黑客拿个人隐私数据做什么?

 

image002当黑客攻击网站系统, 偷走个人隐私数据, 对您的网站或者其他受害者来说风险着什么? 你的名字和邮件地址对网络犯罪者来说有什么价值?为此 CIO.com针对个人隐私数据泄露向安全专家询问了6个问题。

 

电子商务网站Zappos被爆出在2012年1月份用户数据泄露。 包括用户的姓名, 电子邮件地址, 账单地址,送货地址, 电话号码以及信用卡后4位数字等信息被黑客盗走。 这家网上鞋城立即发表声明, 表示“ 重要的信用卡信息以及支付信息没有在此次事件中被泄露或盗取。”

这个声明确实有助于缓解客户的紧张心理。 这说明2400万用户暂时还不用为在月底信用卡账单上的可能会出现可疑交易而担心。

那么, 用户需要担心的是什么呢? 根据安全专家, 这种个人隐私数据泄露的风险包括最普通的垃圾邮件到更加危险的“钓鱼邮件”,(也就是说, 犯罪分子可以通过伪装成一个可信的个人, 来引诱受害者点击链接, 从而下载恶意软件或者向犯罪分子发送敏感的个人信息, 如信用卡密码, 社会保障号等等)。

这次入侵Zappos的黑客显然已经掌握了大量的用户敏感信息,而其他一些针对网站服务器的入侵, 则可能只是拿到了用户的姓名和电子邮件地址。 但是, 无论泄密事件的大小。 这些泄密事件都吸引人们去以下这些问题。

  1. 为什么这些信息对犯罪分子有价值?
  2. 这些信息的真正货币价值是什么?
  3. 犯罪分子需要什么样的信息来开始实施犯罪行为?
  4. 犯罪分子会在盗取信息后多久再使用这些信息?
  5. 当犯罪分子得到这类信息后普通用户的风险在哪里?
  6. 这些风险发生的可能性?

为什么这些信息对犯罪分子有价值?

在地下黑市, 个人信息是可以直接买卖的。 犯罪分子盗取了这些信息后,可以直接出售给那些伪造证件者, 犯罪组织, 垃圾邮件发送商, 僵尸网络运营商等, 而后者则利用这些信息来赚更多的钱。

例如, 垃圾邮件发送上可以利用买来的个人信息来发送垃圾邮件(如卖伟哥的邮件),他们可以通过用户点击其中的链接赚取广告费。 另外, 伪造证件者可以利用用户邮件, 发送钓鱼邮件, 引诱用户发送他们的银行账号或者信用卡号。

据互联网安全公司Internet Identity公司的总裁及CEO Rod Rasmussen指出, 犯罪分子往往交换他们获取的用户信息, 从而能够得到某用户的更完整信息。 “你对某个人了解越多, 就越有可能造成更大的伤害,你可以从不同的渠道得到用户的姓名, 信用卡号, 密码, 邮箱, 电话号码等。 这样你可以对这个人有一个更完整的拼图。”

这些信息的真正货币价值是什么

安全专家指出, 根据数据的质量和新鲜程度, 姓名或电子邮件地址的价格范围从每条记录不足一美分到一美元不等。

Rasmussen说, “现在这样的数据太多了, 要想从地下黑市卖出钱来, 你必须要有大量的数据才行。现在一个信用卡号码的价格也快到1美元以下了。”

单个记录看上去价格不怎么样, 但是如果你把大量数据卖出去的钱加起来就不得了了。 以Zappos的这个事件为例,假如黑客确实获取了Zappos的2400万客户信息。 哪怕他们仅仅以每个记录5美分的价格卖出了500万个电子邮件地址信息, 那么这一票买卖也足让黑客挣得25万美金。

僵尸网络的运营者则挣得更多了。 网络安全培训公司Know4B的创始人Stu Sjouwerman揭秘, 假如你拥有一个10万台电脑的僵尸网络,你就可以以每小时1000美金的价格出租。 如果你买了Zappos的24万用户信息, 然后通过钓鱼邮件引诱他们下载安装恶意软件。 即便只有20%的用户会被感染,你仍然能够轻松得获得一个约500万台电脑的僵尸网络。

“现这样, 你就可以以每小时5000美元,而不是100美元的价格出租你的僵尸网络了”。 Sjouwerman说道,“这帮家伙挣钱真的很容易”。 当然, 他们这样做会受到刑事指控, 会坐牢,也会被罚款。

犯罪分子需要什么样的信息来开始实施犯罪行为

Sjouwerman指出, 对于犯罪分子而言, 他们可以从用户的电子邮件信息开始实施侵害。他们首先能做的就是通过垃圾邮件去骚扰用户的收件箱。

对于企图实施信用卡诈骗的犯罪分子来说, 他们需要用户的密码, 信用卡或社会保障号。 有时候, 通过用户的邮件, 犯罪者可以通过发送钓鱼邮件或者含有恶意代码的邮件的方式来获取这些更为敏感的信息。这些恶意代码里往往含有击键记录的木马, 这类木马可以记录用户上网时登录网站的帐号和密码。 要说碰巧用户登录网上银行账户, 那么犯罪分子就可能据此入侵到银行账户里去。

