到处被倒卖的个人隐私数据到底价值几何?(上)
2020-12-04 12:11:00 Author: www.4hou.com(查看原文) 阅读量:220 收藏

虽然人们对隐私问题的认识在不断增强,但大多数公众对隐私的重要性仍然只有最基本的了解。

在现实生活中,即使我们很好地注意与他人共享个人数据的方式以及共享对象,我们也无法放心地保护自己的隐私。不法商贩可能有足够的动机,除了收集公共领域的数据,他们还会转向黑市,希望找到会造成真正伤害的个人信息,比如获取社交媒体账户。在本文中, 我们深入地研究在公共场所共享个人数据的两个主要后果:doxing和在暗网上出售个人数据。另外,我们会分析两者之间的联系并研究这些现象如何影响我们的生活以及这些情况给用户带来了哪些挑战。

重要发现

1.Doxing:Doxing 通过在线查看其详细信息,发现并发布互联网用户的身份。" doxing "也可以拼作" Doxxing ", 它指的是利用互联网发布和收集个人和私人信息, 然后在网上公布这些信息(也就是我们通常所理解的“人肉”)。这个词源自"文件"这个词, 它是"dropping dox"的缩写, 这种报复方法可以追溯到上世纪90年代初的黑客文化。并不是只有弱势群体或从事特定职业的人(如记者或性工作者)才会受到影响。任何在网上发表意见的人都有可能成为doxing的受害者。

2.几乎所有的公共数据都可能被滥用,以进行doxing或网络欺诈,从而使用户受到自身数据的伤害。

3.随着我们日常生活大部分方面的数字化,越来越多的数据被分享给组织,但最终可能落入罪犯之手,现在包括个人医疗记录和带有个人身份证明文件的自拍照也会出现在暗网中。

4.查阅个人资料的最低价格是每条0.5美元,最终价格取决于所提供的资料的深度和广度。

5.一些个人信息的需求和近十年前一样,比如信用卡数据、银行和电子支付服务。这类数据的成本并没有随着时间的推移而下降,这种情况也不太可能改变。

6.在黑市网站上出售的数据可以用于敲诈、执行诈骗和网络钓鱼计划以及直接盗窃金钱。某些类型的数据,比如对个人账户或密码数据库的访问,不仅会被滥用以获取经济利益,还会被滥用以损害名誉,以及其他类型的社会损害,比如doxing。

doxing

从历史上看,doxing(也拼作doxxing)意味着在互联网上对一个人进行去匿名化处理,特别是在早期的黑客文化中,人们更喜欢用他们的昵称(在线处理)来称呼他们。然而,这个词的含义已经演变为更广泛的含义。

doxing在某种程度上是一种网络欺诈的方式。当一个人未经他人同意而分享他人的隐私信息,从而使对方感到尴尬、受伤或陷入危险时,就会发生这种情况。这可以包括:

令人尴尬的照片或视频;

部分私人信件,可能被断章取义;

一个人的实际地址、电话号码、私人电子邮件地址和其他私人联系方式;

职业和工作详情;

医疗或财务数据,犯罪记录;

为什么doxing是危险的?

与现实世界相比,互联网上的信息传播速度非常快,而且一旦发布到网上,几乎不可能删除。

doxing最常见的目的是造成一种压力、恐惧、尴尬和无助的感觉。如果你在推特上陷入了一场激烈的争论,有人发布了你的家庭地址,并建议人们应该伤害你,这自然会引起焦虑。攻击也可以直接针对你的亲人。

除了把你的信息发布到网上让所有人都看到,攻击者还可以有针对性地把你的信息分享给你的亲戚、朋友或雇主,尤其是让你颜面扫地的信息。这可能会损害受害者与他们所爱的人的关系,以及他们的职业前景。

以下是一些常见的攻击场景:

1.识别用户并直接与雇主分享信息,这会导致用户由于社会压力而被解雇;

