威脅獵人-2024年上半年保險行業(yè)數(shù)據(jù)泄露風險態(tài)勢報告-2024.07-34正式版-WN8

目錄一、保險行業(yè)數(shù)據(jù)泄露黑色產(chǎn)業(yè)鏈介紹..........................................................7二、2024上半年保險行業(yè)數(shù)據(jù)泄露風險概況...............................................112.1上半年保險行業(yè)數(shù)據(jù)泄露事件共有起，涉及家保險機構(gòu)..............112.2國內(nèi)大型保險機構(gòu)是黑產(chǎn)團伙的主要攻擊對象，數(shù)據(jù)泄露事件占比超50%2.3和暗網(wǎng)渠道是非法數(shù)據(jù)交易的主要交易渠道，占比超過98%2.4保險行業(yè)被泄露的數(shù)據(jù)類型主要是用戶信息，占比超95%2.5保險行業(yè)被泄露數(shù)據(jù)主要來源于第三方泄露，其次是短信通道泄露......................152.6單個事件泄露的數(shù)據(jù)量以小規(guī)模居多，5000條以下占比將近60%......................162.7保險行業(yè)被黑產(chǎn)交易的數(shù)據(jù)中歷史數(shù)據(jù)、虛假數(shù)據(jù)占比遠超全網(wǎng)水平..................17三、保險行業(yè)數(shù)據(jù)泄露字段及人群畫像分析.................................................203.1近98%的數(shù)據(jù)包含個人基礎(chǔ)信息，20%的數(shù)據(jù)包含黑產(chǎn)自定義標簽3.2保險業(yè)務(wù)字段出現(xiàn)頻率最高的是“保險類型”和“平臺名稱”..............................213.3“保險類型”中“人身保險”占比最高，以“人壽保險”和“年金保險”居多..223.4詐騙團伙通過“IOS”字段標簽對保險平臺用戶進行精準詐騙...............................223.5保險行業(yè)數(shù)據(jù)泄露用戶群體主要集中在浙江、四川等地，以中年女性為主..........24四、保險行業(yè)典型數(shù)據(jù)泄露事件分析...........................................................274.1因第三方安全管控不足，導致大量保險行業(yè)敏感數(shù)據(jù)泄露......................................274.2某保險機構(gòu)機構(gòu)被黑客攻擊，20萬用戶保單信息泄露4.3疑似保險機構(gòu)“內(nèi)鬼”非法獲取用戶數(shù)據(jù)獲利4.4疑似短信通道存在安全隱患導致保險機構(gòu)數(shù)據(jù)泄露2道的嚴重阻礙。力強，是黑灰產(chǎn)重點攻擊的對象。威脅獵人近期發(fā)布的《2024年上半年數(shù)據(jù)泄露風險態(tài)勢報告》數(shù)據(jù)顯示，保險行業(yè)2024年上半年發(fā)生數(shù)據(jù)泄露事件2039起，行業(yè)排名第四。一旦發(fā)生數(shù)據(jù)泄露，或數(shù)據(jù)泄露后不及時管控，導致數(shù)據(jù)被黑灰產(chǎn)進行大范圍交易、作惡，懲罰，損害其經(jīng)濟和品牌聲譽。