威脅獵人-2024年上半年保險(xiǎn)行業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)態(tài)勢報(bào)告-2024.07-34正式版-WN8

目錄一、保險(xiǎn)行業(yè)數(shù)據(jù)泄露黑色產(chǎn)業(yè)鏈介紹..........................................................7二、2024上半年保險(xiǎn)行業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)概況...............................................112.1上半年保險(xiǎn)行業(yè)數(shù)據(jù)泄露事件共有起，涉及家保險(xiǎn)機(jī)構(gòu)..............112.2國內(nèi)大型保險(xiǎn)機(jī)構(gòu)是黑產(chǎn)團(tuán)伙的主要攻擊對(duì)象，數(shù)據(jù)泄露事件占比超50%2.3和暗網(wǎng)渠道是非法數(shù)據(jù)交易的主要交易渠道，占比超過98%2.4保險(xiǎn)行業(yè)被泄露的數(shù)據(jù)類型主要是用戶信息，占比超95%2.5保險(xiǎn)行業(yè)被泄露數(shù)據(jù)主要來源于第三方泄露，其次是短信通道泄露......................152.6單個(gè)事件泄露的數(shù)據(jù)量以小規(guī)模居多，5000條以下占比將近60%......................162.7保險(xiǎn)行業(yè)被黑產(chǎn)交易的數(shù)據(jù)中歷史數(shù)據(jù)、虛假數(shù)據(jù)占比遠(yuǎn)超全網(wǎng)水平..................17三、保險(xiǎn)行業(yè)數(shù)據(jù)泄露字段及人群畫像分析.................................................203.1近98%的數(shù)據(jù)包含個(gè)人基礎(chǔ)信息，20%的數(shù)據(jù)包含黑產(chǎn)自定義標(biāo)簽3.2保險(xiǎn)業(yè)務(wù)字段出現(xiàn)頻率最高的是“保險(xiǎn)類型”和“平臺(tái)名稱”..............................213.3“保險(xiǎn)類型”中“人身保險(xiǎn)”占比最高，以“人壽保險(xiǎn)”和“年金保險(xiǎn)”居多..223.4詐騙團(tuán)伙通過“IOS”字段標(biāo)簽對(duì)保險(xiǎn)平臺(tái)用戶進(jìn)行精準(zhǔn)詐騙...............................223.5保險(xiǎn)行業(yè)數(shù)據(jù)泄露用戶群體主要集中在浙江、四川等地，以中年女性為主..........24四、保險(xiǎn)行業(yè)典型數(shù)據(jù)泄露事件分析...........................................................274.1因第三方安全管控不足，導(dǎo)致大量保險(xiǎn)行業(yè)敏感數(shù)據(jù)泄露......................................274.2某保險(xiǎn)機(jī)構(gòu)機(jī)構(gòu)被黑客攻擊，20萬用戶保單信息泄露4.3疑似保險(xiǎn)機(jī)構(gòu)“內(nèi)鬼”非法獲取用戶數(shù)據(jù)獲利4.4疑似短信通道存在安全隱患導(dǎo)致保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)泄露2道的嚴(yán)重阻礙。