近日,在广东经视播出的“广东3·15晚会”中,一条围绕保单个人信息买卖的黑灰产链条被曝光。调查显示,在部分社交平台上,存在大量公开兜售保险用户信息的行为。卖家以“资源”“精准名单”等暗语对外招揽,并通过QQ、微信等渠道进行点对点交易,形成隐蔽但活跃的数据流通网络。这一现象并非孤例。根据国内反欺诈与威胁情报厂商威胁猎人此前发布的保险行业研究报告显示,围绕数据资产泄露和倒卖的产业链已相当成熟 。中游的数据中间商大多活跃在匿名群聊、暗网及黑产论坛等平台,通过对泄露数据进行分类清洗,精准满足下游电话营销甚至诈骗团伙的需求 。一、数据被重构:从“信息”变为“可交易资产”当前流入黑产市场的保单数据,已不再是简单的原始信息,而是经过多轮加工后的结构化数据。根据国内反欺诈与威胁情报厂商威胁猎人此前发布的相关研究显示,黑产流通的保险数据通常包含三类核心结构:基础信息:姓名、手机号、身份证等业务信息:保险类型、投保金额、缴费周期、保单状态等标签信息:设备类型、运营商、活跃度等黑产自定义字段其中,业务信息与标签信息成为决定数据价值的关键因素。相比普通信息名单,这类数据能够直接嵌入具体业务场景,使其具备更强的“可利用性”。也正因如此,保单数据在黑市中的交易逻辑,正在从“数量导向”转向“结构与精度导向”。二、链条拆解:一条成熟的“数据变现流水线”从315曝光案例与根据国内反欺诈情报厂商威胁猎人此前发布的报告来看,围绕保单数据的黑灰产体系,已形成清晰的三层结构:上游:数据获取端 包括黑客攻击、第三方数据外流、内部人员违规导出、短信通道泄露等,负责获取原始数据。中游:数据加工与分销 活跃于匿名社群、暗网及各类私域渠道,对数据进行清洗、标签化处理,并按险种、人群、地区等维度分类出售。下游:数据使用与变现 主要为电销团队与诈骗团伙,将数据用于精准营销或诈骗,并在使用后进行二次流转。相关研究显示,数据在进入中游后,往往会被反复加工与多次交易,形成持续供给。这一体系已具备较强的分工与规模化特征,其运作方式更接近“流水线”。三、诈骗模式演变:从“广撒网”到“数据驱动”根据国内反欺诈情报厂商威胁猎人此前发布的报告来看,数据结构的变化,正在直接推动诈骗模式升级。基于对相关诈骗样本的分析可以发现,当前保险类诈骗呈现出明显的“数据驱动”特征:围绕真实投保信息设计话术以“自动扣费”“理赔异常”等业务场景制造紧急感针对不同险种用户进行差异化攻击其中,部分黑产还会利用标签信息进行筛选。例如,通过设备类型标签筛选目标用户,再结合特定通信方式实施诈骗,以提升转化率。在这一模式下,诈骗不再依赖单纯话术,而是依托数据建立信任基础。攻击成功率的提升,本质上来源于数据的精准匹配能力。四、目标人群变化:从随机攻击到“定向命中”进一步来看,相关攻击已不再是随机发生。根据威胁猎人对数据样本的人群画像分析,保险行业被泄露的数据中,用户信息占比超过95%,包含姓名、手机号、身份证号以及最核心的“保险类型”和“投保金额”在这些数据中,“人身保险”类信息占比最高,尤其是“人寿保险”和“年金保险” 。黑产团伙甚至会根据设备系统(如IOS用户)进行筛选,以便利用FaceTime等功能冒充客服实施精准诈骗 。画像分析显示,受害群体多集中在经济较发达地区,在部分样本中,女性用户与中年群体占比较高。这意味着,诈骗正从“概率事件”转向“选择性攻击”。是否成为目标,不再取决于是否“被碰到”,而是是否“被选中”。五、风险来源变化:从“系统内”转向“体系外”值得注意的是,数据风险的来源也在发生变化。国内反欺诈与威胁情报厂商威胁猎人相关研究指出,当前保险行业的数据泄露,更多来自业务链条中的外围环节,包通过对典型泄露事件的分析,主要原因集中在以下几个方面:第三方合作机构成“重灾区”: 保险机构常引入第三方代理提升效率。然而,部分中小型第三方机构安全建设投入不足,由于管理不规范等问题,导致其拥有的敏感数据被黑产窃取,这是目前保险数据泄露的主要源头 。短信通道的安全隐患: 短信通道商为获取订单可能压低价格,部分内部人员在利益驱使下,通过非法售卖短信内容(包含验证码、保单提醒等)获取收益 。内鬼与外部攻击: 保险机构内部员工在利益诱惑下,通过资料导出、人工拍摄等方式窃取客户信息售卖 ;同时,外部黑客也会利用API接口漏洞等技术手段,对保险平台发起针对性攻击 。运营商渠道风险: 黑产通过违规代理等渠道,获取指定应用的安装或短信接收数据,从而精准锁定保险用户 。这些路径共同导致一个趋势:数据并不是一次性泄露,而是在多个节点被持续复制与扩散;部分数据在进入黑产市场后,还会被重复清洗、整合与再交易,进一步延长其生命周期。六、行业变化:风险正在发生“前移”在上述背景下,行业对于数据安全的关注正在发生转变。相较于传统依赖内部系统的防护方式,当前风险更多发生在企业体系之外,使得“看不见的风险”成为主要挑战。在此趋势下,围绕数据泄露情报的外部监测能力,正逐渐成为行业关注重点。业内信息显示,多家安全厂商正在构建覆盖暗网、匿名社群、网盘文库、代码托管平台等渠道的情报采集体系,通过多语种数据抓取与深层情报源挖掘,对黑产数据流通进行持续跟踪。以 反欺诈情报专家威胁猎人 为例,其数据泄露风险监测服务通过覆盖暗网、匿名社群、网盘文库、代码托管平台等渠道,开展多语种情报采集与深层情报源挖掘,并结合风险真实性验证机制与人工校验服务,提供7×24小时风险预警支持。据介绍,该安全厂商专注于黑灰产监测与数据泄露情报,设有DRRC风险应急响应中心,提供样例获取、扩散追踪、协助溯源及风险评估报告支持服务。这类能力的关键在于:风险识别从“事后处置”前移至“数据流通阶段”。此外,在监管要求持续收紧的背景下,金融从业机构对风险响应时效提出更高标准。具备持续外部监测与快速验证能力的支撑体系,正逐步成为满足合规要求的重要条件。结语泄露出的个人信息是保险诈骗发生的基础要素。电诈团伙利用这些真实数据量身定制“剧本”,如“百万医疗险过期扣费”、“理赔流程异常”等话术,获取受害人信任后,诱导其转账或提供验证码 。一旦发生数据泄露,不仅损害客户利益,金融机构也将面临监管惩罚及品牌声誉的重创 ;保险行业数据安全防范刻不容缓企业需加强对第三方合作方的管控,提升API等接口的安全防护,并建立全天候的情报监测预警机制 。同时,广大消费者应警惕陌生来电,尤其是涉及保险退费、关闭扣款等要求的FaceTime通话,切勿轻易转账。
