被偷的帳密,身分證明,就醫.金融資料,信用卡…到哪裡去了?

駭客偷取你的個人資料做什麼?

目前網路犯罪集團最賺錢的手段之一就是冒用他人身分來從事犯罪,其獲利甚至在 2016 年創下歷史新高,該年詐騙和身分冒用所造成的損失高達 160 億美元。然而,被偷的資料到底被用來做些什麼?目前網路犯罪集團最賺錢的手段之一就是冒用他人身分來從事犯罪,其獲利甚至 在 2016 年創下歷史新高,該年詐騙和身分冒用所造成的損失高達  160 億美元 。經歷了近幾年的一些大型資料外洩事件 (如  2016 下半年的 Yahoo 事件),現在大多數人都已經知道資料竊盜是無可避免的現實。身分冒用的問題固然令人擔憂,但真正災難卻在後頭,也就是當這些資料被駭客用於不法用途時。

此時,受害者可能遭遇一些嚴重的後果,尤其若歹徒的目標是受害者的保險、銀行和信用卡資料。事實上,許多使用者都不曉得自己的資料早已被駭客掌握,只有在身分被冒用之後才驚覺事態嚴重。

但到底這些失竊的資料最後的去向如何?是被賣到地下市場?還是連同一些其他偷來的資料一起賣給合法的企業?或者被用來盜刷?在我們深入探討失竊資料的流向之前,我們先來看看資料是如何外洩的。

資料如何外洩?

看到一些大型資料外洩事件,或許一般大眾會以為資料外洩都是駭客所引起,但根據趨勢科技的研究報告「 跟著資料循線追查:解構資料外洩事件及破除迷思 」(Follow the Data: Dissecting Data Breaches and Debunking the Myths) 顯示,從 2005 至 2015 年,裝置遺失或失竊才是資料外洩的主因。不過,若以普遍性來看,駭客攻擊和惡意程式的比例也不遑多讓。此外,意外洩漏和內賊所造成的比例也逐漸攀升。

下圖為資料外洩的原因:2005 年 1 月至 2015 年 4 月間各種資料外洩原因所占的比例。

 

41% 裝置遺失或失竊
41% 裝置遺失或失竊

 

 25% 為駭客攻擊或惡意程式
25% 為駭客攻擊或惡意程式

 

17.38% 意外洩漏
17.38% 意外洩漏

 

 

 

12.01% 內賊洩漏
12.01% 內賊洩漏

 

 

1.43% 支付卡資訊
1.43% 支付卡資訊

 

3.16% 未知
3.16% 未知

失竊的資料到哪去了?

一般來說,失竊資料的去向完全取決於資料的種類。以下是失竊資料可能的一些去處:

個人身分資料 (PII –Personally Identifiable Information)

所謂的「個人身分資料」(PII) 是指可用來識別、搜尋或聯絡個人的資料。這類資料包括:姓名、出生年月日、住址和社會安全號碼 (有如身分證號碼)。

冒用身分、謊報個人所得稅、申請貸款等等。

 

金融資料

所謂的「金融資料」是指個人在理財時所用到的資料,包括:銀行帳戶資訊、扣款帳號、保險資料等等。

偽造信用卡、支付帳單、轉帳。

 

醫療資訊

所謂的「醫療資訊」是指個人在取得醫療服務時所用到的資料,包括:就醫記錄、醫療保險以及數位病歷。

地下
市場
詐領保險金,購買處方用藥。

 

支付卡資訊

所謂的「支付卡資訊」是指個人支付卡上的資料,包括:信用卡和扣款卡的資料。

用於網路購物盜刷。

 

憑證

所謂的「憑證」是指用來進入使用者網路帳戶的資料,包括:網路帳號的使用者名稱和密碼。

散發垃圾郵件或發動網路釣魚攻擊。

 

就學資料

所謂的「就學資料」是指個人的教育背景相關資料,包括:在學成績單、大學就學記錄以及報到資料。

用於恐嚇、勒索,或駭客激進活動。

 

 

使用者有各種不同類型的資料可能遭到惡意程式或駭客竊取或外洩。

 

大部分的資料最後都會流向地下市場。

 

但視資料的類型而定,駭客和網路犯罪集團可能用於各種用途。

 

圖 2:失竊資訊最後可能的去向。

個人身分資料被假冒使用者的名義去申辦信用卡、謊報個人所得稅、申請貸款

所謂的「個人身分資料」(PII) 是指可用來識別、搜尋或聯絡個人的資料,例如:姓名、出生年月日、住址、社會安全號碼 (如同身分證號碼)、電話號碼以及所有其他可用來識別個人的資料。

PII 是失竊率最高的資料,而且對網路犯罪集團來說,用途非常廣。駭客經常拿這類資料來從事一些直接影響到受害人的不法行動,例如假冒使用者的名義去申辦信用卡、謊報個人所得稅、申請貸款等等。此外,當受害者的身分資料被賣給行銷公司,還可能會收到一大堆的垃圾郵件。

金融資料可用來偽造信用卡

所謂的「金融資料」是指個人在理財時所用到的資料,包括:銀行帳戶資訊、扣款帳號、保險資料以及其他可用於登入帳號或辦理金融交易的資料。

這類資料一旦被偷,使用者的財務狀況很可能受到嚴重打擊。網路犯罪集團可做的事情包括:用受害者的帳戶來支付帳單、辦理線上交易、將帳戶內的存款匯出。更厲害的犯罪集團甚至可能用這些資料來偽造信用卡供其使用。

