您知道吗?我们的个人信息,甚至是您客户的个人信息正在网上售卖?这些窃取的数据已经成为一个成熟的商品市场,和石油或金属一样,价格会根据供需关系波动,也有数据质量之说,价值也各不相同。这一市场的产品已远远不止信用卡号码信息,而是紧跟合法机构大数据增长的脚步。
在我们发布的《不为人知的地下数据经济》报告中,详细阐述了这些数据信息的主要类型以及它们的售价。由于犯罪份子不可信,其中一些交易市场可能是诈骗,也可能是冒用有信誉的品牌进行欺诈,但这些都无法让您忽视这一生机盎然的网络犯罪地下经济。
信用卡号码和其他支付信息是最常被盗取的数据,售价范围也很广。但随着大规模的窃取,越来越多的卡使用芯片技术和密码,以及来自信用卡公司的快速应对使得基本的信用卡数据信息的价值有所下降。在经历一次大规模的数据泄漏事件后,这些信息可能每个只有几美元。
然而,如果在此基础上附加一些额外信息,那么价格会急剧攀升。比如,支付卡信息加上出生日期(这是应对欺诈最常问的问题),在美国价格将涨至 15 美元,在某些国家将会是 30 美元。如果加上邮寄地址以及用户名和密码,价格将会涨至 30 美元到 45 美元之间。还有诸多内容可选,包括发卡银行、国家、可用余额、最大取款额度以及能否在 ATM 机、商店和网上使用等。
窃取数据的价值链
如前所述,信用卡号码是这一市场的最常见的商品,但如果没有附加信息则价格比较便宜。在此之上的是支付以及获取银行服务时的账户登录信息,其价格则视账户余额而定。如果您想购买在线支付账户的登录信息,那么您需要支付不超过账户余额的 5%。如果您想获得全部银行服务信息,尤其是那些可以转账给美国银行的信息,售价大约是账户余额的 8%。一些卖家会提供换货服务,如果您购买的账户没有所宣称的余额;而另外一些卖家则根据信用评级、购买反馈以及其他常见的在线购物工具来给客户做保证。
由于需求巨大,以及一些自动化的窃取流程使得优质的账户信息非常畅销,而且显然有利可图。不论您是否是想看电子书(.55),或是看在线视频(不超过 ),访问收费有线电视频道(.50),还是观看现场直播的职业体育赛事(),您都可以在这一市场获得登录信息。具有讽刺意味的是,您甚至可以购买进入暗网市场的凭据。
不常见的是一些更具体的信息,如进入企业内网的登录信息、银行和航空公司关键系统的漏洞、访问工业机器或关键基础设施的信息,甚至盗取的企业数据。如同稀有艺术品或珠宝,这些数据信息并没有明码标价,而是由卖家和买家之间协商决定。
鉴于过去两年内大量的数据泄漏事件见诸报端,我们已经不奇怪看到这么多的用户数据在售卖。但网络犯罪份子从来都不会停止让我们这些一直在监控暗网市场的安全人员吃惊,无论是从贩卖的数据类型还是创收机制。除了上述提到的数据类型,还有一些个人信息如社交媒体登录信息、电子邮件账户、医疗信息等在售卖。
通过和某些企业和机构的对话,我发现大家对网络犯罪比较漠然。甚至在诸多安全事件见诸报端的今天,网络犯罪看起来仍然神秘叵测。我们中很多人都没有认识到网络犯罪只是犯罪数字技术发展的必然进化,鉴于这种漠视,我们将会看到地下数据经济的蓬勃发展。这也是对我们这些致力于保护互联数字世界安全人员的一个重要警醒。
原文发布时间为:2016-01-28
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
