1月20日消息,据国外媒体CNBC报道,安全公司Trend Micro称,对于不法分子来说,Uber、PayPal甚至Netflix账号已经变得比信用卡信息有价值得多。
根据Trend Micro收编的数据,被盗Uber账号信息在地下市场中的售价平均为每账号3.78美元,个人验证信息(PII)的售价则通常在1美元到3.30美元之间,但较2014年的4美元有所下降。(PII包含任何可用于实施身份诈骗的信息,如社会保险号和出生日期,价格视乎供售的特定信息而定。)
那不法分子会如何利用偷来的Uber账号呢?据专家称,那些账号认证信息可以用来完善受害者的个人资料,以便实施身份盗用;也可以用来对虚构乘车收费。虚构乘车,是指不法分子在创建假的司机账号后,就实际上并不存在的乘车行为对被盗账号进行扣费。
专家们还发现其它服务的每账号平均售价:PayPal,6.43美元;Facebook,3.02美元;Google Voice,97美分;Netflix,76美分。相比之下,在美国发行的信用卡认证信息的捆绑售价每份只有22美分。
Trend Micro网络安全战略副总裁艾德·卡布雷拉(Ed Cabrera)说道,“这是一个让人难以置信的地下生态圈。这些不法买家之间的竞争非常激烈,有很多不同种类的相关论坛。该生态圈非常多元,但极为成熟。”
他说,“他们会亲自就哪里能够找到黑市中最有价值的数据进行市场调研,然后相应制定攻击策略。”Trend Micro曾在去年10月就这一现象发表报告。
快速搜索带有“uberaccounthacked”(Uber账号被黑)标签的推文,可以看到很多有关“虚构乘车”的抱怨:用户声称他们实际上并没打车,Uber账号却被扣费。
据切尔说,信用卡之所以变得没什么盗取价值,是因为银行和信用卡发行机构均开发出了更加先进的诈骗检测系统,能够让被盗的卡片迅速变得一文不值。
科技公司该如何应对
科技公司们已经意识到这种威胁,很多公司(包括Uber在内)专门部署团队来监控异常的账号活动,向账号有被盗风险的用户发出警告。他们还鼓励用户采用额外的安全措施,对于不同的账号设置不同的密码。
在部分市场,Uber正在测试一种两步验证机制,在用户在陌生设备上登陆时提醒他们输入额外的认证信息。该公司计划不久之后将这一机制推向其它的市常
Uber发言人表示,“我们的安全团队高度专注于保护我们的社区的Uber账号。我们使用技术措施来检测各类问题,且一直在改进所部署的设施来保护用户的账号。”
Facebook则建议用户启用其名为“登陆认证”的双重验证机制,并进行安全检查——让用户通过各种安全选项来增强账号保护的工具。
人们往往对多个服务账号设置相同的密码,这使得安全保障变得尤其困难。专家们认为,企业应当部署新技术来给用户提供更好的保护。
“企业是时候弃用密码了,而应当制定基于行为特征计量的解决方案来验证用户身份——如用户通常会有怎样的行为习惯,他们有怎样的握手机习惯,他们的手指头有多大,他们按压触控屏的力度有多大。”(乐邦)