[3]刷单-风控-内鬼

=Start=

缘由:

上半年的时候大致记录了一下刷单、风控和内鬼的前2个部分([1]刷单-风控-内鬼[2]刷单-风控-内鬼),第3部分内鬼这个因为内容比较敏感,且方便举例的样例不多所以一直也就没有写。不过前段时间网上和朋友圈里圆通因为内鬼泄露40万条信息而火了一把,也让我想起了这部分内容还没有写完,这里也就整理补充一下这部分的内容,一些较为敏感的内容就不写了,有机会的话可以当面交流,毕竟做企业安全防护的很多时候还是需要依赖信息不对称而获得一些比较优势的。

正文:

参考解答:

首先,看一看圆通的这个例子:

新京报11月17日消息,河北省邯郸市公安在今年8月接到圆通物流委托人报案称:其公司员工账号被本公司物流风险控制系统监测出有违规异地查询非本网点运单号信息的行为,导致大量客户隐私信息有可能泄露。

据邯郸永年区公安局反诈中心中队长王求东梳理,三名嫌疑人以每日500元的费用租用圆通物流公司内部员工系统账号进入物流系统,导出快递信息,并把窃取的快递信息进行整理后交给同伙,又通过微信、QQ等方式层层倒卖到全国及东南亚等电信诈骗高发区。涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额 120 余万元,被泄露的信息包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度,总量超过 40 万条。

随后不久,圆通公司给出了它的回应:

【圆通速递:坚决配合打击涉及用户信息安全的违法行为】圆通速递发布声明称,圆通一贯坚决配合打击非法售卖和使用快递用户信息的行为。今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。公司随后向当地公安部门报案。

如果不是新京报一举捅破了消息篓子,大众大概是不会知道圆通把这件事捂了整整两个月,毕竟“内鬼”这事,实在不光彩。但细究起来又有一丝心酸,因为哪家没出过几次内鬼呢?

对于从事企业安全(尤其是数据安全方向)的同学来说,这个案件里涉及到的检测其实很简单——账号借用/盗用,如果做了设备指纹和日志分析监控的话检测起来应该很容易(访问的内容涉及用户敏感信息,多设备,大量,工作范围外的查询,IM外发敏感内容的文件……)!也不知道圆通内部的风险监控系统什么时候上线的、具备什么功能、还有没有发现其它的问题,总之,从这个例子来看,他们的数据安全做的应该是比较差了,需要改进的点还有很多。

这个案例虽然说涉及到了内鬼,但是属于那种比较简单的内鬼,并没有太多的对抗、绕过意识,如果有的话,感觉以他们当前的状态来看应该也是发现不了。。。如何识别内鬼的一些细节和注意事项在这里不方便说,而且我知道的应该也只是一小部分思路方法,更多的经验还需要在以后的工作生活中不断积累。但有一个核心和几个方法是可以说的——抓住利益链、关系链,重要操作线上化、数据化,很多事情就容易有思路了,具体的方法就需要根据各自公司的实际情况和现状去做针对性的适配了。

天下熙熙皆为利来,天下攘攘皆为利往。

奇安信之前整理的一份报告里面指出了一个很重要的点——牟利永远是数据窃取的最强原动力。牟利、增加求职筹码及不正当利用造成了80%的数据泄露案件。

其它抓内鬼的文章可以参见「半佛仙人」的几篇文章,他确实是见多识广,也乐于分享,值得学习参考。


对于企业和安全团队来说,怎么去防内鬼、抓内鬼,核心思路或方法就是做到:不想,不敢,不能。更多的细节和展开就不说了,有机会互相当面交流吧。

补充:针对用户个人的一些安全建议

1、妥善处置各类单据。快递单、车票等包含个人信息的废弃资料,要涂改或撕毁处理后再丢弃。

2、身份证复印件要妥善保管。提供身份证复印件时,在含有身份信息区域注明『本复印件仅供xx用于xx用途,他用无效』和日期,复印完成后要清除复印机缓存。

3、要注意避免网购网站的陷阱。网络购物要仔细检查登录的网址,不要轻易接收和安装不明软件,要慎重填写银行账户和密码,防止个人信息泄露造成经济损失。

4、社交网络不要发布个人敏感信息的图片和内容。在微博、QQ空间、贴吧、论坛等社交网络尽可能避免透漏或标注真实身份信息,不晒包含个人信息的的照片。

5、免费福利不可贪。不要轻信『送上门的小便宜』,免费的礼品背后往往隐藏着大陷阱。提醒广大群众慎重参加网上、线下的各种调查活动,不要贸然填写或扫码,个人信息就在你不经意间泄露。

6、不要设置简单密码,有机会尽量给账户的重要操作增加双因素验证。简单来说就是,密码不要设置成123456、password、woaini123、123qaz、qwerasdf等这种烂大街的密码;对于和钱相关的网站、应用,在登录、转账等重要操作的时候,增加一下短信、动态口令等二次验证的逻辑(大多数金融网站、电商网站一般都有支持这种功能,设置一下就行)。

