證券行業數據資產洩漏分析報告

原創 永安在線 永安在線情報平臺 收錄於話題#研究報告1個

本報告為永安在線業務安全情報團隊原創報告。

轉載、摘抄或利用其他方式使用本報告或觀點，請與我們聯繫。

前言

由於前些年證券行業各大證券公司對數據保護不夠重視，內部數據安全管控體系不夠健全，從而造成大量數據外洩，洩露渠道主要有內鬼洩露，滲透拖庫，黑客入侵，撞庫攻擊等等。近年來隨著各大證券公司對數據保護日趨重視，政府監管部門也在積極推動數據保護相關的法律法規落地，證券行業數據得到有效保護，數據資產洩露源頭得到有效遏制。但正所謂上有政策，下有對策，哪裡有利益，哪裡就會有黑灰產的存在。

證券行業涉及到的大多是高淨值人群，數據轉化率高，變現能力強，利益驅動著黑灰產人員不斷地更新現有技術，與證券公司和監管部門玩起了貓和老鼠的遊戲。各種獲取證券行業數據的技術層出不窮，暗網、Telegram上每天都有人交易證券行業數據，證券行業用戶普遍都能夠感受到自己的數據被洩露。

在這裡我們拋磚引玉，希望跟同業者一起來探討證券行業數據資產洩露的主要特點和發展趨勢，以及對於證券行業數據保護的一些思考和建議，希望能夠引起證券行業從業者的重視。

數據資產洩露已經成為各行業安全問題的風險源頭，近年來數據資產洩露事件逐年增多、危害範圍不斷增大。其中，證券行業數據歷來都是黑灰產人員重點攻擊的對象，是數據資產洩露的重災區。

變化在於，近年來，隨著各大證券公司對數據保護的日趨重視，採取「廣積糧，高築牆」的防守策略，傳統的內鬼洩露、滲透拖庫等數據資產洩露渠道已經很少出現，網站/APP洩漏用戶訪問記錄、第三方簡訊通道洩露等方式成為當前主流。

與此同時，隨著政府監管日趨嚴厲，數據保護相關法律法規日趨完善，黑灰產交易數據愈加謹慎，證券數據中有關用戶身份信息的交易數據也產生了不少變化。

一、證券行業數據資產洩露基本面

根據權威媒體發布數據統計，近年來數據資產洩露風險態勢愈發嚴峻，事件數量、影響人數和企業損失呈現逐年增長趨勢。

通過永安在線數據資產洩露風險監測平臺統計，2020年至今捕獲到數據資產洩露事件超過20000起，包括金融，網際網路，政府，教育等等幾乎涉及到生活中各個領域，具體分布如下：

從上圖可以看到，金融行業是數據資產洩露的主要來源，佔到了42%，而數據資產洩露高發的網際網路行業也只排名第二，佔27%。出現這種情況是因為金融行業涉及到的人群大多是高淨值人群，數據轉化率高，變現能力強，黑灰產人員選擇攻擊的行業大多是金融行業，大部分購買數據的需求也集中在金融行業。哪裡有利益，哪裡就會有黑灰產人員的存在。

將金融行業數據資產洩露進行細分，見下圖：

通過上圖可以發現，在金融行業中，網貸行業數據資產洩露最多，數據資產洩露的格式包含姓名、電話、地址、身份證號碼等用戶敏感信息。洩露的主要原因有兩點：

• 近年來隨著政府金融政策收緊，監管日趨嚴格，很多網貸平臺出現暴雷、清盤、關停、倒閉、跑路的情況，但這些平臺留下的用戶數據卻處於失控狀態；

• 中小型網貸平臺軟體和系統建設大部分採用第三方外包形式開發，這些公司開發人員安全意識淡薄，數據缺乏有效的安全防護。

關於網貸行業這裡不做過多探討，重點來分析一下佔比為23%，排在第二位的證券行業數據資產洩露的主要特點和發展趨勢。

根據永安在線數據資產洩露監測平臺捕獲到的數據洩露情報，我們對證券行業數據洩露渠道進行統計，發現來自外部的信息洩露佔比為65%，內部原因洩露佔比為35%。證券行業數據洩露主要是由於運營商洩露、簡訊通道洩露和第三方投資顧問公司等外部原因洩露，運營商洩露和簡訊通道洩露已經成為近些年來不可忽視的洩露渠道。由於內部管控疏忽，內部員工不小心將內部敏感文件和敏感代碼上傳到在線網盤文庫、代碼託管網站的事件也屢有發生。從證券公司角度來說，這些渠道都需要進行監控。