討保險行業(yè)數(shù)據(jù)資產(chǎn)泄露的主要特點和發(fā)展3相關(guān)名詞定義：數(shù)字風險應(yīng)急響應(yīng)中心30+安全運營專家，為企業(yè)提供7×24小時應(yīng)急響應(yīng)服務(wù)；2、真實性驗證引擎：通過不同文件類型的個人要素提取和比對，以及對圖片結(jié)果中的要素進行提取及驗證，有效識別該圖片內(nèi)容中是否含有偽造數(shù)據(jù)/歷史泄露數(shù)據(jù)；被公開交易或使用”的情報信息，可能包含歷史數(shù)據(jù)、重復數(shù)據(jù)等，往往量級巨大；威脅獵人安全研究專家針對數(shù)據(jù)泄露情報的樣例等進行分析及驗證，排除歷史虛假信息、確認有效的數(shù)據(jù)泄露事件；配置或者授權(quán)才能登錄；指公民個人身份信息，包括但不限于姓名、身份證號碼、出生日期、手機號碼、家庭住址、銀行賬戶信息等；指此次數(shù)據(jù)泄露事件之前就已經(jīng)泄露過的個人信息，很多歷史個人信息被黑產(chǎn)收集整合成社工庫；黑產(chǎn)將泄露過的真實信息進行整合并再次用于交易的事件，通常黑產(chǎn)會對數(shù)據(jù)進行精細化處理，補充數(shù)據(jù)字段完整性，從而提升數(shù)據(jù)價值及盈利空間；9、虛假數(shù)據(jù)事件：黑產(chǎn)將偽造的虛假數(shù)據(jù)數(shù)據(jù)用于交易的事件；10、第三方泄露：和企業(yè)存在合作關(guān)系的第三方，具有訪問企業(yè)某些敏感數(shù)據(jù)的權(quán)限，但由于管理不規(guī)范等問題，導致這些敏感數(shù)據(jù)通過第三方泄露到黑產(chǎn)手中；411、短信通道泄露：隨著歷年來短信收發(fā)業(yè)務(wù)的發(fā)展，短信通道商開始通過壓低價格的方益空間降低很多，因此內(nèi)部會通過非法售賣短信信息數(shù)據(jù)的方式獲取更多收益。12、運營商通道：黑產(chǎn)通過運營商內(nèi)鬼或違規(guī)代理等渠道，獲取到指定網(wǎng)頁的訪問數(shù)據(jù)、指定應(yīng)用的安裝數(shù)據(jù)、指定短信的接收和發(fā)送數(shù)據(jù)等信息；13、內(nèi)鬼泄露：企業(yè)內(nèi)部員工在利益的驅(qū)使下，采用資料導出、人工拍攝等方式，獲取客戶敏感信息后進行售賣；14、黑客攻擊：外部黑客使用爬蟲、掃描、滲透等方式攻擊企業(yè)系統(tǒng)和網(wǎng)絡(luò)資產(chǎn)，利用企業(yè)網(wǎng)絡(luò)漏洞大規(guī)模竊取數(shù)據(jù)；15、基礎(chǔ)字段：主要指個人基礎(chǔ)信息，包括個人信息（姓名、手機號、身份證號、出生日單支付狀態(tài)、訂單支付金額、訂單來源等；黑產(chǎn)為了提高黑產(chǎn)數(shù)據(jù)交易價值及效率，會對數(shù)據(jù)進行清洗后定義，ID主要是黑產(chǎn)對數(shù)據(jù)進行標記，防止被二次販賣）。進行標記，防止被二次販賣）。501保險行業(yè)數(shù)據(jù)泄露黑色產(chǎn)業(yè)鏈介紹一、保險行業(yè)數(shù)據(jù)泄露黑色產(chǎn)業(yè)鏈介紹鏈目前已經(jīng)相當成熟，基于明確的分工和定位分為上、中、下游。上游：數(shù)據(jù)竊取團伙利益和極低的犯罪成本驅(qū)動著上游的數(shù)據(jù)竊取者甘愿鋌而走險。注：下文將會對保險行業(yè)已被攻擊平臺、數(shù)據(jù)泄露渠道等進行分析，詳情見第二章。