來源:券商中國
近日,涉及國內多家銀行數百萬條客戶數據資料、在暗網被標價兜售的消息廣為流傳。
儘管涉事各家銀行進行數據比對核查之後,均否認了被兜售的數據資料包真實性。但是,牽涉面甚廣的龐大的金融數據,尤其是銀行用戶涉敏資訊的如何保障安全性,仍持續在行業引發關注、研討。
尤其是,伴隨銀行線下業務線上化、與流量方邊界日益拓寬等新變化,泄密在前端、在外包管理領域,也給銀行數據安全管理帶來新挑戰。截至2019年底,我國開立銀行賬戶113.52億戶、全國每人平均擁有銀行賬戶數達8.09戶,這些賬戶安全誰來守護?
這次疑涉百萬條客戶數據被盜賣的消息,神秘交易地“暗網”浮出水面,再次讓更多人關注起這個通過特殊技術手段才可登入的秘境。
而更多人不知道的是,“你看到的只是冰山一角,暗網交易的資訊非常非常多,金融相關資訊可以佔到7成以上。”通過連日多方採訪,券商中國記者試圖還原一組金融數據是如何被盜取、流入暗網、被誰交易售出、由誰流出市場的暗網鏈條。
百萬條用戶資料被“白菜價”非法甩賣?
銀行:與真實數據不符
涉及國內多家銀行數百萬條客戶數據資料,在暗網被標價兜售,連日來引發行業廣泛關注。4月15日,一位金融安全技術人士向券商中國記者證實了在暗網看到該條盜賣資訊。
從數據安全人士此前發佈的相關截圖來看:被售賣資訊裏包含了大規模的金融機構客戶數據洩露,其中涉及上海銀行80.3155萬條、浦發銀行10萬條、招商銀行上海分行6.3萬條、中國農業銀行90萬條、興業銀行46萬條客戶資料,其中既有儲蓄賬戶、也有信用卡賬戶及私行理財賬戶,含客戶姓名、客戶類型、性別年齡、手機號碼、開戶賬號、住址郵編、存款數據等資訊。
此外,還包括經過初步分類的20萬條企業代表資料,包含公司名稱、註冊資本、企業經營範圍等。需指出的是,該部分資訊多為公開可獲取資訊。
“46萬條銀行信用卡客戶數據標價不到100美元,90萬條數據標價只賣3999美元(折合人民幣約2.8萬元),簡直是‘白菜價’;如果是真實數據,這麼龐大的數據量實際售價至少10倍以上。”一位大數據行業風控總監向券商中國記者評價,儘管截圖顯示的樣例數據非常詳盡,但這麼大的數據量價格卻低得離譜,盜賣數據是不是真的、可信度要打個問號。
為了核實上述情況,記者也第一時間聯繫了涉事銀行,各家銀行相對一致態度是:經過核查比對,與真實數據資訊不符;不排除不法分子將不明來源數據冠以金融機構名義兜售,以牟取非法利益。
興業銀行相關負責人回復,“所謂的‘興業銀行信用卡客戶資訊’與我行真實的客戶資訊要素並不吻合,不排除係不法分子偽造、售賣所謂銀行客戶資訊牟取不當利益。”
招商銀行方面人士告訴記者,“經比對相關數據,與我行真實客戶資訊並不吻合,網路上的資訊不屬實。我行譴責任何偽造並販賣公民資訊的犯罪行為,並保留追究損害我行聲譽法律責任的權利。”
浦發銀行方面回應稱,“經排查比對,相關數據無我行賬戶資訊,且與我行客戶資訊要素不符。”
上海銀行相關人士回應記者稱,“進行了詳細比對,發現其所謂客戶資訊中並無我行銀行賬戶資訊,且與我行真實客戶資訊關鍵要素並不匹配。可認定該販賣資訊非我行洩露數據,不排除係不法分子為牟取不當利益偽造、拼湊、出售所謂銀行的客戶資訊。”
全國開立銀行賬戶達113.5億
誰在守護安全?