7、不同的购物/快递网站可以使用不同的ID/昵称/收货人信息,假设你姓刘,你在京东上买的东西,收货人可以写成刘京东;在淘宝上买的,收货人可以写成刘淘宝等等。当你的信息真的泄露了,比如有推销电话打过来了,一开口叫你刘xx,就很容易知道是xx公司泄露了你的信息。

参考链接:

40多万条信息泄露,圆通回应还“自我表扬”?专家:不打“老虎”没用!
https://mp.weixin.qq.com/s/CPNTuRVVG3i8VE3Wivva6g

你的信息,8毛/条 🤕
https://mp.weixin.qq.com/s/6EDd1cXMUB-wJkBl4Uts2Q

圆通中出了叛徒。。。
https://mp.weixin.qq.com/s/NxH35N70rU4QGZNXBVpyQQ

谁是内鬼?泄露了我们的个人信息···
https://mp.weixin.qq.com/s/yA7ySL4fBY6zS4pllg5cvQ

内鬼,无处不在
https://mp.weixin.qq.com/s/bbQrGeiljqTg1ub1sSArWw

奇安信发布《数据泄露典型判例分析报告》:泄密者八成是内鬼
https://mp.weixin.qq.com/s/7D6FNpIWKue7scKWLHTiOw

趣店数据疑似外泄,十万可买百万学生信息,离职员工称“内鬼”所为
https://mp.weixin.qq.com/s/dqGlU19r4HdGi7fWWWKHOQ

数据黑产调查:猖獗内鬼、黑客师徒与“灰色暴发户” |《财经》特别报道
https://mp.weixin.qq.com/s/3JwDeBZq9XgKYpMDszFIbw

不止圆通!N次数据泄露事件之后 为何企业依然频频中招?
https://mp.weixin.qq.com/s/hyuxyZQ2yrhBOCP2wyAs1A

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/5037.html

《[3]刷单-风控-内鬼》上的4个想法

  1. 家贼难防!面对源源不断的内鬼泄密 企业该使什么招?
    https://mp.weixin.qq.com/s/cIMeXUa5_l-ZaviQ35uAkw

    拒绝数据泄露,数据资产的“人口普查”不容忽视
    https://mp.weixin.qq.com/s/IQ15WRBJqHhuHWUujeeNtw

    隐私都泄露成这样了,还磕CP呢??
    https://mp.weixin.qq.com/s/ioPMiJzyV_M9ip8qQVz52w

    唯品会被指泄露用户信息,有消费者被骗数万元 唯品会:已配合警方调查,基本排除平台泄露
    https://mp.weixin.qq.com/s/L14Im2SX2ln5L656tXufiA

    个人信息|一张快递单到底能泄露多少个人信息
    https://mp.weixin.qq.com/s/8J5gXf-h0V6eVHRMReW6rw

  2. “晒生活”也会暴露隐私?
    https://mp.weixin.qq.com/s/a2UYna4qQWkxeLqWzdl6rQ
    `
    # 青少年隐私泄露后果很严重吗?
    当隐私在网络上暴露后,信息可能会被公开售卖,甚至本人也将受到威胁谩骂、敲诈勒索。

    ## 案例1
    不法分子通过非法手段获取用户隐私后,出售游戏帐号、支付账号、电话号码、银行卡、身份证、户籍信息等。

    ## 案例2
    不法分子入侵用户手机通讯录或其他方式盗取用户私人信息,然后进行威胁、骚扰、诈骗。

    ## 案例3
    不法分子通过网上交友诱导用户暴露身体隐私及聊天录像,以色情视频为筹码对用户进行威胁以达到骗取钱财的目的。

    # 青少年如何避免暴露隐私受到伤害?

    ## 安全意识常驻心中
    可以分享自己的日常生活,但是在晒快乐的同时别忘了保护隐私,不要泄露过多详细信息(如电话号码、证件号码、各类密码、详细定位、住址、学校名称、父母工作地址、家庭经济状况等),如需要出示以上信息,一定要先征询父母的意见。

    ## 慎用公共场所免费网络
    不法分子在公共场所用一台电脑、一套无线网络及一个网络包分析软件就可以搭建一个不设密码的wifi,如果有人使用该wifi,就可以盗取手机上的资料。

    ## 在下载软件前先做辨别
    避免进入不合法的站点下载软件。这些恶意软件在后台收集用户的位置信息、通话记录、电话号码及短信,并将其上传至指定服务器实施诈骗等犯罪活动。

    ## 不关联银行账户
    游戏娱乐中不要把银行卡跟账户相关联,很多扣费代码是内置在游戏中,不用通过用户审核便直接扣费。

    ## 及时举报并告知家长
    收到带有攻击性、淫秽、威胁等语言的信件或信息,不要回答或反驳,要马上进行举报并告诉家长。
    `

  3. 从蛛丝马迹识别内部威胁
    https://www.secpulse.com/archives/155574.html
    `
    随着组织信息安全机制的建立健全,外部威胁的攻击门槛不断提高,从一定程度上遏制了外部恶意行为,相比起来内部威胁的表现形式更加隐蔽、危害程度更大,防范内部威胁正成为组织信息安全管理的重中之重。

