Εδώ είναι το πόσο αξίζει τα προσωπικά σας στοιχεία για τους εγκληματίες στον κυβερνοχώρο
Η μαύρη αγορά για κλεμμένες προσωπικές πληροφορίες παρακινεί τις περισσότερες παραβιάσεις δεδομένων.

Οι παραβιάσεις δεδομένων έχουν γίνει συχνές και δισεκατομμύρια δίσκοι κλέβονται παγκοσμίως κάθε χρόνο. Το μεγαλύτερο μέρος της κάλυψης των παραβιάσεων δεδομένων από τα μέσα ενημέρωσης τείνει να επικεντρώνεται στον τρόπο με τον οποίο συνέβη η παραβίαση, στον πόσα αρχεία κλάπηκαν και στις οικονομικές και νομικές επιπτώσεις του συμβάντος για οργανισμούς και άτομα που επηρεάζονται από την παραβίαση. Τι γίνεται όμως με τα δεδομένα που κλέβονται κατά τη διάρκεια αυτών των περιστατικών;

Ως ερευνητής ασφάλειας στον κυβερνοχώρο, παρακολουθώ τις παραβιάσεις δεδομένων και τη μαύρη αγορά στα κλεμμένα δεδομένα. Ο προορισμός των κλεμμένων δεδομένων εξαρτάται από το ποιος βρίσκεται πίσω από μια παραβίαση δεδομένων και γιατί έχουν κλέψει έναν συγκεκριμένο τύπο δεδομένων. Για παράδειγμα, όταν οι κλέφτες δεδομένων παρακινούνται να φέρουν σε δύσκολη θέση ένα άτομο ή έναν οργανισμό, να αποκαλύψουν τις αντιληπτές αδικοπραγίες ή να βελτιώσουν την ασφάλεια στον κυβερνοχώρο, τείνουν να απελευθερώνουν σχετικά δεδομένα στον δημόσιο τομέα.

Το 2014, χάκερ υποστηρίχθηκαν από τη Βόρεια Κορέα έκλεψε δεδομένα εργαζομένων της Sony Pictures Entertainment όπως αριθμούς Κοινωνικής Ασφάλισης, οικονομικά αρχεία και πληροφορίες μισθών, καθώς και email μεταξύ ανώτατων στελεχών. Στη συνέχεια, οι χάκερ δημοσίευσαν τα email για να φέρουν σε δύσκολη θέση την εταιρεία, πιθανώς ως αντίποινα για την απελευθέρωση ενός κωμωδία σχετικά με ένα σχέδιο δολοφονίας του ηγέτη της Βόρειας Κορέας, Κιμ Γιονγκ Ουν.

Μερικές φορές, όταν τα δεδομένα κλέβονται από τις εθνικές κυβερνήσεις, δεν αποκαλύπτονται ούτε πωλούνται. Αντίθετα, χρησιμοποιείται για κατασκοπεία. Για παράδειγμα, η ξενοδοχειακή εταιρεία Marriott έπεσε θύμα παραβίασης δεδομένων το 2018 κατά την οποία κλάπηκαν προσωπικές πληροφορίες για 500 εκατομμύρια επισκέπτες. Οι βασικοί ύποπτοι σε αυτό το περιστατικό ήταν χάκερ που υποστηρίζονταν από την κινεζική κυβέρνηση. Μια θεωρία είναι ότι η κινεζική κυβέρνηση έκλεψε αυτά τα δεδομένα ως μέρος μιας προσπάθειας συλλογής πληροφοριών για τη συλλογή πληροφοριών σχετικά με αξιωματούχους της κυβέρνησης των ΗΠΑ και εταιρικά στελέχη.

εσωτερικά εγγραφείτε γραφικό

Αλλά η πλειονότητα των hacks φαίνεται να αφορά την πώληση των δεδομένων για να βγάλουν λεφτά.

Αλλά η πλειονότητα των hacks φαίνεται να αφορά την πώληση των δεδομένων για να βγάλουν λεφτά.

