[[355727]]

 雖然人們對(duì)隱私問(wèn)題的認(rèn)識(shí)在不斷增強(qiáng)，但大多數(shù)公眾對(duì)隱私的重要性仍然只有最基本的了解。

在現(xiàn)實(shí)生活中，即使我們很好地注意與他人共享個(gè)人數(shù)據(jù)的方式以及共享對(duì)象，我們也無(wú)法放心地保護(hù)自己的隱私。不法商販可能有足夠的動(dòng)機(jī)，除了收集公共領(lǐng)域的數(shù)據(jù)，他們還會(huì)轉(zhuǎn)向黑市，希望找到會(huì)造成真正傷害的個(gè)人信息，比如獲取社交媒體賬戶。在本文中, 我們深入地研究在公共場(chǎng)所共享個(gè)人數(shù)據(jù)的兩個(gè)主要后果：doxing和在暗網(wǎng)上出售個(gè)人數(shù)據(jù)。另外，我們會(huì)分析兩者之間的聯(lián)系并研究這些現(xiàn)象如何影響我們的生活以及這些情況給用戶帶來(lái)了哪些挑戰(zhàn)。

重要發(fā)現(xiàn)

1.Doxing：Doxing 通過(guò)在線查看其詳細(xì)信息,發(fā)現(xiàn)并發(fā)布互聯(lián)網(wǎng)用戶的身份。" doxing "也可以拼作" Doxxing ", 它指的是利用互聯(lián)網(wǎng)發(fā)布和收集個(gè)人和私人信息, 然后在網(wǎng)上公布這些信息(也就是我們通常所理解的“人肉”)。這個(gè)詞源自"文件"這個(gè)詞, 它是"dropping dox"的縮寫, 這種報(bào)復(fù)方法可以追溯到上世紀(jì)90年代初的黑客文化。并不是只有弱勢(shì)群體或從事特定職業(yè)的人(如記者或性工作者)才會(huì)受到影響。任何在網(wǎng)上發(fā)表意見(jiàn)的人都有可能成為doxing的受害者。

2.幾乎所有的公共數(shù)據(jù)都可能被濫用，以進(jìn)行doxing或網(wǎng)絡(luò)欺詐，從而使用戶受到自身數(shù)據(jù)的傷害。

3.隨著我們?nèi)粘Ｉ畲蟛糠址矫娴臄?shù)字化，越來(lái)越多的數(shù)據(jù)被分享給組織，但最終可能落入罪犯之手，現(xiàn)在包括個(gè)人醫(yī)療記錄和帶有個(gè)人身份證明文件的自拍照也會(huì)出現(xiàn)在暗網(wǎng)中。

4.查閱個(gè)人資料的最低價(jià)格是每條0.5美元，最終價(jià)格取決于所提供的資料的深度和廣度。

5.一些個(gè)人信息的需求和近十年前一樣，比如信用卡數(shù)據(jù)、銀行和電子支付服務(wù)。這類數(shù)據(jù)的成本并沒(méi)有隨著時(shí)間的推移而下降，這種情況也不太可能改變。

6.在黑市網(wǎng)站上出售的數(shù)據(jù)可以用于敲詐、執(zhí)行詐騙和網(wǎng)絡(luò)釣魚計(jì)劃以及直接盜竊金錢。某些類型的數(shù)據(jù)，比如對(duì)個(gè)人賬戶或密碼數(shù)據(jù)庫(kù)的訪問(wèn)，不僅會(huì)被濫用以獲取經(jīng)濟(jì)利益，還會(huì)被濫用以損害名譽(yù)，以及其他類型的社會(huì)損害，比如doxing。

doxing

從歷史上看，doxing(也拼作doxxing)意味著在互聯(lián)網(wǎng)上對(duì)一個(gè)人進(jìn)行去匿名化處理，特別是在早期的黑客文化中，人們更喜歡用他們的昵稱(在線處理)來(lái)稱呼他們。然而，這個(gè)詞的含義已經(jīng)演變?yōu)楦鼜V泛的含義。

doxing在某種程度上是一種網(wǎng)絡(luò)欺詐的方式。當(dāng)一個(gè)人未經(jīng)他人同意而分享他人的隱私信息，從而使對(duì)方感到尷尬、受傷或陷入危險(xiǎn)時(shí)，就會(huì)發(fā)生這種情況。這可以包括：

• 令人尷尬的照片或視頻;
• 部分私人信件，可能被斷章取義;
• 一個(gè)人的實(shí)際地址、電話號(hào)碼、私人電子郵件地址和其他私人聯(lián)系方式;
• 職業(yè)和工作詳情;
• 醫(yī)療或財(cái)務(wù)數(shù)據(jù)，犯罪記錄;

為什么doxing是危險(xiǎn)的?

