Ile kosztuje człowiek i jego dane na czarnym rynku?

Ile kosztuje człowiek i jego dane na czarnym rynku?10.07.2015 15:24
Źródło zdjęć: © stevendepolo / flickr.com / CC

W 2014 roku wykryto prawie 43 mln „incydentów bezpieczeństwa”, w wyniku, których z rzekomo bezpiecznych systemów informatycznych banków i innych organizacji wyciekły bazy danych z informacjami na temat dziesiątek milionów osób. Oczywiście nie wszystkie trafiły na czołówki serwisów informacyjnych. Kradzieże danych wrażliwych klientów instytucji lub użytkowników serwisów internetowych znalazły się jednak wśród najpoważniejszych naruszeń bezpieczeństwa w 2014 roku.

„Już w pierwszym kwartale 201. roku, wyszły na jaw dane wrażliwe prawie połowy mieszkańców Korei Południowej. Nieco później ofiarą cyberprzestępców padł amerykański operator telekomunikacyjny. Nie przyznał się jednak do skali wycieku. Wiadomo natomiast, że sprawa była poważna. W drugiej połowie 2014 roku cyberprzestępcy zaatakowali natomiast jeden z największych amerykańskich banków, wykradając dane prawie 65 proc. wszystkich zarejestrowanych w USA gospodarstw domowych. Te trzy przykłady to tylko medialny szczyt góry lodowej. Nadużycia tego typu, na mniejszą skalę zdarzają się codziennie.” – powiedział Paweł Dawidek, Dyrektor ds. technicznych w Wheel Systems – „Paradoksalnie, osoby, których dane zostały wykradzione, zwykle nie dostrzegają powagi sytuacji. Nie zdają sobie bowiem sprawy z tego, że także one mogłyby stać się celem takiego ataku. Nie wiedzą czym dla przestępców są ich dane i jak mieliby oni skorzystać na ich pozyskaniu.”

Ile jesteś wart na czarnym rynku?

Bardzo często, nawet w przypadku potwierdzonego wycieku danych z systemu informatycznego instytucji, w której dana osoba ma zarejestrowane konto, prędzej czy później bagatelizuje ona zdarzenie, ponieważ nie doświadcza żadnej fizycznej straty.

„Choć w ręce cyberprzestępców dostały się takie informacje jak dane logowania do serwisu, adres zamieszkania, e-mail, czy numer telefonu, dominuje przeświadczenie, że nikomu nie będzie się chciało korzystać z wykradzionych danych. Tym bardziej, że najprawdopodobniej w identycznej sytuacji znajdują się tysiące osób.”. – twierdzi Paweł Dawidek z Wheel Systems – „Ryzyko, że przestępcy zajmą się akurat mną jest znikome – tak myślą poszkodowani. Poniekąd słuszny wniosek. O ile atak nie był celowany, włamywacze nie będą zawracać sobie głowy pojedynczymi ofiarami. Jeśli nie powiedzie się próba wymuszenia okupu od organizacji, jak np. miało to miejsce w przypadku Plus Banku, bazy trafią na czarny rynek. Za jego pośrednictwem przejdą w ręce profesjonalnych grup, zajmujących się wykorzystaniem tego typu materiałów. Dla nich każdy adres e-mail jest coś wart.” Być może włamywaczy rzeczywiście nie interesują pojedyncze osoby, ale już pakiety danych osobowych mają dla nich konkretną wartość, liczoną w pieniądzach. Na
amerykańskim czarnym rynku kompletną paczkę danych – składającą się z imienia, nazwiska, adresu zamieszkania, numeru karty kredytowej wraz z datami jej wydania i ważności, nazwiska panieńskiego matki, oraz numeru ubezpieczenia społecznego – wycenia się na około 4-5 dolarów za sztukę. Do rzadkości należy jednak sprzedaż detaliczna. Zwykle paczki przechodzą z rąk do rąk, w tysiącach. W takich ilościach są bowiem wykradane z instytucji, którym użytkownicy wcześniej powierzyli swoje dane. Przykładowo, pakiet 1000 adresów e-mail kosztować może 10 dolarów. Identyczny zestaw numerów kart kredytowych bez dat i kodu autoryzującego to już 20 dolarów.