力強(qiáng)，是黑灰產(chǎn)重點(diǎn)攻擊的對(duì)象。威脅獵人近期發(fā)布的《2024年上半年數(shù)據(jù)泄露風(fēng)險(xiǎn)態(tài)勢報(bào)告》數(shù)據(jù)顯示，保險(xiǎn)行業(yè)2024年上半年發(fā)生數(shù)據(jù)泄露事件2039起，行業(yè)排名第四。一旦發(fā)生數(shù)據(jù)泄露，或數(shù)據(jù)泄露后不及時(shí)管控，導(dǎo)致數(shù)據(jù)被黑灰產(chǎn)進(jìn)行大范圍交易、作惡，懲罰，損害其經(jīng)濟(jì)和品牌聲譽(yù)。討保險(xiǎn)行業(yè)數(shù)據(jù)資產(chǎn)泄露的主要特點(diǎn)和發(fā)展3相關(guān)名詞定義：數(shù)字風(fēng)險(xiǎn)應(yīng)急響應(yīng)中心30+安全運(yùn)營專家，為企業(yè)提供7×24小時(shí)應(yīng)急響應(yīng)服務(wù)；2、真實(shí)性驗(yàn)證引擎：通過不同文件類型的個(gè)人要素提取和比對(duì)，以及對(duì)圖片結(jié)果中的要素進(jìn)行提取及驗(yàn)證，有效識(shí)別該圖片內(nèi)容中是否含有偽造數(shù)據(jù)/歷史泄露數(shù)據(jù)；被公開交易或使用”的情報(bào)信息，可能包含歷史數(shù)據(jù)、重復(fù)數(shù)據(jù)等，往往量級(jí)巨大；威脅獵人安全研究專家針對(duì)數(shù)據(jù)泄露情報(bào)的樣例等進(jìn)行分析及驗(yàn)證，排除歷史虛假信息、確認(rèn)有效的數(shù)據(jù)泄露事件；配置或者授權(quán)才能登錄；指公民個(gè)人身份信息，包括但不限于姓名、身份證號(hào)碼、出生日期、手機(jī)號(hào)碼、家庭住址、銀行賬戶信息等；指此次數(shù)據(jù)泄露事件之前就已經(jīng)泄露過的個(gè)人信息，很多歷史個(gè)人信息被黑產(chǎn)收集整合成社工庫；黑產(chǎn)將泄露過的真實(shí)信息進(jìn)行整合并再次用于交易的事件，通常黑產(chǎn)會(huì)對(duì)數(shù)據(jù)進(jìn)行精細(xì)化處理，補(bǔ)充數(shù)據(jù)字段完整性，從而提升數(shù)據(jù)價(jià)值及盈利空間；9、虛假數(shù)據(jù)事件：黑產(chǎn)將偽造的虛假數(shù)據(jù)數(shù)據(jù)用于交易的事件；10、第三方泄露：和企業(yè)存在合作關(guān)系的第三方，具有訪問企業(yè)某些敏感數(shù)據(jù)的權(quán)限，但由于管理不規(guī)范等問題，導(dǎo)致這些敏感數(shù)據(jù)通過第三方泄露到黑產(chǎn)手中；411、短信通道泄露：隨著歷年來短信收發(fā)業(yè)務(wù)的發(fā)展，短信通道商開始通過壓低價(jià)格的方益空間降低很多，因此內(nèi)部會(huì)通過非法售賣短信信息數(shù)據(jù)的方式獲取更多收益。