导语:也许你还未意识到个人网上身份被盗意味着什么,你可能也想不到它会如此便宜。
你有没有停下来思考你的生命值多少钱?或者换一种说法,比如,假设你想卖掉自己所拥有的一切,包括你的房子、你的车、你的工作、你的私生活、你童年的照片和家庭电影、你在各种社交媒体上的账户、你的病史等等。你会为这一切开价多少?
我自己想到了这一点,同样其他人也会有所同感。例如,阅读我在Facebook上写给朋友、家人和恋人的个人信息时,让我意识到这些事情是廉价的。有人可以访问我的电子邮件,并且基本上可以重置我使用该电子邮件注册的所有帐户的密码。
在真实的非数字世界中,有很多保险政策可以涵盖物品损坏或被盗的风险。比如有人偷了我的车或者我弄坏了电视,如果我给它们投保了,我就可以毫无顾忌的更换它们。在数字世界中则没有选择,我们的数字生活中包含一些非常个人化和感性的信息。最大的区别在于我们的数字生活永远不会被删除,包括我们所说或写的内容、我们发送的图片或我们的订单基本上都存储在服务提供商手中。
我决定调查黑市,看看那里出售的是哪种信息。我们都知道可以在那里购买毒品、武器和赃物,但也可以购买网络身份。您认为自己的网络身份值多少钱?
一、被黑的帐户
在调查流行服务被黑的帐户时,几乎不可能编造有效数据,因为有很多黑市供应商在销售这些东西。验证所售数据的唯一性也很困难。但有一件事是肯定的,这是在黑市上销售的最流行的数据类型。流行服务的数据指的是诸如被盗的社交媒体帐户、银行信息、远程访问服务器或台式机等,甚至来自优步、Netflix、Spotify和大量游戏网站(Steam,PlayStation网络等)、约会应用程序、色情网站等热门服务的数据。
窃取此数据的最常见方法是通过网络钓鱼活动或利用与Web相关的漏洞(如SQL注入)。密码转储包含被黑的电子邮件和密码组合,但正如我们所知,大多数人都会重复使用他们的密码。因此,即使一个简单的网站被黑客攻陷,攻击者也可以使用相同的电子邮件和密码组合访问其他平台上的帐户。
这类攻击并不十分复杂,但非常有效。它还表明,网络犯罪分子正在从此黑客行为中赚钱;而销售这些帐户的人很可能不是那些进行黑客攻击和分发密码转储的人。
这些被黑账户的价格非常便宜,每个账户大多卖1美元,如果批量购买,价格会更便宜。
有些供应商甚至提供终身保修服务,因此如果一个帐户停止工作,将会免费获得一个新帐户。例如,下面是显示销售Netflix帐户的供应商的屏幕截图。
100 000个电子邮件和密码组合
250 000个电子邮件和密码组合
二、护照和身份证
当潜伏在地下黑市时,我看到很多其他信息被交易,例如假护照、驾驶执照和身份证/扫描件。这件事情的严重性在于,大多数人的身份证件并没有被盗(仅被盗身份证上的数据信息),但它们可以用来引发非数字世界的问题。
人们可以将你的身份与假身份证一起使用,获取电话订阅、开立银行账户等。
下面是出售瑞典护照的屏幕截图,价格为4000美元。同一家供应商可以提供几乎所有欧洲国家的护照。
三、诈骗者的工具箱
在地下市场出售的大多数物品对我来说都不新鲜;因为这些物品都是业界长期以来一直在谈论的。有意思的是,被盗或伪造的发票和其他文件/扫描件(如水电费)也在出售。
例如,有人窃取他人的邮件并收集发票,用来欺骗其他人。他们按行业和国家收集和使用这些发票。然后供应商将这些扫描件作为骗子工具箱的一部分出售。
诈骗者可以使用这些扫描件来针对特定国家的受害者,甚至将攻击范围缩小到性别、年龄和行业。
