freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

永安在线 · 证券行业数据资产泄漏分析报告
2021-01-13 11:52:32

前言

由于前些年证券行业各大证券公司对数据保护不够重视,内部数据安全管控体系不够健全,从而造成大量数据外泄,泄露渠道主要有内鬼泄露,渗透拖库,黑客入侵,撞库攻击等等。近年来随着各大证券公司对数据保护日趋重视,政府监管部门也在积极推动数据保护相关的法律法规落地,证券行业数据得到有效保护,数据资产泄露源头得到有效遏制。但正所谓上有政策,下有对策,哪里有利益,哪里就会有黑灰产的存在。

证券行业涉及到的大多是高净值人群,数据转化率高,变现能力强,利益驱动着黑灰产人员不断地更新现有技术,与证券公司和监管部门玩起了猫和老鼠的游戏。各种获取证券行业数据的技术层出不穷,暗网、Telegram上每天都有人交易证券行业数据,证券行业用户普遍都能够感受到自己的数据被泄露。

在这里我们抛砖引玉,希望跟同业者一起来探讨证券行业数据资产泄露的主要特点和发展趋势,以及对于证券行业数据保护的一些思考和建议,希望能够引起证券行业从业者的重视。


数据资产泄露已经成为各行业安全问题的风险源头,近年来数据资产泄露事件逐年增多、危害范围不断增大。其中,证券行业数据历来都是黑灰产人员重点攻击的对象,是数据资产泄露的重灾区。

变化在于,近年来,随着各大证券公司对数据保护的日趋重视,采取“广积粮,高筑墙”的防守策略,传统的内鬼泄露、渗透拖库等数据资产泄露渠道已经很少出现,网站/APP泄漏用户访问记录、第三方短信通道泄露等方式成为当前主流。

与此同时,随着政府监管日趋严厉,数据保护相关法律法规日趋完善,黑灰产交易数据愈加谨慎,证券数据中有关用户身份信息的交易数据也产生了不少变化。

一、证券行业数据资产泄露基本面

根据权威媒体发布数据统计,近年来数据资产泄露风险态势愈发严峻,事件数量、影响人数和企业损失呈现逐年增长趋势。

Lark20210112-102608.png

通过永安在线数据资产泄露风险监测平台统计,2020年至今捕获到数据资产泄露事件超过20000起,包括金融,互联网,政府,教育等等几乎涉及到生活中各个领域,具体分布如下:

2.jpeg

从上图可以看到,金融行业是数据资产泄露的主要来源,占到了42%,而数据资产泄露高发的互联网行业也只排名第二,占27%。出现这种情况是因为金融行业涉及到的人群大多是高净值人群,数据转化率高,变现能力强,黑灰产人员选择攻击的行业大多是金融行业,大部分购买数据的需求也集中在金融行业。哪里有利益,哪里就会有黑灰产人员的存在。

将金融行业数据资产泄露进行细分,见下图:

3.jpeg

通过上图可以发现,在金融行业中,网贷行业数据资产泄露最多,数据资产泄露的格式包含姓名、电话、地址、身份号码等用户敏感信息。泄露的主要原因有两点:

• 近年来随着政府金融政策收紧,监管日趋严格,很多网贷平台出现暴雷、清盘、关停、倒闭、跑路的情况,但这些平台留下的用户数据却处于失控状态;

• 中小型网贷平台软件和系统建设大部分采用第三方外包形式开发,这些公司开发人员安全意识淡薄,数据缺乏有效的安全防护。

关于网贷行业这里不做过多探讨,重点来分析一下占比为23%,排在第二位的证券行业数据资产泄露的主要特点和发展趋势。

4.jpg

根据永安在线数据资产泄露监测平台捕获到的数据泄露情报,我们对证券行业数据泄露渠道进行统计,发现来自外部的信息泄露占比为65%,内部原因泄露占比为35%。证券行业数据泄露主要是由于运营商泄露、短信通道泄露和第三方投资顾问公司等外部原因泄露,运营商泄露和短信通道泄露已经成为近些年来不可忽视的泄露渠道。由于内部管控疏忽,内部员工不小心将内部敏感文件和敏感代码上传到在线网盘文库、代码托管网站的事件也屡有发生。从证券公司角度来说,这些渠道都需要进行监控。