與現(xiàn)實(shí)世界相比，互聯(lián)網(wǎng)上的信息傳播速度非?？欤乙坏┌l(fā)布到網(wǎng)上，幾乎不可能刪除。

doxing最常見(jiàn)的目的是造成一種壓力、恐懼、尷尬和無(wú)助的感覺(jué)。如果你在推特上陷入了一場(chǎng)激烈的爭(zhēng)論，有人發(fā)布了你的家庭地址，并建議人們應(yīng)該傷害你，這自然會(huì)引起焦慮。攻擊也可以直接針對(duì)你的親人。

除了把你的信息發(fā)布到網(wǎng)上讓所有人都看到，攻擊者還可以有針對(duì)性地把你的信息分享給你的親戚、朋友或雇主，尤其是讓你顏面掃地的信息。這可能會(huì)損害受害者與他們所愛(ài)的人的關(guān)系，以及他們的職業(yè)前景。

以下是一些常見(jiàn)的攻擊場(chǎng)景：

1.識(shí)別用戶并直接與雇主分享信息，這會(huì)導(dǎo)致用戶由于社會(huì)壓力而被解雇;

2.向公眾泄漏用戶的私密照片和視頻內(nèi)容，這種行為通常被稱為“色情報(bào)復(fù)”，是一種惡意攻擊個(gè)人隱私的普遍方式，可能會(huì)給受害者帶來(lái)嚴(yán)重后果;

3.暴漏匿名博主、互聯(lián)網(wǎng)用戶、意見(jiàn)領(lǐng)袖和創(chuàng)建者的身份，如果受害者身處敵對(duì)環(huán)境，例如某些國(guó)家的反對(duì)派博主或支持非傳統(tǒng)觀點(diǎn)的人，就會(huì)導(dǎo)致真正的危險(xiǎn);

4.在有關(guān)資料不符合公眾利益及可能直接損害有關(guān)人士的情況下，向傳媒披漏有關(guān)人士及提供有關(guān)人士的個(gè)人資料;

5.收集和分享含有敏感或可疑內(nèi)容的特定人(潛在受害者)的帳戶信息，并分享給可能對(duì)該人進(jìn)行在線或甚至離線暴力的敵對(duì)團(tuán)體;

社會(huì)影響

在社會(huì)和政治分裂日益加劇的時(shí)代， Doxing的攻擊，阻礙了言論自由，產(chǎn)生了令人不寒而栗的效果。它阻止人們表達(dá)自己的觀點(diǎn)，這對(duì)民主和健康的社會(huì)是有害的。

某些特定人群更有可能成為doxing的受害者，記者、博客、活動(dòng)家、律師、性工作者、執(zhí)法人員都面臨著更大的風(fēng)險(xiǎn)。對(duì)女性來(lái)說(shuō)，doxing與性語(yǔ)言侮辱和攻擊密切相關(guān)。對(duì)執(zhí)法人員來(lái)說(shuō)，這也意味著對(duì)他們的人身安全的直接危險(xiǎn)，特別是對(duì)便衣警察來(lái)說(shuō)，網(wǎng)絡(luò)名人比普通用戶面臨的風(fēng)險(xiǎn)更大。但這并不意味著“普通”人就不會(huì)被doxing。如果你在網(wǎng)上說(shuō)了什么或者在鏡頭前做了什么讓一大群人不爽的話，那你一樣會(huì)遭受網(wǎng)絡(luò)暴力。

個(gè)人信息的黑市價(jià)格

Doxing是濫用公共領(lǐng)域中可用的信息的結(jié)果，這些信息不用于獲取經(jīng)濟(jì)利益。但是，對(duì)個(gè)人資料和人身安全的攻擊并不止于此。除了我們自由分享的、任何人都可以收集并用于惡意目的的公開(kāi)數(shù)據(jù)之外，與我們共享數(shù)據(jù)的組織并不總是負(fù)責(zé)任地處理這些數(shù)據(jù)。

根據(jù)定義，這些信息是不應(yīng)該泄漏給公眾的，即使它泄漏了，也不期望它會(huì)傷害我們。根據(jù)卡巴斯基最近的一項(xiàng)研究，37%的千禧一代認(rèn)為他們太無(wú)聊了，不會(huì)成為網(wǎng)絡(luò)犯罪的受害者。今年，大規(guī)模數(shù)據(jù)泄漏的數(shù)量達(dá)到了新高，我們?cè)僖膊粫?huì)對(duì)一家公司遭到黑客攻擊、其客戶數(shù)據(jù)被泄漏或用于索要贖金感到驚訝了。

