個人信息在黑市“吃香”，奇富科技知微實驗室：多為拼湊組裝

近日，奇富科技旗下信息安全知微實驗室(以下簡稱“實驗室”)在反詐分析工作中溯源研究，經(jīng)過持續(xù)監(jiān)測網(wǎng)絡(luò)黑產(chǎn)態(tài)勢，揭秘黑市數(shù)據(jù)交易鏈條。實驗室稱，金融行業(yè)因涉及大量高價值用戶數(shù)據(jù)，且靠近交易環(huán)節(jié)，成為黑產(chǎn)攻擊的主要對象，而金融用戶信息具有共通性和重疊性，數(shù)據(jù)泄露會對行業(yè)產(chǎn)生系列影響。在數(shù)據(jù)黑市，不少料商“黑吃黑”，通過撞庫、拼湊數(shù)據(jù)進行買賣交易，并逐漸衍生出新黑灰產(chǎn)業(yè)鏈。

黑灰產(chǎn)偏愛個人信息

據(jù)《2022年數(shù)據(jù)資產(chǎn)泄露分析報告》，從行業(yè)分布來看，金融、物流、電商是泄露事件頻發(fā)的三大行業(yè)。金融從業(yè)機構(gòu)在開展業(yè)務(wù)的過程中積累了海量的高價值數(shù)據(jù)，這些高價值數(shù)據(jù)一直都是黑產(chǎn)團伙眼中的“香餑餑”。被泄露的金融數(shù)據(jù)，涉及銀行、證券、保險、借貸等機構(gòu)和企業(yè)的客戶信息倒賣，包含客戶姓名、身份證號、手機號、出生日期等敏感字段。

該類數(shù)據(jù)流入黑市后，往往會被下游黑產(chǎn)團伙用于精準營銷以及電信詐騙等，例如通過獲取客戶信息，以短信、手機號等方式聯(lián)系客戶，進行相關(guān)業(yè)務(wù)的精準營銷，又或通過冒充公檢法工作人員，以配合調(diào)查、響應(yīng)政策等名義，誘導(dǎo)用戶進行轉(zhuǎn)賬或其他貸款操作。

實驗室稱，當前在網(wǎng)絡(luò)平臺流轉(zhuǎn)的數(shù)據(jù)主要來源于兩大渠道，一是不合規(guī)的短信代理商泄露，二是黑客攻擊或滲透，還有少部分為企業(yè)內(nèi)鬼泄露。金融行業(yè)在數(shù)據(jù)安全建設(shè)上已經(jīng)較為成熟，但在第三方合作中，仍有客戶信息遭遇泄露或被黑產(chǎn)竊取，給金融行業(yè)帶來了不小的風(fēng)險與挑戰(zhàn)。

金融數(shù)據(jù)泄露“一損俱損”

從數(shù)據(jù)變現(xiàn)的能力和影響來衡量，金融用戶信息泄露會在企業(yè)、行業(yè)、黑產(chǎn)等領(lǐng)域產(chǎn)生一系列影響，無論是對個人的打擾還是整體的威脅都存在一定的風(fēng)險。實驗室指出，在互聯(lián)網(wǎng)金融行業(yè)，個人信息具有共通性。比如A企業(yè)泄露了一萬條用戶信息會直接影響到B企業(yè)，假如A企業(yè)用戶的電話號碼泄露了，B企業(yè)的用戶會直接遭受詐騙或是數(shù)據(jù)泄露、販賣的風(fēng)險。

這與數(shù)字化時代個人信息的互通互聯(lián)相關(guān)，個人數(shù)據(jù)包含了很多維度，每個維度還可以引申出其它信息，比如手機號可以引申到個人的郵箱或是個人的企業(yè)賬戶，甚至是比較機密的信息等。從這個維度上來說，數(shù)據(jù)泄露會影響到個人、家庭、甚至是國家層面。

“在金融領(lǐng)域，很難規(guī)避一家企業(yè)信息泄露造成的行業(yè)影響，比如說企業(yè)遭遇黑客攻擊或者是數(shù)據(jù)傳輸過程中的問題導(dǎo)致的泄露，會關(guān)聯(lián)很多行業(yè)內(nèi)的其他企業(yè)和機構(gòu)。數(shù)據(jù)安全是一個行業(yè)性的問題，不單是一家企業(yè)或機構(gòu)的問題。” 知微實驗室相關(guān)負責(zé)人表示。

