「ダークウェブ」について聞いたことがあるでしょうし、それが中小企業を含むビジネスにどのような影響を与えるのか疑問に思ったことがあるでしょう。これは今年初めの FTC 会議で取り上げられたトピックの 1 つでした。 個人情報の盗難。注目を集めているデータ侵害に関する最近の見出しにより、議論はさらに緊急性を増しています。では、なぜダークウェブがあなたの会社にとって重要なのでしょうか?残念ながら、企業が侵害に遭った場合、機密データが盗まれた次の目的地はダークウェブになることがよくあります。
ダークウェブとは何ですか?
これは、従来の検索エンジンによってインデックスが作成されていないインターネット上の場所を表す用語です。ダーク ウェブ上のすべてのサイトが犯罪行為を行っているわけではありませんが、ダーク ウェブには、消費者データやその他のブラック マーケット商品を違法に販売するサイトが集まる傾向があります。個人情報窃盗犯にとって、ダークウェブは、マルウェア キット、盗まれたアカウント情報、犯罪を収益化するための「ドロップ」または「キャッシュアウト」サービスなど、サイバー犯罪を実行するためのツールを入手するためのワンストップ ショッピングを提供する洗練されたマーケットプレイスです。
ダークウェブと、侵害が発生する典型的なメインストリートまたはオンラインビジネスとの間にはどのようなつながりがあるのでしょうか?
多くの場合、企業から盗まれたデータは、犯罪者が詐欺を行ったり、偽の身分証明書を取得したり、犯罪組織に資金を提供するためにデータを売買するダークウェブに到達します。最近の個人情報盗難カンファレンスでは、一部のサイトが詐欺師に提供するビッグボックススタイルのショッピング体験と、ダークウェブデータ提供者が顧客を満足させるために講じる手順について発表者が説明しました。たとえば、盗難されたクレジット カードを専門とするサイトでは、個人情報窃盗犯が購入したいデータ (カードの種類、カードを発行している銀行、都市と州、さらには郵便番号など) のカスタム注文を行うことができる可能性があります。カンファレンスの発表者らによると、盗難されたカードの価格は15ドルから50ドルの範囲であり、プラチナカードや新しいカードにはプレミア価格が付くという。これらのサイトの中には、サポート機能や返金ポリシーを提供する、倒錯的な形式の「カスタマー サービス」を行っているサイトもあります。
ダークウェブの提供物は盗難されたクレジット カードに限定されません。個人情報泥棒は、銀行口座、健康記録、資格情報、偽造文書を入手する可能性もあります。クレジットカード、運転免許証、社会保障番号や出生証明書など、犯罪者が新しいアイデンティティを作成するために必要なものをすべて備えた財布を丸ごと購入することもできます。
個人情報窃盗犯は盗んだ情報をどのように利用するのでしょうか?
データ犯罪者が与える被害は、悪意のある創意工夫によってのみ制限されます。 「典型的な」個人情報詐欺では、住宅ローンやその他のローンを含む金融機関から信用を得たり、他人に支払うべき税金の還付やその他の政府給付金を申請したりするために、盗まれた情報を使用することがよくあります。次に、三方向 e コマース詐欺があります。そこでは、個人情報窃盗犯が高級品を半額で販売していると宣伝します。何も知らない消費者が餌にかかると、詐欺師は盗んだクレジット カードを使用して小売店から商品を購入し、消費者にドロップシッピングさせます。その後、詐欺師は消費者から購入代金を徴収し、かなりの利益を上げます。
これらすべての情報を使用して、個人情報窃盗犯は合成 ID を作成することもできます。あ 合成アイデンティティ これは、金融機関、政府機関、または個人を詐欺するために使用される ID を作成するために、実際の情報と架空の情報 (たとえば、本物の社会保障番号と偽の名前) を組み合わせたものです。これらの新しい ID には実在の人物の情報の一部が含まれていることが多く、被害者が発見して解明することが困難になります。カンファレンスの発表者によると、子供の社会保障番号は合成 ID の 50% に使用されていると推定されています。
ID 窃盗犯は盗んだ認証情報をどのように悪用しますか?
