在快速崛起的数字经济时代,数据作为企业的核心资产及重要战略资源,在高速增长的同时,其背后的数据风险也在不断攀升,日渐复杂的数据泄露形势,已成为各行各业数字化发展赛道的严重阻碍。
保险行业作为金融行业三大支柱产业之一,涉及大量高净值人群,数据转化效率高,变现能力强,是黑灰产重点攻击的对象。威胁猎人近期发布的《2024年上半年数据泄露风险态势报告》数据显示,保险行业2024年上半年发生数据泄露事件2039起,行业排名第四。
一旦发生数据泄露,或数据泄露后不及时管控,导致数据被黑灰产进行大范围交易、作恶,严重损害平台客户的利益,保险等金融机构不仅会遭到客户投诉,同时也会面临监管部门的惩罚,损害其经济和品牌声誉。
威胁猎人长期致力于黑灰产业链及数据泄露风险的深入挖掘和研究,报告将与同业者一起探讨保险行业数据资产泄露的主要特点和发展趋势,希望为保险行业提供有效参考,进一步推动保险行业数据安全的发展。
目录
名词定义
一、保险行业数据泄露黑色产业链介绍
二、2024上半年数据泄露风险概况
2.12024上半年保险行业数据泄露事件共有2039起,涉及80家保险机构
2.2国内大型保险机构是黑产团伙的主要攻击对象,数据泄露事件占比超50%
2.3TG和暗网渠道是非法数据交易的主要交易渠道,占比超过98%
2.4保险行业被泄露的数据类型主要是用户信息,占比超95%
2.6单个事件泄露的数据量以小规模居多,5000条以下占比将近60%
2.7保险行业被黑产交易的数据中虚假数据、历史数据占比远超全网水平
三、数据泄露字段及人群画像分析
3.1近98%的数据包含个人基础信息,有五分之一的数据包含黑产自定义标签
3.2保险业务字段出现频率最高的是“保险类型”和“平台名称”
3.3保险类型中“人身保险”占比最高,以“人寿保险”和“年金保险”居多
3.4诈骗团伙通过“IOS”字段标签对保险平台用户进行精准诈骗
3.5保险行业数据泄露用户群体主要集中在浙江、四川等地,以中年女性为主
四、典型数据泄露事件分析
4.1因第三方安全管控不足,导致大量保险行业敏感数据泄露
4.2某保险机构API机构被黑客攻击,20万用户保单信息泄露
4.3疑似保险机构“内鬼”非法获取用户数据获利
4.4疑似短信通道存在安全隐患导致保险机构数据泄露
结语
1、DRRC:威胁猎人在深圳、重庆成立DRRC数字风险应急响应中心,汇集30+安全运营专家,为企业提供7×24小时应急响应服务;
2、真实性验证引擎:通过不同文件类型的个人要素提取和比对,以及对图片OCR结果中的要素进行提取及验证,有效识别该图片内容中是否含有伪造数据/历史泄露数据;
4、数据泄露事件:威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证,排除虚假情报、确认有效的数据泄露事件;
6、公民个人信息:指公民个人身份信息,包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等;
7、历史个人信息:指此次数据泄露事件之前就已经泄露过的个人信息,很多历史个人信息被黑产收集整合成社工库;
8、历史数据事件:黑产将泄露过的真实信息进行整合并再次用于交易的事件,通常黑产会对数据进行精细化处理,补充数据字段完整性,从而提升数据价值及盈利空间;
9、虚假数据事件:黑产将伪造的虚假数据数据用于交易的事件;
10、第三方泄露:和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中;
11、短信通道泄露:随着历年来短信收发业务的发展,短信通道商开始通过压低价格的方式来获取更高的订单,比如会以低于市场标准价格与短信下发方(甲方)达成交易,而其收益空间降低很多,因此内部会通过非法售卖短信信息数据的方式获取更多收益。
12、运营商通道:黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息;
13、内鬼泄露:企业内部员工在利益的驱使下,采用资料导出、人工拍摄等方式,获取客户敏感信息后进行售卖;
