So viel sind Ihre personenbezogenen Daten für Cyberkriminelle wert
Der Schwarzmarkt für gestohlene persönliche Informationen motiviert die meisten Datenschutzverletzungen.

Datenverletzungen sind häufig geworden, und Jedes Jahr werden weltweit Milliarden von Schallplatten gestohlen. Der Großteil der Berichterstattung in den Medien über Datenschutzverletzungen konzentriert sich in der Regel darauf, wie der Verstoß aufgetreten ist, wie viele Datensätze gestohlen wurden und welche finanziellen und rechtlichen Auswirkungen der Vorfall auf Organisationen und Personen hat, die von dem Verstoß betroffen sind. Aber was passiert mit den Daten, die während dieser Vorfälle gestohlen werden?

Als ein CybersicherheitsforscherIch verfolge Datenschutzverletzungen und den Schwarzmarkt für gestohlene Daten. Das Ziel gestohlener Daten hängt davon ab, wer hinter einer Datenverletzung steckt und warum sie eine bestimmte Art von Daten gestohlen haben. Wenn Datendiebe beispielsweise motiviert sind, eine Person oder Organisation in Verlegenheit zu bringen, wahrgenommenes Fehlverhalten aufzudecken oder die Cybersicherheit zu verbessern, geben sie relevante Daten in der Regel öffentlich zugänglich.

2014 unterstützten Hacker Nordkorea Mitarbeiterdaten von Sony Pictures Entertainment gestohlen wie Sozialversicherungsnummern, Finanzunterlagen und Gehaltsinformationen sowie E-Mails unter Top-Managern. Die Hacker veröffentlichten dann die E-Mails, um das Unternehmen in Verlegenheit zu bringen, möglicherweise als Vergeltung für die Veröffentlichung von a Komödie über eine Verschwörung zur Ermordung des nordkoreanischen Führers Kim Jong Un.

Manchmal, wenn Daten von nationalen Regierungen gestohlen werden, werden sie nicht offengelegt oder verkauft. Stattdessen wird es für Spionage verwendet. Beispielsweise wurde die Hotelgesellschaft Marriott 2018 Opfer eines Datenverstoßes, bei dem personenbezogene Daten von 500 Millionen Gästen gestohlen wurden. Die Hauptverdächtigen in diesem Vorfall waren Hacker, die von der chinesischen Regierung unterstützt wurden. Eine Theorie ist das Die chinesische Regierung hat diese Daten gestohlen im Rahmen einer nachrichtendienstlichen Anstrengung, Informationen über US-Regierungsbeamte und leitende Angestellte zu sammeln.

Innerself-Abonnieren-Grafik

Aber bei den meisten Hacks geht es anscheinend darum, die Daten zu verkaufen, um Geld zu verdienen.

Aber bei den meisten Hacks geht es anscheinend darum, die Daten zu verkaufen, um Geld zu verdienen.

Es geht (meistens) ums Geld

Obwohl Datenverletzungen eine nationale Sicherheitsbedrohung darstellen können, geht es bei 86% um Geld, und 55% werden von organisierten kriminellen Gruppen begangen Verizons jährlicher Bericht über Datenschutzverletzungen. Gestohlene Daten werden häufig online auf der Website verkauft Dunkles web. Zum Beispiel im Jahr 2018 Hacker zum Verkauf angeboten mehr als 200 Millionen Platten mit den persönlichen Informationen von chinesischen Personen. Darin enthalten waren Informationen zu 130 Millionen Kunden der chinesischen Hotelkette Huazhu Hotels Group.

Ebenso Daten gestohlen von Target, Sally Schönheit, PF Chang, Hafenfracht und Home Depot tauchte auf einer bekannten Online-Schwarzmarktseite namens auf Beatmungsgerät. Während es einfach ist, Marktplätze wie Rescator über eine einfache Google-Suche zu finden, können andere Marktplätze im dunklen Internet nur mithilfe von gefunden werden spezielle Webbrowser.

