Cómo los ciberdelincuentes utilizan big data para convertir datos inofensivos filtrados en dinero

John P. Mello Jr. | TUBO

Al yuxtaponer datos de múltiples fuentes, los ciberdelincuentes pueden crear perfiles de titulares de cuentas comprometidos para permitir otros ataques o aumentar la efectividad de los ataques de ingeniería social.
Ⓒ Banco de imágenes de Getty

Casi a la mitad de 2021, ya ha habido más de 24 violaciones importantes de datos, incluidas Facebook, LinkedIn, Instagram y US Cellular. , T-Mobile, Geico y Experian. Los datos robados de estas infracciones afectan a millones de usuarios, incluso si algunos datos son tan inofensivos como una dirección de correo electrónico. Porque los datos robados no están en silos.

“Estos datos no existen solos”, dijo Jeff Pollard, vicepresidente y analista jefe de Forrester Research. Una infracción podría haber filtrado direcciones de correo electrónico y otra infracción podría haber generado más información adicional “.

Pollard advierte contra la visualización de cada infracción de forma individual, ya que los datos se pueden agregar y compilar para recopilar información detallada sobre un individuo. “Una migaja lleva a otra, y debido a la omnipresencia de la infracción, alguien puede juntarla”, dijo.


Combinación de datos utilizada en ataques de phishing

La forma en que los actores de amenazas manejan los datos robados es cada vez más sofisticada. Los actores de amenazas toman nuevos datos y los fusionan con los datos que ya tienen para expandir la base de datos. Un conjunto de datos podría tener nombres y apellidos, otro tendría nombres, apellidos y direcciones de correo electrónico, y un tercer conjunto de datos tendría datos sobre gustos e intereses.

John Kinsella, arquitecto jefe en la nube de Accurics, un proveedor de herramientas de seguridad y cumplimiento, dijo: “Los datos en sí no son tan importantes, pero si puede combinar estos datos en una sola base de datos, puede usarse para ataques de phishing o para usted puede usar sus registros de crédito. informe) ”, advirtió.

Actualmente, estos conjuntos de datos combinados están siendo utilizados por los actores de amenazas que los crearon, pero se esperan cambios. El siguiente paso es alquilar el conjunto de datos combinado para una campaña de phishing.

Mientras que los delincuentes escriben software personalizado para fusionar conjuntos de datos, los delincuentes más grandes pueden llevar esto a otro nivel. “Los delincuentes están dispuestos a pagar para usar algún tipo de plataforma de big data para ayudar al estado a aprovechar los datos que posee el estado”, dijo Kinsella. “Se están filtrando 700 GB y 7 TB de datos. Estos conjuntos de datos se manejarán mediante un motor de análisis como Spark “.


Los atacantes apuntan al organigrama

Los conjuntos de datos fusionados representan una amenaza tanto para las empresas como para los consumidores. Por ejemplo, las direcciones de correo electrónico se pueden utilizar para dar forma a la jerarquía de instituciones y empresas. El análisis de los datos combinados de múltiples violaciones de datos podría revelar una colección de direcciones de correo electrónico corporativas que podrían ser objetivos potenciales de compromiso.

“Ahora un atacante tiene muchos nombres, puedes mirar a tu alrededor y averiguar cuáles son esas posiciones”, dijo Kinsella. El atacante puede comenzar a crear una imagen de la organización corporativa “. Este conocimiento puede conducir a comunicaciones más específicas con los miembros de la empresa para ataques de ingeniería social más efectivos.

Con una comunicación mejor elaborada, el atacante puede generar confianza en el objetivo. “Muchos de los delitos cibernéticos se reducen a un juego de números”, dijo Elena Elkina, socia de Aleada Consulting, una firma consultora de privacidad y protección de datos. Los piratas informáticos y los delincuentes solo necesitan un puñado de personas para hacer clic en un enlace fraudulento, descargar una aplicación maliciosa o proporcionar información de inicio de sesión a la persona equivocada. Así como los macrodatos pueden ayudar a los anunciantes a dirigir clics a su sitio, los piratas informáticos también pueden dirigir clics a su sitio “.