14、黑客攻击:外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据;
17、黑产自定义字段:黑产为了提高黑产数据交易价值及效率,会对数据金星清洗后定义,如:验证ID、设备信息(IOS/安卓)、所属运营商等(验证ID主要是黑产对数据进行标记,防止被二次贩卖)。
威胁猎人针对保险行业数据泄露产业链进行深入研究,发现围绕数据资产泄漏和倒卖的产业链目前已经相当成熟,基于明确的分工和定位分为上、中、下游。
上游:数据窃取团伙
包括公司内鬼、黑客、运营商、运营商第三方代理、短信通道服务商等。这些人专门负责从保险机构的内部和外部寻找获取数据的渠道并窃取数据。在数据越来越值钱的当下,巨大的利益和极低的犯罪成本驱动着上游的数据窃取者甘愿铤而走险。
注:下文将会对保险行业已被攻击平台、数据泄露渠道等进行分析,详情见第二章。
中游:数据中间商
大部分活跃在暗网、Telegram、黑产论坛、Potato等平台,这些人在不同的平台上发布帖子销售数据,并负责对数据进行分类和清洗,以满足下游客户的各种需求。
注:下文将会对保险行业已泄露数据的地下交易渠道、数据字段等进行分析,详情见第二章。
下游:数据购买者
近年来,对精细化数据的需求日益增长,例如针对保险客户、理赔用户、高净值人群的数据。这些数据被用于更精准的营销和诈骗活动,其成功率远高于传统方法。比如,利用保险客户数据推销新的保险产品,或者利用理赔用户数据进行保险理赔诈骗等。下游的需求变化促使上游和中游的非法人员采用各种技术手段收集用户数据,并根据需求对数据进行分类整理后出售。
诈骗流程大体如下:
诈骗话术框架如下:
二、2024上半年保险行业数据泄露风险概况
2024年上半年威胁猎人全网监测到的1.1亿条情报,基于真实性验证引擎及DRRC人工分析验证有效的数据泄露事件共计16011起,涉及85个行业,其中保险行业排名第四,共有2039起,平均每月约340起,涉及80家保险机构。
威胁猎人情报研究员对上半年存在数据泄露最多的15家保险机构进一步分析发现,这15家保险机构涉及的数据泄露事件占据了整个保险行业数据泄露总量的近80%,其中Top5机构数据泄露事件占比超50%。
对Top5机构及黑产数据交易情况进一步分析,Top5均是国内保险十大品牌的保险机构,机构规模大、平台用户群体多、用户数据量大;从黑产交易团伙来看,非法贩卖保险机构数据的黑产团伙共计有569个,其中贩卖Top5机构数据的黑产团伙数量共有534个,远超售卖其他机构数据的黑产团伙数量。由此可见,Top5保险机构是黑产团伙主要的攻击目标。
威胁猎人针对保险行业数据泄露的交易渠道进行分析发现,匿名群聊Telegram和暗网占比98.47%,是黑产进行非法数据交易的主要渠道,与2024年上半年全行业非法数据交易渠道分布基本一致。
威胁猎人针对保险行业泄露的数据信息进行分析发现,泄露的数据中用户信息类占比高达95.64%,为非法数据交易的主要类型。
员工信息:为企业员工个人信息以及职业信息,包括员工姓名、手机号、身份证、职业岗位等信息;
敏感文件:为企业内部敏感文件文档信息,包括企业内部机密文档、合同文件、产品图纸等信息;
敏感代码:为企业内部敏感代码信息,包括源码信息、API接口密钥、环境配置、域名等信息。
为进一步了解被泄露的用户信息详情,威胁猎人针对泄露的数据字段进行了分析,详情见第三章。
威胁猎人针对保险行业数据泄露的源头进行分析,第三方导致的数据泄露是主要原因,占比高达67.28%,其次是短信通道泄露,占比17.39%,外部黑客攻击占比11.23%,内部员工泄露3.99%。
第三方泄露:和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中;
短信通道泄露:随着历年来短信收发业务的发展,短信通道商开始通过压低价格的方式来获取更高的订单,比如会以低于市场标准价格与短信下发方(甲方)达成交易,而其收益空间降低很多,因此内部会通过非法售卖短信信息数据的方式获取更多收益。
运营商通道:黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息;
