W internecie kosztujesz mniej niż oranżada. Chyba że jesteś ojcem Rydzykiem lub Dodą
26.09.2017 15:11, aktual.: 26.09.2017 15:54
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
“Twoje prywatne dane są dla nas najważniejsze” - zapewniają zawsze wszyscy dostawcy usług i właściciele serwisów. A skoro coś jest ważne, to jest i cenne. Jednak kiedy tylko dane trafiają na czarny rynek okazuje się, ile tak naprawdę kosztują. Śmiesznie mało.
Ogłoszenie o sprzedaży danych ponad 3500 klientów banków pojawiło się na forum w sieci TOR. Oferujący ma rzekomo do sprzedania dane z czterech polskich firm: Credit Agricole, Idea Banku, ING Banku Śląskiego i mBanku. Chodzi m.in. o pełne dane teleadresowe, adresy e-mail, numery rachunków oraz ich salda.
By odkupić dane związane z jednym z klientów wystarczyło zapłacić… 3 zł.
Za 3 zł kupić można więc informacje, które później przydadzą się np. w cyberatakach. Na adres mailowy wystarczy wysłać fałszywą wiadomość, podszywając się pod bank lub inną znaną instytucję. Pełne dane teleadresowe pozwolą spersonalizować treść maila.
Wydaje się oczywiste, że 3 zł za takie informacje to niewiele. Ale to wcale nie jest promocyjna cena - dla cyberprzestępców nie jesteśmy dużo warci.
Imiona i nazwiska, numery telefonów, PESEL, NIP i dokumentów tożsamości oraz adresy tradycyjne i e-mail - właśnie takie dane klientów Orange sprzedawał jeden z przestępców w 2012 roku. Wpadł, bo umówił się na spotkanie z fikcyjnym biznesmenem, który rzekomo był zainteresowany kupnem 135 tys. rekordów. Cena za sztukę? Na początku sprzedawca żądał złotówki, ale udało się zejść do… 40 groszy!
Łączna kwota za pakiet mogła robić wrażenie, ale przeraża, na ile wyceniono pojedynczą ofiarę kradzieży danych.
W 2012 roku na sprzedaż trafiła też baza danych użytkowników Telekomunikacji Polskiej oraz Netii. “Sztuka” kosztowała jednak znacznie więcej niż w przypadku danych klientów Orange, bo aż około 60 zł. Skąd taka różnica w cenie? Być może powodem był fakt, że sprzedający pozyskał numery telefonu do… ojca Rydzyka czy Dody - jak informował wówczas portal niebezpiecznik.pl.
10 dolarów za numer do Beyonce
Bycie celebrytą najwyraźniej podbija wartość bazy danych. Gdy pod koniec sierpnia potwierdzono wyciek danych na Instagramie, okazało się, że przestępcy przejęli szczegóły związane z 6 mln kont. Wśród nich były te należące do gwiazd. Wprawdzie Instagram zaprzeczył, by cyfrowi włamywacze przechwycili hasła, to i tak wykupić można było adresy mailowe czy numery telefonów. Między innymi do takich osobistości jak Adele czy Beyonce. Cena? Mimo wszystko atrakcyjna, bo tylko 10 dolarów za sztukę - czyli nieco ponad 36 zł.
Gdy jednak chodzi o zwykłych zjadaczy chleba, ceny są śmiesznie niskie. Baza danych miliona użytkowników Facebooka (choć niezbyt groźna dla ofiar - jak pisał Niebezpiecznik, “zawierała jedynie imię i nazwisko, adres e-mail oraz URL do profilu”) wyceniona została na… około 16 zł.
Dla ewentualnych przestępców, którzy skupują dane, nie była to aż tak atrakcyjna oferta. Ale nie jest to wytłumaczenie dla niskiej ceny. Gdy w 2016 roku na sprzedaż trafiły dane 167 milionów kont z serwisu LinkedIn, cyberoszuści chcieli za komplet tylko 5 BTC, czyli *dziś w przeliczeniu na złotówki ponad 65 tys. zł. *
Tylko?!
