数字经济时代中,数据就像石油一样宝贵。个人数据的商业市场已经形成,而那些拥有大量用户数据的公司的价值就会直线上升。与此同时,一些专门买卖用户信息的网络犯罪组织也越来越张狂,像“cybercrime-as-a-service”服务更是激发了网络犯罪的发生。
通过多年与执法部门的合作和对在线平台、社区、买卖数据市场的长期监视,发现了一些地下网络犯罪市场的商业交易、业务和价格情况。
报告中列出了所有黑市上可以买卖的物种,包括PayPal账户、信用卡/借记卡数据等。银行登陆凭证的价格从190美元到1200美元不等,含2200美元的结算帐户登录凭证售价190美元。能够暗中向美国银行转移资金的银行帐户登录凭证价格中,余额为6000美元的售价500美元,余额为20000美元的账户售价1200美元。而可向英国转移资金的银行帐户登录凭证中,余额为10000美元的售价为700美元帐户, 16000美元的账户价格是900美元。
信用卡和借记卡的价格也会因地域不同有所差异,在美国是从5美元到30美元不等,在英国是20到35美元不等,加拿大是20到40美元不等,澳大利亚是21到40美元不等,欧盟是25到45美元不等。
地下市场:大隐隐于市
事实上,买卖用户数据的地下市场都有一个隐秘的入口,但不是每个人都能找到并进入。而且这些市场并不像我们想象的那般——有一个隐秘的房屋,后面有个没人知道的小庭院。
现在黑市上交易的物品种类繁多,所有网络犯罪者得到的非法信息都可以拿来买卖。尤其是在网络犯罪服务(cybercrime-as-a-service)出现之后,地下市场上出现了更多可供交易的商品。
但是,随着各种数据泄露事件、网站入侵事件的披露,越来越多的人对个人信息泄露已经“麻木”,所以本报告的一个目的就是对抗麻木,不是说要唤起大家的危急意识,但要对数据泄露有一定的认知。
金融数据
买卖金融数据是一个很大的话题,这里所说的金融数据买卖主要指的是支付卡信息的买卖问题。出现在地下市场上的支付卡信息价格会因信息内容不同而不同,具体的价格划分如下面的表格:
其中cvv是card verification value的缩写;Software-generated是主账号(PAN)、有效期、CVV2的有效结合;Fullzinfo是指包含所有了所有的信息:全名、账单地址、支付卡号、有效期、PIN码、社保号、母亲姓、出生日期、CVV2。
买方在购买这些信息时,也可以设定一些限定条件,而且卡的价格也会因地域和可用余额的信息不同而不同:
你要相信一切皆有可能,只有想不到的没有做不到的。下面这张图展示的是地下市场上的银行-银行的转账行为:
登录凭证
地下市场上还会出售访问系统的有效凭证:有直接登录凭证,有需要一定技术的登录凭证(比如漏洞)。如下图所示,利用漏洞可以访问位于欧洲、亚洲、美国的银行和航空系统。
某些企业数据也可以被出售,下面这张图就是卖方在出售某大学的数据。
在线服务
有很多人喜欢订阅数字服务,如音乐、视频、积分计划等,因为订阅这些服务相对来说比较便宜,但也给网络犯罪者留下了一个广阔的活动空间。如果用户的账户被盗取,则会对用户造成很大的影响,轻则账号可能会被冻结或者关闭数周,重则甚至会造成一定得经济损失,比如利用账户中存储的信用卡信息购买一些东西(礼品、服务等),有时还会错失一些优惠积分。
被买卖的在线服务账号
甚至一些积分账号、积分卡都会被网络犯罪者拿到地下市场上拍卖,比如某酒店100000积分的账号就会被卖到20美元。
报告中还评估了黑市中在线服务账户登录凭证了价格,如在线视频(0.55-1美元),额外的有线电视频道流媒体服务(7.50美元),额外的漫画书服务(0.55美元)和职业体育流媒体服务(15美元)。
数字身份
买卖受害者的身份信息是最为严重的,因为身份信息是非常私人的信息。
正如我们所熟知的,有很多僵尸网络会自动下载恶意程序,比如ZBot网银密码窃取器、病毒、勒索软件等,进而窃取用户的敏感信息。一旦用户的数字身份信息被在网上买卖,那么购买者则可以完全掌控受害者的信息:社交账号、邮件等。
总结
网络犯罪其实是传统犯罪某种形式的进化,网络犯罪者们购买这些数据之后便会进行大规模的攻击活动,如此造成的危害可想而知。本报告中列举的数据只是冰山一角,还有很多种类的数据、服务没有列举出来,但是希望能通过这些例子引起大家的注意。
原文发布时间为:2015-10-22