2.向公众泄漏用户的私密照片和视频内容,这种行为通常被称为“色情报复”,是一种恶意攻击个人隐私的普遍方式,可能会给受害者带来严重后果;

3.暴漏匿名博主、互联网用户、意见领袖和创建者的身份,如果受害者身处敌对环境,例如某些国家的反对派博主或支持非传统观点的人,就会导致真正的危险;

4.在有关资料不符合公众利益及可能直接损害有关人士的情况下,向传媒披漏有关人士及提供有关人士的个人资料;

5.收集和分享含有敏感或可疑内容的特定人(潜在受害者)的帐户信息,并分享给可能对该人进行在线或甚至离线暴力的敌对团体;

社会影响

在社会和政治分裂日益加剧的时代, Doxing的攻击,阻碍了言论自由,产生了令人不寒而栗的效果。它阻止人们表达自己的观点,这对民主和健康的社会是有害的。

某些特定人群更有可能成为doxing的受害者,记者、博客、活动家、律师、性工作者、执法人员都面临着更大的风险。对女性来说,doxing与性语言侮辱和攻击密切相关。对执法人员来说,这也意味着对他们的人身安全的直接危险,特别是对便衣警察来说,网络名人比普通用户面临的风险更大。但这并不意味着“普通”人就不会被doxing。如果你在网上说了什么或者在镜头前做了什么让一大群人不爽的话,那你一样会遭受网络暴力。

个人信息的黑市价格

Doxing是滥用公共领域中可用的信息的结果,这些信息不用于获取经济利益。但是,对个人资料和人身安全的攻击并不止于此。除了我们自由分享的、任何人都可以收集并用于恶意目的的公开数据之外,与我们共享数据的组织并不总是负责任地处理这些数据。

根据定义,这些信息是不应该泄漏给公众的,即使它泄漏了,也不期望它会伤害我们。根据卡巴斯基最近的一项研究,37%的千禧一代认为他们太无聊了,不会成为网络犯罪的受害者。今年,大规模数据泄漏的数量达到了新高,我们再也不会对一家公司遭到黑客攻击、其客户数据被泄漏或用于索要赎金感到惊讶了。

许多国家/地区都在努力更好地保护个人数据,政府强加了新的指令以确保保护和惩罚对公民数据进行不负责任的管理。新的个人信息保护法律,如欧盟的《通用数据保护条例》(GDPR)和巴西《通用数据保护法案》(LGPD),以及增加客户对数据处理实践的审查,已经迫使组织提高其安全性并更加认真地对待数据泄漏攻击。

然而,就算有法律的保护也并不意味着数据是安全的。在某些情况下,被窃取的数据被用于勒索,而在其他情况下,数据被公开发布。有时是两者兼而有:使用Maze勒索软件的攻击攻击者如果未能成功获得赎金,就会公布窃取的数据。但是大部分的信息最终以一种商品的形式出现在暗网上,而且是一种非常容易获得的商品。黑网论坛和市场,本质上是非法的实物和数字商品的市场,被网络罪犯用来销售从恶意软件到个人数据的服务和产品。

为此卡巴斯基实验室的研究人员专门研究了在暗网络中发生的事情,他们研究了此类平台上作为商品的数据的当前状态,以了解需要什么样的个人数据,使用了哪些数据以及花费了多少。

出于研究目的,研究人员分析了10个以英语或俄语运行的国际暗网论坛和市场上的有效报价,样本包括在2020年第三季度期间共享且仍然相关的帖子。

本文涵盖了暗网上提供的所有类型的个人数据,为了方便介绍,所以本文只关注在黑市上最受欢迎的一些类别。然而,值得一提的是,被泄漏并在暗网上出售的数据库类型各不相同,考虑到它们是从不同的机构和组织窃取的,这一点也不奇怪。泄漏的数据库可以相互参照,这种方式使其更有价值,因为它们提供了受害者更全面的个人信息。

