“指纹”交易 互联网上庞大而复杂的黑市

荷兰埃因霍温理工大学的研究人员发现了一个巨大且高度发达的“指纹”贸易电子黑市的证据，黑市中有数十万名用户的详细资料数据。

该黑市总部位于俄罗斯，提供26万多名用户非常详细的个人资料，以及用户的其他数据，例如电子邮件地址和密码。

指纹

互联网安全是一场永无止境的猫捉老鼠的游戏，安全专家不断地发明新方法来保护我们的宝贵数据，而网络罪犯则想出新的狡猾方法来破坏这些防御。

个人“指纹”使犯罪分子可以规避最新的身份验证系统，从而访问用户数据，例如信用卡详细信息。

在线经济依靠用户名和密码来确保在线购买商品或转账的人确实是同一个人。

但是，事实证明，这种有限的身份验证方法远达不到保障安全性的要求，因为人们倾向于在许多服务、平台和网站上使用重复的密码。

这导致了大规模和有暴利可图的非法认证数据交易，根据最新估计，一年内，地下市场出售了大约19亿个被盗身份数据。

由于此类风险，许多用户不再费心注册用户名和设置密码，只有少数人仍在使用这种方式。

为了缓解用户名数据被盗问题，身份验证的替代系统最近在亚马逊、谷歌、Facebook和PayPal等服务中流行起来。

多因素验证

如今，银行和其他数字服务开发不仅取决于用户知道什么（账号密码），还取决于用户有什么（例如安全性令牌）之类更复杂的身份验证系统也不足为奇。

该过程称为“多因素身份验证”，它严重限制了实施网络信息犯罪的可能性，但另一方面，它也有缺点。

该系统被称为“基于风险的身份验证”，通过“用户指纹以验证是否为本人”。

该系统包含基本的技术信息，例如浏览器或操作系统的类型，以及行为特点，如鼠标活动、位置和打字速度。

如果指纹符合用户本人基于以前行为的预期特征，则允许他仅使用用户名和密码立即登录，如果不符合，则需要令牌进行其他身份验证。

当然，正如可预料的那样，网络罪犯很快找到了规避“基于风险的身份验证”的方法，并建立了包括指纹验证在内的一系列网络钓鱼法，但是，他们发现很难将其转变为有效且可盈利的业务。

原因之一是用户验证系统会随着时间和服务的不同而变化，必须通过额外网络钓鱼攻击来收集数据，但是研究人员发现有证据表明，这个庞大且高度发展的电子市场克服了这些限制。

最大的犯罪市场

埃因霍温理工大学数学和计算机系网络安全小组的研究员卢卡·阿鲁迪在学校网站“新闻概览”页面上说，“这个电子黑市的特殊性不仅在于其范围，还在于所有个人文件都不断更新，保持其价值。”

他说：“此外，客户可以搜索数据库，准确选择要定位的网络用户，这将引发非常危险的网络钓鱼攻击，他们还可以下载一个程序，该程序能自动下载目标网站的用户识别文件。”

为了确认网站的系统性，阿鲁迪和他的同事，博士研究生兼研究合作者米歇尔·坎波巴索创造了“窃取即服务”一词，呼应了众所周知的云计算服务术语，例如“软件即服务”和“基础设施即服务”。

坎波巴索说：“据我们所知，这是系统地提供此类服务的最大、最复杂的犯罪市场。”

想在这个电子黑市中进行搜索并不容易，为访问可提供的用户识别资料，研究人员必须获得现有用户的私人邀请才能进入市场。

数据收集也很困难，因为平台运营者很活跃地监视“流氓”帐户，研究人员决定保留网站中出现的真实姓名，减少遭到黑市运营者报复的风险。

在研究中，研究人员列举了一些犯罪分子如何“武装”个人文件，他们在Telegram应用程序的平台客户使用的秘密频道上找到了这些文件。

其中一种攻击是，攻击者为受害者的电子邮箱收件箱创建了一个过滤器，隐藏 “亚马逊” 相关购买通知，由此利用受害者的亚马逊帐户隐藏攻击。

“虚拟身份”的价格

用户的“虚拟身份”的市场价格在100美元左右，访问加密文件和在线平台似乎是最有价值的。

阿鲁迪说：“仅一个与加密相关的识别文件就会使个人资料的平均值翻倍。”

引起价格上涨的另一个重要因素是用户所在国家的富裕程度。

坎波巴索说：“这是可理解的。攻击者不断寻求窃取并利用可能会带来更大经济收益的用户资料，这种现象主要出现在发达国家。”

与平台的“制成”指纹相比，允许访问多个服务和带有“真实”指纹的用户识别文件也受到了高度重视。