中游：數(shù)據(jù)中間商7子銷售數(shù)據(jù)，并負責對數(shù)據(jù)進行分類和清洗，以滿足下游客戶的各種需求。下游：數(shù)據(jù)購買者用戶數(shù)據(jù)，并根據(jù)需求對數(shù)據(jù)進行分類整理后出售。威脅獵人梳理了年5年5有詐騙事件發(fā)生，保險行業(yè)相關(guān)詐騙事件高頻發(fā)生。根據(jù)過往的保險行業(yè)相關(guān)的詐騙案例，保險行業(yè)詐騙8詐騙流程大體如下：詐騙話術(shù)框架如下：9022024上半年保險行業(yè)數(shù)據(jù)泄露風險概況二、2024上半年保險行業(yè)數(shù)據(jù)泄露風險概況2.12024上半年保險行業(yè)數(shù)據(jù)泄露事件共有2039起，涉及80家保險機構(gòu)年上半年威脅獵人全網(wǎng)監(jiān)測到的1.1人工分析驗證有效的數(shù)據(jù)泄露事件16011起，涉及85個行業(yè)，其中保險行業(yè)排名第四共有2039起，平均每月約起，80家保險機構(gòu)。2.2比超50%威脅獵人情報研究員對上半年存在數(shù)據(jù)泄露最多的家保險機構(gòu)進一步分析發(fā)現(xiàn)，這家保險機構(gòu)涉及的數(shù)據(jù)泄露事件占據(jù)了整個保險行業(yè)數(shù)據(jù)泄露總量的近80%，其中11機構(gòu)數(shù)據(jù)泄露事件占比超50%。對均是國內(nèi)保險十大品牌的保險機構(gòu)，據(jù)的黑產(chǎn)團伙共計有個，其中販賣機構(gòu)數(shù)據(jù)的黑產(chǎn)團伙數(shù)量共有個，遠超保險機構(gòu)是黑產(chǎn)團伙主要的攻擊目標。122.398%和暗網(wǎng)占比98.47%，是黑產(chǎn)進行非法數(shù)據(jù)交易的主要渠道，與年上半年全行業(yè)非法數(shù)據(jù)交易渠道分布基本一致。132.4保險行業(yè)被泄露的數(shù)據(jù)類型主要是用戶信息，占比超95%威脅獵人針對保險行業(yè)泄露的數(shù)據(jù)信息進行分析發(fā)現(xiàn)，泄露的數(shù)據(jù)中用戶信息類占比高達95.64%，為非法數(shù)據(jù)交易的主要類型。用戶信息：財產(chǎn)信息等；等信息；敏感文件：信息；14見第三章。2.5露67.28%，其次是短信通道泄露，占比17.39%，外部黑客攻擊占比11.23%，內(nèi)部員工泄露3.99%。第三方泄露：理不規(guī)范等問題，導致這些敏感數(shù)據(jù)通過第三方泄露到黑產(chǎn)手中；短信通道泄露：15降低很多，因此內(nèi)部會通過非法售賣短信信息數(shù)據(jù)的方式獲取更多收益。運營商通道：用的安裝數(shù)據(jù)、指定短信的接收和發(fā)送數(shù)據(jù)等信息；內(nèi)鬼泄露：信息后進行售賣；黑客攻擊：漏洞大規(guī)模竊取數(shù)據(jù)。2.6單個事件泄露的數(shù)據(jù)量以小規(guī)模居多，5000條以下占比將近60%條以下小規(guī)模居多，59.72%。16雖然整體以小規(guī)模數(shù)據(jù)交易為主，也存在不少單次泄露數(shù)據(jù)量級其中最高可達70萬條數(shù)據(jù)，進一步分析，該事件為年某保險機構(gòu)出現(xiàn)的重大數(shù)據(jù)泄露事件。