[3]刷单-风控-内鬼

=Start=

缘由:

上半年的时候大致记录了一下刷单、风控和内鬼的前2个部分([1]刷单-风控-内鬼[2]刷单-风控-内鬼),第3部分内鬼这个因为内容比较敏感,且方便举例的样例不多所以一直也就没有写。不过前段时间网上和朋友圈里圆通因为内鬼泄露40万条信息而火了一把,也让我想起了这部分内容还没有写完,这里也就整理补充一下这部分的内容,一些较为敏感的内容就不写了,有机会的话可以当面交流,毕竟做企业安全防护的很多时候还是需要依赖信息不对称而获得一些比较优势的。

正文:

参考解答:

首先,看一看圆通的这个例子:

新京报11月17日消息,河北省邯郸市公安在今年8月接到圆通物流委托人报案称:其公司员工账号被本公司物流风险控制系统监测出有违规异地查询非本网点运单号信息的行为,导致大量客户隐私信息有可能泄露。

据邯郸永年区公安局反诈中心中队长王求东梳理,三名嫌疑人以每日500元的费用租用圆通物流公司内部员工系统账号进入物流系统,导出快递信息,并把窃取的快递信息进行整理后交给同伙,又通过微信、QQ等方式层层倒卖到全国及东南亚等电信诈骗高发区。涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额 120 余万元,被泄露的信息包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度,总量超过 40 万条。

随后不久,圆通公司给出了它的回应:

【圆通速递:坚决配合打击涉及用户信息安全的违法行为】圆通速递发布声明称,圆通一贯坚决配合打击非法售卖和使用快递用户信息的行为。今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。公司随后向当地公安部门报案。

如果不是新京报一举捅破了消息篓子,大众大概是不会知道圆通把这件事捂了整整两个月,毕竟“内鬼”这事,实在不光彩。但细究起来又有一丝心酸,因为哪家没出过几次内鬼呢?

对于从事企业安全(尤其是数据安全方向)的同学来说,这个案件里涉及到的检测其实很简单——账号借用/盗用,如果做了设备指纹和日志分析监控的话检测起来应该很容易(访问的内容涉及用户敏感信息,多设备,大量,工作范围外的查询,IM外发敏感内容的文件……)!也不知道圆通内部的风险监控系统什么时候上线的、具备什么功能、还有没有发现其它的问题,总之,从这个例子来看,他们的数据安全做的应该是比较差了,需要改进的点还有很多。

这个案例虽然说涉及到了内鬼,但是属于那种比较简单的内鬼,并没有太多的对抗、绕过意识,如果有的话,感觉以他们当前的状态来看应该也是发现不了。。。如何识别内鬼的一些细节和注意事项在这里不方便说,而且我知道的应该也只是一小部分思路方法,更多的经验还需要在以后的工作生活中不断积累。但有一个核心和几个方法是可以说的——抓住利益链、关系链,重要操作线上化、数据化,很多事情就容易有思路了,具体的方法就需要根据各自公司的实际情况和现状去做针对性的适配了。

天下熙熙皆为利来,天下攘攘皆为利往。

奇安信之前整理的一份报告里面指出了一个很重要的点——牟利永远是数据窃取的最强原动力。牟利、增加求职筹码及不正当利用造成了80%的数据泄露案件。

其它抓内鬼的文章可以参见「半佛仙人」的几篇文章,他确实是见多识广,也乐于分享,值得学习参考。


对于企业和安全团队来说,怎么去防内鬼、抓内鬼,核心思路或方法就是做到:不想,不敢,不能。更多的细节和展开就不说了,有机会互相当面交流吧。

补充:针对用户个人的一些安全建议

1、妥善处置各类单据。快递单、车票等包含个人信息的废弃资料,要涂改或撕毁处理后再丢弃。

2、身份证复印件要妥善保管。提供身份证复印件时,在含有身份信息区域注明『本复印件仅供xx用于xx用途,他用无效』和日期,复印完成后要清除复印机缓存。

3、要注意避免网购网站的陷阱。网络购物要仔细检查登录的网址,不要轻易接收和安装不明软件,要慎重填写银行账户和密码,防止个人信息泄露造成经济损失。

4、社交网络不要发布个人敏感信息的图片和内容。在微博、QQ空间、贴吧、论坛等社交网络尽可能避免透漏或标注真实身份信息,不晒包含个人信息的的照片。

5、免费福利不可贪。不要轻信『送上门的小便宜』,免费的礼品背后往往隐藏着大陷阱。提醒广大群众慎重参加网上、线下的各种调查活动,不要贸然填写或扫码,个人信息就在你不经意间泄露。

6、不要设置简单密码,有机会尽量给账户的重要操作增加双因素验证。简单来说就是,密码不要设置成123456、password、woaini123、123qaz、qwerasdf等这种烂大街的密码;对于和钱相关的网站、应用,在登录、转账等重要操作的时候,增加一下短信、动态口令等二次验证的逻辑(大多数金融网站、电商网站一般都有支持这种功能,设置一下就行)。

