你的個資已經不像以前那麼值錢了,至少對那些想要竊取你資料的駭客來說是如此。根據業界長期監控此一區塊的專家表示,就算信用卡被偷能使被害人損失慘重,被竊取的信用卡資料如今價值只剩40美分到 3美元不等,這與10年前的價碼相比跌了10倍有餘。
由於網路釣魚及大規模資料竊取,造成 Fidelity National Information Services去年有 850萬筆資料遭竊,而過去10年間, Designer Shoe Warehouse也有 140萬筆資料被入侵,使得黑市個資數量氾濫。
黑市的個資價格,與衍生性金融商品及其他不受控管的金融工具相比更不透明,但基本的交易準則依然不變:當貨物供應過剩時,價格就會下滑。
於是扮演資料大盤商的駭客,其角色變得像全球化企業的高階主管,負責行銷、合夥、合併或併購等事宜;尤有甚之,還要大打價格戰以提高商品競爭力。
好些合法機構開始一窺黑市秘辛,其中資安研究機構Affinion Security Center底下的CardCops service (信用卡警察服務)開始在網路交易盛行的地方,比如說聊天室之類的放上程式,警告使用者可能的資料竊取。
信用卡號碼在今日黑市只值 2-3美元;信用卡警察服務的主管Dan Clements告訴《Forbes》說:「若是整套個資,包括信用卡號碼、母親姓氏、出生日期、社會安全碼,或是自動提款機的密碼只要10美元。」
資安巨擘塞門鐵克(symantec)表示,銀行帳戶、信用卡、完整個資是排名前三的黑市商品。有時信用卡資料可能只值40美分。這與10年前的光景差異很大,那時一張信用卡資料的平均價格達 20-30美元。Clements表示,這使得個資像大宗物資一樣。他說:「當越來越多駭客及資料竊賊進入市場,個資價格已從曲線上滑落。」
Clements還表示:「資料竊賊通常都會手擁他們非法取得的資料,靜待價格『成熟』再賣出。舉購物網站 Montgomery Ward資料遭竊的例子,此案在2008年 6月才被知曉,但竊案可能在之前就發生了。駭客靜待時機成熟再將貨物於聊天室中賣出。」
資安研究機構Affinion Security Center發現到,駭客嘗試以 1萬美元的價格賣出20萬筆資料。它表示:「駭客會將資料樣本貼在網路上,所以我們依照資料聯絡那些個資被竊的人,發現他們都有個共通點,那就是都曾在Montgomery Ward買東西。」
Affinion Security Center的主管Thomas Rusin補充說明道,全球個資需求也出現地理上的位移。他說:「過去10年間,買家大都來自如羅馬尼亞、保加利亞、愛沙尼亞等東歐國家;但在過去幾年,來自印尼或越南等的東南亞買家開始出現,現在反美國家如伊朗也開始入市。」
美國當局包括秘密特務單位(Secret Service)、聯邦調查局、司法部都注意到黑市的存在。但由於這個市場的本質流動且並不集中,使得相關犯罪更加難以一網打盡。
2004年時,美國秘密特務單位查獲了位在東歐的論壇「Shadowcrew」。它是被竊信用卡資料的清算中心,資料高達170萬筆,造成的損失金額達400萬美元。同年,19位負責這多達4000名會員論壇運行的人士被起訴。
只有19人被起訴?那剩下的4000人跑哪去了?美國司法部表示,當Shadowcrew傾頹時,另外幾個論壇開始萌芽。Clements表示:「這些人的移轉非常快速。」 2005年時,美司法部發現論壇「國際先進犯罪活動組織」重新包裝,更名為「竊賊服務」。一年後,司法部也發現論壇「信用卡人市場」靠著攻佔其他論壇的市場,大幅增收會員。
2008年10月16日,美國聯邦調查局宣布查獲會員制論壇「暗黑市場」 (Dark Market)。此論壇主要活動為買賣及交易個資,會員數高達2500名,其中56人被聯邦調查局逮捕。聯邦調查局花費兩年時間滲入此論壇,其中還有臥底幹員當起論壇管理員以收集情資。
《Forbes》指出,儘管黑市個資已經氾濫,但消費者資料被竊的損失依然重大。美國聯邦法規只擔保被竊信用卡每張50美元,提款卡則為50-500美元之譜,但被害者所受的損害遠超於此。
美國聯邦貿易委員會的數據顯示,今年與去年相比,被害人數上漲了 5個百分點,每人平均受害金額也從去年的554美元飆漲到691美元,去年總損失更高達 450 億美元。
資安研究機構Affinion Security Center有時會放出誘餌,看誘餌最後流向何方。Russin說:「我們把這些誘餌丟到像地下網路賣場一樣的地方,發現這些誘餌幾乎是馬上被駭客攫取,且立即使用。」這對網路使用者來說可不是個好消息。
更不幸的是,個資價格下滑,只會使駭客更辛勤工作。
(陳律安)
http://news.cnyes.com/stock/dspnewsS.as ... _totalnews