The Dark Web: o que sua empresa precisa saber

Você já ouviu falar sobre a “Web Dark” e se perguntou como isso afeta as empresas – incluindo pequenas empresas. Esse foi um dos tópicos abordados em uma conferência da FTC no início deste ano roubo de identidade. Manchetes recentes sobre violações de dados de alto nível adicionaram ainda mais urgência à discussão. Então, por que a Web Dark deve ser importante para sua empresa? Infelizmente, quando uma empresa sofre uma violação, a Web Dark geralmente é a próxima parada que os dados sensíveis fazem depois que foram roubados.

O que é a Web Dark?

É um termo que descreve lugares na Internet não indexados pelos mecanismos de pesquisa tradicionais. Embora nem todos os sites da Web escura se envolvam em atividades criminosas, a Web Dark é onde os sites que vendem ilegalmente dados de consumidores e outros bens de mercado negro tendem a se reunir. Para os ladrões de identidade, a Web Dark é um mercado sofisticado, fornecendo compras de um balcão para obter as ferramentas para cometer crimes cibernéticos-sejam kits de malware, informações de conta roubadas ou serviços de “soltar” ou “saquear” para ajudar a monetizar seus crimes.

Qual é o vínculo entre a Web Dark e a rua principal típica ou negócios on -line que experimenta uma violação?

Em muitos casos, os dados roubados das empresas acabam na Web Dark, onde criminosos compram e vendem para cometer fraudes, obter documentos de identidade falsos ou financiar suas organizações criminais. Em nossa recente conferência de roubo de identidade, os apresentadores descreveram a grande experiência de compra no estilo de caixa que alguns sites oferecem aos fraudadores e os Passos Dark Web Data Fortveys tomam para manter seus clientes satisfeitos. Por exemplo, os sites especializados em cartões de crédito roubados podem permitir que os ladrões de identidade façam pedidos personalizados para os dados que desejam comprar – por exemplo, o tipo de cartão, o banco que emite o cartão, a cidade e o estado e até o código postal. De acordo com os apresentadores da conferência, o custo de um cartão roubado varia de US $ 15 a US $ 50, com cartões de platina e cartões mais recentes recebendo um prêmio. Alguns desses sites até se envolvem em uma forma perversa de “atendimento ao cliente”, oferecendo funções de suporte e políticas de reembolso.

As ofertas da Web Dark não estão limitadas a cartões de crédito roubados. Os ladrões de identidade também podem obter contas bancárias, registros de saúde, credenciais e documentos forjados. Eles podem até comprar carteiras inteiras, completas com cartões de crédito, licenças de motorista e documentos como números de previdência social e certidões de nascimento – tudo o que um criminoso precisa para criar uma nova identidade.

Como os ladrões de identidade usam informações roubadas?

A lesão que os criminosos de dados infligem é limitada apenas por sua engenhosidade malévola. A fraude de identidade “clássica” geralmente envolve o uso de informações roubadas para obter crédito de instituições financeiras, incluindo hipotecas e outros empréstimos, ou para solicitar reembolsos de impostos ou outros benefícios do governo devido a outra pessoa. Depois, há o golpe de comércio eletrônico de três vias. É aí que os ladrões de identidade anunciam um item de ponta à venda no meio preço. Quando um consumidor desavisado toma a isca, o bandido usa um cartão de crédito roubado para comprar o item de um varejista e enviá-lo para o consumidor. O Crook então bolsa o preço de compra do consumidor, obtendo um lucro arrumado.

Com todas essas informações, os ladrões de identidade também podem criar identidades sintéticas. UM Identidade sintética é uma combinação de informações reais e fictícias – por exemplo, um número genuíno do Seguro Social com um nome falso – para criar identidades usadas para fraudar instituições financeiras, agências governamentais ou indivíduos. Essas novas identidades geralmente contêm uma parte das informações de uma pessoa real, tornando -as mais difíceis para as vítimas descobrirem e desvendarem. Segundo um apresentador da conferência, os números de seguridade social infantil são estimados em 50% das identidades sintéticas.