单纯的用户身份数据每条在0.5美元到10美元之间

在大多数国家,包括美国和整个欧洲,身份证明文件或身份证是主要的身份证明手段。它们通常与最重要的服务,特别是国家服务联系在一起,并包含敏感信息,如美国的社会安全号码(SSN)。虽然很重要,但这些文件在黑市上的成本并没有那么高,这取决于信息的完整程度。例如,拥有全名和保险号码的信息每人只需支付0.50美元,而包括身份证号码、全名、SSN、出生日期(DOB)、电子邮件和手机在内的“全套服务”信息最高可到10美元。价格也根据购买的数量而不同,通常情况下批量销售的数据更便宜。

1.png

购买150张身份证信息算下来每条仅需50美分

身份证明文件中的数据可用于各种骗局,填写特定服务的应用程序,并获得其他敏感信息的访问权,这些信息以后可用于犯罪目的。

2.png

有时,泄漏的数据库不仅包含ID信息,还包含更多信息

护照扫描身份数据每条在6美元到15美元之间

护照是另一种很受网络罪犯欢迎的身份证明文件,在俄罗斯、乌克兰和其他前苏联国家,几乎所有与政府有关的服务或金融服务都必须使用护照,从向商店投诉到申请贷款。在其他国家/地区,护照也可以用于在国际平台(例如,加密货币交易所)上进行身份识别或用于国际欺诈。

护照扫描身份数据比身份信息更昂贵,根据扫描质量和国籍的不同,价格从6美元到15美元不等。通常,出售两种类型的护照扫描件,第一页的扫描件,比完整护照的扫描件便宜,这是可以理解的。

3.png

如果需要,可以按性别选择护照复印件

驾照数据每条在5美元到25美元之间

由于可以使用驾驶员ID注册的服务数量不断增加,驾照逐渐成为另一种身份证明证件。通常,论坛上出售的信息包括有完整信息的驾照扫描件。这些扫描件的价格从5美元到25美元不等,网络罪犯可以用它来租车、提供本地服务或进行保险诈骗。

4.png

持有身份证明信息的自拍照数据每条在40美元到60美元之间

出于安全考虑,有些远程服务要求对各种操作进行身份验证。例如,加密货币交易所采用这种做法,让人们持有身份证明自拍一张以进行身份验证,从而提取资金。当用户需要恢复账户权限时,社交网络会要求用户持有身份证明自拍一张,银行员工在给客户送信用卡时也会拍下类似的照片。

使用盗窃的护照或身份证自拍可以让骗子绕过这样的规定,继续洗钱。这些文件还可以用于各种各样的服务,从汽车租赁到获得小额贷款或操纵保险公司。

5.png

带有身份证明文件的自拍照可以用来绕过各种身份验证

医疗记录数据每条在1美元到30美元之间

这个世界正变得越来越数字化,以医疗记录为例,网络罪犯也已经将其列入到了盗取范围。回顾2012年,当我们分析“暗网”中可用的不同类型的数据时,医疗数据还不算什么香饽饽。然而,现在对这些数据的需求很大,因为它们可以用于各种各样的欺诈活动,从获得医疗保险服务到购买管制药品,甚至可以用来索要赎金。

对医疗信息的盗窃非常丧失人性,因为它们将本来就脆弱的受害者置于更加脆弱的境地。在“暗网”上共享的数据类型各不相同,从带有全名、电子邮件、保险号码和医疗组织名称的医疗表格到患者的完整医疗记录:包括其医疗历史、处方等。

6.png

在暗网论坛上出售的医疗记录,从个人的完整信息到医疗机构

本文我们对部分个人隐私的数据价格做了介绍,下一篇文章我们会对其他更有价值的数据做一些介绍,同时给出一些保护个人隐私的方法。

本文翻译自:https://securelist.com/dox-steal-reveal/99577/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/GgGJ
如有侵权请联系:admin#unsafe.sh