原標(biāo)題：兜售客戶信息年入30萬 銀行職員竟稱“不知違法”!比內(nèi)鬼更可怕的是 黑灰產(chǎn)系統(tǒng)性攻擊

又有銀行客戶信息被非法倒賣!銀行員工以每條80元~110元價(jià)格倒賣客戶信息年入30萬，稱不知違法。

如果說銀行“內(nèi)鬼”盜賣信息是螞蟻搬家，那么更多情況下，大規(guī)模的銀行、金融機(jī)構(gòu)用戶數(shù)據(jù)泄露，可能是來自黑灰產(chǎn)組織的有目的攻擊了。而近兩年多起來的一個(gè)現(xiàn)象是，銀行APP也成為更容易被黑客“攻破”的突破口、非法盜取或入侵銀行賬戶信息牟利。

銀行員工“螞蟻搬家”盜賣客戶信息

江蘇電視臺公共新聞?lì)l道報(bào)道稱，近日，淮安警方破獲了一起特大販賣公民個(gè)人信息案，共抓獲26名嫌疑人，涉案金額2000多萬元。

淮安警方稱，犯罪團(tuán)伙通過現(xiàn)有的技術(shù)手段無法獲取到如此大規(guī)模的公民個(gè)人信息，這些案件就可能有銀行內(nèi)部的工作人員參與其中。調(diào)查中發(fā)現(xiàn)，果然有一名銀行工作人員丁某僅靠幫忙查詢銀行卡信息，一年黑色收入超30萬元。

丁某稱，自己查詢了大幾百條或者一千條個(gè)人信息，每條80到110元，稱自己不知道這是違法的，“只是覺得違反銀行規(guī)定，因?yàn)槲覀冦y行不允許私自把客戶信息泄露。”

梳理中國裁判文書網(wǎng)不難發(fā)現(xiàn)，銀行員工因?yàn)樨溬u客戶信息而觸犯刑法，并以“侵犯公民個(gè)人信息罪”獲刑的案例并不少見。

裁判文書網(wǎng)顯示，今年3月底，位于浙江省余姚市的建設(shè)銀行(港股00939)余姚城建支行原行長沈某沖，因犯侵犯公民個(gè)人信息罪被判處有期徒刑3年，緩刑3年，并處罰金人民幣6000元。

沈某沖出生于1973年，現(xiàn)年47歲，案件經(jīng)審理查明，2017年3月17日，沈某沖將余姚市東城名苑業(yè)主的財(cái)產(chǎn)信息共計(jì)1111條，通過QQ郵箱非法提供給周某用于招攬業(yè)務(wù)。同年4月20日，沈某沖又將銀行貸款客戶財(cái)產(chǎn)信息共計(jì)127條，提供給周某用于招攬業(yè)務(wù)。2018年8月15日，沈某沖主動向公安機(jī)關(guān)投案，并如實(shí)供述了上述犯罪事實(shí)。

山東省鄒城市人民法院一份刑事判決書顯示，2018年5月份期間，浦發(fā)銀行電銷中心任業(yè)務(wù)主管楊某，通過在休假前把保存在電腦的客戶數(shù)據(jù)(姓名、電話號碼等)用手機(jī)拍了照片，之后保存在自己的電腦里的方式，利用工作便利獲取客戶個(gè)人信息20余萬條，并非法提供給山東星耀君程電子商務(wù)有限公司用于電話營銷;同時(shí)，這家電商公司員工李某在對這些信息資料進(jìn)行加工整理后，又以每條0.3元的價(jià)格對外售賣給第三人李某洪，后者再將這些個(gè)人信息販賣給陳某實(shí)施電話詐騙。

“對于銀行本身而言，客戶隱私信息及賬戶資源是極具商業(yè)價(jià)值的，所以銀行對應(yīng)著在合規(guī)上有著嚴(yán)格的流程規(guī)范約束，但不排除銀行個(gè)別員工，通過螞蟻搬家的方式獲取這些信息，再用于個(gè)人牟利。”華北一家反欺詐科技公司高級經(jīng)理告訴記者。

