2021年年中,发生了两起备受瞩目的数据泄露事件,包括Facebook、LinkedIn、Instagram、USCellular、T-Mobile、Geico等多家公司而益博睿,也未能幸免。在这些漏洞中被盗的数据将影响数百万用户,尽管其中一些数据可能看起来像电子邮件地址一样“无害”。原因是被盗数据都不是孤立存在的。ForresterResearch副总裁兼首席分析师JeffPollard解释说:这些数据并不是孤立存在的。例如,一个电子邮件地址可能包含在一个泄漏中,而另一个泄漏可能包含与该电子邮件地址相对应的更多信息。Pollard告诫不要孤立地看待任何一个漏洞,因为网络犯罪分子可以汇总和编译数据以收集有关个人的更多详细信息。要知道“牵一发而动全身”,一条线索背后可能还有更多的线索。由于泄密的频率,网络罪犯有充分的机会和能力结合所有信息来挖掘更多相关细节。威胁行为者正在积极整合数据威胁行为者在处理被盗数据方面非常老练。他们从获取的数据中提取任何相关的新数据,并将其与他们已有的数据合并以扩展他们的数据库。在一个数据集中,他们可能有名字和姓氏;在另一个名字和姓氏以及电子邮件地址中;第三,关于喜好和兴趣的数据。这些东西本身似乎都不重要,但是能够将这些数据组合到一个数据库中,可以为犯罪分子提供一些可以用来发起网络钓鱼攻击或访问信用报告的东西。威胁行为者目前正在创建和利用这些组合数据,相信他们会在下一步中使用这些组合数据发起网络钓鱼攻击或信用欺诈活动。虽然大多数犯罪分子只是编写自定义软件来组合数据集,但更有组织的威胁行为者可以将事情提升到另一个层次,例如民族国家间谍组织使用某种大数据平台来利用他们的大量数据来执行此操作有。今天,我们每时每刻都看到700GB、7TB的数据泄露,对于如此庞大的数据集,我们必须使用像Spark这样的分析引擎来处理它们。攻击者以组织结构图为目标这些组合的数据集对企业和消费者都构成了威胁。例如,电子邮件地址可用于充实组织的层次结构。分析来自多个数据泄露的整合数据可以揭示公司的电子邮件地址集合,揭示公司的层次结构并帮助攻击者确定该组织是否是有利可图的目标。最初,攻击者可能有一堆名字,然后他们会使用组合的数据来计算出这些名字的职位,并构建企业组织结构图。这些信息有助于他们与该组成员进行更有针对性的沟通,以进行更有效的社会工程攻击。精心设计的通信可以让威胁行为者与他们的目标建立信誉和信任。许多网络犯罪本质上是一种“数字游戏”。黑客和欺诈者只需要少数人点击非法链接、下载恶意应用程序或向钓鱼网站提供登录凭据。正如大数据可以帮助广告商将流量引导至他们的网站一样,黑客也可以使用相同的方法将流量引导至他们的钓鱼网站。这对企业和消费者都是一个问题,因为消费者也是公司的员工。网络钓鱼电子邮件是否可以诱骗个人交出他们的税务信息或登录凭据并不重要,因为人会犯错误,而作为安全计划中最薄弱的环节,人为错误始终是网络犯罪的第一个切入点。使用非敏感数据建立信任非个人身份信息(PII)数据比个人身份信息(PII)对人的危害更大。这是因为非PII数据,就其本质而言,比PII数据受到的保护更少,分布更广泛。攻击者可以通过了解非PII信息(例如个人兴趣和愿望)与目标建立密切的信任关系。这与我们在现实世界中建立友谊的方式不同。人们喜欢分享兴趣以建立熟悉感和信任感,这就是网络钓鱼和社会工程起作用的原因。通过非PII数据获得更多信任就像一块“跳板”。这个想法是,如果您与世俗事物互动并建立信任,那么慢慢地将这种信任转移到其他敏感事物上会容易得多。例如,如果黑客得知目标公司使用特定的薪资处理服务提供商,他可以冒充该提供商的员工,致电目标组织的人力资源或薪资部门,称薪资处理系统将被调整,具体说明会在几周后发布,对于此次调整给您带来的不便,敬请谅解,挂机。因为受害者在第一次通话时没有被要求做任何有风险的事情,所以他们更容易相信来电者。他们甚至可能会同情来电者,因为他们也经历过系统升级的烦恼。之后,黑客可能会再打一两个电话,再次不要求受害者采取任何行动,只是做一些可以建立关系和信任感的事情。那么在未来的某个时刻,黑客会以发布“新指令”为由进行行动。由于已经获得了足够的信任,受害者往往会在未经他人验证的情况下盲目地按照攻击者的指示进行操作。随之而来的后果可想而知,受害组织将损失数十万至数百万美元。而这种事情几乎每天都在发生。所有被盗数据都处于危险之中即使没有资源走组合数据路线的攻击者也可以使用“低敏感性”数据来危害企业和消费者。我们通常假设,如果黑客没有获得高度敏感的信息(例如您的社会安全号码或信用卡号码等),而只是获得一些其他个人身份信息,那么您可能不会遇到麻烦。但事实证明,这个想法是完全错误的。从单个PII数据,无论敏感与否,威胁行为者都可以“迷惑”它,身份盗用之路就此开始。威胁行为者可以使用不太敏感的数据类型(例如用户名、物理地址和电子邮件)作为“种子信息”来梳理更多数据并构建更完整的身份配置文件。真正的风险是整合您的完整身份,其中包含高度敏感的个人和交易信息,这些信息可能会被滥用来以您的名义创建新帐户。即使没有合成任何结果,黑客也可以将您的低灵敏度信息出售给有问题的营销组织,这可能会导致对您的骚扰电话更多。同样的风险也适用于企业组织。有了PII数据,并且可能知道您是特定企业的员工,您就有可能成为复杂网络钓鱼诈骗的目标,这可能会导致企业知识产权或其他高度敏感信息被盗。本文翻译自:https://www.csoonline.com/article/3619510/how-cybercriminals-turn-harmless-stolen-or-leaked-data-into-dollars.html