接下來看一下所有行業數據資產洩露的量級分布：

從上圖可以看到所有行業數據資產洩露的量級集中10萬以下和10萬到100萬這個兩個區間，分別佔到34%和40%。

再看一下證券行業數據資產洩露量級分布：

從上圖可以看到，證券行業數據資產洩露量級集中在10萬以下和10萬到100萬這兩個區間內，分別佔到68%和24%。從數據類型上來看，10萬以下量級的數據主要運營商數據，格式為手機號+運營商+證券商+省份+城市；10萬到100萬量級的數據主要是內部用戶數據，格式為姓名+資金帳戶+證券帳戶+手機號+身份證號+資金餘額+營業。

通過分析，主要有以下兩個原因：

• 政府相關部門嚴厲打擊，導致黑灰產人員越來越謹慎，交易數據量級越來越小，數據中不再包括用戶姓名、身份證號等敏感數據；

• 隨著證券行業內部數據管理日趨規範，黑灰產人員再想通過之前的內鬼洩露、滲透拖庫、黑客入侵、撞庫攻擊等辦法獲取到百萬級甚至千萬級帳戶數據的技術難度越來越大。在上圖的數據中有一個特別吸引人關注的「每日更新數據」，雖然其只佔據了8%的比例，但根據我們了解如內鬼洩露、滲透拖庫、黑客入侵、撞庫攻擊等方式很難做到每日更新，只有通過運營商、運營商第三方代理或者第三方簡訊通道才有能力做到每日更新，這也從一個側面印證了我們的判斷：目前黑灰產人員獲取證券數據的辦法不再跟從前一樣，而是另闢蹊徑通過運營商、第三方工具或者第三方簡訊通道獲取證券用戶數據。

接下來對所有行業和證券行業的一手數據和二手數據做一下對比，其中一手數據指的是第一次被販賣的數據，二手數據指的是被多次販賣的數據。

所有行業一手數據和二手數據對比：

從上圖可以看到所有行業數據資產洩露的二手數據比例比一手數據比例高14%，主要原因有以下兩點：

• 隨著全行業對數據保護的越來越重視，內部系統安全性越來越高，導致黑灰產人員獲取一手數據的技術成本越來越高。

• 政府相關部門嚴厲打擊，導致黑灰產人員獲取一手數據的安全成本越來越高。

數據洩露這件事細分到證券行業，情況就有所不同了。證券行業的一手數據佔到了78%，遠高於二手數據佔比。這裡的數據佔比雖然與全行業之間有很大的差別，但與證券行業數據需求的特性卻是十分匹配的。由於證券行業數據講究時效性，數據涉及到的是高淨值人員，這些數據被獲取後一般用來精準營銷、精準詐騙、或者進行二次販賣，未開發的用戶價值遠高於已經開發過的用戶價值，所以一手數據的價值遠高於二手數據。巨額利益驅動著黑灰產想盡辦法去獲取一手證券行業數據，而購買數據者也希望得到一手數據，這樣才能產生最大效益。

既然在黑產的交易過程中對數據的真實性有一定需求，那麼我們從數據的真實性角度再進行一次分析對比。

根據統計得知，證券行業數據真實數據佔比12%，雖然真實數據佔比不高，但是從數據安全角度來講，這些數據足以對一家證券機構造成重大經濟損失。再看下證券行業假數據和偽裝數據，分別佔69%和19%，假數據和偽裝數據格式大部分都是姓名+資金帳戶+證券帳戶+手機號（+身份證號+資金餘額+營業部）這種帳戶數據。