許多國(guó)家/地區(qū)都在努力更好地保護(hù)個(gè)人數(shù)據(jù)，政府強(qiáng)加了新的指令以確保保護(hù)和懲罰對(duì)公民數(shù)據(jù)進(jìn)行不負(fù)責(zé)任的管理。新的個(gè)人信息保護(hù)法律，如歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)和巴西《通用數(shù)據(jù)保護(hù)法案》(LGPD)，以及增加客戶對(duì)數(shù)據(jù)處理實(shí)踐的審查，已經(jīng)迫使組織提高其安全性并更加認(rèn)真地對(duì)待數(shù)據(jù)泄漏攻擊。

然而，就算有法律的保護(hù)也并不意味著數(shù)據(jù)是安全的。在某些情況下，被竊取的數(shù)據(jù)被用于勒索，而在其他情況下，數(shù)據(jù)被公開(kāi)發(fā)布。有時(shí)是兩者兼而有：使用Maze勒索軟件的攻擊攻擊者如果未能成功獲得贖金，就會(huì)公布竊取的數(shù)據(jù)。但是大部分的信息最終以一種商品的形式出現(xiàn)在暗網(wǎng)上，而且是一種非常容易獲得的商品。黑網(wǎng)論壇和市場(chǎng)，本質(zhì)上是非法的實(shí)物和數(shù)字商品的市場(chǎng)，被網(wǎng)絡(luò)罪犯用來(lái)銷售從惡意軟件到個(gè)人數(shù)據(jù)的服務(wù)和產(chǎn)品。

為此卡巴斯基實(shí)驗(yàn)室的研究人員專門研究了在暗網(wǎng)絡(luò)中發(fā)生的事情，他們研究了此類平臺(tái)上作為商品的數(shù)據(jù)的當(dāng)前狀態(tài)，以了解需要什么樣的個(gè)人數(shù)據(jù)，使用了哪些數(shù)據(jù)以及花費(fèi)了多少。

出于研究目的，研究人員分析了10個(gè)以英語(yǔ)或俄語(yǔ)運(yùn)行的國(guó)際暗網(wǎng)論壇和市場(chǎng)上的有效報(bào)價(jià)，樣本包括在2020年第三季度期間共享且仍然相關(guān)的帖子。

本文涵蓋了暗網(wǎng)上提供的所有類型的個(gè)人數(shù)據(jù)，為了方便介紹，所以本文只關(guān)注在黑市上最受歡迎的一些類別。然而，值得一提的是，被泄漏并在暗網(wǎng)上出售的數(shù)據(jù)庫(kù)類型各不相同，考慮到它們是從不同的機(jī)構(gòu)和組織竊取的，這一點(diǎn)也不奇怪。泄漏的數(shù)據(jù)庫(kù)可以相互參照，這種方式使其更有價(jià)值，因?yàn)樗鼈兲峁┝耸芎φ吒娴膫€(gè)人信息。

單純的用戶身份數(shù)據(jù)每條在0.5美元到10美元之間

在大多數(shù)國(guó)家，包括美國(guó)和整個(gè)歐洲，身份證明文件或身份證是主要的身份證明手段。它們通常與最重要的服務(wù)，特別是國(guó)家服務(wù)聯(lián)系在一起，并包含敏感信息，如美國(guó)的社會(huì)安全號(hào)碼(SSN)。雖然很重要，但這些文件在黑市上的成本并沒(méi)有那么高，這取決于信息的完整程度。例如，擁有全名和保險(xiǎn)號(hào)碼的信息每人只需支付0.50美元，而包括身份證號(hào)碼、全名、SSN、出生日期(DOB)、電子郵件和手機(jī)在內(nèi)的“全套服務(wù)”信息最高可到10美元。價(jià)格也根據(jù)購(gòu)買的數(shù)量而不同，通常情況下批量銷售的數(shù)據(jù)更便宜。

購(gòu)買150張身份證信息算下來(lái)每條僅需50美分

身份證明文件中的數(shù)據(jù)可用于各種騙局，填寫特定服務(wù)的應(yīng)用程序，并獲得其他敏感信息的訪問(wèn)權(quán)，這些信息以后可用于犯罪目的。

