前情提要
身份信息盗窃是网络罪犯的金矿,这类案件在2016年达到了历史最高水平,由于欺骗和身份信息盗窃导致的损失高达160亿美元。 大多数人或许都已经意识到,身份信息遭泄露的事件在过去几年发生的频率日益增多。虽然身份信息泄露本身也有一定的危害,但通常情况下,真正的、有形的伤害通常发生在攻击者恶意使用这些被盗的身份信息。人们不禁要问:从信息被盗到造成实际损害,这之间究竟发生了什么? 本文就尝试为你解答这一疑惑。
正文
身份信息泄露可能会给用户带来灾难性的后果,尤其是当攻击者开始瞄准他们生活中的重要方面(如保险、银行、信用卡等信息)时。许多用户实际上并不知道他们的信息已经被破坏了,所以当面对身份盗用/欺诈的后果时常常会感到惊讶。 这些被盗的信息到底流向了哪里? 他们在地下市场可以被买到吗? 是否会与其他被盗信息捆绑在一起出售给合法的公司(类似大数据分析、征信、广告营销等)? 仅仅被用于支付欺诈? …… 在深入了解这些被盗信息和数据的最终去向之前,让我们先看一下这些信息是如何被窃取的。
信息被盗的成因
新闻中充斥着某些恶意软件或黑客组织如何入侵公司或政府机构的报道,所以人们可能会认为黑客是信息泄露的主要原因。然而,趋势科技曾经做过的一项调查(解析数据泄露的原由),其针对2005~2015年的泄漏的数据进行了统计分析,结果显示设备丢失或被盗实际上是信息泄露的主要原因(占所有信息泄露的41%),公司可能经常忽视存储在员工笔记本电脑、移动设备甚至小型存储设备上的敏感信息,如果这些设备中的任何一个丢失或被盗,而又没有采取合适的保护措施,那么这会直接导致信息泄露。 然而,这并不意味着可以轻视黑客和恶意软件带来的损害(占所有信息泄露的25%)。事实证明不可对这种威胁掉以轻心。使用远程设备擦除等策略可以减轻设备丢失或被盗带来的损害,但是防护黑客和恶意软件,需要制定更高级的防御解决方案和安全策略,因为这类威胁更具有计划性和针对性。 此外,无意的披露和内部泄密也位居数据泄漏成因排行的前列。
被盗信息的用途
当前网络深入了人们生活的方方面面,人们拥有各种不同类型的信息,这些都可能通过黑客、恶意软件或其他途径被窃取。大多数被窃取的数据都会流向地下市场。根据信息的类型不同,这些被窃取的信息将以不同的方式被黑客和网络罪犯所利用。
个人身份信息
个人身份信息(Personally identifiable information ,PII)是指可以用来识别、定位或关联到某个特定个体的数据,PII的例子包括姓名、出生日期、住址、身份证号、电话号码以及其他可以用来辨别或识别个人身份的数据。 PII是最有可能被泄漏的数据类型,犯罪份子在PII利用方面具有高度的灵活性。攻击者通常可以直接使用受害人名下的贷款或信用卡,提供欺诈性所得税申报、以受害人的名义获取某类需要身份认证的权益(P2P网贷等),从而直接对受害人造成损害。另一方面,攻击者也可以将这些信息出售给营销公司或专门从事垃圾邮件活动的公司,从而间接对受害人造成影响。
财务信息
财务信息是指用于个人金融活动的相关数据,包括银行信息、结算账户、保险信息和其他可以用来访问账户和处理金融交易的数据。 当这些信息被窃取时,会对用户造成极大的财产损失。网络犯罪分析可以利用这类财务信息进行简单的恶意攻击活动,如进行线上欺诈交易、转移受害人的银行资金等。更多的专业网络犯罪份子或组织甚至可以使用伪造的信用卡。
医疗信息
医疗信息是指与个人医疗服务相关的数据,包括医疗记录、医疗保险和其他相关的信息。 医疗信息与PII信息类似,还有大量的可识别用户个人身份的信息。尽管如此,在某些国家,医疗信息可以被用来购买处方药(在柜台上买不到),这可能会导致药物滥用,特别是当涉及到与药物有关的处方药政策法规时。
教育信息
教育信息是指与个人教育记录相关的数据,包括成绩单和院校记录等。 虽然教育信息不能产生与财务信息一样的立竿见影的威胁效果,但是它存在潜在的勒索/欺诈威胁。攻击者可以利用教育信息威胁或诱骗用户屈服于他们的要求,此外,网络罪犯也可以利用这些信息来伪装成相关机构的成员或官员来实施网络钓鱼和欺诈活动。例如在国内造成了重大社会影响的“徐玉玉事件”。
支付卡信息
支付卡信息是指与个人支付卡相关的数据,包括信用卡和借记卡数据以及其他相关的信息。 此类数据类似与财务信息,也会直接影响到用户的资金安全,然而需要特别注意的是,支付卡信息更为危险,因为他们可以用来进行在线交易和付款/转账。财务信息和支付卡信息关联密切。
用户凭据
用户凭据是指用户线上账户凭据、证书等数据,包括电子邮件账户的用户名和密码、各类Web/APP产品的账户和密码信息、证书信息以及在线购物日志等信息。 用户凭据被盗,可能比PII被盗的危害更大,因为它本质上暴露了受害者的网上账户,存在潜在的被恶意使用的威胁。电子邮件经常被用来验证用户凭据或存储来自其他账户的信息,故而电子邮件账户凭据被盗可能熬制进一步的身份信息被盗和欺诈事件的发生。电子邮件和社交媒体账户可以用来制造垃圾邮件和网络钓鱼攻击,另外,网络罪犯也可以利用被盗账户发起间谍活动或窃取用户所在组织的知识产权等。 研究和事实证明,上述这些信息是相互关联的,如果一类信息被盗,其他类型的信息遭到损害的可能性很大。例如,犯罪份子设法得到了一个用户的电子邮件凭据,不幸的是,受害人的电子邮件中包含了银行卡账单信息、发票信息等,犯罪份子可以滥用这些信息;电子邮件还包含其他平台如社交网站的账户信息,而且可以用来执行重置密码操作;此外,用户电子邮件账户的密码与其他电子商务网站的密码信息相同。就这样,攻击者执行一次攻击,就足以获得广泛的信息可以进行多种类型的身份诈骗活动。
个人信息的价值
趋势科技曾做过一项调研,询问全球范围内1千名以上的人员评价一下个人信息的价值,结果表明,受访者最在意他们的密码:
个人身份信息在地下市场确实被明码标价的交易着。这些被盗信息的价格取决于它们对骗子的用途。通过对地下市场网络犯罪数据的收集和分析,大致的行情如下所述:
- PII数据以个体为单位,1美元/条;
- 具有高信用评分的信用卡信息资料:25美元/份;
- 全套的护照、驾驶执照、水电费账单等文件的扫描件:10~35美元/份;
- 暗网中,全球各类银行的登录凭据,售价在200~500美元/份;
- 在美国,各种手机运营商的账户售价,最高可达14美元/个;
成熟度(用户等级/信用等级)高的在线交易网站账户(如PayPal 、eBay等),售价高达 300美元/个。成熟度高的账户不太可能被标记为可疑交易。
缓解方法&建议
由于身份盗窃具有广泛性,用户和组织必须小心所有的个人信息,无论是属于用户个人的还是属于组织成员的。下边提供一些减轻甚至阻止身份盗窃行为的方法&建议:
閱讀更多 A1d2m3i4n5 的文章