    Verizon《2020年数据泄露调查报告》发现,2019年30%的数据泄露涉及内部人员,泄露事件遍及所有行业,其中又以政府,医疗,金融和教育机构面临威胁最大,这些机构存储着大量可以出售的宝贵数据。Ponemon研究机构的《2020年内部威胁成本报告》指出,组织遏制一个内部威胁事件所用时间平均为77天,平均每年花费1145万美元。

    ·内部威胁主要来自哪里?

    内部威胁的主要来源有三个:存在过失或疏忽的组织用户、恶意内部人员和用户凭证盗窃,这里可以扩展到合法访问组织敏感数据的任何人——员工、系统管理员和第三方承包商等,他们都有可能滥用访问权限进行内部攻击。

    ·为什么内部威胁危害较大?

    内部人员在大多数情况下不会发生恶意行为,因此针对内部人员的异常行为检测难度比检测外部攻击更难,这种检测机制的缺失会造成组织数据安全的巨大隐患;危害大的另一个原因主要是内部人士知道组织网络安全中的弱点,同时可能了解敏感数据的位置和性质,进行系统破坏或窃读数据的成功率更高。

    ·为什么内部威胁检测难度大?

    内部人员可以合法访问组织的数据,并且将大部分时间用于执行常规工作,即使存在违规行为,也很难发现。传统网络安全工具一般通过阈值来判断违规事件的发生迹象,一旦某种事件发生次数超过阈值,就会产生告警。内部人员进行数据盗窃等情况时会针对这种特性,采用少量、缓慢、低频行为进行违规操作,例如每天通过电子邮件泄露少量数据,要识别此类威胁,需将这种模式识别为需要调查的重复行为,进一步加以鉴别。因此真正检测发现恶意内部攻击需要很长时间,通常在组织面对严重的威胁后果时才变得明显。

    二、内部威胁模型概述

    早期模型都从内部攻击者的角度入手,其分析目的在于获取攻击者成功实施一次攻击所需要具备的要素,其中的主观要素包括动机、职业角色、具备的资源访问权限以及技能素养等,客观要素则包括目标的内部缺陷的访问控制策略等,由于此类模型多从用户的静态画像角度开展,通过对行为动机、心理因素等内在特征进行研究,因此被称为用户特征模型,又称为主体模型。

    用户特征模型更关注利用心理学和社会学等技术手段,监控并分析内部人员的心理状态变化,这种方法从一定程度上可以预测内部人员是否具有恶意意图,采用一定手段规避下一步恶意行为的发生,从而防患于未然。

    后期以用户行为习惯、行为偏好为研究内容的模型越来越多,这种模型被称为用户行为模型,又称为客体模型。行为分析模型主要通过深度解析历史记录中的用户行为数据形成用户行为特征,然后和用户操作的实时数据作对比,就能够识别出恶意的用户行为,并提出预警。

    用户特征分析和行为分析可互为补充,协同工作。但无论哪种模型都无法脱离“人”这个研究主体。即使存在少部分模型从网络流量、系统调用关系等角度进行研究,最终也要以“人”为单位对研究内容进行划分,定位追踪“人”的违规问题,无法完全脱离“人”的束缚。

    (1)SKRAM模型
    1998年,D.B.Parker提出了SKRAM(Skills, Knowledge, Resources, Authority, and Motives)模型[1]。

    (2)Frank的SKRAM风险评估模型
    Frank提出了一个基于SKRAM的实用风险评估模型[2],该模型有16个独立分值评判点,一个嫌疑人可以通过多种动机或在一个以上相关领域的技术熟练获得16分以上。中低风险嫌疑人风险评估值介于0至5分之间,中等风险嫌疑人的风险评估值介于6至11点之间,高风险个体的风险评估值介于12点以上。

    (3)CMO模型
    Wood.BJ提出可以从多种特征来描述内部人员的CMO模型,最早该模型只包括三个因素,分别是能力(Capability)、动机(Motivation)和机会(Opportunity),他将一个系统定义为“某个相关管理领域范围内的整体网络”,研究目标定义为“系统中易受恶意内部人员攻击的部分”。后期Wood对CMO模型进行了扩展[3],其所描述的内部人员特征与Parker模型中的特征部分重叠,包括:访问、知识、特权、技能、风险、策略、动机和过程。
    `

发表评论

邮箱地址不会被公开。 必填项已用*标注