2021年剛剛行至一半,就已經發生了兩起備受矚目的資料洩露事件,包含Facebook、Linke dIn、Instagram、US Cellular、T-Mobile、Geico以及Experian在內的諸多企業均未能倖免。這些入侵事件中被盜的資料將影響數百萬使用者,即便其中一些資料可能看起來就像電子郵件地址一樣“無害”。究其原因在於,這些被盜資料都並非孤立存在的。
Forrester Research副總裁兼首席分析師Jeff Pollard解釋稱,
這些資料並非孤立存在的。舉個例子,在一次洩露中可能包含一個電子郵件地址,而另一次洩露中可能有更多與該電子郵件地址相對應的資訊。
Pollard告誡稱,不要單獨檢視任何一次洩露事件,因為網路犯罪分子可以彙總和編譯資料以收集有關個人的更多詳細資訊。要知道,“牽一髮動全身”,一條線索的背後可能牽連更多線索。由於洩漏事件頻發,網路犯罪分子完全有機會和能力整合所有資訊,以挖掘出更多相關聯的詳細資訊。
威脅行為者正在積極合併資料
威脅行為者在處理被盜資料方面非常老練。他們正在從獲取的資料中提取任何相關的新資料,並將其與他們已經擁有的資料合併以擴充套件其資料庫。在一個數據集中,他們可能掌握了名字和姓氏;另一個數據集中包含名字、姓氏和電子郵件地址;第三個資料集中則是有關喜好和興趣的資料。
所有這些東西本身似乎都並不重要,但是如果能夠將這些資料合併到一個數據庫中,那麼犯罪分子就等於掌握了一些可用於發動網路釣魚攻擊或獲取信用報告的“籌碼”。
目前,威脅行為者正在建立和利用這些合併資料,相信下一步他們將利用這些合併資料發動網路釣魚攻擊或信用欺詐活動。
雖然大多數犯罪分子只是在編寫自定義軟體來合併資料集,但更具組織性的威脅行為者可能會將事情提升到另一個層次,例如民族國家間諜組織正在使用某種大資料平臺來利用其擁有的海量資料做這件事。如今,我們動輒可見700 GB、7 TB的資料洩露事件,面對如此大型的資料集,我們必須使用分析引擎(如Spark)之類的東西來處理它們。
攻擊者正在瞄準組織結構圖
這些合併的資料集對企業和消費者都構成了威脅。例如,電子郵件地址可用於充實組織的等級結構。分析來自多起資料洩露事件的合併資料可能會揭示公司的電子郵件地址合集,顯示公司的等級結構,以幫助攻擊者確認該組織是否屬於有利可圖的攻擊目標。
剛開始,攻擊者掌握的可能是一推名字,隨後他們會透過合併資料弄清楚這些名字的職位頭銜,並且構建企業組織的結構圖。這些資訊幫助他們能夠與該組織的成員進行更具針對性的溝通,以實施更有效的社會工程攻擊。
精心設計的溝通使得威脅行為者能夠與目標建立可信度和信任感。許多網路犯罪本質上都是“數字遊戲”。駭客和欺詐者只需要少數人點選非法連結、下載惡意應用程式或將登入憑據提供給釣魚網站即可。就像大資料可以i幫助廣告商將流量引導到他們的網站一樣,駭客也可以利用同樣的方法將流量引導至他們的釣魚網站中。
這對於企業和消費者來說都是一個問題,因為消費者也屬於某一公司的員工。網路釣魚電子郵件能否誘使個人提交其稅務資訊或登入憑據並不重要,因為作為人,總是會犯錯誤,作為安全計劃中最薄弱的環節,人為錯誤始終是網路犯罪最初的切入口。
使用非敏感資料建立信任
與個人身份資訊(PII)資料相比,非個人身份資訊給人們帶來的危害更大。這是因為非PII資料就其本質而言,比PII資料受到的保護更少且分佈更廣泛。
攻擊者可以通過了解個人興趣和志向等非PII資訊,與目標建立密切的信任關係。這與我們在現實世界中確立友誼的方式不盡相同。人們喜歡透過分享興趣的方式建立熟悉感和信任感,網路釣魚和社會工程能夠發揮作用的原因亦是如此。
透過非PII資料獲取更多信任就像一個“跳板”。其原理是,如果你在平平無奇的小事上進行互動並建立信任關係,那麼將這種信任慢慢轉移到其他敏感事情上也會容易得多。
例如,駭客得知目標企業使用特定的薪資處理服務提供商,他就可以偽裝成該提供商工作人員,並致電目標組織的人力資源或薪資部門,表示薪資處理系統將做出調整,具體指令將在幾周內釋出,併為這種調整可能帶來的不便道歉,然後結束通話電話。
因為受害者在第一次通話時沒有被要求做任何有風險的事情,所以他們會更容易信任該致電著。他們甚至會感同身受地同情致電者,因為他們也經歷過系統升級帶來的煩惱。
之後,駭客可能還會致電一兩次,同樣不是要求受害者採取任何行動,只是做一些能夠增進關係和信任感的事情。然後在未來某個時間點,駭客會以下達“新指令”為由採取行動。由於已經獲取了充分的信任,所以受害者往往會在不像其他人驗證的情況下,盲目遵循攻擊者的指令行事。接下來的後果可想而知,受害組織會損失數十萬至數百萬美元不等。而且這種事情幾乎每天都在發生。
所有被盜資料都存在風險
即便是沒有資源走合併資料路線的攻擊者,同樣能夠用“低敏”資料危害企業和消費者。我們通常以為,如果駭客沒有獲取高度敏感的資訊(例如您的社會安全號碼或信用卡號碼等),而只是獲取了其他一些個人身份資訊,那麼你可能並不會遇到麻煩。但事實證明,這種想法是完全錯誤的。從單個PII資料開始,無論敏感與否,威脅行為者都可以對其進行“拼圖”,身份盜竊之路從這一步並開始了。
威脅行為者可以使用不太敏感的資料型別,例如使用者名稱、物理地址和電子郵件作為“種子資訊”來梳理更多資料並構建更完整的身份配置檔案。真正造成風險的是整合的您的完整身份,其中包含的高度敏感個人和交易資訊可能會被濫用於以您的名義建立新賬戶。即便是合成不了任何結果,駭客也可以將您的低敏資訊出售給有問題的營銷組織,這會為您帶來更多的騷擾電話。
同樣的風險也適用於企業組織。有了一條PII資料,並且可能知道您是特定企業的員工,您就有可能淪為複雜的網路釣魚欺詐的目標,這可能會導致企業智慧財產權或其他高敏感度資訊被盜。
參考及來源:https://www。csoonline。com/article/3619510/how-cybercriminals-turn-harmless-stolen-or-leaked-data-into-dollars。html