這裡對偽裝數據做個說明，目前證券行業很多洩露數據裡面的用戶信息部分，包括姓名，身份證號，手機號，經過我們驗證是真實數據，但是我們通過跟相關證券公司內部人員進行確認，發現這些人並不是證券公司的真實用戶。也就是說目前黑灰產人員為了獲取利益，要麼通過假數據進行交易，要麼通過精心偽造數據進行交易，而且佔比很高，說明目前通過傳統手段，如內鬼洩露，滲透拖庫，黑客入侵，撞庫攻擊等獲取到證券行業數據的技術難度越來越大，成本越來越高。這讓他們不得不另闢蹊徑去獲取證券行業數據。

二、證券行業數據資產洩露發展變化及趨勢

通過前文的分析可以發現，隨著政府監管越來越嚴厲，證券行業各大公司內部系統安全性越來越高。現在很多的黑灰產人員已經很難通過傳統手段：如內鬼洩露、滲透拖庫、黑客入侵、撞庫攻擊等去獲取證券行業數據。主要原因是風險太大，技術成本太高。目前整個證券行業洩露類型主要有：

運營商數據：手機號（+姓名+省份+城市+運營商）

帳戶數據：姓名+資金帳戶+證券帳戶+手機號（+身份證號+資金餘額+營業部）

第一種數據來源主要是運營商，第三方工具和第三方簡訊通道商洩露，第二種數據來源主要是內鬼洩露、滲透拖庫、黑客入侵和撞庫攻擊。在對第二種數據類型進行驗證的時候，我們發現基本都是虛假數據，說明黑灰產人員已經很難再向從前一樣直接拉取券商的資料庫數據或者內部運營數據了。

回到第一種數據類型，在暗網和Telegram上我們發現證券行業的數據資產洩露每天都有更新，通過對這些數據進一步挖掘和驗證，發現目前黑灰產人員獲取證券數據的主要渠道有：

• 用戶上網訪問客戶網站/App的記錄被運營商洩露

• 用戶數據被第三方工具洩露（包括第三方炒股軟體、第三方SDK、數據分析軟體等）

• 券商下發給用戶的簡訊被第三方簡訊通道洩露

數據格式如下：

可以看到，黑灰產人員已不再局限於通過傳統技術手段獲取用戶數據，根據永安在線的調研，目前已發現三種洩露渠道：

• 通過與運營商或者運營商第三方代理合作，拿到運營商數據，然後通過指定平臺進行數據抓取，我們可以這樣來理解：當用戶發生上網行為時，會產生上網流量，運營商能夠拿到用戶的上網流量，可以通過用戶手機號-設備-流量（訪問網址）對應上，然後通過內鬼或者某個接口洩露到第三方「大數據營銷」公司之類去賣，數據格式包括手機號+省份+城市+運營商。黑灰產人員通過上網流量與某證券公司官網地址進行對比，就能夠確認該用戶訪問過某證券公司官網，再進一步進行過濾，比如一天內多次訪問，或者直接拿某證券登錄註冊接口進行比對，就能夠準確知道是某證券公司的用戶。

• 通過第三方工具（包括第三方炒股軟體、第三方SDK、數據分析軟體等）獲取用戶數據，隨著移動互聯時代的到來，很多券商公司、投資公司或者炒股軟體都會開發移動端的應用，在開發的過程大都不可避免的用到各種第三方SDK、數據分析軟體等工具，而黑灰產則可以利用其中的漏洞或者乾脆自己開發並在其中留下後門，獲取用戶手機號跟訪問網站信息。

• 通過與第三方簡訊通道服務商合作，攔截獲取用戶簡訊內容，再通過分析簡訊內容，可以明確知道與某券商平臺有關，從而知道該用戶是某券商平臺真實用戶。我們預計這三種模式將會是未來一段時間內黑灰產人員的主要獲取數據模式，各大證券公司需要引起重視。

三、證券行業數據資產洩露和交易的黑色產業鏈

我們發現，圍繞數據資產洩露和倒賣的黑色產業鏈已經相當成熟，且基於明確的分工和定位分為上、中、下三遊。

上遊：數據竊取團夥，如公司內鬼、黑客、運營商、運營商第三方代理、簡訊通道服務商等。

這些人專門負責從公司的內部和外部尋找獲取數據的渠道並竊取數據。在數據越來越值錢的當下，巨大的利益和極低的犯罪成本驅動著上遊的數據竊取者甘願鋌而走險。

中遊：數據中間商，大部分活躍在暗網、黑產論壇、Telegram、Potato等平臺。

這些人負責在各種不同平臺上發帖賣數據，同時負責對數據進行分類清洗，根據客戶不同需求場景售賣數據。由於政府監管壓力的增大，尤其是2019年淨網行動打擊並關停了多家知名暗網後，迫使數據中間商轉移到更加隱蔽的平臺，比如伺服器在國外且具有雙向數據加密的聊天軟體Telegram、Potato等。

