信息化觀察網(wǎng)

2021年剛剛行至一半，就已經(jīng)發(fā)生了兩起備受矚目的數(shù)據(jù)泄露事件，包含F(xiàn)acebook、LinkedIn、Instagram、US Cellular、T-Mobile、Geico以及Experian在內(nèi)的諸多企業(yè)均未能幸免。這些入侵事件中被盜的數(shù)據(jù)將影響數(shù)百萬(wàn)用戶，即便其中一些數(shù)據(jù)可能看起來(lái)就像電子郵件地址一樣“無(wú)害”。究其原因在于，這些被盜數(shù)據(jù)都并非孤立存在的。

Forrester Research副總裁兼首席分析師Jeff Pollard解釋稱：

這些數(shù)據(jù)并非孤立存在的。舉個(gè)例子，在一次泄露中可能包含一個(gè)電子郵件地址，而另一次泄露中可能有更多與該電子郵件地址相對(duì)應(yīng)的信息。

Pollard告誡稱，不要單獨(dú)查看任何一次泄露事件，因?yàn)榫W(wǎng)絡(luò)犯罪分子可以匯總和編譯數(shù)據(jù)以收集有關(guān)個(gè)人的更多詳細(xì)信息。要知道，“牽一發(fā)動(dòng)全身”，一條線索的背后可能牽連更多線索。由于泄漏事件頻發(fā)，網(wǎng)絡(luò)犯罪分子完全有機(jī)會(huì)和能力整合所有信息，以挖掘出更多相關(guān)聯(lián)的詳細(xì)信息。

威脅行為者正在積極合并數(shù)據(jù)

威脅行為者在處理被盜數(shù)據(jù)方面非常老練。他們正在從獲取的數(shù)據(jù)中提取任何相關(guān)的新數(shù)據(jù)，并將其與他們已經(jīng)擁有的數(shù)據(jù)合并以擴(kuò)展其數(shù)據(jù)庫(kù)。在一個(gè)數(shù)據(jù)集中，他們可能掌握了名字和姓氏;另一個(gè)數(shù)據(jù)集中包含名字、姓氏和電子郵件地址;第三個(gè)數(shù)據(jù)集中則是有關(guān)喜好和興趣的數(shù)據(jù)。

所有這些東西本身似乎都并不重要，但是如果能夠?qū)⑦@些數(shù)據(jù)合并到一個(gè)數(shù)據(jù)庫(kù)中，那么犯罪分子就等于掌握了一些可用于發(fā)動(dòng)網(wǎng)絡(luò)釣魚(yú)攻擊或獲取信用報(bào)告的“籌碼”。

目前，威脅行為者正在創(chuàng)建和利用這些合并數(shù)據(jù)，相信下一步他們將利用這些合并數(shù)據(jù)發(fā)動(dòng)網(wǎng)絡(luò)釣魚(yú)攻擊或信用欺詐活動(dòng)。

雖然大多數(shù)犯罪分子只是在編寫(xiě)自定義軟件來(lái)合并數(shù)據(jù)集，但更具組織性的威脅行為者可能會(huì)將事情提升到另一個(gè)層次，例如民族國(guó)家間諜組織正在使用某種大數(shù)據(jù)平臺(tái)來(lái)利用其擁有的海量數(shù)據(jù)做這件事。如今，我們動(dòng)輒可見(jiàn)700 GB、7 TB的數(shù)據(jù)泄露事件，面對(duì)如此大型的數(shù)據(jù)集，我們必須使用分析引擎(如Spark)之類的東西來(lái)處理它們。

攻擊者正在瞄準(zhǔn)組織結(jié)構(gòu)圖

這些合并的數(shù)據(jù)集對(duì)企業(yè)和消費(fèi)者都構(gòu)成了威脅。例如，電子郵件地址可用于充實(shí)組織的等級(jí)結(jié)構(gòu)。分析來(lái)自多起數(shù)據(jù)泄露事件的合并數(shù)據(jù)可能會(huì)揭示公司的電子郵件地址合集，顯示公司的等級(jí)結(jié)構(gòu)，以幫助攻擊者確認(rèn)該組織是否屬于有利可圖的攻擊目標(biāo)。

剛開(kāi)始，攻擊者掌握的可能是一推名字，隨后他們會(huì)通過(guò)合并數(shù)據(jù)弄清楚這些名字的職位頭銜，并且構(gòu)建企業(yè)組織的結(jié)構(gòu)圖。這些信息幫助他們能夠與該組織的成員進(jìn)行更具針對(duì)性的溝通，以實(shí)施更有效的社會(huì)工程攻擊。

精心設(shè)計(jì)的溝通使得威脅行為者能夠與目標(biāo)建立可信度和信任感。許多網(wǎng)絡(luò)犯罪本質(zhì)上都是“數(shù)字游戲”。黑客和欺詐者只需要少數(shù)人點(diǎn)擊非法鏈接、下載惡意應(yīng)用程序或?qū)⒌卿洃{據(jù)提供給釣魚(yú)網(wǎng)站即可。就像大數(shù)據(jù)可以i幫助廣告商將流量引導(dǎo)到他們的網(wǎng)站一樣，黑客也可以利用同樣的方法將流量引導(dǎo)至他們的釣魚(yú)網(wǎng)站中。