犯罪者は、クレジット カードや社会保障番号などの明らかに貴重なデータだけでなく、ユーザー名やパスワードなどの盗んだ資格情報からも金を稼ぐ方法を見つけ出しました。そのデータから利益を得るために、犯罪者は別のダークウェブ住人であるアカウントチェッカーのサービスを利用します。それはどのように機能するのでしょうか?ハッカーが、消費者の金融口座に直接アクセスすることを許可していないサイトからユーザー名とパスワードを盗むことができるとします。アカウント チェッカーはブルート フォース ツールを使用して、同じユーザー名とパスワードを使用して、より金銭的利益が得られる可能性のある他のサイトへのアクセスを試みます。ユーザー名とパスワードに関しては混同すべきだというアドバイスにもかかわらず、人々はウェブ上で自分のお気に入りを繰り返すことが知られているという事実を彼らは当てにしている。電子商取引と実店舗の両方を含む 80 以上の有名企業にアカウント チェッカーを提供するサイトが少なくとも 20 あると推定されています。これが証明しているのは、個人情報窃盗犯が狙っているということです 全て なぜなら、消費者は、一見無害に見える情報を冷たい犯罪の現金に変える方法を学んだからです。
ダークウェブは中小企業にどのような影響を与えますか?
多くのメディアが数百万人の消費者に関する個人情報を保有する企業のデータ侵害に焦点を当てているため、一部の中小企業や組織はサイバー犯罪者に狙われることはないと考えているかもしれません。彼らは間違っているでしょう。まず、現実には、サイバー犯罪者は必ずしも特定の企業をターゲットにしているわけではありません。彼らは多くの場合、中小企業を含むあらゆるシステムの脆弱性を調査するために自動ツールを使用します。第 2 に、私たちのカンファレンスで発表者が指摘したように、ダークウェブで販売されている情報は、メディアで侵害が報道されていない組織からのものである可能性が最大 20 倍高くなります。その多くは小規模小売店、レストラン チェーン、医療行為、学区などです。実際、米国秘密情報部が調査している侵害のほとんどは中小企業に関係しています。
データ侵害が私たち全員に損害を与えるもう一つの方法があります。個人情報の盗難と詐欺は、米国および世界中で犯罪活動に資金を提供するための有力な手段となっています。私たちの会議に出席した専門家らは、犯罪組織、麻薬と人身売買、違法武器販売、リベンジポルノ、恐喝、国家支援によるハッキング、さらには雇われ殺人にまで資金提供するためにこれらの資金がどのように利用されているかについて議論した。
そして、これらのデータはすべて、人生に悪影響を与える可能性がある実際の人物、つまり顧客に結びついています。彼らの財政問題をゴーディアンノットに変えることは始まりにすぎません。個人情報の盗難により、免許を取り消されたり、車で逮捕されたり、自分の名前で刑事令状が発行されたりした人もいます。彼らの情報が医療情報の盗難に使用されると、彼らの健康さえも危険にさらされる可能性があります。犯罪者が他人の名前で医療や処方薬を入手するために盗んだデータを使用することが知られています。個人情報盗難の被害者の医療記録が加害者の健康情報と混同されると、壊滅的な結果が生じる可能性があります。
収集した情報がダークウェブに流出するリスクを軽減するために、あなたの企業は何ができるでしょうか?
それ セキュリティから始まります そしてそれを堅持するというコミットメントを継続します。 FTC'データ セキュリティ ページには、あらゆる規模および分野の企業向けのリソースが用意されています。個人情報盗難の被害に遭った顧客、従業員、友人がいる場合は、次の URL で報告し、カスタマイズされた回復計画を取得するよう奨励してください。 IdentityTheft.gov。