有時(shí)，泄漏的數(shù)據(jù)庫(kù)不僅包含ID信息，還包含更多信息

護(hù)照掃描身份數(shù)據(jù)每條在6美元到15美元之間

護(hù)照是另一種很受網(wǎng)絡(luò)罪犯歡迎的身份證明文件，在俄羅斯、烏克蘭和其他前蘇聯(lián)國(guó)家，幾乎所有與政府有關(guān)的服務(wù)或金融服務(wù)都必須使用護(hù)照，從向商店投訴到申請(qǐng)貸款。在其他國(guó)家/地區(qū)，護(hù)照也可以用于在國(guó)際平臺(tái)(例如，加密貨幣交易所)上進(jìn)行身份識(shí)別或用于國(guó)際欺詐。

護(hù)照掃描身份數(shù)據(jù)比身份信息更昂貴，根據(jù)掃描質(zhì)量和國(guó)籍的不同，價(jià)格從6美元到15美元不等。通常，出售兩種類型的護(hù)照掃描件，第一頁(yè)的掃描件，比完整護(hù)照的掃描件便宜，這是可以理解的。

如果需要，可以按性別選擇護(hù)照復(fù)印件

駕照數(shù)據(jù)每條在5美元到25美元之間

由于可以使用駕駛員ID注冊(cè)的服務(wù)數(shù)量不斷增加，駕照逐漸成為另一種身份證明證件。通常，論壇上出售的信息包括有完整信息的駕照掃描件。這些掃描件的價(jià)格從5美元到25美元不等，網(wǎng)絡(luò)罪犯可以用它來(lái)租車、提供本地服務(wù)或進(jìn)行保險(xiǎn)詐騙。

持有身份證明信息的自拍照數(shù)據(jù)每條在40美元到60美元之間

出于安全考慮，有些遠(yuǎn)程服務(wù)要求對(duì)各種操作進(jìn)行身份驗(yàn)證。例如，加密貨幣交易所采用這種做法，讓人們持有身份證明自拍一張以進(jìn)行身份驗(yàn)證，從而提取資金。當(dāng)用戶需要恢復(fù)賬戶權(quán)限時(shí)，社交網(wǎng)絡(luò)會(huì)要求用戶持有身份證明自拍一張，銀行員工在給客戶送信用卡時(shí)也會(huì)拍下類似的照片。

使用盜竊的護(hù)照或身份證自拍可以讓騙子繞過(guò)這樣的規(guī)定，繼續(xù)洗錢。這些文件還可以用于各種各樣的服務(wù)，從汽車租賃到獲得小額貸款或操縱保險(xiǎn)公司。

帶有身份證明文件的自拍照可以用來(lái)繞過(guò)各種身份驗(yàn)證

醫(yī)療記錄數(shù)據(jù)每條在1美元到30美元之間

這個(gè)世界正變得越來(lái)越數(shù)字化，以醫(yī)療記錄為例，網(wǎng)絡(luò)罪犯也已經(jīng)將其列入到了盜取范圍?；仡?012年，當(dāng)我們分析“暗網(wǎng)”中可用的不同類型的數(shù)據(jù)時(shí)，醫(yī)療數(shù)據(jù)還不算什么香餑餑。然而，現(xiàn)在對(duì)這些數(shù)據(jù)的需求很大，因?yàn)樗鼈兛梢杂糜诟鞣N各樣的欺詐活動(dòng)，從獲得醫(yī)療保險(xiǎn)服務(wù)到購(gòu)買管制藥品，甚至可以用來(lái)索要贖金。

對(duì)醫(yī)療信息的盜竊非常喪失人性，因?yàn)樗鼈儗⒈緛?lái)就脆弱的受害者置于更加脆弱的境地。在“暗網(wǎng)”上共享的數(shù)據(jù)類型各不相同，從帶有全名、電子郵件、保險(xiǎn)號(hào)碼和醫(yī)療組織名稱的醫(yī)療表格到患者的完整醫(yī)療記錄：包括其醫(yī)療歷史、處方等。

在暗網(wǎng)論壇上出售的醫(yī)療記錄，從個(gè)人的完整信息到醫(yī)療機(jī)構(gòu)

本文我們對(duì)部分個(gè)人隱私的數(shù)據(jù)價(jià)格做了介紹，下一篇文章我們會(huì)對(duì)其他更有價(jià)值的數(shù)據(jù)做一些介紹，同時(shí)給出一些保護(hù)個(gè)人隱私的方法。

本文翻譯自：https://securelist.com/dox-steal-reveal/99577/如若轉(zhuǎn)載，請(qǐng)注明原文地址。