Είναι (κυρίως) για τα χρήματα

Αν και οι παραβιάσεις δεδομένων μπορεί να αποτελούν απειλή για την εθνική ασφάλεια, το 86% αφορά χρήματα και το 55% διαπράττονται από οργανωμένες εγκληματικές ομάδες, σύμφωνα με Η ετήσια έκθεση παραβίασης δεδομένων της Verizon. Τα κλεμμένα δεδομένα συχνά καταλήγουν να πωλούνται διαδικτυακά στο σκούρο web. Για παράδειγμα, το 2018 χάκερ πρόσφερε προς πώληση περισσότερους από 200 εκατομμύρια δίσκους που περιέχει τα προσωπικά στοιχεία κινεζικών ατόμων. Αυτό περιελάμβανε πληροφορίες για 130 εκατομμύρια πελάτες της κινεζικής αλυσίδας ξενοδοχείων Huazhu Hotels Group.

Ομοίως, κλάπηκαν δεδομένα από στόχος, Sally Ομορφιά, PF Chang, Λιμάνι φορτίου και Home Depot εμφανίστηκε σε μια γνωστή διαδικτυακή τοποθεσία μαύρης αγοράς που ονομάζεται Recator. Αν και είναι εύκολο να βρείτε αγορές όπως το Rescator μέσω μιας απλής αναζήτησης στο Google, άλλες αγορές στον σκοτεινό ιστό μπορούν να βρεθούν μόνο με τη χρήση ειδικά προγράμματα περιήγησης ιστού.

Οι αγοραστές μπορούν να αγοράσουν τα δεδομένα που τους ενδιαφέρουν. Ο πιο συνηθισμένος τρόπος πληρωμής για τη συναλλαγή είναι με bitcoin ή μέσω Western Union. Οι τιμές εξαρτώνται από το είδος των δεδομένων, τη ζήτηση και την προσφορά τους. Για παράδειγμα, α μεγάλο πλεόνασμα των κλεμμένων προσωπικά αναγνωρίσιμες πληροφορίες προκάλεσε πτώση της τιμής του από 4 $ ΗΠΑ για πληροφορίες σχετικά με ένα άτομο το 2014 σε 1 $ το 2015. Απόρριψη ηλεκτρονικού ταχυδρομείου που περιέχει οπουδήποτε από εκατό χιλιάδες έως μερικά εκατομμύρια διευθύνσεις email κοστίζουν 10 $ και βάσεις δεδομένων ψηφοφόρων από διάφορες πολιτείες πωλούνται για $100.

Εδώ είναι το πόσο αξίζει τα προσωπικά σας στοιχεία για τους εγκληματίες στον κυβερνοχώροΕδώ είναι το πόσο αξίζει τα προσωπικά σας στοιχεία για τους εγκληματίες στον κυβερνοχώρο

Πού πάνε τα κλεμμένα δεδομένα

Οι αγοραστές χρησιμοποιούν κλεμμένα δεδομένα με διάφορους τρόπους. Οι αριθμοί πιστωτικών καρτών και οι κωδικοί ασφαλείας μπορούν να χρησιμοποιηθούν για τη δημιουργία καρτών κλώνων για την πραγματοποίηση δόλιων συναλλαγών. Οι αριθμοί κοινωνικής ασφάλισης, οι διευθύνσεις κατοικίας, τα πλήρη ονόματα, οι ημερομηνίες γέννησης και άλλες προσωπικές πληροφορίες μπορούν να χρησιμοποιηθούν στην κλοπή ταυτότητας. Για παράδειγμα, ο αγοραστής μπορεί να υποβάλει αίτηση για δάνεια ή πιστωτικές κάρτες με το όνομα του θύματος και υποβάλλει δόλιες φορολογικές δηλώσεις.