接下来看一下所有行业数据资产泄露的量级分布:

5.jpg

从上图可以看到所有行业数据资产泄露的量级集中10万以下和10万到100万这个两个区间,分别占到34%和40%。

再看一下证券行业数据资产泄露量级分布:

6.jpg

从上图可以看到,证券行业数据资产泄露量级集中在10万以下和10万到100万这两个区间内,分别占到68%和24%。从数据类型上来看,10万以下量级的数据主要运营商数据,格式为手机号+运营商+证券商+省份+城市;10万到100万量级的数据主要是内部用户数据,格式为姓名+资金账户+证券账户+手机号+身份号+资金余额+营业。

通过分析,主要有以下两个原因:

• 政府相关部门严厉打击,导致黑灰产人员越来越谨慎,交易数据量级越来越小,数据中不再包括用户姓名、身份号等敏感数据;

• 随着证券行业内部数据管理日趋规范,黑灰产人员再想通过之前的内鬼泄露、渗透拖库、黑客入侵、撞库攻击等办法获取到百万级甚至千万级账户数据的技术难度越来越大。在上图的数据中有一个特别吸引人关注的“每日更新数据”,虽然其只占据了8%的比例,但根据我们了解如内鬼泄露、渗透拖库、黑客入侵、撞库攻击等方式很难做到每日更新,只有通过运营商、运营商第三方代理或者第三方短信通道才有能力做到每日更新,这也从一个侧面印证了我们的判断:目前黑灰产人员获取证券数据的办法不再跟从前一样,而是另辟蹊径通过运营商、第三方工具或者第三方短信通道获取证券用户数据。

接下来对所有行业和证券行业的一手数据和二手数据做一下对比,其中一手数据指的是第一次被贩卖的数据,二手数据指的是被多次贩卖的数据。

所有行业一手数据和二手数据对比:

7.jpg

从上图可以看到所有行业数据资产泄露的二手数据比例比一手数据比例高14%,主要原因有以下两点:

• 随着全行业对数据保护的越来越重视,内部系统安全性越来越高,导致黑灰产人员获取一手数据的技术成本越来越高。

• 政府相关部门严厉打击,导致黑灰产人员获取一手数据的安全成本越来越高。

数据泄露这件事细分到证券行业,情况就有所不同了。证券行业的一手数据占到了78%,远高于二手数据占比。这里的数据占比虽然与全行业之间有很大的差别,但与证券行业数据需求的特性却是十分匹配的。由于证券行业数据讲究时效性,数据涉及到的是高净值人员,这些数据被获取后一般用来精准营销、精准诈骗、或者进行二次贩卖,未开发的用户价值远高于已经开发过的用户价值,所以一手数据的价值远高于二手数据。巨额利益驱动着黑灰产想尽办法去获取一手证券行业数据,而购买数据者也希望得到一手数据,这样才能产生最大效益。

既然在黑产的交易过程中对数据的真实性有一定需求,那么我们从数据的真实性角度再进行一次分析对比。

8.jpg

根据统计得知,证券行业数据真实数据占比12%,虽然真实数据占比不高,但是从数据安全角度来讲,这些数据足以对一家证券机构造成重大经济损失。再看下证券行业假数据和伪装数据,分别占69%和19%,假数据和伪装数据格式大部分都是姓名+资金账户+证券账户+手机号(+身份号+资金余额+营业部)这种账户数据。

这里对伪装数据做个说明,目前证券行业很多泄露数据里面的用户信息部分,包括姓名,身份号,手机号,经过我们验证是真实数据,但是我们通过跟相关证券公司内部人员进行确认,发现这些人并不是证券公司的真实用户。也就是说目前黑灰产人员为了获取利益,要么通过假数据进行交易,要么通过精心伪造数据进行交易,而且占比很高,说明目前通过传统手段,如内鬼泄露,渗透拖库,黑客入侵,撞库攻击等获取到证券行业数据的技术难度越来越大,成本越来越高。这让他们不得不另辟蹊径去获取证券行业数据。

