警惕“医保补贴”陷阱！某市3万条参保信息被窃，攻击者利用AI生成虚假通知

2025年2月15日，我国某市医保局发布安全通报，称其线上服务平台遭遇针对性钓鱼攻击，导致3.2万条参保人员信息（含姓名、身份证号、联系方式）被非法获取。经调查，攻击者通过伪造“医保补贴申领”页面，诱导用户输入敏感信息，成为2025年开年以来影响最大的民生领域数据泄露事件。

 攻击手法：AI生成虚假页面+短信轰炸诱导点击 

1. 伪造官方通知：攻击者利用生成式AI批量制作与真实医保局网站高度相似的钓鱼页面，域名仅差异1个字符（如123.gov.cn vs 真实域名123.gov.com.cn）；

2.  精准短信投放：通过黑产渠道获取部分参保人员手机号，发送含钓鱼链接的短信，声称“逾期未申领将取消补贴资格”；

3.   数据层层转卖：窃取的信息在暗网平台以每条5元的价格售卖，部分被用于电信诈骗，已有十余名老人因“医保账户异常”骗局损失共计超80万元。

  漏洞根源：第三方服务权限失控 

• 直接原因：医保局合作的某短信服务平台账号被暴力破解，攻击者利用该账号发送钓鱼短信；

 • 深层问题： 

• 未对第三方服务商实施“最小权限”管理，短信平台账号可访问全部参保人数据；

 • 缺乏多因素认证（MFA），账号密码泄露后直接导致系统沦陷； 

• 未部署URL防御系统，无法自动识别并拦截仿冒域名。  

  应急处置与损失控制

 1. 2小时内响应：事发后立即关闭短信服务接口，封禁可疑IP地址；

 2. 数据泄露通知：通过官方渠道发布警示，提醒参保人员警惕诈骗电话；

 3. 技术加固：  

• 启用零信任架构（ZTA），要求所有外部请求需通过设备指纹+行为分析双重验证； 

• 对历史数据脱敏处理，禁止第三方服务商直接接触原始信息。  

行业警示：民生系统安全需“三防并举”

 1. 防仿冒： 

• 推广使用国家反诈中心APP的“网址检测”功能，自动识别钓鱼链接； 

• 政务网站强制启用HTTPS加密与EV证书，浏览器地址栏显示单位名称；  

 2. 防内鬼：

 • 对第三方服务商实施“数据可用不可见”管控，通过API接口传输加密数据；

 • 定期审计服务商账号权限，离职或转岗人员权限需在24小时内回收；

   3. 防扩散： 

• 建立数据泄露应急基金，为受骗群众提供快速止付与法律援助；

 • 将AI仿冒技术纳入网络安全审查范围，要求生成式AI服务商对输出内容添加数字水印。   

 专家建议：

某网络安全研究院院长表示：“民生系统已成为攻击者‘低成本、高回报’的靶心。建议未来三年内，所有省级医保、社保平台完成零信任改造，并建立‘攻击面收敛’机制，定期关闭非必要端口与服务。”