原標(biāo)題：兜售客戶信息年入30萬 銀行職員竟稱“不知違法”！比內(nèi)鬼更可怕的是 黑灰產(chǎn)系統(tǒng)性攻擊

　　來源：券商中國

　　又有銀行客戶信息被非法倒賣！銀行員工以每條80元~110元價格倒賣客戶信息年入30萬，稱不知違法。

　　如果說銀行“內(nèi)鬼”盜賣信息是螞蟻搬家，那么更多情況下，大規(guī)模的銀行、金融機(jī)構(gòu)用戶數(shù)據(jù)泄露，可能是來自黑灰產(chǎn)組織的有目的攻擊了。而近兩年多起來的一個現(xiàn)象是，銀行APP也成為更容易被黑客“攻破”的突破口、非法盜取或入侵銀行賬戶信息牟利。

　　銀行員工“螞蟻搬家”盜賣客戶信息

　　江蘇電視臺公共新聞頻道報道稱，近日，淮安警方破獲了一起特大販賣公民個人信息案，共抓獲26名嫌疑人，涉案金額2000多萬元。

　　淮安警方稱，犯罪團(tuán)伙通過現(xiàn)有的技術(shù)手段無法獲取到如此大規(guī)模的公民個人信息，這些案件就可能有銀行內(nèi)部的工作人員參與其中。調(diào)查中發(fā)現(xiàn)，果然有一名銀行工作人員丁某僅靠幫忙查詢銀行卡信息，一年黑色收入超30萬元。

　　丁某稱，自己查詢了大幾百條或者一千條個人信息，每條80到110元，稱自己不知道這是違法的，“只是覺得違反銀行規(guī)定，因為我們銀行不允許私自把客戶信息泄露。”

　　梳理中國裁判文書網(wǎng)不難發(fā)現(xiàn)，銀行員工因為販賣客戶信息而觸犯刑法，并以“侵犯公民個人信息罪”獲刑的案例并不少見。

　　裁判文書網(wǎng)顯示，今年3月底，位于浙江省余姚市的建設(shè)銀行余姚城建支行原行長沈某沖，因犯侵犯公民個人信息罪被判處有期徒刑3年，緩刑3年，并處罰金人民幣6000元。

　　沈某沖出生于1973年，現(xiàn)年47歲，案件經(jīng)審理查明，2017年3月17日，沈某沖將余姚市東城名苑業(yè)主的財產(chǎn)信息共計1111條，通過QQ郵箱非法提供給周某用于招攬業(yè)務(wù)。同年4月20日，沈某沖又將銀行貸款客戶財產(chǎn)信息共計127條，提供給周某用于招攬業(yè)務(wù)。2018年8月15日，沈某沖主動向公安機(jī)關(guān)投案，并如實供述了上述犯罪事實。

　　山東省鄒城市人民法院一份刑事判決書顯示，2018年5月份期間，浦發(fā)銀行電銷中心任業(yè)務(wù)主管楊某，通過在休假前把保存在電腦的客戶數(shù)據(jù)（姓名、電話號碼等）用手機(jī)拍了照片，之后保存在自己的電腦里的方式，利用工作便利獲取客戶個人信息20余萬條，并非法提供給山東星耀君程電子商務(wù)有限公司用于電話營銷；同時，這家電商公司員工李某在對這些信息資料進(jìn)行加工整理后，又以每條0.3元的價格對外售賣給第三人李某洪，后者再將這些個人信息販賣給陳某實施電話詐騙。

　　“對于銀行本身而言，客戶隱私信息及賬戶資源是極具商業(yè)價值的，所以銀行對應(yīng)著在合規(guī)上有著嚴(yán)格的流程規(guī)范約束，但不排除銀行個別員工，通過螞蟻搬家的方式獲取這些信息，再用于個人牟利。”華北一家反欺詐科技公司高級經(jīng)理告訴記者。