7、不同的购物/快递网站可以使用不同的ID/昵称/收货人信息,假设你姓刘,你在京东上买的东西,收货人可以写成刘京东;在淘宝上买的,收货人可以写成刘淘宝等等。当你的信息真的泄露了,比如有推销电话打过来了,一开口叫你刘xx,就很容易知道是xx公司泄露了你的信息。

参考链接:

40多万条信息泄露,圆通回应还“自我表扬”?专家:不打“老虎”没用!
https://mp.weixin.qq.com/s/CPNTuRVVG3i8VE3Wivva6g

你的信息,8毛/条 🤕
https://mp.weixin.qq.com/s/6EDd1cXMUB-wJkBl4Uts2Q

圆通中出了叛徒。。。
https://mp.weixin.qq.com/s/NxH35N70rU4QGZNXBVpyQQ

谁是内鬼?泄露了我们的个人信息···
https://mp.weixin.qq.com/s/yA7ySL4fBY6zS4pllg5cvQ

内鬼,无处不在
https://mp.weixin.qq.com/s/bbQrGeiljqTg1ub1sSArWw

奇安信发布《数据泄露典型判例分析报告》:泄密者八成是内鬼
https://mp.weixin.qq.com/s/7D6FNpIWKue7scKWLHTiOw

趣店数据疑似外泄,十万可买百万学生信息,离职员工称“内鬼”所为
https://mp.weixin.qq.com/s/dqGlU19r4HdGi7fWWWKHOQ

数据黑产调查:猖獗内鬼、黑客师徒与“灰色暴发户” |《财经》特别报道
https://mp.weixin.qq.com/s/3JwDeBZq9XgKYpMDszFIbw

不止圆通!N次数据泄露事件之后 为何企业依然频频中招?
https://mp.weixin.qq.com/s/hyuxyZQ2yrhBOCP2wyAs1A

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/5037.html

《[3]刷单-风控-内鬼》上的3个想法

  1. 家贼难防!面对源源不断的内鬼泄密 企业该使什么招?
    https://mp.weixin.qq.com/s/cIMeXUa5_l-ZaviQ35uAkw

    拒绝数据泄露,数据资产的“人口普查”不容忽视
    https://mp.weixin.qq.com/s/IQ15WRBJqHhuHWUujeeNtw

    隐私都泄露成这样了,还磕CP呢??
    https://mp.weixin.qq.com/s/ioPMiJzyV_M9ip8qQVz52w

    唯品会被指泄露用户信息,有消费者被骗数万元 唯品会:已配合警方调查,基本排除平台泄露
    https://mp.weixin.qq.com/s/L14Im2SX2ln5L656tXufiA

    个人信息|一张快递单到底能泄露多少个人信息
    https://mp.weixin.qq.com/s/8J5gXf-h0V6eVHRMReW6rw

  2. “晒生活”也会暴露隐私?
    https://mp.weixin.qq.com/s/a2UYna4qQWkxeLqWzdl6rQ
    `
    # 青少年隐私泄露后果很严重吗?
    当隐私在网络上暴露后,信息可能会被公开售卖,甚至本人也将受到威胁谩骂、敲诈勒索。

    ## 案例1
    不法分子通过非法手段获取用户隐私后,出售游戏帐号、支付账号、电话号码、银行卡、身份证、户籍信息等。

    ## 案例2
    不法分子入侵用户手机通讯录或其他方式盗取用户私人信息,然后进行威胁、骚扰、诈骗。

    ## 案例3
    不法分子通过网上交友诱导用户暴露身体隐私及聊天录像,以色情视频为筹码对用户进行威胁以达到骗取钱财的目的。

    # 青少年如何避免暴露隐私受到伤害?

    ## 安全意识常驻心中
    可以分享自己的日常生活,但是在晒快乐的同时别忘了保护隐私,不要泄露过多详细信息(如电话号码、证件号码、各类密码、详细定位、住址、学校名称、父母工作地址、家庭经济状况等),如需要出示以上信息,一定要先征询父母的意见。

    ## 慎用公共场所免费网络
    不法分子在公共场所用一台电脑、一套无线网络及一个网络包分析软件就可以搭建一个不设密码的wifi,如果有人使用该wifi,就可以盗取手机上的资料。

    ## 在下载软件前先做辨别
    避免进入不合法的站点下载软件。这些恶意软件在后台收集用户的位置信息、通话记录、电话号码及短信,并将其上传至指定服务器实施诈骗等犯罪活动。

    ## 不关联银行账户
    游戏娱乐中不要把银行卡跟账户相关联,很多扣费代码是内置在游戏中,不用通过用户审核便直接扣费。

    ## 及时举报并告知家长
    收到带有攻击性、淫秽、威胁等语言的信件或信息,不要回答或反驳,要马上进行举报并告诉家长。
    `

发表评论

邮箱地址不会被公开。 必填项已用*标注