Hva skjer med dine stjålne data?

Hva skjer med stjålne data?

Visste du at dersom kortinformasjonen din blir stjålet kan den selges på «The Dark Web» for bare 10-20 dollar?

Ulykken har skjedd. Du er offer for et digitalt angrep. Det var ikke et ransomware-angrep eller noen som installerte en cryptominer på serverne dine. Det var en breach. Noen har utnyttet en svakhet i en applikasjon eller infrastrukturen og klarte å dumpe ut data fra databasene dine. 

Håndteringsarbeidet er i gang. Kartlegging av omfang og skadestyring er i full sving. Hva har du mistet? Hvor mye har du mistet? Skal kunder informeres? Er du en statlig virksomhet som har vist ansvarsforsømmelse? 

Vi leser nesten daglig om databrudd hvor millioner av records blir stjålet. Breach Level Index estimerer at i underkant av 250 000 data records på avveie hver time, men hva skjer egentlig med de stjålne dataene og hvilken type data er angriperne ute etter?

Det er først etter at du har fått data på avveie at smerten kommer. Det er nå de virkelige problemene dine starter. 

Motivasjonen for databruddene er enkel å forstå. Det handler om penger. Unntaket er hvis det er en statlig aktør som står bak, hvor det kan være informasjonen i seg selv som er motivasjonen, eller det er hacktivister som er ute etter å avsløre stat- eller virksomhetshemmeligheter.

Slik kan det skje

Dataene kan komme på avveie på mange forskjellige måter. Slik som:

  • Mistet eller stjålet enhet (laptop, telefon, harddisk, minnepinne, etc.)
  • Aktive angrep (aka hacking)
  • Malware
  • Feil konfigurasjoner (Skjedd en del rundt skyløsninger)
  • Utro tjener (dine egne ansatte)

Les mer: 10 mest populære malware teknikkene for dagens digi-skurker

Vi kan klassifisere data på et overordnet nivå; statlig, virksomhet og individ.

Hvorav hvert nivå kan ha data innenfor følgende områder:

  • PII (personlig identifiserende informasjon)
  • Økonomisk informasjon
  • Helseinformasjon
  • Firmahemmeligheter
  • Betalingskortinformasjon
  • Brukertilganger
  • Utdanningsinformasjon

Dette gjør de med dataene

En angriper som har hentet ut data fra en statlig aktør eller virksomhet vil først gjennomgå sine funn. Hvis virksomheten har fulgt med i timen så vil dataene være kryptert. Angriper sitter da med masse data (bulk load) på kypterte data (scrambled bits & bytes) som han eller hun ikke vil kunne selge eller misbruke. Historien slutter der med at din virksomhet stolt forteller til media at dere har blitt utsatt for et angrep, men det er ingen fare. 

Har du derimot unnlatt å benytte kryptering på dataene dine; annen historie. Angriper vil nå sortere dataene de har fått.

Det første som gjøres er å samle all PII. Der lages et nytt datasett med navn, fødselsdato, fødselsnummer, adresse, e-post, telefonnummer og annen informasjon knyttet til enkeltindivider. Dette vil så bli solgt i bulk på undergrunnsmarkedet. Ofte på mindre tilgjengelig forum på TOR eller I2P nettverk. Er det en amatør som har hentet ut dataene og prøver å selge de finner man de ofte på mer surface-web baserte forum, eller på torrent sider. I følge Quartz, ligger en persons PII (personlig identifiserende informasjon) på alt fra 1 dollar til 450 dollars, med en snittpris på 21.35 dollars. Pris er ofte avhengig av type individ.

Hvordan utføre sikkerhetstesting gjennom hele utviklingsløpet?

Last ned guide

Dette gjør de med passordene dine

Det neste en angriper vil indeksere fra data dumpen er brukertilganger. Brukernavn, passord, nøkler, sertifikater og lignende er som oftest enda mer verdt enn PII. Tilganger til statlige eller militære etater og store internasjonale aktører kan ha ekstremt høy verdi. 

Altfor mange mennesker bruker fortsatt samme passord flere steder på nettet. Har man da kommet over ett sett med brukertilganger vil disse kombinasjonene av passord og e-post, på automatisert vis, bli testet mot alle store nettsteder hvor det er vanlig at de fleste har en konto ( slik som Facebook, Google, Twitter, Linkedin, Microsoft, Apple, etc.). Denne typen informasjon vil bli solgt fort på grunn av at dataenes korte levetid. Med en gang en virksomhet oppdager at de er kompromittert vil de resette passord, skifte ut nøkler og sertifikater.

