Hier leest u hoeveel uw persoonlijke gegevens waard zijn voor cybercriminelen
De zwarte markt voor gestolen persoonlijke informatie is de oorzaak van de meeste datalekken.

Datalekken zijn gemeengoed geworden, en Elk jaar worden wereldwijd miljarden records gestolen. De meeste berichtgeving in de media over datalekken richt zich meestal op hoe de inbreuk is gebeurd, hoeveel records er zijn gestolen en de financiële en juridische gevolgen van het incident voor organisaties en personen die door de inbreuk zijn getroffen. Maar wat gebeurt er met de gegevens die tijdens deze incidenten worden gestolen?

Als cybersecurity-onderzoeker, Volg ik datalekken en de zwarte markt voor gestolen gegevens. De bestemming van gestolen gegevens hangt af van wie er achter een datalek zit en waarom ze een bepaald type gegevens hebben gestolen. Wanneer datadieven bijvoorbeeld gemotiveerd zijn om een ​​persoon of organisatie in verlegenheid te brengen, vermeende misstanden aan de kaak te stellen of de cyberbeveiliging te verbeteren, hebben ze de neiging om relevante gegevens vrij te geven aan het publieke domein.

In 2014 werden hackers gesteund door Noord-Korea stal gegevens van werknemers van Sony Pictures Entertainment zoals burgerservicenummers, financiële gegevens en salarisinformatie, evenals e-mails van topmanagers. De hackers publiceerden vervolgens de e-mails om het bedrijf in verlegenheid te brengen, mogelijk als vergelding voor het vrijgeven van een komedie over een complot om de leider van Noord-Korea, Kim Jong-un, te vermoorden.

Soms worden gegevens die door nationale regeringen worden gestolen, niet bekendgemaakt of verkocht. In plaats daarvan wordt het gebruikt voor spionage. Zo werd hotelbedrijf Marriott in 2018 slachtoffer van een datalek waarbij persoonlijke informatie van 500 miljoen gasten werd gestolen. De belangrijkste verdachten bij dit incident waren hackers die werden gesteund door de Chinese overheid. Een theorie is dat de Chinese regering heeft deze gegevens gestolen als onderdeel van een poging om inlichtingen te verzamelen over Amerikaanse overheidsfunctionarissen en bedrijfsleiders.

innerlijk abonneren grafisch

Maar de meeste hacks lijken te gaan over het verkopen van de gegevens om geld te verdienen.

Maar de meeste hacks lijken te gaan over het verkopen van de gegevens om geld te verdienen.

Het gaat (meestal) om het geld

Hoewel datalekken een bedreiging voor de nationale veiligheid kunnen vormen, gaat 86% over geld en 55% wordt gepleegd door georganiseerde criminele groepen, aldus Verizons jaarlijkse datalekrapport. Gestolen gegevens worden vaak online verkocht op de donker web. In 2018 bijvoorbeeld hackers te koop aangeboden meer dan 200 miljoen platen met de persoonlijke informatie van Chinese individuen. Dit omvatte informatie over 130 miljoen klanten van de Chinese hotelketen Huazhu Hotels Group.

Evenzo worden gegevens gestolen van doelwit, Sally schoonheid, PF Chang, Haven vracht en Home Depot verscheen op een bekende online zwarte-marktsite genaamd Rescator. Hoewel het gemakkelijk is om marktplaatsen zoals Rescator te vinden via een eenvoudige Google-zoekopdracht, zijn andere marktplaatsen op het dark web alleen te vinden met speciale webbrowsers.

Kopers kunnen de data kopen waarin ze geïnteresseerd zijn. De meest gebruikelijke manier om voor de transactie te betalen is met bitcoins of via Western Union. De prijzen zijn afhankelijk van het type data, de vraag en het aanbod. Bijvoorbeeld een groot overschot van gestolen persoonlijk identificeerbare informatie zorgde ervoor dat de prijs daalde van $ 4 voor informatie over een persoon in 2014 naar $ 1 in 2015. E-maildumps met ergens tussen de honderdduizend en een paar miljoen e-mailadressen, ga voor $ 10, en kiezers databases uit verschillende staten verkopen voor $ 100.

Hier leest u hoeveel uw persoonlijke gegevens waard zijn voor cybercriminelenHier leest u hoeveel uw persoonlijke gegevens waard zijn voor cybercriminelen

Waar gestolen gegevens naartoe gaan

Kopers gebruiken gestolen gegevens op verschillende manieren. Creditcardnummers en beveiligingscodes kunnen worden gebruikt om kloonkaarten te maken voor het uitvoeren van frauduleuze transacties. Burgerservicenummers, thuisadressen, volledige namen, geboortedata en andere persoonlijk identificeerbare informatie kunnen worden gebruikt bij identiteitsdiefstal. De koper kan bijvoorbeeld leningen of creditcards aanvragen onder de naam van het slachtoffer en frauduleuze belastingaangiften indienen.

Soms gestolen persoonlijke informatie wordt gekocht by marketingbedrijven of bedrijven die gespecialiseerd zijn in spamcampagnes. Kopers kunnen ook gestolen e-mails gebruiken bij phishing- en andere social engineering-aanvallen en om malware te verspreiden.

Hackers richten zich lange tijd op persoonlijke informatie en financiële gegevens omdat ze gemakkelijk te verkopen zijn. Gezondheidszorggegevens hebben uitgegroeid tot een grote attractie voor datadieven in de afgelopen jaren. In sommige gevallen is de motivatie afpersing.

Een goed voorbeeld is de diefstal van patiëntgegevens van de Finse praktijk voor psychotherapie Vastaamo. De hackers gebruikten de gestolen informatie om losgeld te eisen van niet alleen Vastaamo, maar ook van haar patiënten. Ze gemailde patiënten met de dreiging om hun geestelijke gezondheidsdossiers bloot te leggen, tenzij de slachtoffers een losgeld van 200 euro in bitcoins betaalden. Minstens 300 hiervan gestolen records zijn online geplaatst, volgens een rapport van Associated Press.

Gestolen gegevens waaronder medische diploma's, medische vergunningen en verzekeringsdocumenten kunnen ook worden gebruikt een medische achtergrond smeden.

Hoe te weten en wat te doen

Wat kunt u doen om uw risico op gestolen gegevens te minimaliseren? De eerste stap is om erachter te komen of uw informatie wordt verkocht op het dark web. U kunt websites gebruiken zoals haveibeenpwned en IntelligentieX om te zien of uw e-mail deel uitmaakte van gestolen gegevens. Het is ook een goed idee om u op te abonneren diensten voor identiteitsdiefstalbeveiliging.

Als u het slachtoffer bent geworden van een datalek, kunt u deze stappen om de impact te minimaliseren: informeer kredietinformatiebureaus en andere organisaties die gegevens over u verzamelen, zoals uw zorgverlener, verzekeringsmaatschappij, banken en creditcardmaatschappijen, en wijzig de wachtwoorden voor uw rekeningen. U kunt het incident ook melden bij de Federal Trade Commission om een op maat gemaakt plan om te herstellen van het incident.The Conversation

Over de auteur

Ravi sen, Universitair hoofddocent informatie- en operationeel management, Texas A & M University

Dit artikel is opnieuw gepubliceerd vanaf The Conversation onder een Creative Commons-licentie. Lees de originele artikel.