百萬條被兜售的數據資料包儘管真實性被駁,但龐大的金融數據尤其是銀行用戶涉敏資訊的安全性如何保障?已足夠引起行業及監管對金融數據安全的重視。
央行統計顯示,銀行賬戶數量穩步增長,截至2019年末,全國共開立銀行賬戶113.52億戶、同比增長12.07%,其中,全國開立單位銀行賬戶6836.87萬戶、同比增長11.73%,個人銀行賬戶112.84億戶,同比增長12.07%,全國每人平均擁有銀行賬戶數達8.09戶。
為業界所公認的是,金融行業尤其是銀行業是風控建設最好的行業,其中資訊科技領域的風控建設和落地水準遠高於其他行業。依據銀保監會“商業銀行資訊科技風險管理指引”,銀行業有嚴格的風控建設體系和風控監督體系,有嚴謹的風險控制點的識別、評價、處置、跟蹤機制。
“銀行業資訊科技風控要求較高,需要符合國內外風控管理要求,包括商業銀行資訊科技風險管理指引、巴薩爾協議、塞班斯法案等。”騰訊安全數據安全團隊負責人彭思翔告訴記者。
杭州某大型技術公司金融事業部總經理曾負責過銀行物聯網解決方案,涉及到數據服務採集業務,他向記者舉例,“設備採集的資訊一般會保存在當地銀行機構,在資訊保存、傳輸安全性方面,一方面是,銀行本身設有專網,內網、外網隔開,還有硬體設施方面的防火牆設置防護;另一方面,各家銀行內部有各個層級對安全認證的嚴格復核管理。”
“銀行的IT系統不具備大規模向外洩露數據的可能性。”一家股份行風險管理部門總監向券商中國記者分析,“按銀保監會的相關規定,銀行業IT系統基本分為:生産域、測試域、網際網路域等,其中,三個域之間的數據傳輸收到嚴格限制。只有在生産域才能看到數據的全貌,測試域只有用於測試的數據,有數據量和脫敏的相關要求,網際網路域基本沒有客戶資訊。從技術上、系統上,大規模數據外泄講不通。”
DataVisor黑産研究專家、高級技術經理周君楨的看法類似,金融機構尤其是銀行的安全風險等級最為嚴格,一方面是監管要求高、管理嚴;另一方面是業務屬性決定,對於銀行來説,客戶賬戶資訊是核心商業價值要素之一,銀行會投入大量人力、物力做相關保障,大中型銀行也具備強大技術團隊和實力。
流量經濟爆發的安全新挑戰:泄密在前端
從近期發佈的國有六大行年報來看,其中有四家2019年科技投入總金額突破百億元,最高的建設銀行投入176.33億元;截至2019年末,工商銀行金融科技人員規模多達3.48萬名、在全員佔比高達7.82%,其次是建設銀行、交通銀行、中國銀行、農業銀行金融科技人員佔比分別為2.75%、4.05%、2.58%、1.58%。
銀行加大科技投入、科技人員擴容規模空前。然而,銀行數據涉密各個環節,儘管被最高等級的風險防護,仍難有萬全之説。
首先是不同金融機構之間、金融機構內部之間的安全能力有差異。“大中型的金融機構風險等級高,但是一些分支機構風險能力就較弱,可能賬戶密碼保護不嚴密。一些地下灰黑産業,就會有組織、有目的性地去攻擊,抓住一些系統平臺存在的漏洞。”周君楨介紹。
“銀行的風控水準並不是一碗水端平。”上述股份行智慧風控中心總監直言,“有的銀行風控水準高、有的銀行風控水準低,實力強的銀行所有的模型都是行內專業人員建模;但是對於部分地方偏遠地區的銀行等,缺乏高端數據專業人才,只能通過外包方式去建模型。甚至部分不具備技術能力的銀行直接拿過來就用一些第三方公司流量數據,這些數據包括身份認證三要素和部分行為特徵,但是往往這類數據可能在使用前已經可能被泄密了。”
“泄密環節出在前端。”——在數位金融機構風控資深從業人士看來,這是伴隨著近幾年的銀行線下業務線上化,在風險防控上一個更應該引起行業注意的新變化。
在彭思翔看來,銀行數據洩露可能發生的場景,除了資訊科技運作領域訪問控制策略不當,開發、測試和維護領域三個環節未分離或分離後數據未脫敏,以及資訊安全領域系統漏洞之外,其中一個重要的方面就發生在“外包管理領域”,“特別是對外包研發、測試的管理不當。生産環境暴露、數據庫過度授權,都會引起數據洩露。”
“因為行業業務屬性不同,銀行的IT系統和網際網路公司之間,往往有代際差異。”該股份行智慧風控中心總監向記者舉例。“比如面對一個網際網路流量平臺採用流量分發模型,100萬客戶分發給數十家不同的銀行,與之相應的,銀行與之對接的是流量準入模型;很天然地,這兩個模型之間是對抗關係,準入模型希望準入更多,而分發模型希望篩掉更多;在現實情況中,相比網際網路公司,銀行IT系統靈活度、可使用工具、覆蓋的行為數據數等,都處於相對劣勢。”
