2021年刚刚行至一半,就已经发生了两起备受瞩目的数据泄露事件,包含Facebook、LinkedIn、Instagram、US Cellular、T-Mobile、Geico以及Experian在内的诸多企业均未能幸免。这些入侵事件中被盗的数据将影响数百万用户,即便其中一些数据可能看起来就像电子邮件地址一样“无害”。究其原因在于,这些被盗数据都并非孤立存在的。
Forrester Research副总裁兼首席分析师Jeff Pollard解释称:
这些数据并非孤立存在的。举个例子,在一次泄露中可能包含一个电子邮件地址,而另一次泄露中可能有更多与该电子邮件地址相对应的信息。
Pollard告诫称,不要单独查看任何一次泄露事件,因为网络犯罪分子可以汇总和编译数据以收集有关个人的更多详细信息。要知道,“牵一发动全身”,一条线索的背后可能牵连更多线索。由于泄漏事件频发,网络犯罪分子完全有机会和能力整合所有信息,以挖掘出更多相关联的详细信息。
威胁行为者正在积极合并数据
威胁行为者在处理被盗数据方面非常老练。他们正在从获取的数据中提取任何相关的新数据,并将其与他们已经拥有的数据合并以扩展其数据库。在一个数据集中,他们可能掌握了名字和姓氏;另一个数据集中包含名字、姓氏和电子邮件地址;第三个数据集中则是有关喜好和兴趣的数据。
所有这些东西本身似乎都并不重要,但是如果能够将这些数据合并到一个数据库中,那么犯罪分子就等于掌握了一些可用于发动网络钓鱼攻击或获取信用报告的“筹码”。
目前,威胁行为者正在创建和利用这些合并数据,相信下一步他们将利用这些合并数据发动网络钓鱼攻击或信用欺诈活动。
虽然大多数犯罪分子只是在编写自定义软件来合并数据集,但更具组织性的威胁行为者可能会将事情提升到另一个层次,例如民族国家间谍组织正在使用某种大数据平台来利用其拥有的海量数据做这件事。如今,我们动辄可见700 GB、7 TB的数据泄露事件,面对如此大型的数据集,我们必须使用分析引擎(如Spark)之类的东西来处理它们。
攻击者正在瞄准组织结构图
这些合并的数据集对企业和消费者都构成了威胁。例如,电子邮件地址可用于充实组织的等级结构。分析来自多起数据泄露事件的合并数据可能会揭示公司的电子邮件地址合集,显示公司的等级结构,以帮助攻击者确认该组织是否属于有利可图的攻击目标。
刚开始,攻击者掌握的可能是一推名字,随后他们会通过合并数据弄清楚这些名字的职位头衔,并且构建企业组织的结构图。这些信息帮助他们能够与该组织的成员进行更具针对性的沟通,以实施更有效的社会工程攻击。
精心设计的沟通使得威胁行为者能够与目标建立可信度和信任感。许多网络犯罪本质上都是“数字游戏”。黑客和欺诈者只需要少数人点击非法链接、下载恶意应用程序或将登录凭据提供给钓鱼网站即可。就像大数据可以i帮助广告商将流量引导到他们的网站一样,黑客也可以利用同样的方法将流量引导至他们的钓鱼网站中。
这对于企业和消费者来说都是一个问题,因为消费者也属于某一公司的员工。网络钓鱼电子邮件能否诱使个人提交其税务信息或登录凭据并不重要,因为作为人,总是会犯错误,作为安全计划中最薄弱的环节,人为错误始终是网络犯罪最初的切入口。
使用非敏感数据建立信任
与个人身份信息(PII)数据相比,非个人身份信息给人们带来的危害更大。这是因为非PII数据就其本质而言,比PII数据受到的保护更少且分布更广泛。
攻击者可以通过了解个人兴趣和志向等非PII信息,与目标建立密切的信任关系。这与我们在现实世界中确立友谊的方式不尽相同。人们喜欢通过分享兴趣的方式建立熟悉感和信任感,网络钓鱼和社会工程能够发挥作用的原因亦是如此。
通过非PII数据获取更多信任就像一个“跳板”。其原理是,如果你在平平无奇的小事上进行互动并建立信任关系,那么将这种信任慢慢转移到其他敏感事情上也会容易得多。
例如,黑客得知目标企业使用特定的薪资处理服务提供商,他就可以伪装成该提供商工作人员,并致电目标组织的人力资源或薪资部门,表示薪资处理系统将做出调整,具体指令将在几周内发布,并为这种调整可能带来的不便道歉,然后挂断电话。
因为受害者在第一次通话时没有被要求做任何有风险的事情,所以他们会更容易信任该致电着。他们甚至会感同身受地同情致电者,因为他们也经历过系统升级带来的烦恼。
之后,黑客可能还会致电一两次,同样不是要求受害者采取任何行动,只是做一些能够增进关系和信任感的事情。然后在未来某个时间点,黑客会以下达“新指令”为由采取行动。由于已经获取了充分的信任,所以受害者往往会在不像其他人验证的情况下,盲目遵循攻击者的指令行事。接下来的后果可想而知,受害组织会损失数十万至数百万美元不等。而且这种事情几乎每天都在发生。
所有被盗数据都存在风险
即便是没有资源走合并数据路线的攻击者,同样能够用“低敏”数据危害企业和消费者。我们通常以为,如果黑客没有获取高度敏感的信息(例如您的社会安全号码或信用卡号码等),而只是获取了其他一些个人身份信息,那么你可能并不会遇到麻烦。但事实证明,这种想法是完全错误的。从单个PII数据开始,无论敏感与否,威胁行为者都可以对其进行“拼图”,身份盗窃之路从这一步并开始了。
威胁行为者可以使用不太敏感的数据类型,例如用户名、物理地址和电子邮件作为“种子信息”来梳理更多数据并构建更完整的身份配置文件。真正造成风险的是集成的您的完整身份,其中包含的高度敏感个人和交易信息可能会被滥用于以您的名义创建新账户。即便是合成不了任何结果,黑客也可以将您的低敏信息出售给有问题的营销组织,这会为您带来更多的骚扰电话。
同样的风险也适用于企业组织。有了一条PII数据,并且可能知道您是特定企业的员工,您就有可能沦为复杂的网络钓鱼欺诈的目标,这可能会导致企业知识产权或其他高敏感度信息被盗。