2.7水平占比遠超全網(wǎng)整體水平：史數(shù)據(jù)占比30.60%；從數(shù)據(jù)的真實性維度上分析，泄露的保險數(shù)據(jù)中有4.76%為虛假不匹配的信息數(shù)據(jù)，超過全網(wǎng)虛假數(shù)據(jù)占比1.54%。17歷史數(shù)據(jù)事件：舊數(shù)據(jù)的事件；虛假數(shù)據(jù)事件：數(shù)據(jù)的事件。及無關(guān)數(shù)據(jù)，提高事件預警的準確性和可信度。1803保險行業(yè)數(shù)據(jù)泄露字段及人群畫像分析三、保險行業(yè)數(shù)據(jù)泄露字段及人群畫像分析3.1近98%的數(shù)據(jù)包含個人基礎(chǔ)信息，20%的數(shù)據(jù)包含黑產(chǎn)自定義標簽97.40%的數(shù)據(jù)包含了基礎(chǔ)字段有65.35%的數(shù)據(jù)包含價值及效率，會對數(shù)據(jù)進行清洗并自定義標簽。種類、車價等）、家庭信息（婚姻情況、家庭關(guān)系等）、工作信息（企業(yè)單位、職業(yè)等）；20付狀態(tài)、訂單支付金額、訂單來源等；黑產(chǎn)自定義字段：主要指黑產(chǎn)團伙數(shù)據(jù)清洗后定義的字段，如：驗證ID、設(shè)備信息（IOS/安卓）、所屬運營商等（驗證ID主要是黑產(chǎn)對數(shù)據(jù)進行標記，防止被二次販賣）。3.2保險業(yè)務(wù)字段出現(xiàn)頻率最高的是“保險類型”和“平臺名稱”地掌握到保險機構(gòu)用戶的投保情況并進行詐騙。213.3金保險”居多52.51%。進一步分析發(fā)現(xiàn)，“人身保險”產(chǎn)品中，“人壽保險”、“年金保險”居多。3.4詐騙團伙通過“IOS”字段標簽對保險平臺用戶進行精準詐騙為了提高黑產(chǎn)數(shù)據(jù)交易價值及效率，黑產(chǎn)團伙會對數(shù)據(jù)進行清洗并自定義標簽。半年，被泄露的數(shù)據(jù)中出現(xiàn)大量黑產(chǎn)定義字段，“運營商”、“設(shè)備系統(tǒng)”、“驗證ID”等出現(xiàn)頻率最高：22的篩選要求。年上半年數(shù)據(jù)泄露風險態(tài)勢報告》中有提到，詐騙分子正是通過篩選出“IOS”用戶信息來通過功能進行詐騙，自年起，威脅獵人發(fā)現(xiàn)不少詐騙功能向蘋等將相關(guān)款項轉(zhuǎn)移至指定賬戶，給受害者帶來巨額損失。23以一個真實事件為例：3月日，受害人林先生接到陌生號碼打來的視頻電話，對方稱其在網(wǎng)絡(luò)上購買了“百萬醫(yī)療保險”，每個月繳費標準是元，一年費用為元。如果沒有辦理導通過支付寶向指定的支付寶賬戶發(fā)送口令紅包，被騙余萬元。3.5女性為主群體，在地區(qū)上主要集中在浙江、四川、江蘇等地；在年齡分布上，35歲之間的21.56%。242504保險行業(yè)典型數(shù)據(jù)泄露事件分析四、保險行業(yè)典型數(shù)據(jù)泄露事件分析4.1因第三方安全管控不足，導致大量保險行業(yè)敏感數(shù)據(jù)泄露量客戶的敏感數(shù)據(jù)，很容易成為黑產(chǎn)攻擊的對象。威脅獵人在匿名聊天平臺渠道的監(jiān)測情報分析發(fā)現(xiàn)，大量保險行業(yè)的敏感數(shù)據(jù)正在被交易，保金額、保險周期等），同時涉及到多家保險企業(yè)。數(shù)據(jù)樣例如下：分析過程：27致的泄露。4.2某保險機構(gòu)API機構(gòu)被黑客攻擊，20萬用戶保單信息泄露客將攻擊對象瞄準為存在安全缺陷的接口，通過數(shù)據(jù)遍歷攻擊等方式竊取數(shù)據(jù)。