В публичных отчетах об обнаруженных уязвимостях и кибератаках принято фиксировать количество скомпрометированных счетов. Чем оно больше, тем более серьезной считается атака. Но с точки зрения одного конкретного пользователя, ставшего жертвой взлома, вряд ли имеет значение, были ли его данные украдены в числе 10 тыс. или 50 млн. других, пишет TechCrunch.
С точки зрения криминальной экосистемы число жертв также не имеет существенного значения. Числа важны лишь в среде хакеров, где получение миллиона записей считается более успешным, чем получение тысячи. Остальной мир киберпреступности ориентирован, в первую очередь, на актуальность и полноту полученных данных.
В зависимости от подпольного хакерского сайта, портала в «глубоком интернете» или другого места, какое удастся отыскать, стоимость одной украденной записи может существенно меняться, от $0,0001 до $200. Большая часть персональной информации пользователей стремительно обесценивается после кражи. К примеру, стоимость данных кредитных карт, включающих имена и адреса жертв, номера карт, сроки их действия и CCV-коды, падает на несколько порядков, как только информация о краже становится публичной. Если о краже пишут в прессе, то есть большая вероятность того, что банк уже принял меры и полученные данные стали бесполезными.
В рамках теневой экосистемы существует целый набор криминальных услуг, позволяющих проверять, распределять и отмывать украденные данные. Существует целый институт посредников, которые за передачу информации от продавца покупателю получают около 25% сумы. Также существуют сервисы, еженедельно анализирующие украденные данные десятков миллионов кредитных карт и проверяющие, «жива» ли карта и какую сумму с нее удастся снять.
Часто в ходе взломов злоумышленники крадут имена пользователей, адреса электронной почты и связанные с ними пароли. Конечно, такие пароли, как правило, шифруются, но и ключи, необходимые для их расшифровки, зачастую крадутся вместе с остальной информацией. Звучит угрожающе, но для большинства киберпреступников такой вид данных практически бесполезен. Дело в том, что ценность этой информации целиком зависит от профессиональных хакеров, которым придется расшифровать пароли, прежде чем товар найдет своего покупателя. Это может отнять много времени и ресурсов. Но даже если данные будут расшифрованы, их ценность будет минимальной. Например, из миллиона украденных записей злоумышленники смогут вычленить лишь 250 тыс. адресов почты Gmail.
Этот комплект из 250 тыс. записей, включающих имя пользователя, адрес электронной почты и расшифрованный пароль, может быть продан всего за $20. Вероятно, покупатель будет методом перебора применять список имен и паролей к разным сайтам, надеясь, что кто-то из жертв использует один и тот же пароль на разных ресурсах. Стоимость и ценность такого пакета данных снижается буквально каждый час и падает с каждой перепродажей. Если же информация будет опубликована (к примеру, в каком-либо блоге о безопасности), то данные мгновенно обесцениваются. После этого ими могут заинтересоваться разве что исследователи кибербезопасности.
Информация о масштабной краже данных кредитных карт, как правило, особенно сильно привлекает внимание СМИ и вызывает наибольший резонанс. Но, на самом деле, банки и кредитные компании уже давно наладили эффективную систему противодействия мошенничеству. Так что сегодня вероятность того, что кража данных кредитной карты приведет к реальному похищению денег, кране незначительна.
С распространением «умных» кредитных карт со встроенным микрочипами подделывание карт для мошенничества в магазине станет практически невозможным. Соответственно, ценность украденных данных продолжит падать.
Реальные цели киберпреступников
Но если кража адресов электронной почты, паролей и даже данных кредитных карт перестает быть прибыльной, на каких целях могут сфокусироваться злоумышленники?
Сегодня приоритетом для хакеров становится не большой объем данных о разных целях, а получение как можно более подробной информации об одной конкретной жертве. Чем более подробны данные, тем больше способов их применения можно отыскать. И, соответственно, тем дороже будет стоить такой пакет данных в криминальной экосистеме. Например, комплект, содержащий полное имя жертвы, адрес, дату рождения, номер социального страхования, номер водительских прав, удостоверение личности с фотографией (например, скан страницы паспорта или водительских прав) и номер банковского счета, может стоить целых $100, в зависимости от страны проживания и национальности объекта.
Большинство людей полагает, что с помощью такой обширной информации злоумышленники, в первую очередь, постараются обчистить банковский счет жертвы. Возможно, но для этого им также придется заполучить действительный пароль для онлайн банкинга. Так что гораздо более вероятно, что информация о жертве будет использована для открытия нескольких новых банковских счетов для отмывания денег или иных преступных целей. Также возможно, что на жертву оформят несколько крупных кредитов.
Так что сегодня не имеет значения, идет ли речь о колоссальной краже миллионов паролей у популярного ритейлера или о похищении сотни аккаунтов с форума флористов. Важна лишь полнота украденной информации. Потому если пользователь стал жертвой хищения данных, ему следует как можно быстрее понять, что именно у него украли. Наиболее опасна та информация, которую нельзя легко и быстро поменять, как пароль от учетной записи. Вероятнее всего, именно она будет целью злоумышленников.
