2021年刚刚行至一半,就已经发生了两起备受瞩目的数据泄露事件,包含Facebook、LinkedIn、Instagram、US Cellular、T-Mobile、Geico以及Experian在内的诸多企业均未能幸免。这些入侵事件中被盗的数据将影响数百万用户,即便其中一些数据可能看起来就像电子邮件地址一样“无害”。究其原因在于,这些被盗数据都并非孤立存在的。

Forrester Research副总裁兼首席分析师Jeff Pollard解释称:

这些数据并非孤立存在的。举个例子,在一次泄露中可能包含一个电子邮件地址,而另一次泄露中可能有更多与该电子邮件地址相对应的信息。

Pollard告诫称,不要单独查看任何一次泄露事件,因为网络犯罪分子可以汇总和编译数据以收集有关个人的更多详细信息。要知道,“牵一发动全身”,一条线索的背后可能牵连更多线索。由于泄漏事件频发,网络犯罪分子完全有机会和能力整合所有信息,以挖掘出更多相关联的详细信息。

威胁行为者正在积极合并数据

威胁行为者在处理被盗数据方面非常老练。他们正在从获取的数据中提取任何相关的新数据,并将其与他们已经拥有的数据合并以扩展其数据库。在一个数据集中,他们可能掌握了名字和姓氏;另一个数据集中包含名字、姓氏和电子邮件地址;第三个数据集中则是有关喜好和兴趣的数据。

所有这些东西本身似乎都并不重要,但是如果能够将这些数据合并到一个数据库中,那么犯罪分子就等于掌握了一些可用于发动网络钓鱼攻击或获取信用报告的“筹码”。

目前,威胁行为者正在创建和利用这些合并数据,相信下一步他们将利用这些合并数据发动网络钓鱼攻击或信用欺诈活动。

虽然大多数犯罪分子只是在编写自定义软件来合并数据集,但更具组织性的威胁行为者可能会将事情提升到另一个层次,例如民族国家间谍组织正在使用某种大数据平台来利用其拥有的海量数据做这件事。如今,我们动辄可见700 GB、7 TB的数据泄露事件,面对如此大型的数据集,我们必须使用分析引擎(如Spark)之类的东西来处理它们。

攻击者正在瞄准组织结构图

这些合并的数据集对企业和消费者都构成了威胁。例如,电子邮件地址可用于充实组织的等级结构。分析来自多起数据泄露事件的合并数据可能会揭示公司的电子邮件地址合集,显示公司的等级结构,以帮助攻击者确认该组织是否属于有利可图的攻击目标。

刚开始,攻击者掌握的可能是一推名字,随后他们会通过合并数据弄清楚这些名字的职位头衔,并且构建企业组织的结构图。这些信息帮助他们能够与该组织的成员进行更具针对性的沟通,以实施更有效的社会工程攻击。

精心设计的沟通使得威胁行为者能够与目标建立可信度和信任感。许多网络犯罪本质上都是“数字游戏”。黑客和欺诈者只需要少数人点击非法链接、下载恶意应用程序或将登录凭据提供给钓鱼网站即可。就像大数据可以i帮助广告商将流量引导到他们的网站一样,黑客也可以利用同样的方法将流量引导至他们的钓鱼网站中。

这对于企业和消费者来说都是一个问题,因为消费者也属于某一公司的员工。网络钓鱼电子邮件能否诱使个人提交其税务信息或登录凭据并不重要,因为作为人,总是会犯错误,作为安全计划中最薄弱的环节,人为错误始终是网络犯罪最初的切入口。

使用非敏感数据建立信任

与个人身份信息(PII)数据相比,非个人身份信息给人们带来的危害更大。这是因为非PII数据就其本质而言,比PII数据受到的保护更少且分布更广泛。

攻击者可以通过了解个人兴趣和志向等非PII信息,与目标建立密切的信任关系。这与我们在现实世界中确立友谊的方式不尽相同。人们喜欢通过分享兴趣的方式建立熟悉感和信任感,网络钓鱼和社会工程能够发挥作用的原因亦是如此。

通过非PII数据获取更多信任就像一个“跳板”。其原理是,如果你在平平无奇的小事上进行互动并建立信任关系,那么将这种信任慢慢转移到其他敏感事情上也会容易得多。

例如,黑客得知目标企业使用特定的薪资处理服务提供商,他就可以伪装成该提供商工作人员,并致电目标组织的人力资源或薪资部门,表示薪资处理系统将做出调整,具体指令将在几周内发布,并为这种调整可能带来的不便道歉,然后挂断电话。