20萬用戶保單信息數(shù)據(jù)被黑產(chǎn)進行售賣，以300美元的價格進行出售，泄露的數(shù)據(jù)樣例中不僅包含用戶姓名、手機號等基礎(chǔ)信息，此外還有用戶的工作崗位、家庭地址以及銀行卡等信息。數(shù)據(jù)樣例如下:分析過程如下：28人初步判斷疑似為外部黑客攻擊該保險機構(gòu)所導致的。4.3疑似保險機構(gòu)“內(nèi)鬼”非法獲取用戶數(shù)據(jù)獲利數(shù)據(jù)，以下為提供的數(shù)據(jù)樣例信息。數(shù)據(jù)樣例：分析過程：構(gòu)的創(chuàng)建狀態(tài)、保險機構(gòu)分公司的情況。據(jù)交易市場。4.4疑似短信通道存在安全隱患導致保險機構(gòu)數(shù)據(jù)泄露據(jù)，以下為提供的數(shù)據(jù)樣例信息。29數(shù)據(jù)樣例：分析過程：隨著歷年來短信收發(fā)業(yè)務(wù)的發(fā)展，短信通道商開始通過壓低價格的方式來獲取更高的訂單，內(nèi)部會通過非法售賣短信信息數(shù)據(jù)的方式獲取更多收益。風險，導致三方服務(wù)內(nèi)的數(shù)據(jù)泄露。信下發(fā)接口安全防護都比較完善，因此初步判斷疑似泄露渠道為短信通道所導致泄露的。3005結(jié)語五、結(jié)語年上半年保險行業(yè)數(shù)據(jù)泄露事件不容樂觀。從保險行業(yè)數(shù)據(jù)泄露風險狀況來看，企業(yè)需要重點關(guān)注以下問題：1、2024年上半年保險行業(yè)數(shù)據(jù)泄露事件數(shù)2039起，涉及80家保險機構(gòu)16011均每月約起，涉及家保險機構(gòu)。2、大型保險機構(gòu)是黑產(chǎn)團伙的主要攻擊對象，數(shù)據(jù)泄露事件占比超50%年上半年均是國內(nèi)保險十大品牌的保險機構(gòu)，機構(gòu)規(guī)模大、平臺用戶群體多、用戶數(shù)據(jù)量大，販賣保險機構(gòu)數(shù)據(jù)的黑產(chǎn)團伙個（非法販賣保險企業(yè)信息數(shù)據(jù)的黑產(chǎn)團伙共計個）。3、第三方泄露、短信通道泄露是保險機構(gòu)數(shù)據(jù)泄露的主要原因年保險行業(yè)數(shù)據(jù)泄露事件由第三方導致的占比高達67.28%，由短信通道導致的數(shù)據(jù)泄露事件占比17.39%。4、“保險類型”中“人身保險”占比最高，以“人壽保險”和“年金保險”居多52.51%；進一步分析發(fā)現(xiàn)，“人身保險”產(chǎn)品中，“人壽保險”、“年金保險”居多。5、保險行業(yè)被黑產(chǎn)交易的數(shù)據(jù)中虛假數(shù)據(jù)、歷史數(shù)據(jù)占比遠超全網(wǎng)水平32年上半年泄露的保險數(shù)據(jù)中，有52.67%為歷史泄露的數(shù)據(jù)，超過全網(wǎng)的歷史數(shù)據(jù)占比30.60%；有4.76%為虛假不匹配的信息數(shù)據(jù)，超過全網(wǎng)虛假數(shù)據(jù)占比1.54%。6、保險行業(yè)數(shù)據(jù)泄露用戶群體主要集中在浙江、四川等地，且以中年女性為主年上半年保險行業(yè)數(shù)據(jù)泄露人群最多的區(qū)域分別是：浙江、四川等歲占比達78.44%。對此，威脅獵人提出了針對性的解決方案：1、全網(wǎng)情報監(jiān)測及挖掘：覆蓋暗網(wǎng)、匿名群聊、網(wǎng)盤文庫、代碼托管平臺等各渠道，從不同維度持續(xù)提升渠道覆蓋的全面性，包括新