前情提要
身份信息盜竊是網絡罪犯的金礦,這類案件在2016年達到了歷史最高水平,由於欺騙和身份信息盜竊導致的損失高達160億美元。 大多數人或許都已經意識到,身份信息遭洩露的事件在過去幾年發生的頻率日益增多。雖然身份信息洩露本身也有一定的危害,但通常情況下,真正的、有形的傷害通常發生在攻擊者惡意使用這些被盜的身份信息。人們不禁要問:從信息被盜到造成實際損害,這之間究竟發生了什麼? 本文就嘗試為你解答這一疑惑。
正文
身份信息洩露可能會給用戶帶來災難性的後果,尤其是當攻擊者開始瞄準他們生活中的重要方面(如保險、銀行、信用卡等信息)時。許多用戶實際上並不知道他們的信息已經被破壞了,所以當面對身份盜用/欺詐的後果時常常會感到驚訝。 這些被盜的信息到底流向了哪裡? 他們在地下市場可以被買到嗎? 是否會與其他被盜信息捆綁在一起出售給合法的公司(類似大數據分析、徵信、廣告營銷等)? 僅僅被用於支付欺詐? …… 在深入瞭解這些被盜信息和數據的最終去向之前,讓我們先看一下這些信息是如何被竊取的。
信息被盜的成因
新聞中充斥著某些惡意軟件或黑客組織如何入侵公司或政府機構的報道,所以人們可能會認為黑客是信息洩露的主要原因。然而,趨勢科技曾經做過的一項調查(解析數據洩露的原由),其針對2005~2015年的洩漏的數據進行了統計分析,結果顯示設備丟失或被盜實際上是信息洩露的主要原因(佔所有信息洩露的41%),公司可能經常忽視存儲在員工筆記本電腦、移動設備甚至小型存儲設備上的敏感信息,如果這些設備中的任何一個丟失或被盜,而又沒有采取合適的保護措施,那麼這會直接導致信息洩露。 然而,這並不意味著可以輕視黑客和惡意軟件帶來的損害(佔所有信息洩露的25%)。事實證明不可對這種威脅掉以輕心。使用遠程設備擦除等策略可以減輕設備丟失或被盜帶來的損害,但是防護黑客和惡意軟件,需要制定更高級的防禦解決方案和安全策略,因為這類威脅更具有計劃性和針對性。 此外,無意的披露和內部洩密也位居數據洩漏成因排行的前列。
被盜信息的用途
當前網絡深入了人們生活的方方面面,人們擁有各種不同類型的信息,這些都可能通過黑客、惡意軟件或其他途徑被竊取。大多數被竊取的數據都會流向地下市場。根據信息的類型不同,這些被竊取的信息將以不同的方式被黑客和網絡罪犯所利用。
個人身份信息
個人身份信息(Personally identifiable information ,PII)是指可以用來識別、定位或關聯到某個特定個體的數據,PII的例子包括姓名、出生日期、住址、身份證號、電話號碼以及其他可以用來辨別或識別個人身份的數據。 PII是最有可能被洩漏的數據類型,犯罪份子在PII利用方面具有高度的靈活性。攻擊者通常可以直接使用受害人名下的貸款或信用卡,提供欺詐性所得稅申報、以受害人的名義獲取某類需要身份認證的權益(P2P網貸等),從而直接對受害人造成損害。另一方面,攻擊者也可以將這些信息出售給營銷公司或專門從事垃圾郵件活動的公司,從而間接對受害人造成影響。
財務信息
財務信息是指用於個人金融活動的相關數據,包括銀行信息、結算賬戶、保險信息和其他可以用來訪問賬戶和處理金融交易的數據。 當這些信息被竊取時,會對用戶造成極大的財產損失。網絡犯罪分析可以利用這類財務信息進行簡單的惡意攻擊活動,如進行線上欺詐交易、轉移受害人的銀行資金等。更多的專業網絡犯罪份子或組織甚至可以使用偽造的信用卡。