下遊：數據購買者，包括電話營銷公司、詐騙團夥等。

這些人購買數據後，一般會進行精準營銷、精準詐騙等。並可能在數據被利用完後二次倒賣這批數據，或者與其他黑產團夥交換數據。近些年來，下遊數據購買者對精細化的數據需求越來越大，如寶媽數據、留學生數據、股民數據、網貸用戶數據、車主數據、大學生數據、企業老闆數據等等。他們利用這些精細化數據進行精準營銷或精準詐騙，成功率要比撒網式營銷或詐騙高很多。例如使用寶媽數據營銷母嬰產品；使用留學生數據，利用國內外時差對其父母進行詐騙；使用股民數據進行薦股詐騙等等。下遊需求的變化直接驅動上遊和中遊黑灰產人員利用各種技術手段去獲取各行各業用戶的數據，並根據客戶不同需求對數據進行整理細分，進行販賣。

四、真實案例解析

近期，永安在線與某證券公司合作時，幫助該公司發現了一條重要數據資產洩露渠道。通過一段時間的調查研究，我們發現目前非法數據交易的主要平臺集中在一些暗網和Telegram群，而且這些平臺上每天都會有新的數據資產洩露，我們將這些平臺都納入到了永安在線數據資產洩露風險監測平臺中進行監控。

雖然在此後近一個月洩露數據的分析中，並未直接發現該證券公司的數據存在直接的洩露。但相關金融證券方面的數據資產洩露卻每天都有更新。通過對這些數據進一步挖掘和驗證，我們發現了一條重要線索，就是可以指定黑灰產人員口中所說的「臺子」，即平臺，包括網址和APP，比如說某證券公司的官網www.xxxxx.com。黑灰產人員可以獲取到訪問過該證券公司官網的用戶手機號碼，有些還可以獲取到用戶姓名、運營商、省份、城市、手機號碼等相關數據。

通過對比我們發現，暗網和Telegram上大量的證券數據基本上都是這種格式。而能夠提供證券公司資料庫數據，內部運營數據（包括帳號密碼，證券帳戶，資金交易明細等），採用滲透拖庫或者內鬼洩露這種方式少之又少，而且成本高，操作難度大。即便有這種數據，通過我們的驗證，發現也都是精心偽造過的虛假數據。

所以我們基本可以判定該證券公司的數據是通過指定平臺進行數據抓取的方式洩露出去的，洩露的源頭應該是在運營商。我們可以這樣來理解：當用戶發生上網行為時，會產生上網流量，運營商能夠拿到用戶的上網流量，可以通過用戶手機號-設備-流量（訪問網址）對應上，然後通過內鬼或者某個接口洩露到第三方「大數據營銷」公司之類去賣，包括手機號+省份+城市+運營商。黑灰產人員通過上網流量與該證券公司官網地址進行對比，就能夠確認用戶訪問過該證券公司官網，再進一步過濾數據，比如一天內多次訪問，或者直接拿該證券公司登錄註冊接口進行比對，就能夠準確知道是該證券公司的用戶。

獲取到驗證數據後，經過該證券公司內部人員的確認，證實是當天訪問過該證券公司官網的人員，由此我們可以斷定該批數據資產洩露的源頭在運營商或第三方運營商代理。該證券公司洩露的數據全部是聯通和電信手機號，一些數據賣家明確表示只支持聯通和電信，或者移動和電信，也可以從側面證明這些賣家是直接與運營商合作，或者是運營商第三方代理機構合作，去購買運營商數據流量，再通過進一步數據分析得出該用戶就是某證券公司的真實用戶。