料商拼湊數(shù)據(jù)“黑吃黑”

個人信息通過第三方、網(wǎng)絡(luò)技術(shù)、黑客、內(nèi)鬼等渠道流入了數(shù)據(jù)黑市，并進入了大大小小的各層級代理料商手中。料商，即數(shù)據(jù)中間商，他們上通數(shù)據(jù)源頭下達數(shù)據(jù)買家，是地下數(shù)據(jù)交易市場非常重要的一個角色。個人數(shù)據(jù)就是通過料商以不同價格在黑市流轉(zhuǎn)。

數(shù)據(jù)的共通性和關(guān)聯(lián)性也滋生了料商拼湊組裝數(shù)據(jù)的次生黑灰產(chǎn)。為提高精準營銷或詐騙的效果，下游黑產(chǎn)團伙往往需要盡可能多地掌握受害者信息，因此料商也會通過拼湊數(shù)據(jù)進行交易，其中最典型的是新舊數(shù)據(jù)結(jié)合。很多料商掌握了海量的歷史數(shù)據(jù)庫，從中可以提取出大量的姓名、手機號、身份證、住址等個人敏感信息。黑產(chǎn)團伙利用某些企業(yè)或機構(gòu)存在安全缺陷的API接口，通過批量掃號攻擊的方式，以手機號為關(guān)聯(lián)，將舊數(shù)據(jù)和新數(shù)據(jù)進行組合，就可以得到一份全面的數(shù)據(jù)信息。

還有料商通過撞庫、買賣的方式拼湊數(shù)據(jù)，比如將A企業(yè)和B企業(yè)的賬戶或個人信息進行拼裝，得到C企業(yè)的用戶數(shù)據(jù)信息。因為金融行業(yè)數(shù)據(jù)具有共通性且行業(yè)用戶基數(shù)大，拼裝數(shù)據(jù)湊出用戶信息的概率非常高，已成為黑市數(shù)據(jù)的主要來源。此外，還有料商打著某家大機構(gòu)、大公司數(shù)據(jù)的名義出售，實際上是東拼西湊的假冒數(shù)據(jù)或偽造數(shù)據(jù)。此類數(shù)據(jù)經(jīng)過“二道販子”清洗加工，適用范圍廣泛，在黑市也頗為吃香。

數(shù)據(jù)黑灰產(chǎn)需合力治理

在數(shù)據(jù)黑產(chǎn)鏈條上，內(nèi)鬼、黑客、爬蟲軟件開發(fā)商、清洗者、加工者、料商、買家等寄生于此，催生出一個規(guī)模巨大的數(shù)據(jù)黑市。公開數(shù)據(jù)顯示，黑市數(shù)據(jù)交易規(guī)模已超1500億，從業(yè)者超200萬，龐大的數(shù)據(jù)黑灰產(chǎn)已成為威脅數(shù)據(jù)安全和個人隱私的毒瘤。

嚴厲打擊非法數(shù)據(jù)獲取行為、加強數(shù)據(jù)安全能力，從而保護個人隱私、防范電信詐騙和提升社會治安管理成為社會共識。業(yè)界普遍認為，打擊數(shù)據(jù)黑市交易，兩個核心問題是個人信息保護和數(shù)據(jù)安全。

圍繞這兩個問題，我國不斷完善相關(guān)法律法規(guī)，相繼出臺《數(shù)據(jù)安全法》、《個人信息保護法》等法律法規(guī)，嚴格打擊對非法數(shù)據(jù)和個人隱私信息的獲取行為，并從行政監(jiān)管等層面落實執(zhí)法，威懾防范違法犯罪行為。

數(shù)字化時代，個人信息保護與數(shù)據(jù)黑灰產(chǎn)治理是一項長期性、系統(tǒng)性的工程。奇富科技信息安全專家吳業(yè)超也從企業(yè)方指出，數(shù)據(jù)流通使用涉及多環(huán)節(jié)、多合作機構(gòu)，企業(yè)注重自身數(shù)據(jù)安全管理的同時，也要把控好第三方合作和管理，完善數(shù)據(jù)全鏈路監(jiān)控和管理體系，同時積極探索與監(jiān)管機構(gòu)、公安等合作打擊治理數(shù)據(jù)黑灰產(chǎn)。

關(guān)鍵詞： 數(shù)據(jù) 信息 黑市 個人