　　警惕黑灰產(chǎn)組織的系統(tǒng)性攻擊

　　如果說銀行“內(nèi)鬼”盜賣信息是螞蟻搬家，那么更多情況下，大規(guī)模的銀行、金融機(jī)構(gòu)用戶數(shù)據(jù)泄露，可能是來自黑灰產(chǎn)組織的有目的攻擊了。

　　“更多的是一些三方和黑產(chǎn)組織有目的地去攻擊，有一些系統(tǒng)和平臺也會存在漏洞。”上述華北某公司技術(shù)專家告訴記者。

　　今年4月14日，公安部公布10起侵犯公民個人信息違法犯罪典型案件，其中就有兩例，是技術(shù)“黑客”非法盜取信息售賣。

　　2019年10月，江蘇省南通市公安局網(wǎng)安部門工作發(fā)現(xiàn)，網(wǎng)民“wolinxuwei”多次在“暗網(wǎng)”交易平臺出售銀行開戶、手機(jī)注冊等公民個人信息，數(shù)量高達(dá)500余萬條。經(jīng)偵查，公安機(jī)關(guān)查明，“wolinxuwei”真實身份為林某。2019年初，林某在“telegram”群組結(jié)識某公司安全工程師賀某，林某以40萬的價格從賀某處購得銀行開戶、手機(jī)卡注冊等各類公民信息350余萬條，并通過“暗網(wǎng)”銷售給經(jīng)營期貨交易平臺、推銷POS機(jī)的費(fèi)某、王某等人，非法牟利70余萬元。

　　2019年6月，北京市公安局網(wǎng)安部門工作發(fā)現(xiàn)，網(wǎng)民“yuhong”在“暗網(wǎng)”販賣國內(nèi)某銀行6.02萬條用戶個人信息。北京市公安局網(wǎng)安部門縝密偵查，鎖定犯罪嫌疑人高某。7月24日，北京公安機(jī)關(guān)將高某抓獲歸案。經(jīng)審查，高某交代其利用網(wǎng)站漏洞非法竊取了某銀行等單位網(wǎng)站上存儲的公民個人信息，截至被抓獲，非法牟利3萬余元。

　　騰訊安全數(shù)據(jù)安全團(tuán)隊負(fù)責(zé)人彭思翔在接受記者采訪時指出，“從宏觀看銀行業(yè)存儲了大量用戶敏感信息，信息又全又準(zhǔn)確，是黑產(chǎn)重點(diǎn)攻擊的目標(biāo)。具體來看，外部攻擊方面各銀行為自身發(fā)展，開展了大量業(yè)務(wù)應(yīng)用，且更新速度快，所以攻擊面很大，攻擊窗口較多，很難做到滴水不漏的防護(hù)；內(nèi)部治理方面，部分銀行權(quán)限管控粗放，脫敏機(jī)制不完善，導(dǎo)致不必要人員可以接觸大量敏感信息，有誤操作或為經(jīng)濟(jì)利益販賣信息的情況。”

　　在他看來，銀行信息泄露可能發(fā)生在以下幾個場景：

　　1．外包管理領(lǐng)域，特別是對外包研發(fā)、測試的管理不當(dāng)。生產(chǎn)環(huán)境暴露、數(shù)據(jù)庫過度授權(quán)，都會引起數(shù)據(jù)泄露。

　　2．信息科技運(yùn)行領(lǐng)域，訪問控制策略不當(dāng)，包括物理訪問、主機(jī)訪問、終端訪問、遠(yuǎn)程vpn訪問。如果沒有建立統(tǒng)一的、恰當(dāng)?shù)脑L問策略，會導(dǎo)致數(shù)據(jù)泄漏。

　　3．開發(fā)、測試和維護(hù)領(lǐng)域，若三個環(huán)境未分離，分離后生產(chǎn)數(shù)據(jù)使用未脫敏，都會導(dǎo)致數(shù)據(jù)泄漏。