五、數據保護措施和建議

我們認為，數據資產保護應從內外兩部分著手。在內部，先要保證「人」的渠道安全，畢竟再複雜的外部防禦手段，也難以防止重要信息被人為地洩漏，因此在這方面，企業要加強數據安全管理，制定切實可行的系統保密措施，加強員工網絡安全意識 。

1. 內部系統使用強密碼並定期修改

內部系統設置密碼儘量複雜，並且不同的系統設置不同的密碼。面對密碼複雜繁多不容易記憶的情況下，我們可以制定不同的規則，比如：密碼=系統名稱+物品+大寫+數據+標誌等。既有一定的規則容易記憶，又能保證每個系統密碼的不一樣。此方法有效的防範了黑客拖庫、撞庫等常用手段。

2. 數據進行分類管理

應仔細檢查信息的分類並制定資料分類策略，注意哪些是正式員工可以看到的看似無害也可能會導致敏感數據資產洩露的信息。企業的安全策略應遍布企業的各個地方，而無所謂職位的高低。資料數據的分類策略將幫助企業，實施對信息使用的正確控制，如果沒有分類策略，所有的內部信息都應被視為保密，除非另做指定。

3. 加強員工網絡安全意識

每個員工，甚至是不使用計算機的人，都有可能成為攻擊者的目標。而公司新近僱用的員工則是社會工程師最容易突破的薄弱環節，企業的安全培訓和安全策略務必要加強這方面的注意，正確的教育和培訓，將會極大的提升員工正確處理企業內部信息的意識。定期舉行安全意識培訓，加強員工的安全意識，使每個員工都認識到，不僅是上司或管理人員擁有攻擊者想追尋的信息。當一個知道公司辦事程序、專用術語和內部標識的人打來電話時，並不意味著他或她就可以知道所查詢的信息，對方可能是公司以前的員工或是知道公司內部一般情況的合同工。

在外部，需要實時關注各大暗網、雲端網盤、在線文庫、代碼託管、Telegram群、Potato群、Q群、各大黑灰產論壇等平臺上數據洩露情況，時刻關注是否有跟自己公司相關的數據洩露，第一時間發現並解決數據資產洩露問題，從而將損害和影響降低到最小。永安在線數據資產洩露風險監測平臺，實時監測各大暗網、網盤文庫、代碼託管、群聊論壇等渠道，基於海量數據資產洩露風險情報，能夠幫助客戶第一時間發現數據資產洩露情況，迅速預警客戶並同步驗證數據，確實風險事件是否真實存在，定位風險後，提供溯源服務配合企業調查，並將為客戶提供最專業的解決方案，幫助客戶迅速地發現、準確地定位、有效地解決數據資產洩露問題，將數據資產洩露帶來的風險和危害程度降到最低，助力企業實現數據合規。

永安在線數據資產洩露監測平臺概況

寫在最後

2019年12月1日，國家市場監督管理總局、國家標準化管理委員會發布的包括《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護安全設計技術要求》在內的等保2.0制度開始實施。隨著相關制度的落地實施，政府監管單位對證券行業數據保護的要求會越來越高，在《信息安全技術 網絡安全等級保護測評要求》中，更是首次提出了對「威脅情報檢測系統」和「威脅情報庫」的要求。

2018年，證券公司A因發生較大信息安全事件，被監管機構依據《證券期貨業信息安全保障管理辦法》第二十四條相關規定，採取出具警示函的行政監管措施，並要求該券商對信息安全相關問題進行全面自查，提高信息安全保障管理和信息安全事件應對水平。同時加大系統監控、測試環境、專家資源等信息安全投入，提高系統運維保障能力和故障排查能力。2019年，證券公司B因某營業部將客戶的自備計算機接入了營業部網絡，被監管機構依據《證券期貨業信息安全保障管理辦法》第五十條，採取對該營業部出具警示函的監督管理措施。

以上實例都表明，我國金融監管制度日益完善，監管措施趨嚴。在此背景下，證券經營機構只有充分認識到數據保護的全覆蓋性與緊迫性，結合行業相關法規，不斷完善更新合規控制點，全面提高企業網絡安全合規水平，規避合規風險才能保證企業穩健發展。

原標題：《永安在線 · 證券行業數據資產洩漏分析報告》

閱讀原文