Les mer: Input Validering: 10 populære Injection-baserte angrepsvektorer

Informasjon om kredittkort selges

Hvis datadumpen inneholder informasjon om kredittkort vil dette også bundles opp og bli solgt i pakker på darkweb sider. Det er flere aktører som spesialiserer seg på salg av betalingskortinformasjon og de kjøper pakker fra angripere, og videreselger de til enda høyere pris. 

Kortinformasjon fra den tredje verden kan kjøpes for rundt 5 dollar, mens bankkort fra vestlige land, spesielt Amerikanske, går for mellom 10-20 dollar stykke. De som selger promoterer ofte midlertidige .onion dresser eller lignende via Twitter, Pastebin, eller Reddit.

Prisene vil starte høyt og falle etter hvert. Etter en viss tid vil dataene bli formidlet gratis på torrent-sider. Alternativt kan angriperne holde dataene gissel og kreve løsepenger fra virksomheten som eier de.

Det anbefales dog ikke å betale ut løsepenger ettersom du har null garanti for at du får igjen data, at de blir slettet, eller at de forhandler med både din virksomhet samtidig som de selger andre steder.

I følge Trend Micro går følgende data for:

  • PII – ca. 1$ pr. linje
  • Full kreditt informasjon pr. person – 25$ pr. rapport
  • Komplette scans av f.eks. førerkort, pass, etc. – 10$-25$
  • Mobilkontoer – ca. 14$ pr. konto
  • Bank logins – mellom 200$ og 500$ pr. bruker
  • PayPal eller eBay kontoer – ca. 300$ pr. bruker

De verste svindlerne

De senere årene har datameglerfirmaer (data broker) blomstret opp. Det estimeres å være mellom 2000-3000 slike firmaer aktive i USA nå. Dette er en suspekt bransje som samler informasjon om forbrukere for så å kjøpe og selge dette videre. De selger til både legitime firmaer og mindre hyggelige virksomheter. Det som er felles for alle er at det finnes utrolig lite informasjon om de og hvordan de opererer.

Når dataene dumpes gratis på nettet kommer åtseleterne. Dette er svindlerne som står bak det laveste av det lave; phishing mails, svindeltelefoner og handelssvindel. Teknisk support hvor du blir fortalt at maskinen din har fått et farlig virus og at du må logge på en server slik at de kan fikse problemet ditt. Falske oppringinger eller mailer fra skattevesenet om at du skylder skatt, etterfulgt av skremselspropaganda eller at de klarer å kjøpe produkter på kreditt med din «kunde»-informasjon. 

Les mer: Input Validering: Hva innebærer det egentlig?

Svindlere tjente 10 millioner i 2018

Det tragiske her er at alle tre soper inn hauger med penger den dag i dag. ScamWatch estimerer at i 2018 klarte svindlere å dra inn over 10 millioner dollar bare på PII. 2019 nærmer seg 10 millioner allerede. 

Med PII kan svindlere kjøre kampanjer på dating, kjøp&salg, investeringmuligheter, falske konkurranser etc. Dette koster samfunnet over 100 millioner dollar alene hvert år. Data på avveie er med på å muliggjøre disse svindeltaktikkene.

Data er i dag verdt mer enn olje, men i motsetning til naturressurser som vi finner og tømmer, så bare vokser data, og jo mer du har jo vanskeligere er det å passe på den. 

Motivasjonen til angripere er ikke å bare gå etter de dataene du anser som sensitive og beskyttelsesverdige, de går etter absolutt alle data. Et datasett du anser som banalt og uproblematisk får plutselig en helt annen verdi da det kobles sammen med et annet datasett. To datasett kan hver for seg være uproblematiske, men sammen kanskje de utgjør en reell risiko. Det er ikke sikkert dataene blir sensitive, men de kan indikere ting man kanskje ikke så tidligere. Det er ikke opp til en lov eller en virksomhet å definere hva som er sensitivt eller ikke, det er det bruksområdene og mulighetene de åpner for som. 

Hvordan sørge for at dine data er sikre?

Last ned guide: Slik utfører du sikkerhetstesting gjennom hele utviklingsløpet?

Last ned guide