二、证券行业数据资产泄露发展变化及趋势

通过前文的分析可以发现,随着政府监管越来越严厉,证券行业各大公司内部系统安全性越来越高。现在很多的黑灰产人员已经很难通过传统手段:如内鬼泄露、渗透拖库、黑客入侵、撞库攻击等去获取证券行业数据。主要原因是风险太大,技术成本太高。目前整个证券行业泄露类型主要有:

运营商数据:手机号(+姓名+省份+城市+运营商)

账户数据:姓名+资金账户+证券账户+手机号(+身份号+资金余额+营业部)

第一种数据来源主要是运营商,第三方工具和第三方短信通道商泄露,第二种数据来源主要是内鬼泄露、渗透拖库、黑客入侵和撞库攻击。在对第二种数据类型进行验证的时候,我们发现基本都是虚假数据,说明黑灰产人员已经很难再向从前一样直接拉取券商的数据库数据或者内部运营数据了。

回到第一种数据类型,在暗网和Telegram上我们发现证券行业的数据资产泄露每天都有更新,通过对这些数据进一步挖掘和验证,发现目前黑灰产人员获取证券数据的主要渠道有:

• 用户上网访问客户网站/App的记录被运营商泄露

• 用户数据被第三方工具泄露(包括第三方炒股软件、第三方SDK、数据分析软件等)

• 券商下发给用户的短信被第三方短信通道泄露

数据格式如下:

1610509201_5ffe6b9155bdf419b52c2.jpeg!small

1610509210_5ffe6b9a9d45f45e64718.jpeg!small

1610509220_5ffe6ba445261c0b52a40.jpeg!small

可以看到,黑灰产人员已不再局限于通过传统技术手段获取用户数据,根据永安在线的调研,目前已发现三种泄露渠道:

• 通过与运营商或者运营商第三方代理合作,拿到运营商数据,然后通过指定平台进行数据抓取,我们可以这样来理解:当用户发生上网行为时,会产生上网流量,运营商能够拿到用户的上网流量,可以通过用户手机号-设备-流量(访问网址)对应上,然后通过内鬼或者某个接口泄露到第三方“大数据营销”公司之类去卖,数据格式包括手机号+省份+城市+运营商。黑灰产人员通过上网流量与某证券公司官网地址进行对比,就能够确认该用户访问过某证券公司官网,再进一步进行过滤,比如一天内多次访问,或者直接拿某证券登录注册接口进行比对,就能够准确知道是某证券公司的用户。

• 通过第三方工具(包括第三方炒股软件、第三方SDK、数据分析软件等)获取用户数据,随着移动互联时代的到来,很多券商公司、投资公司或者炒股软件都会开发移动端的应用,在开发的过程大都不可避免的用到各种第三方SDK、数据分析软件等工具,而黑灰产则可以利用其中的漏洞或者干脆自己开发并在其中留下后门,获取用户手机号跟访问网站信息。

• 通过与第三方短信通道服务商合作,拦截获取用户短信内容,再通过分析短信内容,可以明确知道与某券商平台有关,从而知道该用户是某券商平台真实用户。我们预计这三种模式将会是未来一段时间内黑灰产人员的主要获取数据模式,各大证券公司需要引起重视。

三、证券行业数据资产泄露和交易的黑色产业链

我们发现,围绕数据资产泄露和倒卖的黑色产业链已经相当成熟,且基于明确的分工和定位分为上、中、下三游。

image13.png

上游:数据窃取团伙,如公司内鬼、黑客、运营商、运营商第三方代理、短信通道服务商等。

这些人专门负责从公司的内部和外部寻找获取数据的渠道并窃取数据。在数据越来越值钱的当下,巨大的利益和极低的犯罪成本驱动着上游的数据窃取者甘愿铤而走险。

中游:数据中间商,大部分活跃在暗网、黑产论坛、Telegram、Potato等平台。

这些人负责在各种不同平台上发帖卖数据,同时负责对数据进行分类清洗,根据客户不同需求场景售卖数据。由于政府监管压力的增大,尤其是2019年净网行动打击并关停了多家知名暗网后,迫使数据中间商转移到更加隐蔽的平台,比如服务器在国外且具有双向数据加密的聊天软件Telegram、Potato等。