Obrót paczkami z danymi to jednak nie jedyny cel cyberprzestępców. Przy obecnej popularności Facebooka, czy Twittera można także sporo zarobić przejmując konta użytkowników mediów społecznościowych. Szacuje się, że za około 11. dolarów można sprzedać 100 tysięcy polubień na FB. Fani lub obserwujący, to już jednak koszt od 2 do około 12 dolarów za jedyne 1000 osób.

Cyberprzestępczość to też biznes. Włamywacze zainteresowani są więc praktycznie wszystkim, co da się spieniężyć. Do tego grona zaliczają się także konta w grach MMO. Co lepsze można sprzedać nawet za 1. dolarów za pakiet. W czarnorynkowych cennikach znajdują się jednak także dostępy do serwisów internetowych. Prawie każdy współczesny wyposażony jest już bowiem w API, pozwalające na zalogowanie się do panelu administracyjnego przez internet. Takie ułatwienie dla admina to także otwarta droga dla włamywaczy. Czarnorynkowy koszt wykupienia dostępu do panelu waha się więc już od 1 dolara za małe serwisy, do nawet 1000 dolarów w przypadku tych większych.

Dysponując odpowiednimi danymi logowania, albo innym ustanowionym kanałem dostępu, nabywca może ingerować w kod strony. W ten sposób może, np. zagnieździć w niej odpowiednie skrypty, przekierowując ruch pod inne adresy lub wykorzystać witrynę w innych celach. Możliwości jest wiele –. od zgrania bazy danych użytkowników po skorzystanie z niej jako z jednego z wielu ogniw bardziej skomplikowanego cyberataku na inny obiekt.

Nowa generacja włamań?

Coraz częstszą metodą wykradania danych jest wykorzystanie przez włamywaczy trendu outsourcingu usług. Zlecając zadanie zdalnemu konsultantowi, firma zamawiająca usługę, przyznaje mu bowiem uprawnienia, otwierające dostęp do firmowego systemu informatycznego w zakresie niezbędnym do wykonania pracy. Póki jednak zamawiający nie dysponuje narzędziami weryfikującymi jego pracę, musi wierzyć, że zleceniobiorca ma dobre intencje i wykona zadanie w sposób należyty. Niekiedy jednak zdalni konsultanci nadużywają zaufania zleceniodawców, wykorzystując otrzymane uprawnienia w celu ukrycia popełnionych błędów, wyprowadzania danych lub wyrządzenia szkód. Przykładów takich nadużyć nie trzeba daleko szukać. Były powodem kilku najgłośniejszych wycieków w 201. roku.

„Kiedyś bezpieczeństwo informatyczne przedsiębiorstw nieodmiennie kojarzyło się z zagrożeniem zewnętrznym, przed którym broni się przy użyciu rozwiązań typu firewall, IDS/IPS, anti-virus, czy anti-malware. Obecnie, w coraz większym stopniu w grę wchodzą zagrożenia wewnętrzne. –. komentuje Paweł Dawidek – ryzyko pojawia się wszędzie tam, gdzie udostępniany jest zdalny kanał do firmowych, urzędowych, czy bankowych sieci informatycznych, np. w ramach outsourcingu usług. Jest to forma ataku, na odparcie której instytucje nadal nie są gotowe.

Włamaniu „z wewnątrz”. mógłby zapobiec inteligentny system monitorowania sesji zdalnych wspierający administratorów w zarządzaniu zasobami, automatycznie reagujący na podejrzane sytuacje, a w przypadku powodzenia ataku, dający poszkodowanemu przedsiębiorstwu materiał dowodowy, obciążający nieuczciwych podwykonawców. Takie systemy są dostępne i pozwalają w łatwy sposób ustalić, kto i kiedy pobrał dany plik czy usunął z serwera jakiś dokument lub korespondencję. Narzędzie nagrywa sesje w formacie wideo i proaktywnie reaguje na podejrzane zachowania zdalnych konsultantów. Umożliwia też chwilowe zablokowanie sesji danego użytkownika lub całkowite zerwanie połączenia i odebranie mu praw dostępu.

Jedną z kluczowych właściwości dobrego systemu monitorowania sesji zdalnych jest też jego funkcja odstraszająca. Cyberprzestępcy także bowiem działają zgodnie z prawami ekonomii. Starają się więc maksymalizować zysk, inwestując przy tym minimum wysiłku. Zwiększone ryzyko wykrycia, za sprawą działania inteligentnego systemu monitoringu, obniża opłacalność całego przedsięwzięcia. Tym samym oddalając widmo potencjalnego włamania.

Źródło artykułu:WP Tech
© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA