Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Raidforums台灣金融情資驗證探討

Avatar for jack chou jack chou
May 04, 2020
Technology
1.5k
0

 Raidforums台灣金融情資驗證探討

Avatar for jack chou

jack chou

May 04, 2020

More Decks by jack chou

See All by jack chou
Threat Hunting & Compromised Assessment on the cheap 101
Avatar for jack chou jack51706
2
1.6k
我們與厲駭的距離@高科大
Avatar for jack chou jack51706
0
1.2k
ITHOME2019-手把手,教你如何處理資安事件
Avatar for jack chou jack51706
0
1.2k
鍵盤福爾摩斯的觀落陰真經
Avatar for jack chou jack51706
1
680
研究所資安課程_第五週 準備武器階段 第十七週 清除軌跡
Avatar for jack chou jack51706
0
1.1k
資安課程 外網目標情資偵蒐
Avatar for jack chou jack51706
0
2.2k
TDOHPIPE_公部門資安工作分享
Avatar for jack chou jack51706
0
700

Other Decks in Technology

See All in Technology
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.5k
Kaggle未経験社員をメダリストに育てる「AIドラゴン桜」
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
650
GitHub Copilot CLIでWebアクセシビリティを改善した話
Avatar for tomokusaba tomokusaba
0
120
Agentic AI時代における メルカリのAIガバナンスとガードレール実装
Avatar for ichihara naoichihara
16
17k
A Harness for Behaviour: how to get AI to generate code that does what we intend, or "TDD in the age of AI"
Avatar for Matteo Vaccari xpmatteo
0
500
Strands Agents超入門
Avatar for KintoTech_Dev kintotechdev
1
140
Javaで学ぶSOLID原則
Avatar for Negima negima
1
230
類似画像検索モデルの開発ノウハウ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
4
1k
基礎から解説!Icebergで紐解くSnowflake×Databricks連携の現在地
Avatar for TomokiYasuhara cm_yasuhara
0
380
oracle-to-databricks-migration-with-llm-and-dbt
Avatar for case-k-git casek
1
360
さきさん文庫の書籍ができるまで
Avatar for H.Saki sakiengineer
0
300
管理アカウント単一運用からAWS Organizationsに移行するの大変で滅
Avatar for 平目 hiramax
0
300

Featured

See All Featured
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
3k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
9.1k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon Słowik szymonslowik
1
1.1k
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
340
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3.1k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
210k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.8k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.4k
We Analyzed 250 Million AI Search Results: Here's What I Found
Avatar for Josh Blyskal joshbly
1
1.3k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.7k
The Curse of the Amulet
Avatar for Matthew Lei leimatthew05
1
12k

Transcript

  1. Raidforums 台灣金融情資驗證探討 Independent Researcher Jack Chou (Keyboard007) 2020/5/4

  2. • 事件起因 • 資料剖析 • 發布者追蹤 • 綜合研析與後續探討 Agenda

  3. 事件起因

  4. 事件起因 • 來源網站: • https://raidforums .com/Thread- SELLING-Taiwan- With-Bank-Data- 270K-DUMP- DATE-2020-Fresh-

    dump • 5/1~5/2期間遭不 明人士發布多個國 家的金融單位外洩 資料 Taiwan With Bank Data 270K++ DUMP DATE=2020 Fresh dump

  5. 事件起因 • 網站介紹: • https://raidforums.com/newpoints.php • 網站採用點數購買機制 • 一筆資料約8credit •

    本案例為 • 69.26 台幣 網站銷售機制

  6. 資料剖析

  7. 資料剖析 • 欄位包含: • 國別 • 姓名 • 身分證字號 •

    手機號碼 • 分行別 • 住址 • 共38筆 • 研析: • 以本國銀行規範 要求,是很難單 人取得完整欄位 個資 資料欄位解析

  8. 發布者追蹤

  9. 發布者追蹤 • 資料購買: • 購買該資料後發現提供的URL失效 • 研析: • 研判為常見的黑產詐騙人士 購買相關外洩資料

  10. 發布者追蹤 • 聯繫: • 經站內連繫管道該 作者,提供外洩資 料相關價目表 • 表達需要透過加密 通訊軟體telegram

    聯絡 賣方聯繫(1)

  11. 發布者追蹤 • 聯繫內容: • 因需要進行追蹤,本人使用常見的詐騙釣魚手法 進行詢問 賣方聯繫(2)

  12. 發布者追蹤 • 聯繫: • 採取常用的買賣談判手法要求對方提供入侵相關佐證 • 外洩資料 • SQLMAP(常用SQL注入駭客工具) 記錄檔

    • 研析: • 賣方已提供部分外洩資料欄位(見下張簡報) 賣方聯繫(3)

  13. 發布者追蹤 • 聯繫: • 賣方提供部分外洩資料如下圖 賣方聯繫(4)

  14. 發布者追蹤 • 聯繫: • 進一步要求資料欄位 (如右圖) • 賣方開始以中文回復,且用語疑似為台灣人 • 賣方不願意提供SQLMAP記錄檔(藉由該記錄檔找出外洩資料

    來源點) (失敗… 賣方聯繫(5)

  15. 發布者追蹤 • 聯繫: • 因賣方質疑為何需要SQLMAP記錄檔開始對於本人身分 質疑… 賣方聯繫(6)

  16. 發布者追蹤 • 聯繫: • 從賣方回話無法確認是否曾遭相關單位逮捕過 • 僅能研判可能害怕台灣司法單位追捕 賣方聯繫(7)

  17. 發布者追蹤 • 聯繫: • 賣方表示他是在進行詐騙採買黑產數據相關人士 賣方聯繫(8)

  18. 發布者追蹤 • 聯繫: • 賣方表示他是在進行詐騙採買黑產數據相關人士 • 無法確定是否為擔心遭追捕採取的推託之詞 賣方聯繫(9)

  19. 發布者追蹤 • 聯繫: • 經一番談判賣方表示該資料並非從銀行流出 賣方聯繫(10)

  20. 發布者追蹤 • 聯繫: • 經一番談判賣方似乎相信本人非司法單位人員 賣方聯繫(11)

  21. 發布者追蹤 • 聯繫: • 經多次談判賣方表示該資料來源取自馬來西亞直銷公司 • 研析: • 本人過去曾情蒐探勘過直銷網站,確實可以透過簡單的駭客 工具撈取出資料庫檔案內容

    • 惟現在多數直銷網站都需搭配直銷活動現場取得術語進行解 密 • 電商等金流供應鏈也可取得如此詳盡之資料 賣方聯繫(12)

  22. 發布者追蹤 • 聯繫: • 無法確定賣方是否產生愧疚感,為何貼出個資法等法條… 賣方聯繫(13)

  23. 發布者追蹤 • 聯繫: • 經一番談判賣方稍微軟化 • 提供稍微完整的表格資料(見下一張簡報) 賣方聯繫(14)

  24. 發布者追蹤 • 聯繫: • 賣方提供後續相關 資資料表格 • 可發現包含多個國 家的相關資料 賣方聯繫(15)

  25. 發布者追蹤 • 聯繫: • 因只能確定外洩資料疑似從直銷公司取得 • 為取得賣方資料,我方進行其餘調查管道 • 右圖為試圖取得銀行帳戶進行追查 賣方聯繫(16)

  26. 發布者追蹤 • 聯繫: • 賣方初步表示可否透過比特幣進行匯款 • 研判賣方為善用隱匿工具之相關賣方 賣方聯繫(17)

  27. 發布者追蹤 • 聯繫: • 經我方堅持使用銀行帳戶,賣方態度稍微軟化 賣方聯繫(18)

  28. 發布者追蹤 • 聯繫: • 經我方一番談判賣方提供可能的銀行帳戶 賣方聯繫(19)

  29. 發布者追蹤 • 聯繫: • 經查該銀行帳戶為社會福利等相關基金會帳戶 • 無法進行後續追蹤 賣方聯繫(20)

  30. 綜合研析與後續探 討

  31. 綜合研析與後續探討 • 資料來源研析: • 經賣方給予的相關資料,研判可能從直銷網站取出,我方研判該說法具備一定可信度,惟金 流相關網站也有可能具備該資料來源。 • 從賣方提供的相關資料為同一個表格裡面包含多個國家的相關資料,研判與台灣金流相關供 應鏈較無關聯 •

    從資料完整度來看,以我國銀行規範之下,資料庫設計採取非常嚴謹的資料庫分權設計,我 方研判外洩資料與本國銀行無關

  32. Thank You