下游:数据购买者,包括电话营销公司、诈骗团伙等。

这些人购买数据后,一般会进行精准营销、精准诈骗等。并可能在数据被利用完后二次倒卖这批数据,或者与其他黑产团伙交换数据。近些年来,下游数据购买者对精细化的数据需求越来越大,如宝妈数据、留学数据、股市数据、网贷数据、车主、大学数据、企业老板数据等等。他们利用这些精细化数据进行精准营销或精准诈骗,成功率要比撒网式营销或诈骗高很多。例如使用宝妈数据营销母婴产品;使用留学数据,利用国内外时差对其父母进行诈骗;使用股市数据进行荐股诈骗等等。下游需求的变化直接驱动上游和中游黑灰产人员利用各种技术手段去获取各行各业用户的数据,并根据客户不同需求对数据进行整理细分,进行贩卖。

四、真实案例解析

近期,永安在线与某证券公司合作时,帮助该公司发现了一条重要数据资产泄露渠道。通过一段时间的调查研究,我们发现目前非法数据交易的主要平台集中在一些暗网和Telegram群,而且这些平台上每天都会有新的数据资产泄露,我们将这些平台都纳入到了永安在线数据资产泄露风险监测平台中进行监控。

image14.jpeg

虽然在此后近一个月泄露数据的分析中,并未直接发现该证券公司的数据存在直接的泄露。但相关金融证券方面的数据资产泄露却每天都有更新。通过对这些数据进一步挖掘和验证,我们发现了一条重要线索,就是可以指定黑灰产人员口中所说的“台子”,即平台,包括网址和APP,比如说某证券公司的官网www.xxxxx.com。黑灰产人员可以获取到访问过该证券公司官网的用户手机号码,有些还可以获取到用户姓名、运营商、省份、城市、手机号码等相关数据。

通过对比我们发现,暗网和Telegram上大量的证券数据基本上都是这种格式。而能够提供证券公司数据库数据,内部运营数据(包括账号密码,证券账户,资金交易明细等),采用渗透拖库或者内鬼泄露这种方式少之又少,而且成本高,操作难度大。即便有这种数据,通过我们的验证,发现也都是精心伪造过的虚假数据。

所以我们基本可以判定该证券公司的数据是通过指定平台进行数据抓取的方式泄露出去的,泄露的源头应该是在运营商。我们可以这样来理解:当用户发生上网行为时,会产生上网流量,运营商能够拿到用户的上网流量,可以通过用户手机号-设备-流量(访问网址)对应上,然后通过内鬼或者某个接口泄露到第三方“大数据营销”公司之类去卖,包括手机号+省份+城市+运营商。黑灰产人员通过上网流量与该证券公司官网地址进行对比,就能够确认用户访问过该证券公司官网,再进一步过滤数据,比如一天内多次访问,或者直接拿该证券公司登录注册接口进行比对,就能够准确知道是该证券公司的用户。

获取到验证数据后,经过该证券公司内部人员的确认,证实是当天访问过该证券公司官网的人员,由此我们可以断定该批数据资产泄露的源头在运营商或第三方运营商代理。该证券公司泄露的数据全部是联通和电信手机号,一些数据卖家明确表示只支持联通和电信,或者移动和电信,也可以从侧面证明这些卖家是直接与运营商合作,或者是运营商第三方代理机构合作,去购买运营商数据流量,再通过进一步数据分析得出该用户就是某证券公司的真实用户。