12、運(yùn)營商通道：黑產(chǎn)通過運(yùn)營商內(nèi)鬼或違規(guī)代理等渠道，獲取到指定網(wǎng)頁的訪問數(shù)據(jù)、指定應(yīng)用的安裝數(shù)據(jù)、指定短信的接收和發(fā)送數(shù)據(jù)等信息；13、內(nèi)鬼泄露：企業(yè)內(nèi)部員工在利益的驅(qū)使下，采用資料導(dǎo)出、人工拍攝等方式，獲取客戶敏感信息后進(jìn)行售賣；14、黑客攻擊：外部黑客使用爬蟲、掃描、滲透等方式攻擊企業(yè)系統(tǒng)和網(wǎng)絡(luò)資產(chǎn)，利用企業(yè)網(wǎng)絡(luò)漏洞大規(guī)模竊取數(shù)據(jù)；15、基礎(chǔ)字段：主要指個(gè)人基礎(chǔ)信息，包括個(gè)人信息（姓名、手機(jī)號(hào)、身份證號(hào)、出生日單支付狀態(tài)、訂單支付金額、訂單來源等；黑產(chǎn)為了提高黑產(chǎn)數(shù)據(jù)交易價(jià)值及效率，會(huì)對(duì)數(shù)據(jù)進(jìn)行清洗后定義，ID主要是黑產(chǎn)對(duì)數(shù)據(jù)進(jìn)行標(biāo)記，防止被二次販賣）。進(jìn)行標(biāo)記，防止被二次販賣）。501保險(xiǎn)行業(yè)數(shù)據(jù)泄露黑色產(chǎn)業(yè)鏈介紹一、保險(xiǎn)行業(yè)數(shù)據(jù)泄露黑色產(chǎn)業(yè)鏈介紹鏈目前已經(jīng)相當(dāng)成熟，基于明確的分工和定位分為上、中、下游。上游：數(shù)據(jù)竊取團(tuán)伙利益和極低的犯罪成本驅(qū)動(dòng)著上游的數(shù)據(jù)竊取者甘愿鋌而走險(xiǎn)。注：下文將會(huì)對(duì)保險(xiǎn)行業(yè)已被攻擊平臺(tái)、數(shù)據(jù)泄露渠道等進(jìn)行分析，詳情見第二章。中游：數(shù)據(jù)中間商7子銷售數(shù)據(jù)，并負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行分類和清洗，以滿足下游客戶的各種需求。下游：數(shù)據(jù)購買者用戶數(shù)據(jù)，并根據(jù)需求對(duì)數(shù)據(jù)進(jìn)行分類整理后出售。威脅獵人梳理了年5年5有詐騙事件發(fā)生，保險(xiǎn)行業(yè)相關(guān)詐騙事件高頻發(fā)生。根據(jù)過往的保險(xiǎn)行業(yè)相關(guān)的詐騙案例，保險(xiǎn)行業(yè)詐騙8詐騙流程大體如下：詐騙話術(shù)框架如下：9022024上半年保險(xiǎn)行業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)概況二、2024上半年保險(xiǎn)行業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)概況2.12024上半年保險(xiǎn)行業(yè)數(shù)據(jù)泄露事件共有2039起，涉及80家保險(xiǎn)機(jī)構(gòu)年上半年威脅獵人全網(wǎng)監(jiān)測到的1.1人工分析驗(yàn)證有效的數(shù)據(jù)泄露事件16011起，涉及85個(gè)行業(yè)，其中保險(xiǎn)行業(yè)排名第四共有2039起，平均每月約起，80家保險(xiǎn)機(jī)構(gòu)。2.2比超50%威脅獵人情報(bào)研究員對(duì)上半年存在數(shù)據(jù)泄露最多的家保險(xiǎn)機(jī)構(gòu)進(jìn)一步分析發(fā)現(xiàn)，這家保險(xiǎn)機(jī)構(gòu)涉及的數(shù)據(jù)泄露事件占據(jù)了整個(gè)保險(xiǎn)行業(yè)數(shù)據(jù)泄露總量的近80%，其中11機(jī)構(gòu)數(shù)據(jù)泄露事件占比超50%。對(duì)均是國內(nèi)保險(xiǎn)十大品牌的保險(xiǎn)機(jī)構(gòu)，據(jù)的黑產(chǎn)團(tuán)伙共計(jì)有個(gè)，其中販賣機(jī)構(gòu)數(shù)據(jù)的黑產(chǎn)團(tuán)伙數(shù)量共有個(gè)，遠(yuǎn)超保險(xiǎn)機(jī)構(gòu)是黑產(chǎn)團(tuán)伙主要的攻擊目標(biāo)。