尽管人们对隐私问题的意识不断增强,但大多数公众对其重要性仍只有初步的了解。在现实生活中,即使我们注意如何与他人以及与谁共享我们的个人数据,我们也无法安全地保护我们的隐私。不法商人可能有足够的动机,除了在公共领域收集数据外,他们还会转向黑市,希望找到能够造成真正危害的个人信息,例如访问社交媒体账户。在本文中,我们深入探讨了在公共场所共享个人数据的两个主要后果:在暗网上搜索和出售个人数据。此外,我们分析了两者之间的联系,并研究了这些现象如何影响我们的生活,以及这些情况给用户带来了哪些挑战。重要发现1.Doxing:Doxing通过在线查看互联网用户的详细信息来发现和发布互联网用户的身份。“doxing”也可以拼写为“Doxxing”,是指利用互联网发布、收集个人隐私信息,然后将这些信息发布到网上(也就是我们通常理解的“人肉”)。这个词来源于“文档”一词,它是“droppingdox”的缩写,这是一种可以追溯到1990年代初期黑客文化的报复方法。受到影响的不仅仅是弱势群体或特定职业的人,例如记者或性工作者。任何在网上发表意见的人都有成为人肉搜索受害者的风险。2.几乎所有公共数据都可能被滥用于人肉搜索或网络欺诈,从而使用户暴露于自己的数据。3.随着我们日常生活大部分方面的数字化,越来越多的数据与组织共享,但最终可能落入犯罪分子手中,现在包括个人医疗记录和带有个人身份证件的自拍照也将出现在暗网上.4.查看个人信息的最低价格为每条0.5美元,最终价格取决于所提供信息的深度和广度。5.一些个人信息需求与近十年前相同,例如信用卡数据、银行和电子支付服务。这类数据的成本并没有随着时间的推移而下降,而且不太可能改变。6.黑市网站上出售的数据可用于敲诈勒索、实施诈骗和网络钓鱼计划以及直接窃取资金。某些类型的数据,例如访问个人账户或密码数据库,不仅可能被滥用以谋取经济利益,还可能导致名誉受损和其他类型的社会危害,例如人肉搜索。doxing从历史上看,doxing(也拼写为doxxing)是指在Internet上对某人进行去匿名化处理,尤其是在早期的黑客文化中,当时人们更喜欢通过昵称来称呼他们(在线处理)。然而,这个词的含义已经演变为更广泛的含义。Doxing在某种程度上是一种网络欺诈形式。当一个人在未经他人同意的情况下分享他人的私人信息而使他人难堪、受到伤害或使他人处于危险之中时,就会发生这种情况。这可能包括:令人尴尬的照片或视频;私人信件的部分内容,可能会被断章取义;一个人的实际地址、电话号码、私人电子邮件地址和其他私人联系方式;职业和就业详情;医疗或财务资料、犯罪记录;为什么doxing很危险?与现实世界相比,信息在互联网上的传播速度非常快,一旦发布到网上几乎不可能删除。doxing最常见的目的是创造一种压力、恐惧、尴尬和无助的感觉。如果你在Twitter上发生激烈争论,而有人在推特上发布了你的家庭住址并建议人们应该伤害你,那自然会产生焦虑。攻击也可能针对您的亲人。除了在线发布您的信息以供所有人查看外,攻击者还可以专门与您的亲戚、朋友或雇主分享有关您的信息,尤其是当这让您感到尴尬时。这可能会损害受害者与亲人的关系,以及他们的职业前景。以下是一些常见的攻击场景:1.识别用户并直接与雇主共享信息,这可能导致用户因社会压力而被解雇;“色情报复”是恶意侵犯个人隐私的常见方式,可能给受害人造成严重后果;3.泄露匿名博主、互联网用户、意见领袖和创作者的身份,如果受害人处于敌对环境,例如某些国家的反对派博主或支持非传统观点的人,可能会导致真正的危险;4.向媒体披露相关信息不符合公共利益,可能直接损害当事人利益5.收集并分享包含敏感或可疑内容的特定人(潜在受害人)的账户信息,并与他人分享可能对该人实施线上甚至线下暴力的敌对团体;社会影响在社会和政治分裂日益加剧的时代,多兴的攻击对言论自由产生了寒蝉效应。它阻止人们表达自己的观点,这对民主和健康的社会是有害的。某些人群更有可能成为人肉搜索的受害者,记者、博主、活动家、律师、性工作者和执法人员都面临更大的风险。对于女性来说,人肉搜索与性言语侮辱和攻击密切相关。对于执法人员来说,也意味着人身安全受到直接威胁,尤其是对于便衣警察而言,网红比普通用户面临的风险更大。但这并不意味着“正常”的人不能做人肉。如果您在网上说了什么或做了什么冒犯了一大群人,您也会受到网络欺凌。个人信息的黑市价格Doxing是滥用公共领域可用信息的结果,而不是用于经济利益。但对个人数据和人身安全的攻击并不止于此。除了我们免费共享的公共数据以及任何人都可以出于恶意目的收集和使用的公共数据之外,与我们共享这些数据的组织并不总是负责任地处理这些数据。根据定义,此信息不应泄露给公众,即使泄露,也不会对我们造成伤害。