　　4．信息安全領(lǐng)域，系統(tǒng)漏洞未及時修復(fù)、未開展代碼審計等等都會導(dǎo)致系統(tǒng)被攻陷，數(shù)據(jù)被脫庫。

　　個人金融隱私保護(hù)新挑戰(zhàn)：APP端泄露

　　而近來裁判文書網(wǎng)披露的多起案件顯示，銀行APP也成為更容易被黑客“攻破”的突破口、非法盜取或入侵銀行賬戶信息牟利。

　　2019年12月24日，浙江金華市婺城區(qū)人民法院對一起非法注冊銀行賬戶并出售獲利的案件做出了判決。判處兩名主犯有期徒刑4年3個月，并處罰金7萬元；判處7名從犯有期徒刑1年6個月至2年3個月不等，并處罰金兩萬至四萬不等。

　　判決書顯示，短短的兩個月，9名團(tuán)伙利用“利用APP漏洞和使用抓包軟件”，開設(shè)了10000余個銀行三類賬戶，涉及華潤銀行、溫州民商銀行、金華銀行、浦發(fā)銀行、中國銀行（港股03988）、招商銀行（港股03968）、建設(shè)銀行等多家銀行。

　　2019年10月，只有初中文化的00后田某被福建省廈門市思明區(qū)人民法院以非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪判處有期徒刑三年，并處罰金人民幣一萬元。判決文書顯示，田某在2019年1月5日至1月15日期間，通過軟件抓包、PS身份證等非法手段，在廈門銀行手機(jī)銀行APP內(nèi)使用虛假身份信息注冊銀行Ⅱ、Ⅲ類賬戶，非法銷售獲利。

　　在作案方法上，他們利用了類似的APP技術(shù)漏洞，跳過了銀行開戶所必須的“四要素”（即驗證開戶人姓名、手機(jī)號碼、身份證號碼以及綁定賬戶賬號或卡號）驗證。

　　具體來看，先輸入本人身份信息，待進(jìn)行人臉識別步驟時，利用軟件抓包技術(shù)將銀行系統(tǒng)下發(fā)的人臉識別身份認(rèn)證數(shù)據(jù)包進(jìn)行攔截并保存。隨后，在輸入開卡密碼步驟，將APP返回到第一步（上傳身份證照片之步驟），輸入偽造的身份信息，并再次進(jìn)入到人臉識別之身份驗證步驟，此時，其上傳此前攔截下來的包含其本人身份信息的數(shù)據(jù)包，使系統(tǒng)誤以為要比對其本人的身份信息，最終完成開戶。

　　“你的信息被泄露，可能都是你絕對想不到的地方。”一位銀行智能風(fēng)控業(yè)務(wù)負(fù)責(zé)人向記者分享，移動互聯(lián)網(wǎng)繁榮后，引流、導(dǎo)流流行，但用戶信息泄露的平臺往往可能不是金融機(jī)構(gòu)、大的流量公司或者平臺，反而極有可能是發(fā)生在房產(chǎn)中介APP、手游APP的注冊、充值、交易過程中。

　　中國信息通信研究院發(fā)布的《2019金融行業(yè)移動APP安全觀測報告》顯示，在對133327款金融行業(yè)APP進(jìn)行掃描檢測后發(fā)現(xiàn)，73.23%存在不同程度的安全漏洞，70.22%存在高危漏洞。平均每款金融行業(yè)APP存在20.3個安全漏洞，其中6.7個為高危漏洞。不過，移動金融APP信息安全保護(hù)也引起的監(jiān)管的重視，去年以來，多個 監(jiān)管部門數(shù)次公開點(diǎn)名批評百余款應(yīng)用軟件及其運(yùn)營企業(yè)，涉及未經(jīng)用戶同意超范圍及非必要使用個人信息等違規(guī)情形；去年5月份到8月份，監(jiān)管部門密集出臺了關(guān)于數(shù)據(jù)安全管理辦法、APP違規(guī)收集使用個人信息行為認(rèn)定方法等多項征求意見稿及草案。

海量資訊、精準(zhǔn)解讀，盡在新浪財經(jīng)APP

責(zé)任編輯：張緣成