122.398%和暗網(wǎng)占比98.47%，是黑產(chǎn)進(jìn)行非法數(shù)據(jù)交易的主要渠道，與年上半年全行業(yè)非法數(shù)據(jù)交易渠道分布基本一致。132.4保險(xiǎn)行業(yè)被泄露的數(shù)據(jù)類型主要是用戶信息，占比超95%威脅獵人針對(duì)保險(xiǎn)行業(yè)泄露的數(shù)據(jù)信息進(jìn)行分析發(fā)現(xiàn)，泄露的數(shù)據(jù)中用戶信息類占比高達(dá)95.64%，為非法數(shù)據(jù)交易的主要類型。用戶信息：財(cái)產(chǎn)信息等；等信息；敏感文件：信息；14見第三章。2.5露67.28%，其次是短信通道泄露，占比17.39%，外部黑客攻擊占比11.23%，內(nèi)部員工泄露3.99%。第三方泄露：理不規(guī)范等問題，導(dǎo)致這些敏感數(shù)據(jù)通過第三方泄露到黑產(chǎn)手中；短信通道泄露：15降低很多，因此內(nèi)部會(huì)通過非法售賣短信信息數(shù)據(jù)的方式獲取更多收益。運(yùn)營商通道：用的安裝數(shù)據(jù)、指定短信的接收和發(fā)送數(shù)據(jù)等信息；內(nèi)鬼泄露：信息后進(jìn)行售賣；黑客攻擊：漏洞大規(guī)模竊取數(shù)據(jù)。2.6單個(gè)事件泄露的數(shù)據(jù)量以小規(guī)模居多，5000條以下占比將近60%條以下小規(guī)模居多，59.72%。16雖然整體以小規(guī)模數(shù)據(jù)交易為主，也存在不少單次泄露數(shù)據(jù)量級(jí)其中最高可達(dá)70萬條數(shù)據(jù)，進(jìn)一步分析，該事件為年某保險(xiǎn)機(jī)構(gòu)出現(xiàn)的重大數(shù)據(jù)泄露事件。2.7水平占比遠(yuǎn)超全網(wǎng)整體水平：史數(shù)據(jù)占比30.60%；從數(shù)據(jù)的真實(shí)性維度上分析，泄露的保險(xiǎn)數(shù)據(jù)中有4.76%為虛假不匹配的信息數(shù)據(jù)，超過全網(wǎng)虛假數(shù)據(jù)占比1.54%。17歷史數(shù)據(jù)事件：舊數(shù)據(jù)的事件；虛假數(shù)據(jù)事件：數(shù)據(jù)的事件。及無關(guān)數(shù)據(jù)，提高事件預(yù)警的準(zhǔn)確性和可信度。1803保險(xiǎn)行業(yè)數(shù)據(jù)泄露字段及人群畫像分析三、保險(xiǎn)行業(yè)數(shù)據(jù)泄露字段及人群畫像分析3.1近98%的數(shù)據(jù)包含個(gè)人基礎(chǔ)信息，20%的數(shù)據(jù)包含黑產(chǎn)自定義標(biāo)簽97.40%的數(shù)據(jù)包含了基礎(chǔ)字段有65.35%的數(shù)據(jù)包含價(jià)值及效率，會(huì)對(duì)數(shù)據(jù)進(jìn)行清洗并自定義標(biāo)簽。種類、車價(jià)等）、家庭信息（婚姻情況、家庭關(guān)系等）、工作信息（企業(yè)單位、職業(yè)等）；20付狀態(tài)、訂單支付金額、訂單來源等；黑產(chǎn)自定義字段：主要指黑產(chǎn)團(tuán)伙數(shù)據(jù)清洗后定義的字段，如：驗(yàn)證ID、設(shè)備信息（IOS/安卓）、所屬運(yùn)營商等（驗(yàn)證ID主要是黑產(chǎn)對(duì)數(shù)據(jù)進(jìn)行標(biāo)記，防止被二次販賣）。