根据卡巴斯基最近的一项研究,37%的千禧一代认为他们太无聊了,不会成为网络犯罪的受害者。随着今年大规模数据泄露事件的数量创下新高,我们不再对公司遭到黑客攻击以及其客户数据泄露或勒索赎金感到惊讶。许多国家都在努力更好地保护个人数据,政府实施新指令以确保保护和惩罚对公民数据不负责任的管理。新的个人信息保护法,例如欧盟的《通用数据保护条例》(GDPR)和巴西的《通用数据保护法案》(LGPD),以及客户对数据处理实践的更多审查,迫使组织提高安全性并更多地采取数据泄漏攻击严重地。然而,即使有法律保护并不意味着数据是安全的。在某些情况下,被盗数据被用于勒索赎金,而在其他情况下,数据会被公开发布。有时两者兼而有之:使用Maze勒索软件的攻击者如果未能成功支付赎金,就会发布窃取的数据。但大多数信息最终都作为商品出现在暗网上,而且非常容易获得。暗网论坛和市场,本质上是非法实物和数字商品的市场,被网络犯罪分子用来销售从恶意软件到个人数据的各种服务和产品。为此,卡巴斯基实验室的研究人员专门研究了暗网上发生的事情。他们将数据的当前状态视为此类平台上的一种商品,以了解需要什么样的个人数据、使用了哪些数据以及成本是多少。出于研究目的,研究人员分析了10个以英语或俄语运营的国际暗网论坛和市场上的活跃报价,样本包括2020年第三季度分享的帖子,并且仍然具有相关性。本文涵盖了暗网上可用的所有类型的个人数据。为了展示方便,本文仅关注黑市上一些最流行的类别。然而,值得一提的是,在暗网上泄露和出售的数据库类型各不相同,考虑到它们是从不同的机构和组织中窃取的,这并不奇怪。泄露的数据库可以交叉引用,从而使它们更有价值,因为它们提供了更全面的受害者概况。每条用户身份数据的费用在0.5美元到10美元之间在大多数国家,包括美国和整个欧洲,身份证件或身份证是主要的身份识别方式。它们通常与最重要的服务相关联,尤其是国家服务,并且包含敏感信息,例如美国的社会安全号码(SSN)。这些文件虽然重要,但在黑市上并不昂贵,具体取决于信息的完整性。例如,包含全名和保险号码的信息每人只需0.50美元,而包括身份证号码、全名、SSN、出生日期(DOB)、电子邮件和手机在内的“全套服务”信息最高可达10美元。价格也因购买的数量而异,通常批量销售的数据更便宜。购买150张身份证每张仅需50美分。身份证件中的数据可用于各种诈骗,填写特定服务的申请表,并获取其他敏感信息,这些信息以后可用于犯罪目的。有时,泄露的数据库不仅仅包含ID信息。身份数据的护照扫描费用在6到15美元之间。护照是另一种在俄罗斯、乌克兰和其他地方受到网络犯罪分子欢迎的身份证明文件。在前苏联国家,几乎所有与政府相关或金融服务都需要护照,从向商店投诉到申请贷款。在其他国家,护照也可用于国际平台(例如加密货币交易所)的身份识别或国际欺诈。身份数据的护照扫描比身份信息更昂贵,从6美元到15美元不等,具体取决于扫描质量和国籍。通常,会出售两种类型的护照扫描件,即首页扫描件,这比整本护照扫描件便宜,这是可以理解的。如果需要,可以按性别选择护照复印件驾驶执照数据范围在每张5到25美元之间由于可以使用驾驶员ID注册的服务越来越多,驾驶执照越来越成为一种替代身份证明。通常,论坛上出售的信息包括包含完整详细信息的驾照扫描件。这些扫描的费用从5美元到25美元不等,网络犯罪分子可以利用它们来租车、提供本地服务或进行保险欺诈。带有身份信息的自拍数据每张在40到60美元之间。出于安全原因,一些远程服务需要对各种操作进行身份验证。例如,加密货币交易所通过要求人们用他们的身份证自拍来验证他们的身份并提取资金来使用这种做法。当用户需要恢复账户权限时,社交网络会要求用户自拍一张带有身份证明的自拍,银行员工在将信用卡交给客户时也会拍一张类似的照片。用偷来的护照或身份证自拍可以让骗子绕过这些规定并继续洗钱。这些文件还可用于各种服务,从汽车租赁到获得小额贷款或操纵保险公司。带有身份证件的自拍可以绕过各种身份验证医疗记录数据每份在1美元到30美元之间世界变得越来越数字化,就医疗记录而言,网络犯罪分子也将其纳入盗窃范围.早在2012年,当我们分析“暗网”上可用的不同类型数据时,医疗数据并不是什么大问题。然而,现在对此类数据的需求量很大,因为它可用于各种欺诈活动,从获得健康保险服务到购买管制药物,甚至勒索赎金。盗窃医疗信息是非常不人道的,因为它使本已脆弱的受害者更加脆弱。“暗网”上共享的数据类型多种多样,从带有全名、电子邮件、保险号码和医疗机构名称的医疗表格到患者的完整医疗记录:包括他们的病史、处方等。暗网论坛上出售的病历,从个人完整信息到医疗机构,想方设法保护你的隐私。本文翻译自:https://securelist.com/dox-steal-reveal/99577/如有转载请注明出处。