Como os ladrões de identidade exploram credenciais roubadas?

Os criminosos descobriram como ganhar dinheiro não apenas com dados obviamente valiosos, como cartão de crédito ou números de previdência social, mas também de credenciais roubadas, como nomes de usuário e senhas. Para lucrar com esses dados, os bandidos aproveitam os serviços de outro morador da Web Dark – o verificador da conta. Como isso funciona? Digamos que um hacker possa roubar nomes de usuário e senhas de um site que não permita que eles tocem diretamente nas contas financeiras dos consumidores. Usando ferramentas de força bruta, os verificadores de contas usam esses mesmos nomes de usuário e senhas para tentar obter acesso a outros sites com mais potencial para ganho financeiro. Eles estão apostando no fato de que, apesar dos conselhos que devemos misturá -lo quando se trata de nomes de usuário e senhas, sabe -se que as pessoas repetem seus favoritos em toda a web. Estima-se que existem pelo menos 20 sites que oferecem verificadores de contas para mais de 80 empresas conhecidas, tanto com comércio eletrônico quanto tijolo e argamassa. O que isso prova é que os ladrões de identidade estão depois todos Os dados dos consumidores – não apenas financeiros – porque aprenderam a transformar informações aparentemente inócuas em dinheiro criminal frio.

Como a Web escura afeta pequenas empresas?

Com tanta mídia se concentrar em violações de dados em empresas que possuem informações pessoais sobre milhões de consumidores, algumas empresas e organizações menores podem pensar que os cibercriminosos não os direcionariam. Eles estariam errados. Primeiro, a realidade é que os cibercriminosos nem sempre têm como alvo um negócio específico. Eles costumam usar ferramentas automatizadas para esconder vulnerabilidades em qualquer sistema, incluindo pequenas empresas. Segundo, como os apresentadores observados em nossa conferência, as informações disponíveis para venda na Web Dark têm até 20 vezes mais chances de vir de uma entidade cuja violação não foi relatada na mídia. Muitos deles são varejistas menores, redes de restaurantes, práticas médicas, distritos escolares etc. De fato, a maioria das violações que o Serviço Secreto dos EUA investiga envolve pequenas empresas.

Há outra maneira de que os dados violarem a todos nós. O roubo e a fraude de identidade tornaram-se métodos preferidos para financiar atividades criminosas nos EUA e em todo o mundo. Especialistas em nossa conferência discutiram como eles são usados ​​para financiar organizações criminosas, narcóticos e tráfico de seres humanos, vendas ilegais de armas, pornografia de vingança, extorsão, hackers patrocinados pelo Estado e até assassinato por aluguel.

E todos esses dados estão de volta a uma pessoa real – seu cliente – cuja vida pode ser afetada adversamente. Transformar seus assuntos financeiros em um nó Gordiano é apenas o começo. Algumas pessoas tiveram suas licenças revogadas, foram paradas e presas ou tiveram mandados criminais emitidos em seu nome por causa de roubo de identidade. Quando suas informações são usadas para cometer roubo de identidade médica, até a saúde deles pode estar em risco. Sabe -se que os criminosos usam dados roubados para obter cuidados médicos ou medicamentos prescritos em nome de outra pessoa. Quando os registros médicos de um roubo de identidade se tornam as informações de saúde de um agressor, as consequências podem ser catastróficas.

O que sua empresa pode fazer para reduzir o risco de que as informações coletadas podem encontrar o caminho para a Web Dark?

Isto começa com a segurança e continua com seu compromisso de permanecer com ele. O ftc‘A página de segurança de dados possui recursos para empresas de qualquer tamanho e setor. Se você tem clientes, funcionários ou amigos que são vítimas de roubo de identidade, incentive -os a denunciá -lo e obter um plano de recuperação personalizado em IdentityTheft.gov.