Μερικές φορές αγοράζονται κλεμμένα προσωπικά στοιχεία by εταιρείες μάρκετινγκ ή εταιρείες που ειδικεύονται σε καμπάνιες ανεπιθύμητης αλληλογραφίας. Οι αγοραστές μπορούν επίσης να χρησιμοποιήσουν κλεμμένα μηνύματα ηλεκτρονικού ταχυδρομείου σε επιθέσεις ηλεκτρονικού "ψαρέματος" και άλλων κοινωνικών μηχανικών και για τη διανομή κακόβουλου λογισμικού.

Οι χάκερ έχουν στοχεύσει προσωπικές πληροφορίες και οικονομικά δεδομένα για μεγάλο χρονικό διάστημα, επειδή είναι εύκολο να πουληθούν. Τα δεδομένα υγειονομικής περίθαλψης έχουν γίνει ένα μεγάλο πόλο έλξης για τους κλέφτες δεδομένων Τα τελευταία χρόνια. Σε ορισμένες περιπτώσεις το κίνητρο είναι ο εκβιασμός.

Ένα καλό παράδειγμα είναι η κλοπή δεδομένων ασθενών από τη φινλανδική εταιρεία ψυχοθεραπείας Vastaamo. Οι χάκερ χρησιμοποίησαν τις πληροφορίες που έκλεψαν για να ζητήσουν λύτρα όχι μόνο από το Vastaamo, αλλά και από τους ασθενείς του. Αυτοί έστειλε email στους ασθενείς με την απειλή να αποκαλύψουν τα αρχεία ψυχικής τους υγείας, εκτός εάν τα θύματα πλήρωναν λύτρα 200 ευρώ σε bitcoin. Τουλάχιστον 300 από αυτά κλεμμένα αρχεία έχουν αναρτηθεί στο διαδίκτυο, σύμφωνα με δημοσίευμα του Associated Press.

Μπορούν επίσης να χρησιμοποιηθούν κλεμμένα δεδομένα, συμπεριλαμβανομένων ιατρικών διπλωμάτων, ιατρικών αδειών και ασφαλιστικών εγγράφων δημιουργήστε ένα ιατρικό υπόβαθρο.

Πώς να μάθετε και τι να κάνετε

Τι μπορείτε να κάνετε για να ελαχιστοποιήσετε τον κίνδυνο από κλοπή δεδομένων; Το πρώτο βήμα είναι να μάθετε εάν οι πληροφορίες σας πωλούνται στον σκοτεινό ιστό. Μπορείτε να χρησιμοποιήσετε ιστότοπους όπως π.χ haveibeenpwned και IntelligenceX για να δείτε αν το email σας ήταν μέρος κλεμμένων δεδομένων. Είναι επίσης καλή ιδέα να εγγραφείτε υπηρεσίες προστασίας από την κλοπή ταυτότητας.

Εάν έχετε πέσει θύμα παραβίασης δεδομένων, μπορείτε να δεχθείτε αυτά τα βήματα για να ελαχιστοποιήσετε τον αντίκτυπο: Ενημερώστε τις εταιρείες αναφοράς πιστώσεων και άλλους οργανισμούς που συλλέγουν δεδομένα για εσάς, όπως ο πάροχος υγειονομικής περίθαλψης, η ασφαλιστική εταιρεία, οι τράπεζες και οι εταιρείες πιστωτικών καρτών και αλλάξτε τους κωδικούς πρόσβασης για τους λογαριασμούς σας. Μπορείτε επίσης να αναφέρετε το περιστατικό στην Ομοσπονδιακή Επιτροπή Εμπορίου για να λάβετε ένα προσαρμοσμένο σχέδιο για να συνέλθει από το συμβάν.Η Συνομιλία

Σχετικά με το Συγγραφέας

Ράβι Σεν, Αναπληρωτής Καθηγητής Διοίκησης Πληροφοριών και Επιχειρήσεων, Texas A & M Πανεπιστήμιο

Αυτό το άρθρο αναδημοσιεύθηκε από το Η Συνομιλία υπό την άδεια Creative Commons. Διαβάστε το αρχικό άρθρο.