因为受害者在第一次通话时没有被要求做任何有风险的事情,所以他们会更容易信任该致电着。他们甚至会感同身受地同情致电者,因为他们也经历过系统升级带来的烦恼。

之后,黑客可能还会致电一两次,同样不是要求受害者采取任何行动,只是做一些能够增进关系和信任感的事情。然后在未来某个时间点,黑客会以下达“新指令”为由采取行动。由于已经获取了充分的信任,所以受害者往往会在不像其他人验证的情况下,盲目遵循攻击者的指令行事。接下来的后果可想而知,受害组织会损失数十万至数百万美元不等。而且这种事情几乎每天都在发生。

所有被盗数据都存在风险

即便是没有资源走合并数据路线的攻击者,同样能够用“低敏”数据危害企业和消费者。我们通常以为,如果黑客没有获取高度敏感的信息(例如您的社会安全号码或信用卡号码等),而只是获取了其他一些个人身份信息,那么你可能并不会遇到麻烦。但事实证明,这种想法是完全错误的。从单个PII数据开始,无论敏感与否,威胁行为者都可以对其进行“拼图”,身份盗窃之路从这一步并开始了。

威胁行为者可以使用不太敏感的数据类型,例如用户名、物理地址和电子邮件作为“种子信息”来梳理更多数据并构建更完整的身份配置文件。真正造成风险的是集成的您的完整身份,其中包含的高度敏感个人和交易信息可能会被滥用于以您的名义创建新账户。即便是合成不了任何结果,黑客也可以将您的低敏信息出售给有问题的营销组织,这会为您带来更多的骚扰电话。

同样的风险也适用于企业组织。有了一条PII数据,并且可能知道您是特定企业的员工,您就有可能沦为复杂的网络钓鱼欺诈的目标,这可能会导致企业知识产权或其他高敏感度信息被盗。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2025-01-16 10:29:00
国内资讯 细分IDC三大业务场景 工信部发布加强IDC数据安全保护新政
1月14日,工信部网站发布《工业和信息化部办公厅关于加强互联网数据中心客户数据安全保护的通知》(下文简称“通知”),提出“权责一致、分类施策、技管结合、确保安全” <详情>
2024-10-14 18:03:19
市场情报 戴尔科技以“三位一体”解决方案,为AI时代数据保护构筑“坚实防线”
根据戴尔科技发布的《2024全球数据保护指数调研》显示,在2023年有50%的企业表示,其组织在过去12个月内遭遇过网络攻击或事件. <详情>
2024-05-24 10:18:29
市场情报 企业如何获得生成式AI时代的数据“安全感”?
企业利用生成式AI进行业务创新的同时也在面临新的隐忧。 <详情>
2023-05-24 08:49:08
大数据资讯 工信部:2024年初步建立工业领域数据安全标准体系
近日,为深入贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规要求,建立健全工业领域数据安全标准体系,工业和信息化部公开征求对《工业领域 <详情>
绿色算力新范式:2025中国智算产业绿色科技大会即将召开
2025-07-15 11:37:46
AI浪潮下 SUSE如何以开源助力企业级AI创新
2025-07-07 13:59:47
AI驱动数据中心变革 施耐德电气发布EcoStruxure™ Energy Operation电力综合运营系统
2025-07-04 15:15:58
液冷、供配电、WUE、IT能效…工信部新规落地,数据中心PUE之外的考题登场
2025-07-04 10:19:42
阿里云西部云计算中心及数据服务基地项目一期主体建设完工,即将投产
2025-07-04 10:17:27
南方万国数据中心REIT宣布定价3元/份,获超百倍认购,7月14日正式发售!
2025-07-03 16:59:52
绿电直连 vs 绿证 数据中心应该怎么选?
2025-07-03 16:36:38
迎接关键转型期:中国第三方算力中心服务商应对之道
2025-07-03 16:31:42
观察|几万块GPU、毫秒级变化……AI算力需求对智算中心供配电冲击有多大?
2025-07-03 16:27:45
马来西亚电费新政:取消阶梯电价,数据中心面临挑战与机遇
2025-07-03 16:25:43
总投资约45亿元 东方国信内蒙古智算中心项目1号楼投产
2025-07-03 16:23:12
2025中国智算产业生态发展大会中交智数谷(宁夏·中卫)专场成功举办
2025-07-03 16:21:11
总投资1.3亿 仙桃小寺垸智算中心项目正式开工
2025-07-03 16:19:13
科智咨询《2025中国智算产业生态图谱》发布
2025-07-03 16:17:42
同比增长超100% 《中国智算中心供配电系统应用市场研究报告(2025)》正式发布
2025-07-03 16:15:37