2021年刚行至一半,就早已发生了多起备受关注的数据泄露事件,包括Facebook、LinkedIn、Instagram、US Cellular、T-Mobile、Geico及其Experian以内的众多公司均未能幸免。这种侵入事件中失窃的数据将危害上百万客户,就算在其中一些数据很有可能看上去如同电子邮件地址一样“没害”。归根结底取决于,这种失窃数据都并不是独立出现的。
Forrester Research副首席战略官总裁投资分析师Jeff Pollard表述称:
Pollard劝诫称,不必独立查询一切一次泄漏事件,由于互联网犯罪嫌疑人可以归纳和编译程序数据以搜集相关本人的大量详细资料。要了解,“牵一启动全身上下”,一条案件线索的后面很有可能牵涉大量案件线索。因为泄露事件高发,互联网犯罪嫌疑人彻底还有机会和功能融合全部信息内容,以发掘出大量密切相关的详细资料。
危害个人行为者已经积极主动合拼数据
危害个人行为者在解决失窃数据层面十分成熟。她们已经从获得的数据中获取一切有关的新数据,并将其与她们早已具有的数据合拼以拓展其数据库。在一个数据集中化,她们很有可能把握了名称和姓式;另一个数据集中化包括名称、姓式和电子邮件地址;第三个数据集中化则是相关爱好和兴趣爱好的数据。
全部这种物品自身好像都并不重要,可是假如可以将这种数据合拼到一个数据库文件,那麼犯罪嫌疑人就相当于了解了一些可用以启动互联网中间人攻击或获得报告的“主力资金”。
现阶段,危害个人行为者已经建立和运用这种合拼数据,坚信下一步她们将运用这种合拼数据启动互联网中间人攻击或个人信用诈骗主题活动。
尽管大部分犯罪嫌疑人仅仅在撰写自定手机软件来合拼数据集,但更具有全局性的危害个人行为者很有可能会将事儿提高到另一个层级,例如专制制度特工机构已经应用某类大数据服务平台来运用其具有的大量数据做这件事情。现如今,大家动则由此可见700 GB、7 TB的数据泄露事件,应对如此大中型的数据集,大家需要应用剖析模块(如Spark)之类的事物来解决他们。
网络攻击已经看准组织架构图
这种合拼的数据集对公司和顾客都造成了危害。例如,电子邮件地址可用以丰富机构的级别构造。剖析来源于几起数据泄露事件的合拼数据很有可能会揭露企业的电子邮件地址合辑,表明企业的级别构造,以协助网络攻击确定该机构是不是归属于能够赚钱的进攻总体目标。
一开始,网络攻击把握的可能是一推名称,接着她们会根据合拼数据搞清楚这种名称的职务称号,而且搭建企业的管理的框架图。这种信息内容协助它们可以与该安排的人员开展具有系统性的沟通交流,以执行更合理的社会工程进攻。
精心策划的沟通交流促使危害个人行为者可以与总体目标创建真实度和信赖感。很多网络诈骗实质上全是“猜数字游戏”。网络黑客和欺诈者只必须少数人点一下不法连接、免费下载故意应用软件或将登陆凭证给予给诈骗网站就可以。如同大数据可以i协助广告代理将总流量指引到她们的平台一样,网络黑客还可以使用相同的办法将总流量正确引导至她们的诈骗网站中。
这对公司和顾客而言是一个问题,由于顾客也归属于某一企业的职工。钓鱼攻击电子邮箱能不能引诱本人递交其纳税人信息或登陆凭证并不重要,由于做为人,一直会做错事,做为安全计划中最单薄的阶段,人为因素不正确自始至终是网络诈骗最开始的切入点。
应用非比较敏感数据创建信赖
与个人信息信息内容(PII)数据对比,非个人信息信息内容给大家提供的伤害更高。这是由于非PII数据就其实质来讲,比PII数据遭受的维护越来越少且遍布更普遍。
网络攻击可以根据掌握个人兴趣爱好和理想等非PII信息内容,与总体目标创建紧密的信赖关联。这与我们在现实世界中建立友情的方法各有不同。大家喜爱根据共享兴趣爱好的方法创建了解感和信赖感,钓鱼攻击和社会工程可以充分发挥的缘故亦是如此。
根据非PII数据获得大量信赖如同一个“起点、跳板”。其机理是,假如你在平平无奇的琐事上开展交互并创建信赖关联,那麼将这类信赖渐渐地迁移到别的比较敏感事儿上也会简单得多。
例如,网络黑客获知总体目标公司应用特殊的薪酬解决服务提供商,他就可以装扮成该服务提供商工作员,并打电话总体目标机构的人力资源管理或薪酬单位,表明薪酬解决系统软件将进行调节,实际命令将在几个星期内公布,并为这类调节将会产生的不方便致歉,随后挂掉电話。
由于受害人在第一次语音通话时沒有被规定做一切有风险性的事儿,因此它们会更易于信赖该打电话着。她们乃至会深有体会地怜悯打电话者,由于它们也经历过系统更新产生的苦恼。
以后,网络黑客很有可能还会继续打电话一两次,一样并不是规定受害人采取任何行为,仅仅做一些可以提高关联和信赖感的事儿。随后在未来某一时间点,网络黑客会下列达“新命令”为由付诸行动。因为早已获得了充足的信赖,因此受害人通常会在没有像别人认证的情形下,盲目跟风遵循网络攻击的命令做事。下面的不良影响显而易见,被害机构会损害数十万至数百万美元不一。并且这样的事情几乎每一天都会产生。
全部失窃数据都具有风险性
就算是沒有資源走合拼数据线路的网络攻击,一样可以用“低敏”数据伤害公司和顾客。大家通常认为,假如网络黑客沒有获得相对高度灵敏的信息内容(例如您的社会安全号或信用卡号码等),而仅仅获得了其它一些身份信息内容,那麼你也许并不会碰到不便。但事实上,这类看法是根本问题的。从单独PII数据逐渐,无论比较敏感是否,危害个人行为者都能够对它进行“拼图图片”,真实身份偷盗之途从这一步并开始了。
危害个人行为者可以应用不特别敏感的数据种类,例如登录名、MAC地址和电子邮箱做为“种籽信息内容”来整理大量数据并搭建更完善的真实身份环境变量。真真正正导致风险性的是集成化的您的详细真实身份,在其中含有的相对高度比较敏感本人和交易信息很有可能会被乱用于以您的为名建立新帐户。就算是生成不了一切結果,网络黑客还可以将您的低敏信息内容售卖给有什么问题的销售机构,这会为您提供越来越多的电话骚扰。
一样的隐患也适用企业的管理。拥有一条PII数据,而且很有可能了解您是特殊公司的职工,您就会有很有可能沦落繁杂的钓鱼攻击诈骗的总体目标,这也许会致使公司专利权或别的高敏感性信息内容失窃。
文中翻譯自:
https://www.csoonline.com/article/3619510/how-cybercriminals-turn-harmless-stolen-or-leaked-data-into-dollars.html