正确的提示信息

扫码打开虎嗅APP

从思考到创造
打开APP
搜索历史
删除
完成
全部删除
热搜词
2020-05-08 15:35

有钱能使银行鬼推磨

本文来自微信公众号:新金融洛书(ID:FintechBook),作者:雷慢 ,题图来自:影视剧《读心神探》剧照



一个中国边缘剧种——脱口秀演员池子,在5月初某天,遭遇全国最大股份制银行之一的中信银行碾轧,后者将他两年的个人账户交易明细,交给了正状告他的前东家,并告诉他理由:


“配合大客户的要求”。


这种话赤裸裸而霸道,但并不奇怪。用户个人信息泄露这种事,在成为丑闻之前,个体不过是银行信息库里的符码。个体用信息换取银行服务,银行用信息生产利润,这从来就是一个利益场。


2013年之后,这种利益摄取越来越明显。那年余额宝出世,互联网金融崛起,引来上下游产业的黑产和灰色业务泛滥。银行内鬼倒卖个人信息,黑客撞库获取隐私,数据公司又以数据买卖、爬虫为互联网金融的获客、营销和风控提供滋养,再以暴力催收为它断后。现金贷、P2P吃着这些带血的馒头,也是睁一只眼闭一只眼。


此时,灰色产业往往会侵染正规金融机构的部分业务。一个典型案例是,2017年,家住长沙的中国工商银行长沙市汇通支行信贷中心员工田某,以每条30元的价格,为3名小贷公司业务经理、1名诺远普惠经理查询公民个人征信记录,最终,涉案的几人被判一年至五年不等有期徒刑。


2019年8月,Verizon发布了《2019年数据泄露调查报告(DBIR)》。在927起事件金融机构数据泄露事件中,69%的安全事件是外部人员所为。34%的违规行为涉及内部参与者。


而所有安全事故中的动机,88%是为了经济利益;43%针对的是个人信息。这份报告显示,出于经济利益驱动的网络攻击,这几年正全面增长。


讽刺的是,专门发布数据泄露报告的Verizon,2016年遭遇了黑客攻击,150万客户信息泄露。



内鬼倒卖和黑客攻击,是银行个人信息泄露的两大源头。


2016年的湖南“5·26侵犯公民个人信息案”,一家农商行支行行长,利用售卖银行征信系统查询账号,查获公民银行个人信息257万条,涉案资金230万元。


流程大概是这样的:这条交易链,由支行行长夏某充当“号主”将银行的查询账号卖给“中间商”团伙,后者将事情交给“出单渠道”团伙去干,完成各用户信息窃取后,出单渠道的团伙再将个人信息数据卖给“中间商”,让他们去向小贷公司、诈骗团伙去兜售。


这种内鬼利用职务之便倒卖数据,是岗位制约和机制监督缺失的产物。


2016年后,银保监会意识到这一问题弊端日益严重,下发《关于银行业金融机构客户个人信息泄露案件风险提示的通知》,要求银行保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为。


毕竟有钱能使内鬼推磨 。这之后,类似事件仍然频发。


2017年,中国建设银行江阴市云亭支行主管陈某通过中国建设银行新一代查询系统,查询公民在该行的开户资料、绑定手机号码、银行卡余额等信息达四十余条,再以每条250元左右的价格分六次卖给他人,获利6000元多。


2020年3月底,原建设银行余姚城建支行行长沈某某将非法获取的余姚市东城名苑业主财产信息1111条和其所在行贷款客户财产信息127条非法提供给他人用于招揽业务。


相对于内鬼倒卖个人信息数据这种防不胜防的事,围追堵截黑客攻击这件事更有迹可循。


2009年3月,银保监会发布《商业银行信息科技风险管理指引》,根据规定,银行IT系统建设分为生产域、测试域、互联网域等,彼此间数据传输受严格限制,防火墙高耸,大规模数据外泄可能性大大降低。




道高一尺魔高一丈,银行个人信息外泄,还有第三条道路、第四、第五……


2016年,一帮在江苏、山东、河南等地流串的黑产者,在各交易场所布放改装后的pos机,在用户刷卡后复制账户信息,短短几年之内复制数十万乃至上百万条银行卡信息,这背后是一个数十亿规模的犯罪乐园。


为了不引火烧身,改装POS机这批人通常并不自己去盗刷账户余额,而是卖给专卖个人信息的团伙,这些人又转卖给实施作案团伙,层层转包之后,盗取信息团伙的风险就被转嫁了。


所以,黑产也学会讲究精耕细作、分散风险了。


现在,没有哪个黑产团伙再愿意大包大揽,风险利益一把抓,脱库、洗库一起做了。


比如,下游客户指定某一家银行的客户信息,找到中间商,中间商会找到银行内鬼买入个人信息,再倒手给买家,赚取差价或佣金。有时候,一单做下来,可能经手人很难弄清楚到底买家是谁了。


2016年11月银保监会出台的《关于银行业金融机构客户个人信息泄露案件风险提示的通知》说,部分银行对员工日常行为疏于管理,个别员工在社会不法分子的利益诱惑下,利用职务之便窃取、出售或非法提供客户个人信息,才形成案件风险。


这种事和银行出于二次营销、信用卡审批、信息共享等利益原因而未经授权查询个人信息一样,泛滥成灾。2018年7月~10月,就有26家银行因类似原因被罚。


这些题很大程度上是无解的。


技术天才不是为了追求自由才去干黑客的,就像银行内鬼也不是为了立牌坊出去卖的。

本文来自微信公众号:新金融洛书(ID:FintechBook),作者:雷慢

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:

支持一下

赞赏

0人已赞赏

大 家 都 在 看

大 家 都 在 搜

好的内容,值得赞赏

您的赞赏金额会直接进入作者的虎嗅账号

    自定义
    支付: