گزارش منتشر شده از سوی یک مؤسسه امنیتی این موضوع را به دقت مورد بررسی قرار داده که اطلاعات شخصی افراد چگونه و از چه منابعی استخراج شده و چگونه مورد سوء استفاده قرار میگیرند. این گزارش نشان میدهد که در بعضی موارد اطلاعات به سرقت رفته کمتر از یک دلار در دارک وب فروخته میشود. دارک وب (دیپ وب) یکی از اسرارآمیزترین بخشهای دنیای فناوری به شمار میرود. دارک وب به قدری پنهان و پیچیده است که حتی گوگل غول جستجوی رسانهای نیز توانایی ایندکس کردن آنرا ندارد. نکته جالب داستان این است که هنوز هیچکس نمیداند دارک وب توسط چه فرد، گروه یا سازمانی سازماندهی میشود.
این روزها بازار سرقت اطلاعات تبدیل به بازار بسیار داغی تبدیل شده است، بهطوری که دنیای زیر زمینی اینترنت جولانگاه افرادی شده است که با فروش اطلاعات هویت شخصی کاربران امرار معاش میکنند. اما این اطلاعات تا چه اندازه میتوانند جذاب باشند؟ با توجه به رشد فزاینده سرقت اطلاعات شخصی، اخبار مربوط به این حملات در حال تبدیل شدن به یک بخش ثابت هفتگی در سرویسهای خبری شده است. ذهنیت رایجی که همه ما به آن اذعان داریم، اینگونه است که دادههای گم شده توسط سازمانها جمعآوری میشود. در شرایطی که از به سرقت رفتن دادههایمان بسیار ناراحت هستیم، وقتی بدانیم اطلاعات ما سر از کجا باز میکنند دیگر نگران اصل قضیه نخواهیم بود و فقط دوست داریم بدانیم دادههایمان اکنون در کجا مورد استفاده قرار میگیرند.
رخنههای اخیری که چند وقت پیش در سایت Hacking Team و تعدادی دیگر از سایت ها پیدا شد، نشان داد که چگونه آسیبپذیریهای مخرب میتوانند زمینهساز انواع مختلفی از حملات سایبری شده و میلیونها حساب کاربری را در معرض خطر قرار دهند. مالیکت معنوی و جزییاتی که به بیرون درز پیدا میکنند، هر دو گروه کاربران عادی و بخشهای اجرایی که روی وب به فعالیت مشغول هستند را در معرض تهدید جدی قرار میدهند. گزارش اخیر میکرو ترند تحت عنوان "آگاهی از رخنههای دادهای" به بررسی افرادی پرداخته است که هدف اینگونه حملات قرار گرفتهاند. ترند در این گزارش ضمن پرداختن به این موضوع که اینگونه نقصها چگونه اتفاق میافتند، به ردیابی دادههای به سرقت رفته از شبکههای کامپیوتری پرداخته و توانسته است، ارزش هر یک از دادههای به سرقت رفته را محاسبه کند. میکرو ترند با استفاده از بانک اطلاعاتی رخنههای دادهای، متعلق به سازمان PRC (سرنام Privacy Rights Clearinghouse) کشف کرده است که از سال 2005 تا آوریل امسال، هک یا بدافزارهایی که در پشت این قضیه قرار دارند تنها در 25 درصد موارد تأثیرگذار بودهاند. عوامل خودی رایجترین دلیل از دست رفتن دادهها بودهاند. بهکارگیری دستگاههای دستکاری شده، از دست دادن فیزیکی یا به سرقت رفتن لپتاپ، حافظه فلش و فایلهای فیزیکی از جمله عوامل دیگری هستند که دادهها را در معرض خطر قرار میدهند. با این حال، رخنههای دادهای تنها عامل افشای اطلاعات به شمار نمیروند. افشای ناخواسته در اثر بیتوجهی یا اشتباه نیز رخ میدهد.
این روزها فراهم کنندگان سرویسهای پرداختی بهترین و جذابترین هدف برای هکرها به شمار میروند. در پنج سال گذشته رخنههای مرتبط با کارتهای اعتباری نزدیک به 169 درصد رشد داشتهاند. مجرمان سایبری این توانایی را دارند تا دادهها را از طریق دستکاری کارتها، دستکاری دستگاههای خودپرداز ATM، جعل و ویرایش پایانههای فروش به سرقت ببرند. بر همین اساس و در یک اقدام هماهنگ ایالات متحده از اول اکتبر سال جاری میلادی تصمیم گرفت تا کارتهای تراشهدار را به میدان وارد کند. کارتهای تراشهدار این توانایی را دارند تا در برابر مکانیزم حملات امروزی امنیت بیشتری را فراهم کنند. این کارتها بر خلاف کارتهای مغناطیسی از شیوه متفاوتی استفاده کرده و از نشانه رمزنگاری شده قدرتمندتری استفاده میکنند.
