暗網(Dark Web)賣甚麼 如果公司在暗網上被談及該怎麼應對?

每年都有大量數據洩漏和重大的資料安全事件引起廣泛關注(例如2022年的MedibankOptus數據洩漏、Twitter數據洩漏,以及UberRockstar的安全妥協,2023年的T-MobileMailChimpOpenAI等)。但是,我們真的意識到威脅的真正規模了嗎?

為了找出答案,Kaspersky的研究團隊在2022年編制了一份包括來自不同行業、全球700間公司的名單:包括工業、電信、金融、零售等。然後在暗網Dark Web上搜索,試圖回答「這些公司有多大可能已遭受了數據洩漏?」的問題。

在這項研究中,研究團隊發現暗網上流行的帖子主要圍繞著出售洩漏帳戶、內部數據庫和文件,以及對企業基礎設施的訪問權。雖然暗網上充滿了其他各類型數據的銷售,例如銀行卡信息、駕照和身份證照片等,但本文的重點將放在前述三種對企業尤其相關的威脅上。研究結果指出,名單上700間公司中,有223間在不同的與數據洩漏相關的暗網主題中被提及。

結果意味著每三間公司就有一間在與數據或訪問銷售相關的黑網帖子中被提及,而從新聞中亦可得知,即使是具有高網絡安全成熟度的公司也被黑客成功攻擊

本文將提供一個統計概述,涵蓋2022年1月至2023年11月期間關於銷售、購買或免費分發受損賬戶、來自泄露的數據和企業訪問的所有暗網帖子,這種分析不限於上述700間公司。

數據洩漏

數據洩漏會暴露機密、敏感的資訊,可能導致重大問題。最常見的例子是數據庫和內部文檔,因為每家公司不論大小、都處理著具有價值的機密數據。任何數據洩露都可能對公司本身、員工和客戶做成影響。

據卡巴斯基DFI平台資料,每個月在暗網上大約有1,700條與資料違規的銷售、分發或購買相關的帖子。

然而並不是每條信息都代表一個獨特的或新的洩露事件。其中一些是對同一洩露事件的重複廣告。一些數據庫可以按國家合併或分割,整理後作為全新的數據庫呈現,或者作為「組合列表 “Combolist”」出現。

combokist
Combolist的一例

另一種常見的循環再利用類型是包含從熱門社交網絡抓取的公開資料的數據庫,如名字、個人資料ID和電子郵件等。這些資料在網絡犯罪社會中仍然是寶貴的攻擊發展資源。在2021年,超過7億名LinkedIn用戶5.33億名Facebook用戶的個人信息被抓取並發布在暗網上。

基礎設施訪問權

在暗網上銷售的另一種受歡迎的數據類型是基礎設施訪問權。基礎設施訪問權受歡迎的原因很簡單:複雜的攻擊幾乎總是包括幾個階段,例如偵察、對基礎設施的初始訪問、獲取目標系統和/或權限的訪問,以及實際的惡意行為(數據盜竊、破壞或加密等)。不同的階段需要不同的專業知識,因此網絡罪犯通常有其專門領域,擅長取得訪問權限的人,可能並不善於在開發攻擊。在這種情況下,購買初始訪問權可以簡化攻擊過程,分工合作對經驗豐富的網絡罪犯來說是成本效益較高。

對於希望減輕與基礎設施訪問權銷售相關風險的企業,最大挑戰是知道有關的銷售信息。這種數據類型的銷售與其他類型相比的最大分別,是網絡罪犯通常不會在信息中提及公司名稱,以免受害對象有所警剔令訪問權限失效。即使有人提到了名稱,社區總是會立刻提醒他們的粗心同僚不要分享多餘的信息。

在這種情況下,受害公司如何追踪到這個威脅?網絡罪犯在信息中通常會包含一些特徵,例如地理位置、行業、公司規模和年收入。

在2022年,Kaspersky研究團隊找到了大約3000個獨特的基礎設施訪問報價。到2023年11月,報價數量已超過了3100個。通常這些被不法取得的訪問權限包括對公司VPN服務的帳戶、以及內部網絡中的一些服務器或主機的方問權限(常見為通過RDP或Web Shells程式進行訪問)。

被盜帳戶

還有另一類數據是獲取初始訪問權的真正發現 —— 被盜賬戶(Compromised accounts)。根據來源,被盜賬戶可分為三類:

  • 公開洩露,這些洩露在網絡犯罪社會中免費分享。
  • 限制訪問的洩露,這些在黑客論壇和私人聊天中出售。有時它們只是含有未經驗證資訊的小型數據庫,甚至可能是生成的。
  • 在暗網論壇上發布的惡意軟件日誌。例如REDLINE和VIDAR這類的資料盜取(Infostealer)惡意軟件,這些被盜賬戶資料現在可以通過網絡犯罪社區中的惡意軟件即服務 (Malware-as-a-Service) 輕鬆獲得。

乍看之下,網絡犯罪分子免費共享憑證似乎毫無意義。然而,如果他們已經不再需要這些數據,免費共享行為可以為他們達到在特定暗網論壇上的網絡犯罪社區提升評級的目的。此外,他們亦可能發布包含被盜賬戶的惡意軟件日誌片段來宣布下一次銷售。

這三種類型的洩露都會對機構造成威脅,因為儘管機構有禁令,員工仍然可能使用公司電子郵件地址在第三方網站上註冊。在典型情況下,公司員工亦很可能在外部服務和公司資源上使用相同的帳戶和密碼,網絡罪犯很可能透過此類途徑未經授權地取得公司基礎設施的訪問權。

應對方法?

那麼,您的數據被盜而且正在暗網上被出售的可能性有多大?面對這種情況您應該怎麼辦?

在數據洩露的情況下,沒有時間去後悔之前沒有落實更強的網絡安全措施、又或是未進行的信息安全培訓。快速的威脅識別及有效率的事件響應計劃可以阻止攻擊出現,或將損害減至最低。至於詳細訂立相關的暗網風險監測方法及威脅應對計劃,可參考Kaspersky的暗網風險應對指引

資料來源: Securelist