警惕黑灰產(chǎn)組織的系統(tǒng)性攻擊

如果說銀行“內(nèi)鬼”盜賣信息是螞蟻搬家，那么更多情況下，大規(guī)模的銀行、金融機(jī)構(gòu)用戶數(shù)據(jù)泄露，可能是來自黑灰產(chǎn)組織的有目的攻擊了。

“更多的是一些三方和黑產(chǎn)組織有目的地去攻擊，有一些系統(tǒng)和平臺也會存在漏洞。”上述華北某公司技術(shù)專家告訴記者。

今年4月14日，公安部公布10起侵犯公民個(gè)人信息違法犯罪典型案件，其中就有兩例，是技術(shù)“黑客”非法盜取信息售賣。

2019年10月，江蘇省南通市公安局網(wǎng)安部門工作發(fā)現(xiàn)，網(wǎng)民“wolinxuwei”多次在“暗網(wǎng)”交易平臺出售銀行開戶、手機(jī)注冊等公民個(gè)人信息，數(shù)量高達(dá)500余萬條。經(jīng)偵查，公安機(jī)關(guān)查明，“wolinxuwei”真實(shí)身份為林某。2019年初，林某在“telegram”群組結(jié)識某公司安全工程師賀某，林某以40萬的價(jià)格從賀某處購得銀行開戶、手機(jī)卡注冊等各類公民信息350余萬條，并通過“暗網(wǎng)”銷售給經(jīng)營期貨交易平臺、推銷POS機(jī)的費(fèi)某、王某等人，非法牟利70余萬元。

2019年6月，北京市公安局網(wǎng)安部門工作發(fā)現(xiàn)，網(wǎng)民“yuhong”在“暗網(wǎng)”販賣國內(nèi)某銀行6.02萬條用戶個(gè)人信息。北京市公安局網(wǎng)安部門縝密偵查，鎖定犯罪嫌疑人高某。7月24日，北京公安機(jī)關(guān)將高某抓獲歸案。經(jīng)審查，高某交代其利用網(wǎng)站漏洞非法竊取了某銀行等單位網(wǎng)站上存儲的公民個(gè)人信息，截至被抓獲，非法牟利3萬余元。

騰訊安全數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)人彭思翔在接受記者采訪時(shí)指出，“從宏觀看銀行業(yè)存儲了大量用戶敏感信息，信息又全又準(zhǔn)確，是黑產(chǎn)重點(diǎn)攻擊的目標(biāo)。具體來看，外部攻擊方面各銀行為自身發(fā)展，開展了大量業(yè)務(wù)應(yīng)用，且更新速度快，所以攻擊面很大，攻擊窗口較多，很難做到滴水不漏的防護(hù);內(nèi)部治理方面，部分銀行權(quán)限管控粗放，脫敏機(jī)制不完善，導(dǎo)致不必要人員可以接觸大量敏感信息，有誤操作或?yàn)榻?jīng)濟(jì)利益販賣信息的情況。”

在他看來，銀行信息泄露可能發(fā)生在以下幾個(gè)場景：

1.外包管理領(lǐng)域，特別是對外包研發(fā)、測試的管理不當(dāng)。生產(chǎn)環(huán)境暴露、數(shù)據(jù)庫過度授權(quán)，都會引起數(shù)據(jù)泄露。

2.信息科技運(yùn)行領(lǐng)域，訪問控制策略不當(dāng)，包括物理訪問、主機(jī)訪問、終端訪問、遠(yuǎn)程vpn訪問。如果沒有建立統(tǒng)一的、恰當(dāng)?shù)脑L問策略，會導(dǎo)致數(shù)據(jù)泄漏。

3.開發(fā)、測試和維護(hù)領(lǐng)域，若三個(gè)環(huán)境未分離，分離后生產(chǎn)數(shù)據(jù)使用未脫敏，都會導(dǎo)致數(shù)據(jù)泄漏。

4.信息安全領(lǐng)域，系統(tǒng)漏洞未及時(shí)修復(fù)、未開展代碼審計(jì)等等都會導(dǎo)致系統(tǒng)被攻陷，數(shù)據(jù)被脫庫。

