信息化觀察網(wǎng)

2021年剛剛行至一半，就已經(jīng)發(fā)生了兩起備受矚目的數(shù)據(jù)泄露事件，包含F(xiàn)acebook、LinkedIn、Instagram、US Cellular、T-Mobile、Geico以及Experian在內(nèi)的諸多企業(yè)均未能幸免。這些入侵事件中被盜的數(shù)據(jù)將影響數(shù)百萬用戶，即便其中一些數(shù)據(jù)可能看起來就像電子郵件地址一樣“無害”。究其原因在于，這些被盜數(shù)據(jù)都并非孤立存在的。

Forrester Research副總裁兼首席分析師Jeff Pollard解釋稱，這些數(shù)據(jù)并非孤立存在的。舉個例子，在一次泄露中可能包含一個電子郵件地址，而另一次泄露中可能有更多與該電子郵件地址相對應的信息。

Pollard告誡稱，不要單獨查看任何一次泄露事件，因為網(wǎng)絡犯罪分子可以匯總和編譯數(shù)據(jù)以收集有關(guān)個人的更多詳細信息。要知道，“牽一發(fā)動全身”，一條線索的背后可能牽連更多線索。由于泄漏事件頻發(fā)，網(wǎng)絡犯罪分子完全有機會和能力整合所有信息，以挖掘出更多相關(guān)聯(lián)的詳細信息。

威脅行為者正在積極合并數(shù)據(jù)

威脅行為者在處理被盜數(shù)據(jù)方面非常老練。他們正在從獲取的數(shù)據(jù)中提取任何相關(guān)的新數(shù)據(jù)，并將其與他們已經(jīng)擁有的數(shù)據(jù)合并以擴展其數(shù)據(jù)庫。在一個數(shù)據(jù)集中，他們可能掌握了名字和姓氏；另一個數(shù)據(jù)集中包含名字、姓氏和電子郵件地址；第三個數(shù)據(jù)集中則是有關(guān)喜好和興趣的數(shù)據(jù)。

所有這些東西本身似乎都并不重要，但是如果能夠?qū)⑦@些數(shù)據(jù)合并到一個數(shù)據(jù)庫中，那么犯罪分子就等于掌握了一些可用于發(fā)動網(wǎng)絡釣魚攻擊或獲取信用報告的“籌碼”。

目前，威脅行為者正在創(chuàng)建和利用這些合并數(shù)據(jù)，相信下一步他們將利用這些合并數(shù)據(jù)發(fā)動網(wǎng)絡釣魚攻擊或信用欺詐活動。

雖然大多數(shù)犯罪分子只是在編寫自定義軟件來合并數(shù)據(jù)集，但更具組織性的威脅行為者可能會將事情提升到另一個層次，例如民族國家間諜組織正在使用某種大數(shù)據(jù)平臺來利用其擁有的海量數(shù)據(jù)做這件事。如今，我們動輒可見700 GB、7 TB的數(shù)據(jù)泄露事件，面對如此大型的數(shù)據(jù)集，我們必須使用分析引擎（如Spark）之類的東西來處理它們。

攻擊者正在瞄準組織結(jié)構(gòu)圖

這些合并的數(shù)據(jù)集對企業(yè)和消費者都構(gòu)成了威脅。例如，電子郵件地址可用于充實組織的等級結(jié)構(gòu)。分析來自多起數(shù)據(jù)泄露事件的合并數(shù)據(jù)可能會揭示公司的電子郵件地址合集，顯示公司的等級結(jié)構(gòu)，以幫助攻擊者確認該組織是否屬于有利可圖的攻擊目標。

剛開始，攻擊者掌握的可能是一推名字，隨后他們會通過合并數(shù)據(jù)弄清楚這些名字的職位頭銜，并且構(gòu)建企業(yè)組織的結(jié)構(gòu)圖。這些信息幫助他們能夠與該組織的成員進行更具針對性的溝通，以實施更有效的社會工程攻擊。

精心設計的溝通使得威脅行為者能夠與目標建立可信度和信任感。許多網(wǎng)絡犯罪本質(zhì)上都是“數(shù)字游戲”。黑客和欺詐者只需要少數(shù)人點擊非法鏈接、下載惡意應用程序或?qū)⒌卿洃{據(jù)提供給釣魚網(wǎng)站即可。就像大數(shù)據(jù)可以i幫助廣告商將流量引導到他們的網(wǎng)站一樣，黑客也可以利用同樣的方法將流量引導至他們的釣魚網(wǎng)站中。