Grosze za hasło
Tylko, bo jak informował portal Zaufana Trzecia Strona, baza zawierała 117 milionów adresów email oraz haszów hasła. Co oznaczało, że w krótkim czasie 90 proc. z nich mogła zostać złamana. Mając hasło do jednego serwisu, bardzo często ma się do wszystkich. A na dodatek kurs bitcoina był nieco mniejszy niż obecnie, kiedy bije wszelkie rekordy. Wystarczy więc podzielić żądaną sumę z ilością kont, by zobaczyć, jak tania była to oferta…
I również nie była pod względem ceny specjalnie wyjątkowa:
- Baza zawierająca prawie 100 mln kont do rosyjskiego odpowiednika Facebooka VKontakte, zawierająca hasła, loginy, numery telefonów i adresy pocztowe - ponad 2254 zł za całość (!)
- Baza składająca się z haseł do 272,3 mln. kont e-mail, w tym 24 mln do Gmaila - około 3 zł za hasło do jednego konta
- Dane miliarda użytkowników Yahoo (imiona i nazwiska, daty ich urodzin czy numery telefonów, a także odpowiedzi na pytania zabezpieczające oraz zapasowe adresy mailowe, które mogły pomóc przy resetowaniu haseł użytkowników) okazały się warte zaledwie 300 tys. dolarów. Jedno konto kosztowało nieco ponad grosz!
Gdzie kupuje się takie poufne dane? Oczywiście nie na Allegro. Handel odbywa się głównie w tzw. Dark Webie - czyli ukrytej części internetu. I anonimowej, za sprawą sieci Tor. To rozwiązanie, które zostało tak zaprojektowane, by uniemożliwić wyśledzenie skąd i dokąd płyną dane oraz jaka jest ich treść. Z wolności, jaką daje Tor, korzystają np. osoby, w krajach których panuje cenzura internetu. Dzięki temu mogą anonimowo i bezpiecznie skorzystać z "zakazanych" stron, takich jak Facebook czy serwisy informacyjne. Ale jest też druga strona medalu - m.in. handel wszystkim tym, co zakazane. To właśnie na polskim forum Tor można było kupić dane polskich klientów banków. Na innym, zagranicznym, w 2016 roku na sprzedaż wystawiono 61 kart kredytowych Polaków (i milion innych), do kupienia za 11 dolarów każda. Ale sprzedaż prywatnych danych to zaledwie kropla w morzu. W Dark Webie kupić można narkotyki, broń, dzieciecą pornografię czy... innych ludzi. Właśnie na jednym z takich forum wystawiona na sprzedaż była uprowadzona polska modelka.
Od czego zależy cena naszych danych?
- Jeżeli mamy do czynienia z wyciekiem masowym (obejmującym dane wielu użytkowników jakiejś usługi), a do tego w skradzionych informacjach znajdują się np. tylko adresy e-mail, cena jednostkowego wpisu będzie stosunkowo niska, ponieważ posiadanie przez przestępcę samego e-maila (lub np. imienia i nazwiska) ogranicza możliwości dalszego wykorzystania. Więcej warte będą na rynku cyberprzestępczym dane pozwalające na dostęp - np. hasła do usług online czy informacje finansowe (pozwalające na zrealizowanie transakcji w czyimś imieniu). Osobną kategorię stanowią całe cyfrowe tożsamości, szczególnie w przypadku celebrytów i wysoko postawionych osób (np. kadra kierownicza firm). Mówiąc ogólnie, im więcej można zrobić z danymi z wycieku, tym będą one cenniejsze - tłumaczy w rozmowie z WP Tech Piotr Kupczyk z Kaspersky Lab Polska.
Cenne, gdy nieujawnione
Trzeba pamiętać, że bardzo często przestępcy zarabiają nie na sprzedaży danych, tylko na tym, że ich… nie publikują. Czyli na zwykłym szantażu. Tak było, gdy ofiarą hakerów padła klinika zajmująca się operacjami plastycznymi. Żądali od pacjentów kliniki okupu w kwocie do 2 tysięcy euro płaconych w Bitcoinach w zamian za niepublikowanie ich fotografii sprzed i po zabiegach. Podobnie jest zresztą w przypadku ataku wirusów szyfrujących komputer - wówczas odzyskanie danych naprawdę słono kosztuje.
Jak widać nasze dane warte są dużo tylko wtedy, gdy nie są dostępne w masowej sprzedaży. Marne to pocieszenie...