和短信。

  “这是典型的个人信息泄露的情况,比如房贷办理需书面填写较多个人信息,不排除有机构人员或信息接触者将信息留存在转手倒卖,比如一些信息中介或金融代理机构,联合第三方营销推广平台的惯用操作手法。”周君桢解释,“不过,相比这类信息泄露,暗网更多是有组织、有目标的盗取、买卖。”

  “早期一般一个团队或者单人来完成,但是目前已经完全产业化、专业化,固定的团队进行脱库,再卖给洗库团队,再卖给撞库团队,互不干涉,通过虚拟化货币交割,追查极其困难。”彭思翔称,“绝大部分被盗数据不会公开出来,而是进入到秘密交易环节,作用在特定的场景中,如竞争对手战略分析、同业用户争夺、上下游业务定推等,此类秘密交易也可称为定制化数据交易,特点是数据只卖一次或在某个时间窗口禁售,而公开在暗网交易的数据是多次多家进行贩售。”

  而在买方上,“更多不是在个人论坛卖,往往是卖给专业信息商或数据商,后者对数据加工、匹配、拼接,数据完整性会更好,层层转包、价值会更高。”周君桢介绍,通过数据加工完善,信息精准度明显提高,国内的电信诈骗、国外的信用卡盗刷往往由此。

  另一特征是其全球化趋势,全球都存在数据黑产,且成为数据跨境非法流动的主要渠道。“如非洲国家的个人信息,被不法代理用于亚马逊用户注册,进行欺诈和作弊行为。”彭思翔介绍,黑客会把数据进行整理并相互交流、形成黑产的大数据服务商,具体来讲就是社工库,在利益的驱使下,黑产向大数据服务和基础设施建设等大规模、高技术发展,这也给数据安全的治理加大了挑战难度。

  三大变现途径:精准诈骗、撞库攻击、撒网式诈骗

  截至2019年末,中国网民数达8.29亿,手机网民规模达到8.17亿,在网民总数中的占比提升至98.6%;数字经济渗透在社会生活方方面面,个人的数据轨迹也无处不在。

  暗流涌动的黑市交易侵蚀着用户隐私,而被盗取贩卖隐私数据在直接变现以外,黑产从业者往往还会被利用购得数据进行精准诈骗等犯罪行为,进一步损害个人权益。

  腾讯安全报告统计,信息泄露催生三大变现途径:精准诈骗、撞库攻击以及撒网式诈骗。

  一个写在腾讯安全报告的案例是,网购用户买完东西后,收到热心“客服”的电话,“客服”以质量问题、物流问题等事由,发送一个退款网页链接或二维码,用户按照提示操作即可退还高于购物款的退款或退款保证金,之后“客服”会进一步引导用户把多收到的钱退还给网店。