醫療信息
醫療信息是指與個人醫療服務相關的數據,包括醫療記錄、醫療保險和其他相關的信息。 醫療信息與PII信息類似,還有大量的可識別用戶個人身份的信息。儘管如此,在某些國家,醫療信息可以被用來購買處方藥(在櫃檯上買不到),這可能會導致藥物濫用,特別是當涉及到與藥物有關的處方藥政策法規時。
教育信息
教育信息是指與個人教育記錄相關的數據,包括成績單和院校記錄等。 雖然教育信息不能產生與財務信息一樣的立竿見影的威脅效果,但是它存在潛在的勒索/欺詐威脅。攻擊者可以利用教育信息威脅或誘騙用戶屈服於他們的要求,此外,網絡罪犯也可以利用這些信息來偽裝成相關機構的成員或官員來實施網絡釣魚和欺詐活動。例如在國內造成了重大社會影響的“徐玉玉事件”。
支付卡信息
支付卡信息是指與個人支付卡相關的數據,包括信用卡和借記卡數據以及其他相關的信息。 此類數據類似與財務信息,也會直接影響到用戶的資金安全,然而需要特別注意的是,支付卡信息更為危險,因為他們可以用來進行在線交易和付款/轉賬。財務信息和支付卡信息關聯密切。
用戶憑據
用戶憑據是指用戶線上賬戶憑據、證書等數據,包括電子郵件賬戶的用戶名和密碼、各類Web/APP產品的賬戶和密碼信息、證書信息以及在線購物日誌等信息。 用戶憑據被盜,可能比PII被盜的危害更大,因為它本質上暴露了受害者的網上賬戶,存在潛在的被惡意使用的威脅。電子郵件經常被用來驗證用戶憑據或存儲來自其他賬戶的信息,故而電子郵件賬戶憑據被盜可能熬製進一步的身份信息被盜和欺詐事件的發生。電子郵件和社交媒體賬戶可以用來製造垃圾郵件和網絡釣魚攻擊,另外,網絡罪犯也可以利用被盜賬戶發起間諜活動或竊取用戶所在組織的知識產權等。 研究和事實證明,上述這些信息是相互關聯的,如果一類信息被盜,其他類型的信息遭到損害的可能性很大。例如,犯罪份子設法得到了一個用戶的電子郵件憑據,不幸的是,受害人的電子郵件中包含了銀行卡賬單信息、發票信息等,犯罪份子可以濫用這些信息;電子郵件還包含其他平臺如社交網站的賬戶信息,而且可以用來執行重置密碼操作;此外,用戶電子郵件賬戶的密碼與其他電子商務網站的密碼信息相同。就這樣,攻擊者執行一次攻擊,就足以獲得廣泛的信息可以進行多種類型的身份詐騙活動。
個人信息的價值
趨勢科技曾做過一項調研,詢問全球範圍內1千名以上的人員評價一下個人信息的價值,結果表明,受訪者最在意他們的密碼:
個人身份信息在地下市場確實被明碼標價的交易著。這些被盜信息的價格取決於它們對騙子的用途。通過對地下市場網絡犯罪數據的收集和分析,大致的行情如下所述:
- PII數據以個體為單位,1美元/條;
- 具有高信用評分的信用卡信息資料:25美元/份;
- 全套的護照、駕駛執照、水電費賬單等文件的掃描件:10~35美元/份;
- 暗網中,全球各類銀行的登錄憑據,售價在200~500美元/份;
- 在美國,各種手機運營商的賬戶售價,最高可達14美元/個;
成熟度(用戶等級/信用等級)高的在線交易網站賬戶(如PayPal 、eBay等),售價高達 300美元/個。成熟度高的賬戶不太可能被標記為可疑交易。
緩解方法&建議
由於身份盜竊具有廣泛性,用戶和組織必須小心所有的個人信息,無論是屬於用戶個人的還是屬於組織成員的。下邊提供一些減輕甚至阻止身份盜竊行為的方法&建議:
閱讀更多 A1d2m3i4n5 的文章