内鬼泄露:企业内部员工在利益的驱使下,采用资料导出、人工拍摄等方式,获取客户敏感信息后进行售卖;
黑客攻击:外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据。
2024年上半年,威胁猎人捕获到的保险行业黑产数据交易量级以5000条以下小规模居多,占比59.72%。
虽然整体以小规模数据交易为主,也存在不少单次泄露数据量级10万以上的,其中最高可达70万条数据,进一步分析,该事件为2022年某保险机构出现的重大数据泄露事件。
2.7保险行业被黑产交易的数据中历史数据、虚假数据占比远超全网水平
威胁猎人针对保险行业被黑产交易的数据进行真实性验证分析发现,其虚假数据、历史数据占比远超全网整体水平:
从历史数据的维度上分析,泄露的保险数据中有52.67%为历史泄露的数据,超过全网的历史数据占比30.60%;
从数据的真实性维度上分析,泄露的保险数据中有4.76%为虚假不匹配的信息数据,超过全网虚假数据占比1.54%。
历史数据事件:威胁猎人通过与过往泄露数据的匹配验证,识别出黑产发布数据样本中包含旧数据的事件;
虚假数据事件:威胁猎人对数据样例中所包含的三要素进行匹配验证,识别黑产伪造的虚假数据的事件。
威胁猎人真实性验证引擎会基于数据样例的历史重合度、三要素匹配度,以及信源置信度等维度对风险情报进行可信度评估和初步验证,帮助企业识别黑产发布的虚假数据、历史数据及无关数据,提高事件预警的准确性和可信度。
三、保险行业数据泄露字段及人群画像分析
3.1近98%的数据包含个人基础信息,20%的数据包含黑产自定义标签
黑产自定义字段:主要指黑产团伙数据清洗后定义的字段,如:验证ID、设备信息(IOS/安卓)、所属运营商等(验证ID主要是黑产对数据进行标记,防止被二次贩卖)。
威胁猎人针对保险业务信息字段进行分析发现,“保险类型”、“平台名称”、“保单号”、“投保金额”等字段的出现频率较高,其中“保险类型”最高,高达85.97%,其次是“平台名称”,高达82.97%。这些数据指向性非常高,诈骗团伙一旦获取到这些数据,可精准地掌握到保险机构用户的投保情况并进行诈骗。
3.3“保险类型”中“人身保险”占比最高,以“人寿保险”和“年金保险”居多
威胁猎人针对“保险类型”进行分析,被泄露的保险行业数据主要涉及“人身保险”、“医疗保险”、“养老保险”以及“财产保险”等产品,其中“人身保险”占比最高,达52.51%。进一步分析发现,“人身保险”产品中,“人寿保险”、“年金保险”居多。
为了提高黑产数据交易价值及效率,黑产团伙会对数据进行清洗并自定义标签。2024年上半年,被泄露的数据中出现大量黑产定义字段,“运营商”、“设备系统”、“验证ID”等出现频率最高:
以一个真实事件为例:
威胁猎人通过对保险行业泄露数据的人群画像进行抽样分析,发现保险行业数据泄露的受害群体,在地区上主要集中在浙江、四川、江苏等地;在年龄分布上,35岁至54岁之间的人群占比最多,达68.85%;在性别分布上,女性占比78.44%,远超于男性占比21.56%。
四、保险行业典型数据泄露事件分析
保险机构为了提升业务拓展效率和服务质量,往往会引入第三方合作代理,很多第三方合作代理是以“业务优先”的中小型企业,在安全建设上的投入相对较少,而且业务会涉及到大量客户的敏感数据,很容易成为黑产攻击的对象。
威胁猎人在匿名聊天平台渠道的监测情报分析发现,大量保险行业的敏感数据正在被交易,其中泄露的数据字段不仅包含用户的个人信息,且包含用户的投保具体信息(保险类型、投保金额、保险周期等),同时涉及到多家保险企业。
数据样例:
分析过程:
威胁猎人发现此类数据样例泄露的数据字段较为齐全,不仅包含个人信息,且包含保险信息,同时涉及多家保险机构,因此威胁猎人初步判断为该多家保险机构有关联合作的第三方所导致的泄露。
随着各行业网络安全水位不断提高,黑客入侵并获取后台权限的难度越来越高,因此不少黑客将攻击对象瞄准为存在安全缺陷的API接口,通过数据遍历攻击等方式窃取数据。