五、数据保护措施和建议

我们认为,数据资产保护应从内外两部分着手。在内部,先要保证“人”的渠道安全,毕竟再复杂的外部防御手段,也难以防止重要信息被人为地泄漏,因此在这方面,企业要加强数据安全管理,制定切实可行的系统保密措施,加强员工网络安全意识 。

1. 内部系统使用强密码并定期修改

内部系统设置密码尽量复杂,并且不同的系统设置不同的密码。面对密码复杂繁多不容易记忆的情况下,我们可以制定不同的规则,比如:密码=系统名称+物品+大写+数据+标志等。既有一定的规则容易记忆,又能保证每个系统密码的不一样。此方法有效的防范了黑客拖库、撞库等常用手段。

2. 数据进行分类管理

应仔细检查信息的分类并制定资料分类策略,注意哪些是正式员工可以看到的看似无害也可能会导致敏感数据资产泄露的信息。企业的安全策略应遍布企业的各个地方,而无所谓职位的高低。资料数据的分类策略将帮助企业,实施对信息使用的正确控制,如果没有分类策略,所有的内部信息都应被视为保密,除非另做指定。

3. 加强员工网络安全意识

每个员工,甚至是不使用计算机的人,都有可能成为攻击者的目标。而公司新近雇用的员工则是社会工程师最容易突破的薄弱环节,企业的安全培训和安全策略务必要加强这方面的注意,正确的教育和培训,将会极大的提升员工正确处理企业内部信息的意识。定期举行安全意识培训,加强员工的安全意识,使每个员工都认识到,不仅是上司或管理人员拥有攻击者想追寻的信息。当一个知道公司办事程序、专用术语和内部标识的人打来电话时,并不意味着他或她就可以知道所查询的信息,对方可能是公司以前的员工或是知道公司内部一般情况的合同工。

在外部,需要实时关注各大暗网、云端网盘、在线文库、代码托管、Telegram群、Potato群、Q群、各大黑灰产论坛等平台上数据泄露情况,时刻关注是否有跟自己公司相关的数据泄露,第一时间发现并解决数据资产泄露问题,从而将损害和影响降低到最小。永安在线数据资产泄露风险监测平台,实时监测各大暗网、网盘文库、代码托管、群聊论坛等渠道,基于海量数据资产泄露风险情报,能够帮助客户第一时间发现数据资产泄露情况,迅速预警客户并同步验证数据,确实风险事件是否真实存在,定位风险后,提供溯源服务配合企业调查,并将为客户提供最专业的解决方案,帮助客户迅速地发现、准确地定位、有效地解决数据资产泄露问题,将数据资产泄露带来的风险和危害程度降到最低,助力企业实现数据合规。

image15.jpeg

永安在线数据资产泄露监测平台概况

写在最后

2019年12月1日,国家市场监督管理总局、国家标准化管理委员会发布的包括《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》在内的等保2.0制度开始实施。随着相关制度的落地实施,政府监管单位对证券行业数据保护的要求会越来越高,在《信息安全技术 网络安全等级保护测评要求》中,更是首次提出了对“威胁情报检测系统”和“威胁情报库”的要求。

2018年,证券公司A因发生较大信息安全事件,被监管机构依据《证券期货业信息安全保障管理办法》第二十四条相关规定,采取出具警示函的行政监管措施,并要求该券商对信息安全相关问题进行全面自查,提高信息安全保障管理和信息安全事件应对水平。同时加大系统监控、测试环境、专家资源等信息安全投入,提高系统运维保障能力和故障排查能力。2019年,证券公司B因某营业部将客户的自备计算机接入了营业部网络,被监管机构依据《证券期货业信息安全保障管理办法》第五十条,采取对该营业部出具警示函的监督管理措施。

以上实例都表明,我国金融监管制度日益完善,监管措施趋严。在此背景下,证券经营机构只有充分认识到数据保护的全覆盖性与紧迫性,结合行业相关法规,不断完善更新合规控制点,全面提高企业网络安全合规水平,规避合规风险才能保证企业稳健发展。 

本文作者:, 转载请注明来自FreeBuf.COM

# 业务安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