跳转到主要内容

通过合并来自多个来源的数据,网络犯罪分子可以建立被黑客账户所有者的档案,以支持其他攻击或提高社会工程活动的有效性。

现在距离2021已经快过半了,已经发生了二十多起引人注目的数据泄露事件,其中一些涉及脸书、LinkedIn、Instagram、US Cellular、T-Mobile、Geico和益百利等品牌。这些入侵期间窃取的数据将影响数百万用户,即使其中一些数据可能与电子邮件地址一样无辜。这是因为被盗数据不存在于筒仓中。

Forrester Research副总裁兼首席分析师杰夫·波拉德(Jeff Pollard)解释说:“这些东西不存在于真空中。”。“一个漏洞中可能有一个电子邮件地址,另一个漏洞的更多信息与该电子邮件地址对应。”

Pollard警告不要单独查看每个违规行为,因为数据可以汇总和汇编,以收集有关个人的更多细节。“一个面包屑会导致另一个,”他说,“由于普遍存在的漏洞,可以将东西放在一起,从而可以找到另一个人。”

迫切需要合并数据

威胁参与者在如何处理被盗数据方面已变得老练。他们将获取任何新数据,并将其与他们已经拥有的数据合并,以扩展数据库。在一个数据集中,它们可能有名字和姓氏。在另一种情况下,名字、姓氏和电子邮件地址。第三种是喜欢和兴趣的数据。


“所有这些东西本身似乎并不重要,但如果我能够将这些东西合并到一个数据库中,那么我就有了可以用于钓鱼攻击或获取信用报告的东西,”安全和合规工具提供商Accurics的首席云架构师约翰·金塞拉(John Kinsella)说。

目前,创建这些合并数据集的威胁参与者正在使用这些数据集,但这种情况预计会改变。“下一步将是租用这些合并的数据集用于网络钓鱼活动,”金塞拉说。

当犯罪分子正在编写自定义软件来合并数据集时,更大的玩家可能会将事情提升到另一个层次。金塞拉说:“我愿意打赌,民族国家正在利用某种大数据平台来利用他们拥有的数据规模。”。“我们看到了700千兆字节的泄漏,大小为7 TB。这些是大型数据集,您需要使用[分析引擎]Spark之类的工具来处理。”

攻击者的目标是组织结构图

这些合并的数据集对企业和消费者都构成了威胁。例如,电子邮件地址可以用来充实组织的层次结构。对来自多个数据泄露的合并数据进行分析,可能会发现一家公司的电子邮件地址集合可能是一个很有希望的妥协目标。

金塞拉说:“现在他们有了一大堆名字,他们可以开始四处看看,弄清楚这些职位的头衔是什么。”。“然后,他们可以开始构建企业组织的形象。”这些知识使他们能够与该组织的成员进行更有针对性的沟通,以进行更有效的社会工程攻击。

更好的沟通使威胁行为体能够与目标建立信誉和信任。隐私和数据保护咨询公司Aleada Consulting的合伙人埃琳娜·埃尔基纳(Elena Elkina)说:“许多网络犯罪都归结为数字游戏。”。“黑客和骗子只需要少数人就可以点击坏链接、下载恶意应用程序或将其登录信息提供给错误的人。就像大数据可以帮助广告商引导点击他们的网站一样,黑客可以引导点击他们自己的网站。”

“这是企业和消费者的担忧,因为消费者也是员工,”Elkina补充道。“电子邮件是诱骗个人放弃其税务信息还是放弃其员工身份验证并不重要。网络犯罪通常始于个人的错误。”

使用非敏感数据建立信任

安全意识培训提供商KnowBe4的国防布道者罗杰·格里姆斯(Roger Grimes)表示,非个人身份信息(PII)比PII数据更多地被用于危害人们。“这是因为非PII数据,就其本质而言,比PII数据受到的保护更少,分布更广,”他解释道。

攻击者可以了解到的关于某人的兴趣和努力的任何信息都会使攻击者有机会建立密切的信任关系。“如果你想一想,”格里姆斯说,“这完全是我们在现实世界中建立关系和友谊的方式。人类喜欢分享,分享建立了熟悉感和友谊。网络钓鱼和社会工程也是如此。”

尝试使用非PII数据来获得更多信任被称为借口。我们的想法是,如果您在不需要高度信任的领域进行互动并建立信任关系,则更容易将信任转移到需要更高级别信任的情况。

例如,黑客得知目标受害者公司使用特定的工资处理供应商,可以打电话给目标受害者组织的人力资源或工资部门,并假装从工资公司打电话。他们可以自我介绍,友好地谈论未来即将发生的一些让他们发疯的系统变化,以及受害者公司如何在几周内得到一些新的指示,为给他们带来的不便道歉,然后挂断电话。

Grimes说:“因为受害者在第一次打电话时没有被要求做一些危险的事情,所以他们立刻比其他人更信任打电话的人。”。“也许他们是在同情来电者,因为他们也经历过过去的系统升级,还记得那是多么令人沮丧。”

“黑客可能会再打一两次电话,不要求采取行动,只是做一些能促进关系和信任的事情,”Grimes继续说道。“然后,在未来的某个时间点,黑客带着‘新指令’回来,目标受害者公司盲目地遵循这些指令,在他们开始执行请求的行动之前没有与其他人进行验证。接下来,你知道,受害者组织损失了几十万到数百万美元。这几乎每天都会发生。”

所有被盗的个人数据都存在风险

即使对手没有资源通过合并数据路由,也会将低敏感度数据变成目标的麻烦。“通常的假设是,如果黑客不截获高度敏感的信息,比如你的社会安全号码或信用卡号码,而是获取其他个人身份信息,你可能会没事。这种假设完全是错误的,”数据识别公司comforte AG的产品经理特雷弗·摩根(Trevor Morgan)说。“从一个单一的PII开始,无论是否敏感,威胁行为人都可以开始拼凑拼图。身份盗窃之旅从这一步开始。”

威胁参与者可以使用不太敏感的数据类型(如用户名、物理地址和电子邮件)作为种子信息,以梳理出更多数据并构建更完整的身份配置文件。摩根表示:“总体风险在于,您的完整身份,包括高度敏感的个人和交易信息,可能会被及时窃取,并用于以您的名义创建新账户。”。“如果没有其他结果,黑客可以将你不太敏感的信息卖给有问题的营销组织,这会增加你对未经请求的产品和服务的令人沮丧的曝光。”

摩根表示,同样的风险也适用于企业。“有了这一条信息,也许知道你是某家公司的员工,你就可能成为复杂网络钓鱼骗局的目标,这些骗局可能会导致知识产权或其他破坏性信息被盗。”

本文:https://cioctocdo.com/how-cybercriminals-turn-harmless-stolen-or-leaked…