【人人自危】38億Clubhouse及Facebook用戶數據網絡兜售
社交媒體平台 Clubhouse 洩露的 38 億個電話號碼的數據資料,據報道指,被一名威脅行為者連同在去年 4 月洩露的 5.33 億 Facebook 個人資料結合,並將這批個人身份信息 (Personal Identifiable Information, PII) 出售給地下市場上出價最高的人。
Threatpost 報道指 Clubhouse 洩露的 38 億個電話號碼的數據庫在地下市場上,並沒有太大價值。 事實上,他們最終被免費置放在黑客論壇上。但據 CyberNews 報導,合併後的 Clubhouse 及 Facebook 數據資料,當中包括姓名、電話號碼和其他數據,並在一個地下論壇上以 100,000 美元的價格兜售共 38 億條資料。據稱,賣家仍在尋找買家。
PerimeterX 的安全分析師 Brian Uffelman 表示,這些憑證資料或能用於基本帳戶接管 (ATO) 攻擊。Uffleman 向 Threatpost 表示,這些被盜的憑證可以被用於憑證填充和 ATO 攻擊,這可以竊取有價值的資源,包括禮品卡、信用卡號碼、會員積分,還是進行虛假交易,而 ATO 攻擊是各企業的主要威脅,而這些憑證會令 ATO 攻擊加劇。
Uffelman 補充指,對網絡犯罪分子來說,使用被盜憑證比尋找企業組織網絡安全防禦漏洞容易得多,而 PerimeterX 的研究亦指出,在 2020 年下半年測量的所有嘗試登入的舉動,高達 85% 是 ATO 嘗試。Uffleman 警告,企業組織需要意識受攻擊的跡象,這些攻擊可能包括求助電話激增、密碼重置激增,以及非人類的用戶行為,例如在短時間內對帳戶作數千次登入嘗試,然後採取適當的措施來阻止這些攻擊。
他亦提醒,用戶也需要注意資料外洩的跡象,消費者需確保他們在不同的網站和應用程式上,使用不同且高強度的密碼。
BreachQuest 的 Jake Williams 則向 Threatpost 表示,通過 SMS 訊息進行 Smishing 或社交工程網絡釣魚攻擊,是網絡犯罪分子試圖將這些數據資料轉化為利潤的其中一個途徑。Williams 指,威脅行為者可以用這些憑證欺騙受害人的朋友作 Smishing 網絡釣魚,他們更可根據受害者最近在 Facebook 的貼文,為受害者「度身定制」詐騙短信。他建議用戶在處理 SMS 訊息時要格外小心,即使是他們認為認識發件人。Williams 指,Clubhouse 用戶需要留意可疑短訊,尤其是那些要求轉賬或通過電話確認請求的短訊,這些都是常見的短訊詐騙手法。
Netenrich 的 John Bambenek 就表示,懷疑情報機構會注意到資料的價值,他指像這樣的洩漏出來的資料,通常會以折扣出售,因為竊取數據的人不知道該如何處理這些數據,在某些情況下,如果情報機構在相關平台上有感興趣的目標,他們就會付款購買。
來自 ThreatModeler 的 Archie Agarwal 指出,除了使用這樣的數據進行更具針對性的詐騙之外,還有一個更大的問題,隨著人們在社交媒體平台共享愈來愈多的個人資料,抓取收集的數據與洩露的數據合併作大數據分析再挖掘,或會揭示用戶隱藏的信息和行為。
儘管資訊安全社群對所有這些數據四散感到震驚,但 KnowBe4 的 Roger Grimes 並不認為 Clubhouse 及 Facebook 合併數據的賣方從這筆交易中獲得多少財務收益。Grimes 認為賣家的要價不會接近 100,000 美元,並指這些外洩的資料稀缺資源。他指出,雖然他同意這些數據可能會助長未來的 smishing 和其他社交工程攻擊,但他並認為會引來用戶太多抵制。