個(gè)人金融隱私保護(hù)新挑戰(zhàn)：APP端泄露

而近來裁判文書網(wǎng)披露的多起案件顯示，銀行APP也成為更容易被黑客“攻破”的突破口、非法盜取或入侵銀行賬戶信息牟利。

2019年12月24日，浙江金華市婺城區(qū)人民法院對一起非法注冊銀行賬戶并出售獲利的案件做出了判決。判處兩名主犯有期徒刑4年3個(gè)月，并處罰金7萬元;判處7名從犯有期徒刑1年6個(gè)月至2年3個(gè)月不等，并處罰金兩萬至四萬不等。

判決書顯示，短短的兩個(gè)月，9名團(tuán)伙利用“利用APP漏洞和使用抓包軟件”，開設(shè)了10000余個(gè)銀行三類賬戶，涉及華潤銀行、溫州民商銀行、金華銀行、浦發(fā)銀行、中國銀行(港股03988)、招商銀行(港股03968)、建設(shè)銀行等多家銀行。

2019年10月，只有初中文化的00后田某被福建省廈門市思明區(qū)人民法院以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪判處有期徒刑三年，并處罰金人民幣一萬元。判決文書顯示，田某在2019年1月5日至1月15日期間，通過軟件抓包、PS身份證等非法手段，在廈門銀行手機(jī)銀行APP內(nèi)使用虛假身份信息注冊銀行Ⅱ、Ⅲ類賬戶，非法銷售獲利。

在作案方法上，他們利用了類似的APP技術(shù)漏洞，跳過了銀行開戶所必須的“四要素”(即驗(yàn)證開戶人姓名、手機(jī)號碼、身份證號碼以及綁定賬戶賬號或卡號)驗(yàn)證。

具體來看，先輸入本人身份信息，待進(jìn)行人臉識別步驟時(shí)，利用軟件抓包技術(shù)將銀行系統(tǒng)下發(fā)的人臉識別身份認(rèn)證數(shù)據(jù)包進(jìn)行攔截并保存。隨后，在輸入開卡密碼步驟，將APP返回到第一步(上傳身份證照片之步驟)，輸入偽造的身份信息，并再次進(jìn)入到人臉識別之身份驗(yàn)證步驟，此時(shí)，其上傳此前攔截下來的包含其本人身份信息的數(shù)據(jù)包，使系統(tǒng)誤以為要比對其本人的身份信息，最終完成開戶。

“你的信息被泄露，可能都是你絕對想不到的地方。”一位銀行智能風(fēng)控業(yè)務(wù)負(fù)責(zé)人向記者分享，移動互聯(lián)網(wǎng)繁榮后，引流、導(dǎo)流流行，但用戶信息泄露的平臺往往可能不是金融機(jī)構(gòu)、大的流量公司或者平臺，反而極有可能是發(fā)生在房產(chǎn)中介APP、手游APP的注冊、充值、交易過程中。

中國信息通信研究院發(fā)布的《2019金融行業(yè)移動APP安全觀測報(bào)告》顯示，在對133327款金融行業(yè)APP進(jìn)行掃描檢測后發(fā)現(xiàn)，73.23%存在不同程度的安全漏洞，70.22%存在高危漏洞。平均每款金融行業(yè)APP存在20.3個(gè)安全漏洞，其中6.7個(gè)為高危漏洞。不過，移動金融APP信息安全保護(hù)也引起的監(jiān)管的重視，去年以來，多個(gè) 監(jiān)管部門數(shù)次公開點(diǎn)名批評百余款應(yīng)用軟件及其運(yùn)營企業(yè)，涉及未經(jīng)用戶同意超范圍及非必要使用個(gè)人信息等違規(guī)情形;去年5月份到8月份，監(jiān)管部門密集出臺了關(guān)于數(shù)據(jù)安全管理辦法、APP違規(guī)收集使用個(gè)人信息行為認(rèn)定方法等多項(xiàng)征求意見稿及草案。

關(guān)鍵詞：