3.2保險(xiǎn)業(yè)務(wù)字段出現(xiàn)頻率最高的是“保險(xiǎn)類型”和“平臺(tái)名稱”地掌握到保險(xiǎn)機(jī)構(gòu)用戶的投保情況并進(jìn)行詐騙。213.3金保險(xiǎn)”居多52.51%。進(jìn)一步分析發(fā)現(xiàn)，“人身保險(xiǎn)”產(chǎn)品中，“人壽保險(xiǎn)”、“年金保險(xiǎn)”居多。3.4詐騙團(tuán)伙通過“IOS”字段標(biāo)簽對(duì)保險(xiǎn)平臺(tái)用戶進(jìn)行精準(zhǔn)詐騙為了提高黑產(chǎn)數(shù)據(jù)交易價(jià)值及效率，黑產(chǎn)團(tuán)伙會(huì)對(duì)數(shù)據(jù)進(jìn)行清洗并自定義標(biāo)簽。半年，被泄露的數(shù)據(jù)中出現(xiàn)大量黑產(chǎn)定義字段，“運(yùn)營商”、“設(shè)備系統(tǒng)”、“驗(yàn)證ID”等出現(xiàn)頻率最高：22的篩選要求。年上半年數(shù)據(jù)泄露風(fēng)險(xiǎn)態(tài)勢報(bào)告》中有提到，詐騙分子正是通過篩選出“IOS”用戶信息來通過功能進(jìn)行詐騙，自年起，威脅獵人發(fā)現(xiàn)不少詐騙功能向蘋等將相關(guān)款項(xiàng)轉(zhuǎn)移至指定賬戶，給受害者帶來巨額損失。23以一個(gè)真實(shí)事件為例：3月日，受害人林先生接到陌生號(hào)碼打來的視頻電話，對(duì)方稱其在網(wǎng)絡(luò)上購買了“百萬醫(yī)療保險(xiǎn)”，每個(gè)月繳費(fèi)標(biāo)準(zhǔn)是元，一年費(fèi)用為元。如果沒有辦理導(dǎo)通過支付寶向指定的支付寶賬戶發(fā)送口令紅包，被騙余萬元。3.5女性為主群體，在地區(qū)上主要集中在浙江、四川、江蘇等地；在年齡分布上，35歲之間的21.56%。242504保險(xiǎn)行業(yè)典型數(shù)據(jù)泄露事件分析四、保險(xiǎn)行業(yè)典型數(shù)據(jù)泄露事件分析4.1因第三方安全管控不足，導(dǎo)致大量保險(xiǎn)行業(yè)敏感數(shù)據(jù)泄露量客戶的敏感數(shù)據(jù)，很容易成為黑產(chǎn)攻擊的對(duì)象。威脅獵人在匿名聊天平臺(tái)渠道的監(jiān)測情報(bào)分析發(fā)現(xiàn)，大量保險(xiǎn)行業(yè)的敏感數(shù)據(jù)正在被交易，保金額、保險(xiǎn)周期等），同時(shí)涉及到多家保險(xiǎn)企業(yè)。數(shù)據(jù)樣例如下：分析過程：27致的泄露。4.2某保險(xiǎn)機(jī)構(gòu)API機(jī)構(gòu)被黑客攻擊，20萬用戶保單信息泄露客將攻擊對(duì)象瞄準(zhǔn)為存在安全缺陷的接口，通過數(shù)據(jù)遍歷攻擊等方式竊取數(shù)據(jù)。20萬用戶保單信息數(shù)據(jù)被黑產(chǎn)進(jìn)行售賣，以300美元的價(jià)格進(jìn)行出售，泄露的數(shù)據(jù)樣例中不僅包含用戶姓名、手機(jī)號(hào)等基礎(chǔ)信息，此外還有用戶的工作崗位、家庭地址以及銀行卡等信息。數(shù)據(jù)樣例如下:分析過程如下：28人初步判斷疑似為外部黑客攻擊該保險(xiǎn)機(jī)構(gòu)所導(dǎo)致的。4.3疑似保險(xiǎn)機(jī)構(gòu)“內(nèi)鬼”非法獲取用戶數(shù)據(jù)獲利數(shù)據(jù)，以下為提供的數(shù)據(jù)樣例信息。數(shù)據(jù)樣例：分析過程：構(gòu)的創(chuàng)建狀態(tài)、保險(xiǎn)機(jī)構(gòu)分公司的情況。據(jù)交易市場。