Jak zarabiają hakerzy

Naprawienie szkody powstałej w wyniku kradzieży tożsamości lub danych osobowych, finansowych, czy też medycznych może zająć miesiące, a nawet lata. Jaka jest wartość skradzionych danych na cyfrowym czarnym rynku?
Mamy złą wiadomość dla ofiar kradzieży danych, gdyż rosnąca liczba oszustów ma dostęp do skradzionych informacji po coraz niższych cenach. Powodem takiej dostępności skradzionych danych jest fakt, że hakerzy wykradają je coraz łatwiej. Doskonałym tego przykładem jest wyciek danych Equifax we wrześniu 2017 r., podczas którego mogło ucierpieć nawet 143 mln Amerykanów.

Tutaj znajduje się kilka przykładów cen za skradzione dane:

Infografika przedstawiająca, w jaki sposób hakerzy zarabiają pieniądze

Gdzie sprzedawane są skradzione dane?

Istotną kwestią jest zrozumienie, jak i gdzie odsprzedawane są skradzione dane. Dzieje się to w części internetu zwanej dark web. Można do niej uzyskać dostęp, wyłącznie korzystając ze specjalnego oprogramowania ukrywającego tożsamość użytkowników. Jest to ogromy rynek wszelkich nielegalnych treści. Znaczna część dark web przypomina standardową witrynę e-commerce. Sprzedawcy uzyskują oceny od kupujących. Można tam zakupić oprogramowanie do rozpoczęcia swojej własnej działalności hakerskiej. Płatności za zakupy dokonywane są przy użyciu waluty cyfrowej bitcoin, dzięki czemu zarówno sprzedawcy, jak i kupujący pozostają anonimowi.

Gdy masz już dostęp do tego nielegalnego imperium i posiadasz cyfrową walutę bitcoin, zakup skradzionych tożsamości czy dostępu do kont bankowych jest bardzo prosty. Weźmy za przykład skradzione dane karty kredytowej. Zupełnie jak w przypadku standardowych zakupów online, nabywca określa, czego potrzebuje: rodzaj karty (Amex, Visa, itp.), kod CVV lub trzycyfrowy kod znajdujący się na odwrocie karty, czasami również powiązane dane logowania, imię i nazwisko, datę ważności karty, numer dowodu osobistego, nazwisko panieńskie matki, limity kredytowe, datę urodzenia, lokalizację, itd. Koszt za dane jednej karty kredytowej zależy od rodzaju informacji, których potrzebuje nabywca. Wystarczy kliknąć opcję „kup teraz” i pobrać skradzione dane.

Za jaką kwotę można kupić skradzione dane?

Ile kosztują dane kart kredytowych w dark web? To zależy m.in. od dostawcy skradzionych danych. W przypadku ataku hakerskiego na dużą skalę, w wyniku którego skradziono dane 10 mln kart, ceny mogą spaść, jeśli hakerzy zaleją rynek skradzionymi danymi. Ale ogólnie rzecz biorąc (w oparciu o dane z wielu publicznie dostępnych źródeł), cena danych skradzionej karty kredytowej to 8 $ - 22 $, lub odpowiednik w bitcoin. Te ceny często są wyższe w przypadku skradzionych danych kart z Unii Europejskiej, Kanady i Australii. Nabywcy płacą najwięcej za karty z tzw. „fullzinfo” lub tylko „fullz” – oznacza to, że skradzione dane to zestaw bardzo kompletnych informacji o posiadaczu karty. Jednak, jak opisano w zaskakującym raporcie , na rynku skradzionych danych cyfrowych, dane kart kredytowych i debetowych nie muszą być typowym celem ataków hakerów i oszustów. Coraz częściej celem ataków stają się zabezpieczane hasłami konta w serwisach obsługujących płatności internetowe. W przeciwieństwie do kart kredytowych, w przypadku których cena zależy od różnych aspektów wybranych przez nabywcę, cena tych danych zależy w dużej mierze od stanu salda na rachunkach. Jak można się spodziewać, cena danych logowania do stron bankowych to oddzielna kwestia. Można je nabyć za zaledwie 100 $ za dostęp do konta z saldem w wysokości do 2000 $ lub za ponad 1000 $ w przypadku kont z saldem w wysokości co najmniej 15 000 $.

Rynek skradzionych informacji medycznych

Zarówno dane kart kredytowych, jak i dane logowania do kont bankowych mają określony okres stosowania, który kończy się w momencie, gdy ich użytkownik zorientuje się, że padł ofiarą ataku hakerskiego. Jednak inne dane będące częścią tożsamości cyfrowej są stosowane o wiele dłużej, np. dane medyczne, w tym bardzo cenna elektroniczna dokumentacja medyczna. Zawiera ona niezwykle poufne dane o stanie zdrowia danej osoby i może zostać wykorzystana, aby szantażować lub publicznie poniżyć określone osoby, przeprowadzić oszustwo ubezpieczeniowe na masową skalę, składając fałszywe wnioski ubezpieczeniowe lub w inny sposób wyrządzić szkodę ofiarom kradzieży.

Tak jak w przypadku innych skradzionych danych, koszt takich danych medycznych zależy od kształtowania się popytu i podaży. Zupełnie jak w przypadku innych towarów. Według Michaela Asha, partnera firmy IBM ds. zgodności i ryzyka w zakresie strategii bezpieczeństwa, skradzioną elektroniczną dokumentację medyczną można sprzedać w dark web nawet za 350 $.

Jednak, według najnowszego badania, w związku z tym, że w ostatnim czasie w dark web pojawiło się dużo ofert sprzedaży takich skradzionych danych, ceny spadły. Dodatkowo służby podjęły działania zmierzające do zlokalizowania i ujęcia zarówno sprzedawców, jak i nabywców tych poufnych danych medycznych, co odstraszyło niektórych kupujących. W rezultacie cena zakupu elektronicznej dokumentacji medycznej spadła do 100 $ za sztukę. Ale, jak już wspomnieliśmy, to bardzo dynamiczny rynek, na którym cena skradzionych danych cyfrowych będzie się zmieniać z czasem, często gwałtownie.

W każdym bądź razie, pokusa kradzieży tych danych i sprzedaży ich za spore kwoty będzie się utrzymywać jeszcze w najbliższej przyszłości. Prawdopodobnie najlepszym sposobem ochrony, jaki mogą zastosować osoby szukające zabezpieczeń przed tymi działaniami, jest stosowanie wysokiej jakości, odpornych na ataki haseł oraz odpowiednia „higiena” w zakresie haseł gwarantująca ich częstą zmianę. W związku z tym warto rozważyć stosowanie bezpłatnego menedżera haseł, aby zapewnić odpowiednie zarządzanie hasłami i powstrzymać ataki hakerów.

Źródła: CNBC, Cybersecurity Intelligence, Cyberscoop, CSID, Detroit Free Press, CSO Online, Crain’s, Vocativ, Dark Reading, Insurance Information Institute.