威胁猎人在暗网平台渠道的监测情报分析发现,国内某保险机构20万用户保单信息数据被黑产进行售卖,以300美元的价格进行出售,泄露的数据样例中不仅包含用户姓名、手机号等基础信息,此外还有用户的工作岗位、家庭地址以及银行卡等信息。
数据样例:
根据该暗网帖子提供的信息来看,对方售卖的保险数据仅涉及到国内某一保险机构,针对性较强;同时泄露的数据字段较为齐全,涉及多个敏感字段信息。因此结合以上两点,威胁猎人初步判断疑似为外部黑客攻击该保险机构所导致的。
威胁猎人在匿名聊天平台渠道的监测情报分析发现,有黑产在售卖国内某保险机构用户信息数据,以下为提供的数据样例信息。
威胁猎人分析到该数据样例中不仅包含用户的个人信息,同时还包含有企业内部关于保险机构的创建状态、保险机构分公司的情况。
因此,威胁猎人初步判断为疑似该保险机构内部员工采用内部渠道非法获取数据后售卖到数据交易市场。
威胁猎人在匿名聊天平台渠道的监测情报分析发现,有黑产在售卖保险机构用户短信信息数据,以下为提供的数据样例信息。
随着历年来短信收发业务的发展,短信通道商开始通过压低价格的方式来获取更高的订单,比如会以低于市场标准价格与短信下发方(甲方)达成交易,而其收益空间降低很多,因此内部会通过非法售卖短信信息数据的方式获取更多收益。
短信数据泄露源来自短信通道,短信通道一般为三方服务,其本身存在被渗透或信息泄露的风险,导致三方服务内的数据泄露。
威胁猎人根据泄露的数据样例分析到,泄露的数据中包含用户短信内容,而企业自身平台短信下发接口安全防护都比较完善,因此初步判断疑似泄露渠道为短信通道所导致泄露的。
1、2024年上半年保险行业数据泄露事件数2039起,涉及80家保险机构
2024年上半年,全网数据泄露事件共计16011起,保险行业排名第4,共有2039起,平均每月约340起,涉及80家保险机构。
2、大型保险机构是黑产团伙的主要攻击对象,数据泄露事件占比超50%
2024年上半年Top5均是国内保险十大品牌的保险机构,机构规模大、平台用户群体多、用户数据量大,贩卖Top5保险机构数据的黑产团伙534个(非法贩卖保险企业信息数据的黑产团伙共计569个)。
3、第三方泄露、短信通道泄露是保险机构数据泄露的主要原因
与前几年不同,随着保险机构对数据保护的日渐加强,重视内部系统的数据安全管理,传统的内鬼泄露、渗透拖库等导致的数据泄露逐渐减少,合作方数据访问管控不当、短信通道泄露等方式成为当前主流,2024年保险行业数据泄露事件由第三方导致的占比高达67.28%,由短信通道导致的数据泄露事件占比17.39%。
4、“保险类型”中“人身保险”占比最高,以“人寿保险”和“年金保险”居多
2024年上半年保险行业被泄露的数据中,涉及“人身保险”的数据占比最高,达52.51%;进一步分析发现,“人身保险”产品中,“人寿保险”、“年金保险”居多。
5、保险行业被黑产交易的数据中虚假数据、历史数据占比远超全网水平
2024年上半年泄露的保险数据中,有52.67%为历史泄露的数据,超过全网的历史数据占比30.60%;有4.76%为虚假不匹配的信息数据,超过全网虚假数据占比1.54%。
6、保险行业数据泄露用户群体主要集中在浙江、四川等地,且以中年女性为主
从区域维度来看,2024年上半年保险行业数据泄露人群最多的区域分别是:浙江、四川等地;从年龄段维度来看,35-54岁占比达68.85%;从性别维度来看,女性占比达78.44%。
对此,威胁猎人提出了针对性的解决方案:
1、全网情报监测及挖掘:覆盖暗网、匿名群聊、网盘文库、代码托管平台等各渠道,从不同维度持续提升渠道覆盖的全面性,包括新渠道的持续发现和更新、深层情报源(DeepSource)的专项挖掘、多语种的渠道覆盖。
2、数据泄露风险精准预警:针对监测到的黑产交易数据,通过风险真实性验证引擎+人工数据验证服务,提供综合的可信度评估结果,帮助企业精准感知风险、及时处置风险:
①风险真实性验证引擎:基于“信源置信度要素、三要素匹配度要素、历史重合度要素”3个要素对风险真实性进行验证;
②人工数据验证服务:通过二次验证、主动验证等方式进一步帮助企业精准感知风险。