這對于企業(yè)和消費者來說都是一個問題，因為消費者也屬于某一公司的員工。網(wǎng)絡釣魚電子郵件能否誘使個人提交其稅務信息或登錄憑據(jù)并不重要，因為作為人，總是會犯錯誤，作為安全計劃中最薄弱的環(huán)節(jié)，人為錯誤始終是網(wǎng)絡犯罪最初的切入口。

使用非敏感數(shù)據(jù)建立信任

與個人身份信息（PII）數(shù)據(jù)相比，非個人身份信息給人們帶來的危害更大。這是因為非PII數(shù)據(jù)就其本質(zhì)而言，比PII數(shù)據(jù)受到的保護更少且分布更廣泛。

攻擊者可以通過了解個人興趣和志向等非PII信息，與目標建立密切的信任關(guān)系。這與我們在現(xiàn)實世界中確立友誼的方式不盡相同。人們喜歡通過分享興趣的方式建立熟悉感和信任感，網(wǎng)絡釣魚和社會工程能夠發(fā)揮作用的原因亦是如此。

通過非PII數(shù)據(jù)獲取更多信任就像一個“跳板”。其原理是，如果你在平平無奇的小事上進行互動并建立信任關(guān)系，那么將這種信任慢慢轉(zhuǎn)移到其他敏感事情上也會容易得多。

例如，黑客得知目標企業(yè)使用特定的薪資處理服務提供商，他就可以偽裝成該提供商工作人員，并致電目標組織的人力資源或薪資部門，表示薪資處理系統(tǒng)將做出調(diào)整，具體指令將在幾周內(nèi)發(fā)布，并為這種調(diào)整可能帶來的不便道歉，然后掛斷電話。

因為受害者在第一次通話時沒有被要求做任何有風險的事情，所以他們會更容易信任該致電著。他們甚至會感同身受地同情致電者，因為他們也經(jīng)歷過系統(tǒng)升級帶來的煩惱。

之后，黑客可能還會致電一兩次，同樣不是要求受害者采取任何行動，只是做一些能夠增進關(guān)系和信任感的事情。然后在未來某個時間點，黑客會以下達“新指令”為由采取行動。由于已經(jīng)獲取了充分的信任，所以受害者往往會在不像其他人驗證的情況下，盲目遵循攻擊者的指令行事。接下來的后果可想而知，受害組織會損失數(shù)十萬至數(shù)百萬美元不等。而且這種事情幾乎每天都在發(fā)生。

所有被盜數(shù)據(jù)都存在風險

即便是沒有資源走合并數(shù)據(jù)路線的攻擊者，同樣能夠用“低敏”數(shù)據(jù)危害企業(yè)和消費者。我們通常以為，如果黑客沒有獲取高度敏感的信息（例如您的社會安全號碼或信用卡號碼等），而只是獲取了其他一些個人身份信息，那么你可能并不會遇到麻煩。但事實證明，這種想法是完全錯誤的。從單個PII數(shù)據(jù)開始，無論敏感與否，威脅行為者都可以對其進行“拼圖”，身份盜竊之路從這一步并開始了。

威脅行為者可以使用不太敏感的數(shù)據(jù)類型，例如用戶名、物理地址和電子郵件作為“種子信息”來梳理更多數(shù)據(jù)并構(gòu)建更完整的身份配置文件。真正造成風險的是集成的您的完整身份，其中包含的高度敏感個人和交易信息可能會被濫用于以您的名義創(chuàng)建新賬戶。即便是合成不了任何結(jié)果，黑客也可以將您的低敏信息出售給有問題的營銷組織，這會為您帶來更多的騷擾電話。

同樣的風險也適用于企業(yè)組織。有了一條PII數(shù)據(jù)，并且可能知道您是特定企業(yè)的員工，您就有可能淪為復雜的網(wǎng)絡釣魚欺詐的目標，這可能會導致企業(yè)知識產(chǎn)權(quán)或其他高敏感度信息被盜。