Rasmussen说, 要说黑客仅仅获得了用户信用卡的后四位数字,他也可能会有办法重置用户在某一个电子商务网站的密码。有些电商网站会在用户要求重置密码时询问信用卡的后四位数字。 这样,犯罪分子有可能重置用户的密码而进入用户的账户。 他们可以自己消费, 不过更多的可能是他们把这些信息转卖给其他人,那些人去实施更多的侵害。

犯罪分子会在盗取信息后多久再使用这些信息

这取决于什么样的犯罪行为以及黑客取得什么样的信息。Rasmussen说, 如果是有关信用卡诈骗的犯罪, 那么犯罪分子在取得信用卡信息后会很快行动的。 Sjouwerman也指出, 那些利用钓鱼邮件的犯罪分子也通常会很快利用这些信息。 为了欺骗用户来下载恶意软件或发送敏感信息,犯罪分子会抢在被黑公司发布公告之前, 发送电子邮件给用户, 要求用户去网站重置密码, 而这个网站正是犯罪分子制作的一个钓鱼网站。

因此,Rasmussen指出, 那些被入侵的网站及时报告入侵事件, 包括哪些数据泄露以及涉及哪些用户,就显得格外重要。他说, 欧盟甚至正在研究制定一项法律, 要求被入侵网站在数据泄露24小时内必须告知用户。

当犯罪分子得到这类信息后普通用户的风险在哪里?

Sjouwerman说, 首先是会有更多的垃圾邮件, 钓鱼邮件或者通过邮件发送的恶意软件。如果安装了恶意软件, 黑客就会控制用户的电脑。 如果电脑有摄像头或者麦克风, 黑客就可能通过这些来监视用户。 Sjouwerman补充道,如果PC上被安装了击键记录木马, 那么犯罪分子就可能记录你的密码甚至银行信息。

如果犯罪分子获得的不止是姓名和电子邮件地址, 比如还包括电话号码, 信用卡后四位数字等, 他们可能会设计一些更具欺骗性的钓鱼方式来实施证件伪造或者信用卡诈骗。

这些风险发生的后果和可能性?

个人数据泄露后, Rasmussen和Sjouwerman 一致认为,你几乎可以肯定会收到大量的垃圾邮件和钓鱼邮件。 根据 Sjouwerman的简单实验, 大约10个用户中, 有4个可能就会落入钓鱼邮件的陷阱。 在这个实验中, Sjouwerman模仿一个Know4B的客户, 某军火商, 的CEO的口吻。 利用从网络上找到的100名该企业的员工的电子邮件, 发送了一封邮件要求这些员工去一个Konw4B制作的假网站上去更改他们的福利信息。 结果有40个人上当了。

如果你的信用卡或者银行信息没有被泄露, 你到不用担心财务诈骗, 当然, 前提是你没有把你的财务信息提供给钓鱼者。

如果黑客进行了信用卡犯罪, 那么用户很快会在账单上看到一些可疑的交易。 用户应该立即向信用卡公司或者信用报告机构报告有关数据泄露的问题。 在去年索尼PlayStation网络的泄密事件后, 一些关联到索尼PlayStation网络服务的信用卡和借记卡用户报告了账户异常的现象。不过,就像CNET所说的那样,在当时来说, 很难判断这些账户异常是由于索尼个人数据泄露造成的还是纯属巧合。

当然, 也不是所有被泄露数据的用户都会遭到信用卡或者身份诈骗, 甚至有的连垃圾邮件和钓鱼都没有收到过。 CIO.com最近联系了10个用户, 这些用户的数据(包括姓名,电子邮箱和密码)由于LulzSec黑客组织去年5月份入侵PBS电视台网站而被发布到从PastBin上了。在4个回复CIO.com的人中, 有3个表示没有遭到任何形式的骚扰或侵害, 有一个拒绝评论。

Rasmussen说, 即使黑客仅仅拿到的只是姓名和电子邮箱, 人们最为感到不爽的是,别人能够在未经自己同意的情况下发布自己的信息。

Via CIO.com

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签: ,


关于作者

        在TMT领域具有十余年的咨询和创业经验。 目前主要关注信息安全,同时密切关注云计算、社会化媒体、移动、企业2.0等领域的技术创新和商业价值。拥有美国麻省理工学院MBA学位和清华大学经济管理学院学士学位,曾任BDA中国公司高级顾问,服务过美国高通、英特尔、中国网通、SK电讯、及沃达丰等公司。联系邮件:wangmeng@ctocio.com