ハッカーがお金を手に入れる方法
あなたの情報はダークウェブ経由でハッカーにとってどれくらい価値があるでしょうか?
身元情報が盗まれたり個人、財務、または保険記録が盗まれることによる損害の修復は数ヶ月から数年かかる場合があります。ところで今日、デジタルの闇市場において盗まれたデータにはどれくらいの価値があるのでしょう?
データ盗難の被害者にとって悪いニュースは、より安い価格でより多くの詐欺師がより多くの盗まれたデータにアクセスできるようになっていることです。この提供されている大量の盗まれた情報の理由は、単にハッカー達にとって盗むのが容易いからです。2017年9月のアメリカ国内だけで最大1億4300万人に影響を与えたEquifaxでのデータ侵害はその典型例です。
あなたから盗んだデータの価格のいくつかの例はこちらです:
どこで盗まれたデータは販売されますか?
あなたの盗まれたデータが再販売される仕組みと場所について知っておくことは重要です。それは ダークウェブと呼ばれるワールドワイドウェブの一部が舞台です。訪問者の身元を隠す特別なソフトウェアを使ってアクセスされるダークウェブは、あらゆる違法なものの巨大なマーケットプレイスです。一般のEコマースサイトと見た感じは非常に似ています。販売者はしばしば過去の買い手によって評価を付けられています。ソフトウェアを買って自身のハッキングのビジネスを始めることさえできます。売り手への支払いは買い手、売り手双方の匿名性を確保する電子通貨ビットコインを使用して手配されます。
この非合法な市場に足を踏み入れたビットコインを持っているあなたにとって、盗まれた身元情報や銀行口座へのアクセスを買うのは容易です。盗まれたクレジットカードを例に取ってみましょう。他のあらゆるものを買うのと同様、買い手はカードの種類(アメックス、Visa等)、カード裏の三桁の番号CVV、紐付くログインとパスワード情報が欲しいか、名前、有効期限、クレジットスコア、社会保障番号、母親の旧姓、限度額、生年月日、使用の特定の地域、等を指定します。カード毎のコストは買い手が望む情報によって変わります。「今すぐ購入」をクリックして盗まれた物品をダウンロードしたら完了です。
盗まれたデータを買うにはいくらかかりますか?
これらのカードはダークウェブでいくらするのか。価格の幅は広く、盗まれたカードの供給によっても変動します。なので大規模なハックの結果1000万枚のカードが漏洩した場合、ハッカー達が市場に過剰に供給すれば価格は大きく下落します。しかし、一般的に言って(これらの数字は多数の公開のソースから得られたものです)、盗まれたクレジットカードデータのコストは約 8から22ドル、または同等額のビットコインになります。これらの価格はEU、カナダ、そしてオーストラリアの盗まれたクレジットカードの場合より高くなりがちです。いわゆる 「fullzinfo」 または単に「fullz」 の場合、買い手は最高額を支払いますーこれは盗まれたカード保持者に関する記録が完全であるという意味です。しかしマカフィーによる盗まれた電子情報のマーケットに関する衝撃的な詳細レポート によれば、クレジットおよびデビットカードは必ずしも今日のハッカー達や詐欺師にとって通常のターゲットではないとのことです。ターゲットは今まで以上にパスワードで保護されたオンライン決済サービスのアカウントになりつつあります。カード一枚あたりのコストが買い手が選択する異なる要因によって決まるのと違い、この盗まれたデータのコストはオンラインアカウントの残高に大きく依ります。また、あなたも予想したかもしれませんが銀行へのログイン情報の価格は別の話です。2,000ドル以下のアカウントへのアクセスはほんの100ドルで買うことができます。アカウントに15,000ドル以上あった場合1,000ドル以上のコストである場合があります。
盗まれた保険情報の強壮な市場
クレジットカードと銀行へのアクセスのデータの両方とも「賞味期限」があり、被害者が自分がハッキングされたことに気付くとそれは唐突に終わります。しかしより恒久的な情報である別のデジタルの身元情報があり、それは電子カルテ(EMR)を含む個人の保険情報(PHI)です。これらは個人の保険記録に関する高度な機密の情報を含みます。なので、個人に対して脅迫を行ったり、特定の人々を辱めたり、偽の請求で大規模な保険金詐欺を行ったり、その他のさまざまな形の混乱を引き起こし人々に被害を与えることに使用されることが可能です。
他の盗まれた電子データと同様、盗まれた保険記録のコストは他の取引される物品と同様に需給動向に左右されます。IBMでの安全保障戦略リスク&コンプライアンスのアソシエイトパートナー、マイケル・アッシュによれば盗まれた一件のEMRはダークウェブ上で350ドルの値が付く と言います。
しかし、最近そのような記録が多数盗難されダークウェブに売りに出されたため、最近の研究によれば、価格は下落しました。また、最近警察当局がこの高度に個人的な保険情報の買い手と売り手の双方を特定し逮捕する取り組みを強化したため、一部の買い手を恐怖に陥れました。よって、最近は一部のEMRは一件たったの100ドルで買えるようになっています。しかし、先述の通りこの盗まれた電子データの市場は常に変動する需給動向に大きく左右されます。
いずれにせよ、このデータを盗んで最高値を付けた買い手に販売するインセンティブは今後しばらく存在するでしょう。これらのアセットを保護したい個人にとっての最大の防衛手段は、高品質で事実上万全なパスワードと定期的な変更が確保する適切なパスワードの「衛生」かもしれません。この点から、パスワード管理から曖昧さを無くすことによってハッカー達を未然に防ぐ 無料のパスワードマネージャーを検討するのが賢明と言えます。
ソース:CNBC, Cybersecurity Intelligence, Cyberscoop, CSID, Detroit Free Press, CSO Online, Crain’s, Vocativ, Dark Reading, Insurance Information Institute