“今後銀行數據風控管理必將趨嚴”
“為促進金融行業健康發展與風險控制,監管層已經通過發佈監管指引並將數據治理與監管評級掛鉤的方式,來提高銀行業對數據治理工作的重視,不管有沒有出現這次的事件,銀行今後數據風控管理上必將是趨嚴的。”數位銀行業內人士均認為,儘管這次盜賣數據真實性存疑,但它後續仍然會也業務層面産生影響。
2018年5月,銀保監會發佈《銀行業金融機構數據治理指引》,旨在引導銀行業金融機構加強數據治理。去年12月,金融業移動金融APP備案首批試點開啟,首批23家試點備案名單中就有16家銀行,含5家國有大行、5家股份行、3家城商行、2家農商行、1家農信聯社,涉及提升安全防護、加強個人金融資訊保護、提高風險監測能力、健全投訴處理機制、強化行業自律5個方面,並劃定了涉及個人金融資訊採集、使用、留存等方面四大紅線。
事實上,銀行數據管理趨嚴背後,是國家層面對個人資訊數據管理工作地系統性出擊。去年下半年,工信部等數次公開點名批評百餘款應用軟體及其運營企業,涉及未經用戶同意超範圍及非必要使用個人資訊等違規情形。
券商中國記者注意到,去年5月份到8月份,監管部門密集出臺了關於數據安全管理辦法、APP違規收集使用個人資訊行為認定方法等多項徵求意見稿及草案。這也和上述數位銀行業人士的判斷類似,當前央行對銀行數據治理指引已經非常詳盡,未來的變化更多出現在相關立法層面。
“在數據確權、數據治理上,中國有著絕對的優勢,將是一個世界性的數據資産大國。”京東數科數字技術中心數據資産部總經理張旭認為,數據資産是銀行的核心資産,是政府安保數據之外最值得信賴的數據,但數據向前發展必然面臨著確權,以及海量數據在手之後如何通過人工智慧等新技術做深度挖掘、開發應用。
“從大環境的導向來看,為業內普遍認同的是,監管曾仍然鼓勵在合規前提下推動金融機構數據高品質發展,比如與各類政務數據互聯互通,建立跨區域的數據融合應用等。”蘇寧金融研究院院長助理薛洪言接受券商中國記者採訪時稱。
龐大數據黑色交易網:金融相關佔比7成以上
“暗網售賣數據是有組織嚴密的産業鏈,竊取售賣數據是黑産中隱藏最深的、歷史最悠久的、最成熟的變現方式。”騰訊安全數據安全團隊負責人彭思翔直言。
2018年被業內認為是數據保護的元年,卻也是數據洩露的灰色之年。當年3月,Facebook被曝8700多萬條用戶數據洩露、遭遇其有史以來最大型數據洩露危機。而在國內,2018年初有國內某評價連鎖酒店傳出涉及5億條顧客隱私數據在暗網販賣;今年3月,國內某APP發生資訊洩露,在暗網上被以“5.38億用戶綁定手機號數據,其中1.72億有賬號基本資訊”的名義進行售賣。
近年來頻繁爆發重大企業資訊資料或用戶數據泄漏事件,讓暗網這個“地下黑市”逐漸被社會所認知。
“暗網,可以簡單理解為網際網路的一個地址,有一定技術手段都可以訪問。最大特性是匿名平臺,很難追溯,匿名傳輸,匿名貨幣交易。”周君楨告訴記者,“市場規模很難統計,你看到的只是冰山一角,暗網交易的資訊非常非常多。”
而他注意到一個明顯的變化是,從2018年以來,隨著傳統金融數字化轉型的加速,銀行、證券、保險尤其是網際網路金融等類型金融數據明顯增多,諸多資訊經常在暗網上被倒賣,“金融相關的數據情報數據佔到7成以上,尤其涉及金融屬性的個人隱私資訊,如金融開戶資訊,信用卡等,國內國外同樣如此。”
騰訊安全報告從2018年暗網數據交易的情況(抽樣數據)來看,帳號/郵箱類數據、個人資訊、網購/物流數據、銀行數據、網貸數據位列前五,分別佔比為19.78%、12.19%、9.69%、9.02%和8.3%,其他還有博彩數據、股市數據、企業工商數據等資訊。
2018年暗網交易數據分佈佔比情況 來源:騰訊安全
彭思翔介紹,黑産者盜取數據的具體手段包括技術入侵、社會工程學及APT攻擊,也形成了脫、洗、撞三步迴圈的模式,“脫庫是指入侵有價值的企業,把數據庫全部盜走;洗庫指對數據初步清洗,拿到其中最有價值的數據去變現;撞庫指清洗後發現可以繼續利用的數據,會到別的應用、企業繼續嘗試滲透脫庫,形成迴圈操作模式,一個企業或者一個行業的數據將全部被獲取。”
