揭秘盜取“無害數據”的變現之路
2021年剛剛行至一半,就已經發生了兩起備受矚目的數據泄露事件,包含Facebook、LinkedIn、Instagram、US Cellular、T-Mobile、Geico以及Experian在內的諸多企業均未能幸免。這些入侵事件中被盜的數據將影響數百萬用戶,即便其中一些數據可能看起來就像電子郵件地址一樣“無害”。究其原因在于,這些被盜數據都并非孤立存在的。
Forrester Research副總裁兼首席分析師Jeff Pollard解釋稱:
| 這些數據并非孤立存在的。舉個例子,在一次泄露中可能包含一個電子郵件地址,而另一次泄露中可能有更多與該電子郵件地址相對應的信息。 |
Pollard告誡稱,不要單獨查看任何一次泄露事件,因為網絡犯罪分子可以匯總和編譯數據以收集有關個人的更多詳細信息。要知道,“牽一發動全身”,一條線索的背后可能牽連更多線索。由于泄漏事件頻發,網絡犯罪分子完全有機會和能力整合所有信息,以挖掘出更多相關聯的詳細信息。
威脅行為者正在積極合并數據
威脅行為者在處理被盜數據方面非常老練。他們正在從獲取的數據中提取任何相關的新數據,并將其與他們已經擁有的數據合并以擴展其數據庫。在一個數據集中,他們可能掌握了名字和姓氏;另一個數據集中包含名字、姓氏和電子郵件地址;第三個數據集中則是有關喜好和興趣的數據。
所有這些東西本身似乎都并不重要,但是如果能夠將這些數據合并到一個數據庫中,那么犯罪分子就等于掌握了一些可用于發動網絡釣魚攻擊或獲取信用報告的“籌碼”。
目前,威脅行為者正在創建和利用這些合并數據,相信下一步他們將利用這些合并數據發動網絡釣魚攻擊或信用欺詐活動。
雖然大多數犯罪分子只是在編寫自定義軟件來合并數據集,但更具組織性的威脅行為者可能會將事情提升到另一個層次,例如民族國家間諜組織正在使用某種大數據平臺來利用其擁有的海量數據做這件事。如今,我們動輒可見700 GB、7 TB的數據泄露事件,面對如此大型的數據集,我們必須使用分析引擎(如Spark)之類的東西來處理它們。
攻擊者正在瞄準組織結構圖
這些合并的數據集對企業和消費者都構成了威脅。例如,電子郵件地址可用于充實組織的等級結構。分析來自多起數據泄露事件的合并數據可能會揭示公司的電子郵件地址合集,顯示公司的等級結構,以幫助攻擊者確認該組織是否屬于有利可圖的攻擊目標。
剛開始,攻擊者掌握的可能是一推名字,隨后他們會通過合并數據弄清楚這些名字的職位頭銜,并且構建企業組織的結構圖。這些信息幫助他們能夠與該組織的成員進行更具針對性的溝通,以實施更有效的社會工程攻擊。
精心設計的溝通使得威脅行為者能夠與目標建立可信度和信任感。許多網絡犯罪本質上都是“數字游戲”。黑客和欺詐者只需要少數人點擊非法鏈接、下載惡意應用程序或將登錄憑據提供給釣魚網站即可。就像大數據可以i幫助廣告商將流量引導到他們的網站一樣,黑客也可以利用同樣的方法將流量引導至他們的釣魚網站中。
這對于企業和消費者來說都是一個問題,因為消費者也屬于某一公司的員工。網絡釣魚電子郵件能否誘使個人提交其稅務信息或登錄憑據并不重要,因為作為人,總是會犯錯誤,作為安全計劃中最薄弱的環節,人為錯誤始終是網絡犯罪最初的切入口。
使用非敏感數據建立信任
與個人身份信息(PII)數據相比,非個人身份信息給人們帶來的危害更大。這是因為非PII數據就其本質而言,比PII數據受到的保護更少且分布更廣泛。
攻擊者可以通過了解個人興趣和志向等非PII信息,與目標建立密切的信任關系。這與我們在現實世界中確立友誼的方式不盡相同。人們喜歡通過分享興趣的方式建立熟悉感和信任感,網絡釣魚和社會工程能夠發揮作用的原因亦是如此。
通過非PII數據獲取更多信任就像一個“跳板”。其原理是,如果你在平平無奇的小事上進行互動并建立信任關系,那么將這種信任慢慢轉移到其他敏感事情上也會容易得多。
例如,黑客得知目標企業使用特定的薪資處理服務提供商,他就可以偽裝成該提供商工作人員,并致電目標組織的人力資源或薪資部門,表示薪資處理系統將做出調整,具體指令將在幾周內發布,并為這種調整可能帶來的不便道歉,然后掛斷電話。
因為受害者在第一次通話時沒有被要求做任何有風險的事情,所以他們會更容易信任該致電著。他們甚至會感同身受地同情致電者,因為他們也經歷過系統升級帶來的煩惱。
之后,黑客可能還會致電一兩次,同樣不是要求受害者采取任何行動,只是做一些能夠增進關系和信任感的事情。然后在未來某個時間點,黑客會以下達“新指令”為由采取行動。由于已經獲取了充分的信任,所以受害者往往會在不像其他人驗證的情況下,盲目遵循攻擊者的指令行事。接下來的后果可想而知,受害組織會損失數十萬至數百萬美元不等。而且這種事情幾乎每天都在發生。
所有被盜數據都存在風險
即便是沒有資源走合并數據路線的攻擊者,同樣能夠用“低敏”數據危害企業和消費者。我們通常以為,如果黑客沒有獲取高度敏感的信息(例如您的社會安全號碼或信用卡號碼等),而只是獲取了其他一些個人身份信息,那么你可能并不會遇到麻煩。但事實證明,這種想法是完全錯誤的。從單個PII數據開始,無論敏感與否,威脅行為者都可以對其進行“拼圖”,身份盜竊之路從這一步并開始了。
威脅行為者可以使用不太敏感的數據類型,例如用戶名、物理地址和電子郵件作為“種子信息”來梳理更多數據并構建更完整的身份配置文件。真正造成風險的是集成的您的完整身份,其中包含的高度敏感個人和交易信息可能會被濫用于以您的名義創建新賬戶。即便是合成不了任何結果,黑客也可以將您的低敏信息出售給有問題的營銷組織,這會為您帶來更多的騷擾電話。
同樣的風險也適用于企業組織。有了一條PII數據,并且可能知道您是特定企業的員工,您就有可能淪為復雜的網絡釣魚欺詐的目標,這可能會導致企業知識產權或其他高敏感度信息被盜。
本文翻譯自:
https://www.csoonline.com/article/3619510/how-cybercriminals-turn-harmless-stolen-or-leaked-data-into-dollars.html