醫療資訊可被利用購買處方用藥

所謂的「醫療資訊」是指個人在取得醫療服務時所用到的資料,包括:就醫記錄、醫療保險以及其他相關資訊。

醫療資訊和 個人身分資料 一樣,包含了大量的個人識別資訊。雖然醫療資訊也可用來識別個人的身分,但歹徒大多拿來購買一些需要處方籤才能購買的處方用藥,拿來當成類似毒品使用。

就學資料可能被用來從事網路釣魚

所謂的「就學資料」是指個人的教育背景相關資料,包括:在學成績單與就學記錄。

雖然就學資料的用途並不像金融資料那麼直接,但卻可能被拿來向受害者恐嚇或勒索。駭客可用這些就學資料來威脅或誘騙受害人達到他們的要求。或者,歹徒也可能用這些資料來從事網路釣魚,假裝成某個教育機構的學生或職員。

支付卡資訊可立即拿來從事線上購物或線上交易

所謂的「支付卡資訊」是指個人支付卡上的資料,包括:信用卡和付款卡資料以及其他相關資訊。

雖然這類資料和金融資料一樣,可能對受害者的財務狀況造成影響,但這類資訊外洩對受害者的危險性或許更高,因為歹徒可立即拿來從事線上購物或線上交易。而且,金融資料和支付卡資訊兩者經常息息相關。

網路帳密等登入憑證失竊的危險性比 個人身分資料更高

所謂的數位或網路「憑證」是指用來進入個人網路帳號的身分驗證資訊,包括:電子郵件的使用者名稱和密碼,或是購物網站的登入憑證。

使用者憑證失竊的危險性甚至比 個人身分資料失竊更高,因為受害者的網路帳號很可能直接被歹徒用於不法活動。由於許多網路帳號都是用電子郵件帳號來識別使用者並儲存資訊,因此,電子郵件帳號一旦被盜用,很可能進一步造成詐騙和冒用身分的情況。此外,電子郵件和社群網站帳號還可用來散發垃圾訊息或從事網路釣魚攻擊。有些犯罪集團還會用於網路間諜活動,竊取受害者所屬機構的智慧財產。

我們有證據顯示,各類資訊彼此之間是唇齒相依的。一旦某種資料失竊,那麼另外一種資料也會遭到竊取。

例如,歹徒掌握了某個受害者的電子郵件登入憑證,不幸的是,其信箱內也含有銀行寄來的信用卡繳款電子收據,歹徒進而掌握受害者的銀行帳號資訊,並可能假借受害者名義申請信用貸款。不僅如此,信箱內還有使用者 Facebook 帳號的資訊,而其 Facebook 的密碼又與信箱相同。所以,駭客只需一次攻擊就能取得多種不同的資訊,足以讓他們冒用受害者的多種身分。

 

個人資料值多少錢?

趨勢科技在  2015 年做了一份調查,訪問了全球一千多位民眾,請他們為自己的資料估價。受訪者普遍認為最值錢的是密碼:

資料類型估計價格 (美元)
密碼$75.80
健康資訊與醫療記錄$59.80
社會安全號碼 (如同身分證號碼)$55.70
支付資訊$36.60
購物歷史記錄$20.60
個人所在地理位置$16.10
住址$12.90
照片和影片$12.20
婚姻狀態$8.30
姓名和性別$2.90

個人身分資料 在地下市場上確實有明確的價格,基本上,所有偷來的資料,其價格皆取決於資料對歹徒的用處。以下是 2015 年我們在撰寫前述報告時在地下市場訪查到的價格:

  • 個人身分資料基本上是以「行」為單位,每行 1 美元。
  • 個人的完整信用報告且 FICO23 評分很高者,每份報告 25 美元。
  • 護照、駕照、水電瓦斯帳單等等的完整掃描文件,每份 10 至 35 美元不等。
  • 全球銀行帳號登入憑證在深層網路市集的價格從每帳號 200 至 500 美元不等。
  • 美國各行動電話業者的帳號每個 14 美元。
  • 成熟的 PayPal 和 eBay 帳號 (擁有多年交易紀錄者) 每個帳號 300 美元。成熟的帳號內的交易較不容易被銀行盯上。

如何避免身分被冒用?

由於身分冒用的情況相當普遍,企業和一般使用者都必須小心顧好自己的個人資訊,不論是個人或企業員工的個人資訊。以下是一些避免、甚至杜絕身分遭到冒用的方法。

在裝置上採取較嚴格的安全措施:

使用者必須採取適當的防盜措施來確保裝置上的資料不會輕易被他人取得。

切勿點選可疑的連結、程式或應用軟體:

使用者必須小心任何可疑的電子郵件和訊息,尤其是來自不明來源時。

避免在網路上公開太多個人資訊:

在網路上分享個人的生活點滴固然有趣,但最好還是多保留一點個人隱私。

趨勢科技解決方案

除了前述的良好習慣之外,使用者也可考慮安裝 趨勢科技PC-cillin雲端版 這類防護產品來提供有效的竊盜防範。除此之外,企業還可部署 趨勢科技的Deep Discovery Inspector來監控所有的連接埠和網路通訊協定以偵測進階威脅並防範針對性攻擊。

 

原文出處:What do Hackers do with Your Stolen Identity?

 


趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

 

好友人數