“Este es un problema tanto para las empresas como para los consumidores, porque los consumidores también son empleados. No importa si los correos electrónicos brindan a las personas información fiscal o los engañan para que verifiquen a los empleados. “El delito cibernético a menudo comienza con errores individuales”.


Generar confianza con datos no sensibles

Roger Grimson, evangelista de defensa del proveedor de educación de concienciación sobre seguridad KnowBe4, dice que la información que no es de identificación personal, o datos que no son PII, es más probable que piratee a más personas que los datos de información de identificación personal (PII). utilizado Esto se debe a que los datos que no son PII están intrínsecamente menos protegidos y más generalizados que los datos PII “.

Todo lo que un atacante pueda aprender sobre los intereses y esfuerzos de alguien brinda una oportunidad para que el atacante construya relaciones estrechas de confianza. “Si lo piensas bien, así es como construimos relaciones y amistades en el mundo real”, dijo Grimson. A los humanos les encanta compartir, y esto genera intimidad y amistad. Lo mismo ocurre con el phishing y la ingeniería social “.

Los intentos de utilizar datos que no son PII para ganar más confianza se denominan pretextos. Interactuar y desarrollar relaciones de confianza en áreas que no requieren altos niveles de confianza facilitará la transferencia de la confianza a situaciones que requieran niveles más altos de confianza.

Por ejemplo, un atacante que se entera de que una empresa objetivo está utilizando un proveedor de procesamiento de nómina en particular puede llamar al departamento de recursos humanos o de nómina de esa empresa y pretender que está llamando desde el proveedor de nómina. Pueden presentarse, hablar amablemente, explicar qué cambios se producirán en el sistema y qué nueva orientación recibirá la empresa víctima en unas pocas semanas, disculparse por las molestias y luego colgar.

“Las víctimas confían en ellos más que en la persona que los llamó de inmediato porque no se les pidió que hicieran nada arriesgado en la primera llamada”, dijo Grimson. “Quizás la víctima se identifica con la persona que llama porque ha experimentado actualizaciones del sistema en el pasado y recuerda lo molesto que fue”.

“Un atacante puede hacer algo que promueva las relaciones y la confianza, sin tener que hacer una o dos llamadas más y actuar”, dijo Grimson. Luego, en algún momento en el futuro, el atacante regresará con ‘nuevas pautas’, y la empresa víctima que es el objetivo del ataque responderá a ciegas sin pasar por la verificación con otros antes de realizar la acción que han solicitado. Al final, el negocio de la víctima cuesta cientos de miles de dólares a millones de dólares. Esto sucede casi todos los días “.


Cualquier dato personal robado representa un riesgo

Incluso un atacante sin datos combinados puede hacer que los datos de baja sensibilidad sean un problema para el objetivo. Trevor Morgan, gerente de producto de comforte AG, una compañía de desidentificación de datos, dijo: “En general, si un atacante no intercepta información altamente sensible como un número de seguro social o número de tarjeta de crédito, sino que obtiene otra información de identificación personal, Probablemente pensarás que estará bien. Pero esta idea es realmente incorrecta. Los actores de amenazas, sensibles o insensibles, pueden comenzar a resolver el rompecabezas comenzando con una pieza de PII. El viaje hacia el robo de identidad comienza con ese paso “.

Los actores de amenazas pueden utilizar tipos de datos menos confidenciales, como nombres de usuario, direcciones físicas y correos electrónicos, como información inicial para descubrir más datos y crear un perfil de identidad más completo. “El riesgo general es que toda su identidad, incluida la información personal y transaccional altamente confidencial, pueda ser robada y utilizada para crear nuevas cuentas con ese nombre de usuario”, dijo Morgan. Incluso sin resultados, un atacante podría vender información menos confidencial a una organización de marketing sospechosa, lo que podría aumentar la exposición de la víctima a productos y servicios no deseados “.

Según Morgan, los mismos riesgos se aplican a las empresas. La información única y el conocimiento de que es un empleado de una empresa en particular pueden convertirlo en un objetivo de sofisticadas estafas de phishing que pueden robar el robo de propiedad intelectual u otra información comprometida. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!