Käufer können die Daten erwerben, an denen sie interessiert sind. Die häufigste Zahlungsmethode für die Transaktion ist die Verwendung von Bitcoins oder über Western Union. Die Preise hängen von der Art der Daten, ihrer Nachfrage und ihrem Angebot ab. Zum Beispiel a großer Überschuss von gestohlen persönlich identifizierbare Informationen Der Preis fiel von 4 US-Dollar für Informationen über eine Person im Jahr 2014 auf 1 US-Dollar im Jahr 2015. E-Mail-Dumps mit hunderttausend bis ein paar Millionen E-Mail-Adressen kosten 10 US-Dollar und Wählerdatenbanken aus verschiedenen Staaten für 100 Dollar verkaufen.

So viel sind Ihre personenbezogenen Daten für Cyberkriminelle wertSo viel sind Ihre personenbezogenen Daten für Cyberkriminelle wert

Wohin gestohlene Daten gehen

Käufer verwenden gestohlene Daten auf verschiedene Weise. Kreditkartennummern und Sicherheitscodes können verwendet werden, um Klonkarten für betrügerische Transaktionen zu erstellen. Sozialversicherungsnummern, Privatadressen, vollständige Namen, Geburtsdaten und andere personenbezogene Daten können bei Identitätsdiebstahl verwendet werden. Beispielsweise kann der Käufer Kredite oder Kreditkarten unter dem Namen des Opfers und beantragen betrügerische Steuererklärungen einreichen.

Manchmal gestohlene persönliche Daten werden gekauft by Marketingfirmen oder Unternehmen, die sich auf Spam-Kampagnen spezialisiert haben. Käufer können gestohlene E-Mails auch bei Phishing- und anderen Social-Engineering-Angriffen sowie zur Verbreitung von Malware verwenden.

Hacker haben lange Zeit auf persönliche Informationen und Finanzdaten abgezielt, weil sie leicht zu verkaufen sind. Gesundheitsdaten hat werden zu einer großen Attraktion für Datendiebe in den vergangenen Jahren. In einigen Fällen ist die Motivation Erpressung.

Ein gutes Beispiel ist der Diebstahl von Patientendaten der finnischen Psychotherapiepraxis Vastaamo. Die Hacker nutzten die Informationen, die sie gestohlen hatten, um nicht nur von Vastaamo, sondern auch von seinen Patienten ein Lösegeld zu fordern. Sie Patienten per E-Mail mit der Drohung, ihre psychischen Gesundheitsdaten aufzudecken, es sei denn, die Opfer zahlten ein Lösegeld von 200 Euro in Bitcoins. Mindestens 300 davon gestohlene Aufzeichnungen wurden online veröffentlichtLaut einem Bericht von Associated Press.

Gestohlene Daten wie medizinische Diplome, medizinische Lizenzen und Versicherungsdokumente können ebenfalls verwendet werden einen medizinischen Hintergrund schmieden.

Wie man weiß und was zu tun ist

Was können Sie tun, um Ihr Risiko durch gestohlene Daten zu minimieren? Der erste Schritt besteht darin, herauszufinden, ob Ihre Informationen im dunklen Internet verkauft werden. Sie können Websites wie verwenden haveibeenpwned und IntelligenzX um zu sehen, ob Ihre E-Mail Teil gestohlener Daten war. Es ist auch eine gute Idee, sich anzumelden Schutz vor Identitätsdiebstahl.

Wenn Sie Opfer einer Datenverletzung geworden sind, können Sie nehmen diese Schritte So minimieren Sie die Auswirkungen: Informieren Sie Kreditauskunfteien und andere Organisationen, die Daten über Sie sammeln, z. B. Ihren Gesundheitsdienstleister, Ihre Versicherungsgesellschaft, Banken und Kreditkartenunternehmen, und ändern Sie die Kennwörter für Ihre Konten. Sie können den Vorfall auch der Federal Trade Commission melden, um eine zu erhalten maßgeschneiderter Plan sich von dem Vorfall zu erholen.Das Gespräch

Über den Autor

Ravi Sen., Außerordentlicher Professor für Informations- und Betriebsmanagement, Texas A & M Universität

Dieser Artikel wird erneut veröffentlicht Das Gespräch unter einer Creative Commons-Lizenz. Lies das Original Artikel.