بدافزارهای ربایشگر کلیدها موسوم به کیلاگرها این توانایی را دارند که روی دستگاهها نصب شده و ترافیک دادهای وارد شده به دستگاه را ضبط کنند. در شرایط کنونی صنعت بهداشت و درمان تحت تأثیر مستقیم رخنههای دادهای قرار دارد. پس از آن دولتها، خردهفروشیها و بخش آموزش تحت تأثیر رخنههای دادهای قرار دارند. میکرو ترند در گزارش خود آورده است که رتبه نخست دادههای به سرقت رفته در ارتباط با هویت شخصی افراد قرار دارد، در ادامه دادههای مالی ارزشمند، از شایعترین اهداف هکرها برای سرقت اطلاعات به شمار میروند. جدای از جزییات مربوط به کارتهای اعتباری و حسابهای بانکی، حسابهای مربوط به پیبال، Uber و بازیهای آنلاین در دارک وب مشتریان زیادی دارند.
دارک وب قطعه کوچکی در دل دنیای وب بوده که بهطور معمول در دسترس کاربران عادی قرار ندارد. در این شبکه حسابهای متعلق به اپراتور همراه ایالات متحده با قیمت کمتر از 14 دلار قابل خرید هستند. همچنین حسابهای متعلق به eBay، PayPal، فیسبوک، Netflix، آمازون و Uber نیز برای فروش قرار دارند. حسابهای پیپال و ایبای که تاریخچه تراکنش آنها چند ماهه یا چند ساله باشد به قیمت 300 دلار فروخته میشوند. بنابر گزارش منتشر شده حسابهای متعلق به Uber در بازار زیرزمینی طرفداران بیشتری دارد، به دلیل اینکه جعل حسابهای آن به راحتی انجام گرفته و سهلالوصولتر در اختیار کاربران قرار میگیرد. جزییات مربوط به حسابهای بانکی، بهطور معمول از شیب تندتری برخوردار بوده و بسته به پارامترهایی همچون داشتن تراکنش خوب به قیمتی در محدوده 200 تا 500 دلار برای هر حساب به فروش میرسند. دادههای کارتها بر مبنای تقاضا به فروش رسیده و بسته به میزان تقاضاوعرضه و اعتبار قیمت گذاری میشوند. این شبکه توانایی فروش کارتهای اعتباری مورد نیاز در هر قاره را نیز دارد، اما اگر کاربری به کارت اعتباری ایالات متحده و بر مبنای یک آدرس قانونی نیاز داشته باشد باید رقم بالایی را در این خصوص پرداخت کند. زمانیکه نوبت به اطلاعات شناسایی فردی (PII) میرسد، خط فروش و قیمتگذاری از یک دلار آغاز میشود. اطلاعات هویت شخصی شامل نام، آدرس کامل، تاریخ تولد، شماره تأمین اجتماعی و اطلاعات هویت فردی میباشد. اگر شخصی تمایل داشته باشد که تنها چند مورد از این اطلاعات را خریداری کند، آنها بهطور جدی توانایی جعل این اطلاعات را دارند. ترند میکرو در اینباره میگوید: «این دادهها بهطور معمول به قیمت 4 دلار عرضه میشوند. اما به دلیل اینکه میزان رخنههای دادهای در سالهای اخیر بیشتر شده است، میران تقاضا برای هویتهای جعلی رشد چشمگیری داشته است.»
با این حال، اگر شخصی واقعا تمایل داشته باشد که از هویت یک قربانی برای خود استفاده کند، کارت اعتباری به قیمت 25 دلار، اسناد مربوط به گذرنامه، گواهینامه رانندگی، قبوض آب و برق و دیگر اطلاعات هویتی در مجموع از 10 تا 35 دلار به ازای هر یک از موارد فوق برای شخص هزینهبر خواهند بود. ترند در گزارش خود آورده است که هر شرکت یا سازمانی که فرآیندهای در حال گردش او در ارتباط با دادههای حساس باشد، این ظرفیت را دارد تا به یک هدف بالقوه تبدیل شود. اینروزها با توجه به گسترش روز افزون ارتباطات، بهکارگیری یک مکانیزم یکپارچه پیشگیری از سرقت دادهها باید در چرخه روزانه کسب و کارها قرار گیرد. اصل کلیدی در برابر این حملات این است که همواره فرض کنیم در معرض به خطر افتادن قرار داریم و باید اقدامات متقابلی را در این زمینه انجام دهیم.