Подробно 10 декабря 2018

Все о вас за $100: как работает черный рынок персональных данных

Недавний взлом данных 500 млн клиентов сети отелей Marriott — лишь очередная многомиллионная утечка: в среднем за год хакеры воруют больше миллиарда аккаунтов. В недавней технорассылке The Bell мы рассказывали, что главная цель взломов — оптовая торговля большими данными. Но это не значит, что вашими аккаунтами не торгуют и в розницу: любые персональные данные можно купить в даркнете, а цены на данные конкретного человека начинаются от $3, показало расследование The Wall Street Journal.

Цены. Легкость взлома и доступность личных данных сделали их очень доступными — номер кредитной карты, карты социального страхования (главный идентификатор для граждан США) или пароль от e-mail могут обойтись всего в несколько долларов. «Если кто-то захочет найти номер моей страховки, это займет несколько минут и будет стоить $3», — рассказал WSJ Андрей Барышевич, сотрудник исследовательской компании Recorded Future, которая собирает и анализирует онлайн-данные в том числе для основанного ЦРУ венчурного фонда In-Q-Tel.

  • По данным Recorded Future и еще одной компании, специализирующейся на кибербезопасности, Armor Defence, номер социального страхования случайного человека стоит всего $0,05, конкретного человека — $3, медицинская история — $5, а номер американской кредитной карты — $7–11.
  • Дороже всего обойдутся логин и пароль от банковского аккаунта с $2000–6000 на счету ($270) и с более чем $16 000 на счету — $1100. Доступ к корпоративным e-mail можно купить за $400–500.
  • Для желающих освоить работу хакера продаются специальные курсы. За $300 можно купить гайд по доступу к чужому банковскому аккаунту с пошаговыми инструкциями о том, как использовать для взлома Fullz — массив личных данных, который включает в себя дату рождения, номер телефона, водительское удостоверение, банковскую информацию и т.д.
Больше историй о главных стартапах планеты в ежедневной рассылке The Bell.

Сколько данных похищено? Украденная информация продается за криптовалюту, платежи отследить трудно, многие продавцы ненадежны, а цены на их услуги существенно разнятся. Но рынок продолжает расти из-за высочайшего предложения, пишет WSJ. По данным компании Risk Based Security, только в США суммарно за все время мошенники похитили или опубликовали более 24 млрд различных удостоверений личности.

Далеко не все владельцы похищенных аккаунтов становятся жертвами, но компания Javelin Strategy & Research оценивает ежегодные убытки американцев от кражи личных данных в $16,8 млрд в 2017 году. Каждая жертва в среднем теряет $776 и тратит 20 часов на восстановление данных, предполагают в Javelin.

Зачем их покупают? Украденная информация используется для изготовления поддельных паспортов и других фальшивых удостоверений личности — украденные данные накладываются на сделанные в редакторе фотографии. Продажа базы Fullz ($100 за данные об одном человеке) способствует развитию мошенничества с SIM-картами, когда злоумышленник с помощью украденных данных убеждает мобильного оператора, что он настоящий клиент, который потерял свой телефон и хочет получить новую SIM-карту. После активации карты мошенник получает контроль над мобильным номером жертвы и использует его для смены паролей и получения доступа к банковскому счету.

Кроме того, украденные данные можно с помощью доступного бесплатно софта использовать для попыток входа на сайты, которые требуют только логина и пароля. Например, утекшие с LinkedIn пары логинов и паролей можно по одному пробовать для входа на Amazon. В 2% случаев пара с одного сайта будет работать и на остальных ресурсах.

Что мне с этого? Проверить, попал ли ваш аккаунт в один из крупных известных взломов, можно здесь, максимально подробно о том, как защитить свои данные от мошенников, — здесь.

Артем Губенко