Raidforums台灣金融情資驗證探討

Transcript

1. Raidforums 台灣金融情資驗證探討 Independent Researcher Jack Chou (Keyboard007) 2020/5/4

2. • 事件起因 • 資料剖析 • 發布者追蹤 • 綜合研析與後續探討 Agenda

3. 事件起因

4. 事件起因 • 來源網站： • https://raidforums .com/Thread- SELLING-Taiwan- With-Bank-Data- 270K-DUMP- DATE-2020-Fresh-

   dump • 5/1~5/2期間遭不 明人士發布多個國 家的金融單位外洩 資料 Taiwan With Bank Data 270K++ DUMP DATE=2020 Fresh dump

5. 事件起因 • 網站介紹： • https://raidforums.com/newpoints.php • 網站採用點數購買機制 • 一筆資料約8credit •

   本案例為 • 69.26 台幣 網站銷售機制

6. 資料剖析

7. 資料剖析 • 欄位包含： • 國別 • 姓名 • 身分證字號 •

   手機號碼 • 分行別 • 住址 • 共38筆 • 研析： • 以本國銀行規範 要求，是很難單 人取得完整欄位 個資 資料欄位解析

8. 發布者追蹤

9. 發布者追蹤 • 資料購買： • 購買該資料後發現提供的URL失效 • 研析： • 研判為常見的黑產詐騙人士 購買相關外洩資料

10. 發布者追蹤 • 聯繫： • 經站內連繫管道該 作者，提供外洩資 料相關價目表 • 表達需要透過加密 通訊軟體telegram

    聯絡 賣方聯繫(1)

11. 發布者追蹤 • 聯繫內容： • 因需要進行追蹤，本人使用常見的詐騙釣魚手法 進行詢問 賣方聯繫(2)

12. 發布者追蹤 • 聯繫： • 採取常用的買賣談判手法要求對方提供入侵相關佐證 • 外洩資料 • SQLMAP(常用SQL注入駭客工具) 記錄檔

    • 研析： • 賣方已提供部分外洩資料欄位(見下張簡報) 賣方聯繫(3)

13. 發布者追蹤 • 聯繫： • 賣方提供部分外洩資料如下圖 賣方聯繫(4)

14. 發布者追蹤 • 聯繫： • 進一步要求資料欄位 (如右圖) • 賣方開始以中文回復，且用語疑似為台灣人 • 賣方不願意提供SQLMAP記錄檔(藉由該記錄檔找出外洩資料

    來源點) (失敗… 賣方聯繫(5)

15. 發布者追蹤 • 聯繫： • 因賣方質疑為何需要SQLMAP記錄檔開始對於本人身分 質疑… 賣方聯繫(6)

16. 發布者追蹤 • 聯繫： • 從賣方回話無法確認是否曾遭相關單位逮捕過 • 僅能研判可能害怕台灣司法單位追捕 賣方聯繫(7)

17. 發布者追蹤 • 聯繫： • 賣方表示他是在進行詐騙採買黑產數據相關人士 賣方聯繫(8)

18. 發布者追蹤 • 聯繫： • 賣方表示他是在進行詐騙採買黑產數據相關人士 • 無法確定是否為擔心遭追捕採取的推託之詞 賣方聯繫(9)

19. 發布者追蹤 • 聯繫： • 經一番談判賣方表示該資料並非從銀行流出 賣方聯繫(10)

20. 發布者追蹤 • 聯繫： • 經一番談判賣方似乎相信本人非司法單位人員 賣方聯繫(11)

21. 發布者追蹤 • 聯繫： • 經多次談判賣方表示該資料來源取自馬來西亞直銷公司 • 研析： • 本人過去曾情蒐探勘過直銷網站，確實可以透過簡單的駭客 工具撈取出資料庫檔案內容

    • 惟現在多數直銷網站都需搭配直銷活動現場取得術語進行解 密 • 電商等金流供應鏈也可取得如此詳盡之資料 賣方聯繫(12)

22. 發布者追蹤 • 聯繫： • 無法確定賣方是否產生愧疚感，為何貼出個資法等法條… 賣方聯繫(13)

23. 發布者追蹤 • 聯繫： • 經一番談判賣方稍微軟化 • 提供稍微完整的表格資料(見下一張簡報) 賣方聯繫(14)

24. 發布者追蹤 • 聯繫： • 賣方提供後續相關 資資料表格 • 可發現包含多個國 家的相關資料 賣方聯繫(15)

25. 發布者追蹤 • 聯繫： • 因只能確定外洩資料疑似從直銷公司取得 • 為取得賣方資料，我方進行其餘調查管道 • 右圖為試圖取得銀行帳戶進行追查 賣方聯繫(16)

26. 發布者追蹤 • 聯繫： • 賣方初步表示可否透過比特幣進行匯款 • 研判賣方為善用隱匿工具之相關賣方 賣方聯繫(17)

27. 發布者追蹤 • 聯繫： • 經我方堅持使用銀行帳戶，賣方態度稍微軟化 賣方聯繫(18)

28. 發布者追蹤 • 聯繫： • 經我方一番談判賣方提供可能的銀行帳戶 賣方聯繫(19)

29. 發布者追蹤 • 聯繫： • 經查該銀行帳戶為社會福利等相關基金會帳戶 • 無法進行後續追蹤 賣方聯繫(20)

30. 綜合研析與後續探 討

31. 綜合研析與後續探討 • 資料來源研析： • 經賣方給予的相關資料，研判可能從直銷網站取出，我方研判該說法具備一定可信度，惟金 流相關網站也有可能具備該資料來源。 • 從賣方提供的相關資料為同一個表格裡面包含多個國家的相關資料，研判與台灣金流相關供 應鏈較無關聯 •

    從資料完整度來看，以我國銀行規範之下，資料庫設計採取非常嚴謹的資料庫分權設計，我 方研判外洩資料與本國銀行無關

32. Thank You