比如,銀行業裏儲存了大量用戶敏感資訊且又全又準確,而銀行開展了大量業務應用、更新速度快,這又帶來攻擊面大、窗口多,但銀行又很難做到滴水不漏的防護,“這就會成為黑産重點攻擊的目標。”
由誰賣出、被誰買入
不少人有類似的經歷:在某銀行剛辦理按揭貸款,隨後不斷收到各類第三方平臺的信貸類、消費類行銷電話和短信。
“這是典型的個人資訊洩露的情況,比如房貸辦理需書面填寫較多個人資訊,不排除有機構人員或資訊接觸者將資訊留存在轉手倒賣,比如一些資訊仲介或金融代理機構,聯合第三方行銷推廣平臺的慣用操作手法。”周君楨解釋,“不過,相比這類資訊洩露,暗網更多是有組織、有目標的盜取、買賣。”
“早期一般一個團隊或者單人來完成,但是目前已經完全産業化、專業化,固定的團隊進行脫庫,再賣給洗庫團隊,再賣給撞庫團隊,互不干涉,通過虛擬化貨幣交割,追查極其困難。”彭思翔告訴記者,“絕大部分被盜數據不會公開出來,而是進入到秘密交易環節,作用在特定的場景中,如競爭對手戰略分析、同業用戶爭奪、上下游業務定推等,此類秘密交易也可稱為定制化數據交易,特點是數據只賣一次或在某個時間窗口禁售,而公開在暗網交易的數據是多次多家進行販售。”
而在買方上,“更多不是在個人論壇賣,往往是賣給專業資訊商或數據商,後者對數據加工、匹配、拼接,數據完整性會更好,層層轉包、價值會更高。”周君楨介紹,通過數據加工完善,資訊精準度明顯提高,國內的電信詐騙、國外的信用卡盜刷往往由此。
另一特徵是其全球化趨勢,全球都存在數據黑産,且成為數據跨境非法流動的主要渠道。“如非洲國家的個人資訊,被不法代理用於亞馬遜用戶註冊,進行欺詐和作弊行為。”彭思翔介紹,駭客會把數據進行整理並相互交流、形成黑産的大數據服務商,具體來講就是社工庫,在利益的驅使下,黑産向大數據服務和基礎設施建設等大規模、高技術發展,這也給數據安全的治理加大了挑戰難度。
三大變現途徑:精準詐騙、撞庫攻擊、撒網式詐騙
截至2019年末,中國網民數達8.29億,手機網民規模達到8.17億,在網民總數中的佔比提升至98.6%;數字經濟滲透在社會生活方方面面,個人的數據軌跡也無處不在。
暗流涌動的黑市交易侵蝕著用戶隱私,而被盜取販賣隱私數據在直接變現以外,黑産從業者往往還會被利用購得數據進行精準詐騙等犯罪行為,進一步損害個人權益。
騰訊安全報告統計,資訊洩露催生三大變現途徑:精準詐騙、撞庫攻擊以及撒網式詐騙。
一個寫在騰訊安全報告的案例是,網購用戶買完東西後,收到熱心“客服”的電話,“客服”以品質問題、物流問題等事由,發送一個退款網頁連結或二維碼,用戶按照提示操作即可退還高於購物款的退款或退款保證金,之後“客服”會進一步引導用戶把多收到的錢退還給網店。
而很多人不知道的是,這是詐騙者通過暗網等獲得網購用戶詳細資訊後進行的針對性電信詐騙。用戶收到的款項其實是一些正規的貸款平臺的快速貸款,詐騙者利用網銀或第三方支付平臺上快速授信貸款等服務,誤導用戶從貸款平臺貸款、然後將“多餘”的款項打回詐騙者的網路帳戶。
“購物退款”詐騙作案流程示意,來自騰訊安全報告
騰訊安全報告指出,包括“購物退款”、冒充“公檢法”、“發放助學金”、“航班取消”、“二胎生育退費”、“交通違章提醒”、“積分兌換現金”等精準詐騙行為,均是詐騙者基於個人資訊特點精心設計的具有針對性的詐騙劇本。
此外,近四年來,撞庫攻擊催化資訊洩露在全球呈裂變式增長,這種惡意登陸更多是撞庫和掃號的攻擊。“從個人角度,需要提高防護意識,從業務必要性的角度看是否給出授權資訊;個人在使用金融賬戶時,建議不同賬戶使用不同密碼,避免被有的技術公司利用資訊進行撞庫,帶來資料洩露風險。”周君楨説。
彭思翔也建議,個人密碼定期更換、一個密碼最長使用時間不超過6個月;加密自己的終端設備,包括電腦、手機、硬碟;仔細查看服務提供商的隱私協議,對不合理條款提出質疑。
“當前一些高端的數據盜竊團夥不會再接一般的數據定制需求,而是專注在變現能力更強的金融詐騙。”彭思翔告訴券商中國記者,隨著越來越多的終端支付和豐富的網路電商活動,涉金融的數據安全管理形勢並不樂觀,也因此這也成為當前多國關注和管控的重點。
(責任編輯:解絢)