4.4疑似短信通道存在安全隱患導(dǎo)致保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)泄露據(jù)，以下為提供的數(shù)據(jù)樣例信息。29數(shù)據(jù)樣例：分析過程：隨著歷年來短信收發(fā)業(yè)務(wù)的發(fā)展，短信通道商開始通過壓低價(jià)格的方式來獲取更高的訂單，內(nèi)部會(huì)通過非法售賣短信信息數(shù)據(jù)的方式獲取更多收益。風(fēng)險(xiǎn)，導(dǎo)致三方服務(wù)內(nèi)的數(shù)據(jù)泄露。信下發(fā)接口安全防護(hù)都比較完善，因此初步判斷疑似泄露渠道為短信通道所導(dǎo)致泄露的。3005結(jié)語五、結(jié)語年上半年保險(xiǎn)行業(yè)數(shù)據(jù)泄露事件不容樂觀。從保險(xiǎn)行業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)狀況來看，企業(yè)需要重點(diǎn)關(guān)注以下問題：1、2024年上半年保險(xiǎn)行業(yè)數(shù)據(jù)泄露事件數(shù)2039起，涉及80家保險(xiǎn)機(jī)構(gòu)16011均每月約起，涉及家保險(xiǎn)機(jī)構(gòu)。2、大型保險(xiǎn)機(jī)構(gòu)是黑產(chǎn)團(tuán)伙的主要攻擊對(duì)象，數(shù)據(jù)泄露事件占比超50%年上半年均是國內(nèi)保險(xiǎn)十大品牌的保險(xiǎn)機(jī)構(gòu)，機(jī)構(gòu)規(guī)模大、平臺(tái)用戶群體多、用戶數(shù)據(jù)量大，販賣保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)的黑產(chǎn)團(tuán)伙個(gè)（非法販賣保險(xiǎn)企業(yè)信息數(shù)據(jù)的黑產(chǎn)團(tuán)伙共計(jì)個(gè)）。3、第三方泄露、短信通道泄露是保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)泄露的主要原因年保險(xiǎn)行業(yè)數(shù)據(jù)泄露事件由第三方導(dǎo)致的占比高達(dá)67.28%，由短信通道導(dǎo)致的數(shù)據(jù)泄露事件占比17.39%。4、“保險(xiǎn)類型”中“人身保險(xiǎn)”占比最高，以“人壽保險(xiǎn)”和“年金保險(xiǎn)”居多52.51%；進(jìn)一步分析發(fā)現(xiàn)，“人身保險(xiǎn)”產(chǎn)品中，“人壽保險(xiǎn)”、“年金保險(xiǎn)”居多。5、保險(xiǎn)行業(yè)被黑產(chǎn)交易的數(shù)據(jù)中虛假數(shù)據(jù)、歷史數(shù)據(jù)占比遠(yuǎn)超全網(wǎng)水平32年上半年泄露的保險(xiǎn)數(shù)據(jù)中，有52.67%為歷史泄露的數(shù)據(jù)，超過全網(wǎng)的歷史數(shù)據(jù)占比30.60%；有4.76%為虛假不匹配的信息數(shù)據(jù)，超過全網(wǎng)虛假數(shù)據(jù)占比1.54%。6、保險(xiǎn)行業(yè)數(shù)據(jù)泄露用戶群體主要集中在浙江、四川等地，且以中年女性為主年上半年保險(xiǎn)行業(yè)數(shù)據(jù)泄露人群最多的區(qū)域分別是：浙江、四川等歲占比達(dá)78.44%。對(duì)此，威脅獵人提出了針對(duì)性的解決方案：1、全網(wǎng)情報(bào)監(jiān)測及挖掘：覆蓋暗網(wǎng)、匿名群聊、網(wǎng)盤文庫、代碼托管平臺(tái)等各渠道，從不同維度持續(xù)提升渠道覆蓋的全面性，包括新