這對(duì)于企業(yè)和消費(fèi)者來(lái)說(shuō)都是一個(gè)問(wèn)題，因?yàn)橄M(fèi)者也屬于某一公司的員工。網(wǎng)絡(luò)釣魚(yú)電子郵件能否誘使個(gè)人提交其稅務(wù)信息或登錄憑據(jù)并不重要，因?yàn)樽鳛槿?，總是?huì)犯錯(cuò)誤，作為安全計(jì)劃中最薄弱的環(huán)節(jié)，人為錯(cuò)誤始終是網(wǎng)絡(luò)犯罪最初的切入口。

使用非敏感數(shù)據(jù)建立信任

與個(gè)人身份信息(PII)數(shù)據(jù)相比，非個(gè)人身份信息給人們帶來(lái)的危害更大。這是因?yàn)榉荘II數(shù)據(jù)就其本質(zhì)而言，比PII數(shù)據(jù)受到的保護(hù)更少且分布更廣泛。

攻擊者可以通過(guò)了解個(gè)人興趣和志向等非PII信息，與目標(biāo)建立密切的信任關(guān)系。這與我們?cè)诂F(xiàn)實(shí)世界中確立友誼的方式不盡相同。人們喜歡通過(guò)分享興趣的方式建立熟悉感和信任感，網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程能夠發(fā)揮作用的原因亦是如此。

通過(guò)非PII數(shù)據(jù)獲取更多信任就像一個(gè)“跳板”。其原理是，如果你在平平無(wú)奇的小事上進(jìn)行互動(dòng)并建立信任關(guān)系，那么將這種信任慢慢轉(zhuǎn)移到其他敏感事情上也會(huì)容易得多。

例如，黑客得知目標(biāo)企業(yè)使用特定的薪資處理服務(wù)提供商，他就可以偽裝成該提供商工作人員，并致電目標(biāo)組織的人力資源或薪資部門(mén)，表示薪資處理系統(tǒng)將做出調(diào)整，具體指令將在幾周內(nèi)發(fā)布，并為這種調(diào)整可能帶來(lái)的不便道歉，然后掛斷電話。

因?yàn)槭芎φ咴诘谝淮瓮ㄔ挄r(shí)沒(méi)有被要求做任何有風(fēng)險(xiǎn)的事情，所以他們會(huì)更容易信任該致電著。他們甚至?xí)型硎艿赝橹码娬撸驗(yàn)樗麄円步?jīng)歷過(guò)系統(tǒng)升級(jí)帶來(lái)的煩惱。

之后，黑客可能還會(huì)致電一兩次，同樣不是要求受害者采取任何行動(dòng)，只是做一些能夠增進(jìn)關(guān)系和信任感的事情。然后在未來(lái)某個(gè)時(shí)間點(diǎn)，黑客會(huì)以下達(dá)“新指令”為由采取行動(dòng)。由于已經(jīng)獲取了充分的信任，所以受害者往往會(huì)在不像其他人驗(yàn)證的情況下，盲目遵循攻擊者的指令行事。接下來(lái)的后果可想而知，受害組織會(huì)損失數(shù)十萬(wàn)至數(shù)百萬(wàn)美元不等。而且這種事情幾乎每天都在發(fā)生。

所有被盜數(shù)據(jù)都存在風(fēng)險(xiǎn)

即便是沒(méi)有資源走合并數(shù)據(jù)路線的攻擊者，同樣能夠用“低敏”數(shù)據(jù)危害企業(yè)和消費(fèi)者。我們通常以為，如果黑客沒(méi)有獲取高度敏感的信息(例如您的社會(huì)安全號(hào)碼或信用卡號(hào)碼等)，而只是獲取了其他一些個(gè)人身份信息，那么你可能并不會(huì)遇到麻煩。但事實(shí)證明，這種想法是完全錯(cuò)誤的。從單個(gè)PII數(shù)據(jù)開(kāi)始，無(wú)論敏感與否，威脅行為者都可以對(duì)其進(jìn)行“拼圖”，身份盜竊之路從這一步并開(kāi)始了。

威脅行為者可以使用不太敏感的數(shù)據(jù)類型，例如用戶名、物理地址和電子郵件作為“種子信息”來(lái)梳理更多數(shù)據(jù)并構(gòu)建更完整的身份配置文件。真正造成風(fēng)險(xiǎn)的是集成的您的完整身份，其中包含的高度敏感個(gè)人和交易信息可能會(huì)被濫用于以您的名義創(chuàng)建新賬戶。即便是合成不了任何結(jié)果，黑客也可以將您的低敏信息出售給有問(wèn)題的營(yíng)銷(xiāo)組織，這會(huì)為您帶來(lái)更多的騷擾電話。

同樣的風(fēng)險(xiǎn)也適用于企業(yè)組織。有了一條PII數(shù)據(jù)，并且可能知道您是特定企業(yè)的員工，您就有可能淪為復(fù)雜的網(wǎng)絡(luò)釣魚(yú)欺詐的目標(biāo)，這可能會(huì)導(dǎo)致企業(yè)知識(shí)產(chǎn)權(quán)或其他高敏感度信息被盜。

本文翻譯自：

https://www.csoonline.com/article/3619510/how-cybercriminals-turn-harmless-stolen-or-leaked-data-into-dollars.html