數據洩露發生了什麼?從黑客攻擊到暗網
數據洩露的完整生命週期——攻擊者如何滲透系統、竊取數據、在暗網上套現,以及為什麼受害者往往是最後才知道的。
數據洩露的完整生命週期——攻擊者如何滲透系統、竊取數據、在暗網上套現,以及為什麼受害者往往是最後才知道的。
數據洩露始於攻擊者未經授權訪問系統。入口點各異:利用網絡服務器或數據庫系統中未修補的軟件漏洞;憑證填充↗(使用之前洩露的用戶名/密碼組合登入員工重用密碼的系統);針對員工的網絡釣魚攻擊以竊取憑證或部署惡意軟件;對 IT 支持人員的社會工程學以獲得訪問;供應鏈攻擊(入侵目標機構信任的軟件供應商的產品);以及在某些情況下,來自現任或前任員工的內部威脅。
一旦進入網絡,複雜的攻擊者往往長時間不被偵測到——在整個網絡橫向移動、升級權限、繪製環境地圖並識別高價值數據存儲。2023年 IBM 數據洩露成本報告發現識別洩露的平均時間為204天,而遏制它的平均時間另需73天。這意味著平均洩露受害機構在偵測入侵之前已被入侵近10個月——在此期間,攻擊者對範圍內的所有內容擁有完全訪問權限。
對於香港機構,香港警務處和個人資料私隱專員公署↗記錄的最常見洩露入口點包括:針對財務和 IT 人員的網絡釣魚電郵;利用面向互聯網系統中未修補的漏洞(網絡應用程式、VPN 閘道、電郵服務器);訪問香港系統的被入侵第三方供應商;以及配置錯誤的雲端存儲(包含客戶數據的公開可訪問的 S3 存儲桶或 Azure Blob 存儲)。金管局還報告稱,對金融機構的針對性攻擊頻繁從對具有特權訪問的員工進行魚叉式網絡釣魚開始。
一旦攻擊者識別並訪問了有價值的數據,竊取階段就開始了。大型數據庫通常被壓縮、加密,並以旨在避免觸發數據丟失預防(DLP)系統的方式從被入侵的網絡中轉移出去——使用與正常流量融合的合法文件傳輸協議、雲端存儲服務或加密渠道。竊取可能在一次大批量傳輸中發生,或在一段時間內以小增量發生以避免異常偵測。
竊取後,套現策略取決於數據類型和攻擊者的概況。國家行為者通常將數據直接用於情報目的——建立個人檔案、提取商業機密或為未來行動建立訪問渠道。犯罪集團有幾種套現途徑:在暗網市場上整體出售數據庫(通常在私人交易或公開拍賣中以最高出價者競標);按數據類型小批量出售(只是信用卡號碼,或只是登入憑證);直接用數據進行欺詐;或以其作為對受影響個人進行針對性網絡釣魚活動的基礎。
被盜數據在暗網市場上的定價結構是相當固定的。新鮮被盜的信用卡數據(帶 CVV、帳單地址和卡號)通常每張售價5至20美元,高餘額或高級賬戶的信用卡定價更高。消費者服務的電郵/密碼組合每1,000條記錄批量售價1至5美元。完整身份包(犯罪術語中的「完整身份包」——包括姓名、出生日期、身份證、地址和銀行賬戶詳情)每個售價10至50美元。醫療記錄最有價值,每條售價250至1,000美元,因為它們在醫療身份欺詐中的效用。
數據洩露的發現可以來自多個來源,受害機構往往不是第一個識別它的。掃描暗網的安全研究人員可能在被洩露的公司知道之前就發現數據在出售。調查犯罪論壇的網絡安全記者可能曝光洩露。Have I Been Pwned 的 Troy Hunt 經常收到來自安全研究人員、執法機構,偶爾也有犯罪分子本身提交的洩露數據。受害者自己報告欺詐活動可以觸發揭示洩露的調查。
當被洩露的機構發現事件時,通常在進行任何公開披露之前先聘請取證調查人員和法律顧問。這個內部調查階段——確定洩露的範圍、時間和性質,以及是否適用監管披露義務——可能需要幾週或幾個月。在香港,《私隱條例》↗並非在所有情況下都要求洩露通知,這意味著機構可能選擇不公開披露洩露,除非其行業監管機構(例如金管局監管的金融機構)要求,或者直到向個人資料私隱專員公署提交正式數據洩露投訴。
洩露通知在收到時,往往對曝露的性質和程度含糊其詞。法律責任的考量導致機構謹慎措辭通知,有時使個人難以評估實際風險。從任何洩露通知中提取的關鍵信息:被曝露的數據類型(密碼哈希還是明文;是否包含身份證或財務數據);洩露發生的時間(不是被發現的時間);公司正在做什麼補救;以及他們建議受影響用戶採取的具體行動。
當您收到洩露通知或通過監控發現您的數據已被曝露時,應迅速而系統地作出應對。具體行動取決於被曝露的數據類型,但一般優先順序是:首先保護您的財務賬戶,然後保護您的電郵(主恢復途徑),然後更新其他服務的憑證。不要等待「更多信息」——立即對您知道已被曝露的數據類型採取行動。
如果洩露涉及您的密碼:立即在被洩露的服務上更改它,並在您使用相同或相似密碼的每個其他服務上更改它。這是關鍵步驟——密碼重用將單一服務洩露轉化為可在銀行、電郵和其他服務中使用的憑證填充工具包。如果尚未在被洩露的賬戶上啟用雙重驗證(2FA),立即啟用它。如果洩露通知指出密碼是以明文(而非哈希)存儲的,請將曝露視為關鍵優先級,並在24小時內更改您可能重用它的所有服務上的密碼。
如果洩露涉及財務數據(信用卡號碼、銀行憑證、賬戶號碼):直接聯繫您的金融機構(滙豐、恒生,或您銀行的欺詐熱線)報告曝露並請求更換信用卡或加強賬戶安全。請求對您的賬戶進行加強監控並詢問交易提醒設置。如果您認為已發生或可能發生欺詐,向香港警務處科技罪案組(18222)提交報告——這創建了記錄並支持調查。在洩露後的幾個月內監控您的 TransUnion 信用報告,查看是否有任何未授權的信貸申請。