在研究期间,我开始考虑一个朋友(Inbar Raz)对Tinder bot的研究,通过研究,我设法找到了被盗账户和Tinder bit 之间的联系。这些bot用于从被盗账户中赚取更多钱。因此,账户不仅在黑市上出售,还可用于其他网络犯罪活动。
假Tinder配置文件的有趣之处在于它们具有以下共同特征,非常易于识别:
· 一次性可以匹配很多。
· 大多数女性看起来像超级模特。
· 没有职位或教育信息。
· 窃取Instagram图片,但信息从Facebook帐户中窃取。
· 脚本化的聊天消息。
我研究过的大多数bot都与流量重定向、clickbait、垃圾邮件等相关。到目前为止,我还没有看到任何恶意软件,大多数bot会试图让你参与其他犯罪或窃取你的数据。
第一步是与bot匹配。bit并不总是直接与你联系,而是在响应之前等待你与其进行交互。在某些情况下,介绍的脚本中有一些是关于如何展示裸照或类似内容的文字,然后发布链接。
单击链接,将浏览多个网站,然后被重定向。这个链做很多事情,比如在浏览器中放置cookie,枚举设置,如位置、浏览器版本和类型,以及其他事情。这样做是为了在浏览完目标网页上后,知道接下来要提供哪个页面。在我碰到的情况中,由于我的IP来自瑞典,因此提供的网站显然是瑞典语,这表明他们的目标是全球受害者。
这些网站始终包含其他用户的声明和引用。所使用的大部分信息,包括个人资料照片、姓名和年龄,也来自被盗账户。引用本身显然是假的,但这种方法看起来非常专业。
这个特定的网站要求使用电子邮件注册,它是一个提供工作的网站。实际的攻击行动称为“利润公式诈骗”,是一种二元期权自动交易骗局。它之前已被媒体报道过,所以在此不再赘述。
四、总结
当涉及到网络身份时,人们通常非常天真,特别是当涉及不会以任何方式影响他们隐私的服务时。我经常听到有人说他们不关心是否有人可以访问他们的帐户,因为他们认为可能发生的最糟糕的事情只是帐户将与不认识的人分享。但我们需要明白,即使这一切看起来都很无关痛痒,但毕竟我们不知道犯罪分子用所赚的钱做了什么。
如果他们把它花在毒品或枪支上,然后卖给青少年怎么办?如果他们资助平台和服务器来传播儿童色情内容怎么办?我们需要了解的是,网络犯罪分子经常与其他犯罪分子合作,这意味着他们可能用在黑市上销售被盗Netflix账户所赚的钱来购买毒品。
我注意到的最吃惊一件事是“一切都很便宜”。如果可以访问Facebook帐户,那么有人可以借此收集个人信息,然而对于有人以1美元的价格出售私人生活的部分内容,你肯定无法释怀。
但人们使用的可不仅仅是Facebook。我认为大多数15到35岁的人已经注册了20多种不同的服务,并且可能经常使用其中的10种。几乎不怎么使用的服务是一个问题,因为经常会忘记自己在哪里还有一个帐户。
最常用的帐户包括Facebook、Instagram、Skype、Snapchat、Tinder(或其他约会服务)以及Spotify、Netflix、HBO和YouTube等娱乐服务。除此之外,可能在政府或金融网站上也拥有一个帐户,例如银行、保险公司等。我们还需要记住,其中一些服务使用Google或Facebook作为身份验证,这意味着不使用电子邮件和密码组合,只需使用Facebook或Google帐户登录即可。
看看数据,基本上能以低于50美元的价格出售某人完整的数字生活。我们不是在谈论访问银行帐户,但能够访问可能包含信用卡的服务,例如Spotify、Netflix、Facebook等。
除了完全控制某人的数字生活之外,其他犯罪分子也会使用这些服务来传播恶意软件或进行网络钓鱼攻击。
这些被黑或被盗的帐户的可用性水平令人印象深刻;无需成为一个技术高超的黑客,基本上任何拥有计算机的人都可以访问。