2021 年专题报告 ： 电信行业凭证曝光

Introduction 电信公司一直面临着独特的网络安全挑战。他们建立、控制和运营关键用于通信和存储大量敏感数据的基础架构。他们还负责保护巨大的移动订户的帐户数量以及他们的个人数据。而电信公司在保护他们的网络近年来，两个挑战顽固地持续存在: 电信高管和员工仍然对糟糕的网络卫生和密码重复使用感到内疚。数据泄露每天都在继续影响电信客户。 正如本报告将解释的那样，解决第一个挑战相当简单。然而，解决第二个挑战更多细微差别。总体而言，电信部门一直保持着这样的立场，即在他们保护客户账户和我们都依赖的通信基础设施，当这些客户未能保护自己时，他们的责任就会减少。在换句话说，“其他公司的帐户妥协”不是他们的责任。 这似乎是合乎逻辑的，但违规数据说明了故事的另一面。 电信高管和员工暴露客户的坏习惯和其他行业欺诈 每年，SpyCloud都会分析其从数据泄露中收集的超过1300亿资产的整个数据库，以证明暴露影响大型企业。在2021年，我们的研究人员发现与财富1000强员工相关的5.43亿笔违规资产公司-比去年增长29%。财富1000强中总共有11家电信公司。正如你在下图中看到的那样暴露资产每个公司，电信超过了其他所有行业-包括金融、科技、医疗保健和国防-差距很大。 2020年欺诈攻击作为数字经济转换为4 每个行业都容易受到网络犯罪的影响，但也许只有电信。基础设施电信公司运营如此巨大，甚至错误的警报也会迫使他们关闭关键服务。该行业脆弱性的一个重要原因是其密码重用率高。SpyCloud发现，76％的电信员工在多个账户。被盗凭证的使用是账户收购(ATO)和数据泄露的主要原因。事实上,根据Verizon去年有61％的违规行为涉及凭据。 看看《财富》1000强的11家电信公司，SpyCloud发现了犯罪分子可利用的近4000万资产，被盗这些数据包括电子邮件地址，明文密码，电话号码，出生日期，家庭地址、金融资产和社交句柄。 在来自犯罪分子手中的电信员工的4000万条信息中，超过600万条是凭证对-明文密码和公司电子邮件地址-使犯罪分子能够从字面上破坏一个人的工作帐户(以及可能是其他个人账户重复使用这些密码)，只需付出一点努力。 整体来看，每家公司的凭证总数超过550, 000个，即每位员工8个。在我们的数据库中发现每个电子邮件地址有8 - 10次曝光，无论行业如何，所以这个电信特定的数字是典型的，但没有不那么令人担忧。 这些风险不仅会损害组织的底线，还会损害其在客户中的声誉。 无论行业如何，任何人都没有理由将公司数据暴露给犯罪分子。但是电信公司的员工和高管有明显更大的责任。他们存储的大量敏感客户数据使他们成为磁铁当被盗时，这些客户数据-姓名，地址，密码，信用卡等-提供燃料犯罪分子对其他部门实施各种恶意行为，包括ATO，金融欺诈，勒索软件，甚至更多有影响力的供应链攻击。 我们的大部分生活（包括商业和个人）都依赖于电信服务和移动设备，这就是为什么提供商倾向于比其他业务存储更多的数据。这些数据可能以各种方式落入坏人手中——一个被窃取的员工例如，笔记本电脑。电信领域的数据被盗问题非常严重，因为该领域的员工为无数作为呼叫中心或帮助台角色的客户每天都有大量的敏感客户数据存储在安全性较差的Web应用程序。当这些作业是远程作业时，他们可能会将这些数据放在他们用于工作和个人功能。这与密码重用一起，通过蛮力或凭证填充攻击为ATO敞开大门。 在家工作带来新的移动安全挑战 在大流行的高峰期，网络犯罪分子以新的远程劳动力形式发现了无数新的机会。甚至在大流行之前，员工将个人移动设备用于工作目的(如检查电子邮件或查看文档)为IT部门带来了复杂的挑战。网络钓鱼攻击可能在移动设备上更成功，因为我们与他们的共生、信任关系的性质，也因为屏幕尺寸会使人们更难注意到恶意电子邮件或网站。移动设备也比笔记本电脑更容易丢失或被盗，这反过来可能导致丢失关键数据和生产力。 根据Verizon的2021年移动安全指数，超过五分之一的公司表示，他们的移动设备安全在过去的一年中妥协。 被盗的电话号码比你想象的更有价值 当消费者了解到犯罪分子可以接触到他们的社会安全号码或密码，他们经常感到被侵犯。那些碎片数据被认为是高度个人化的，因此受到严密保护。电话号码是另一回事。在大多数情况下，这些不是太秘密了，所以它们对罪犯来说没有太大价值，对吧？ 近年来，随着越来越多的数字服务采用多因素身份验证(MFA)，个人智能手机已成为企业确认消费者是谁的主要接触点他们说是。理论是罪犯可能有用户的密码，但他们可能没有物理电话。然而，被盗凭证的正确组合允许犯罪分子使用SIM交换和电话等策略绕过MFA移植。通过简单的呼叫移动运营商和一些轻的社交工程，犯罪分子可以将消费者的电话服务转移到他们自己的设备。一旦攻击者控制了受害者的电话号码，他们会收到所有基于SMS的身份验证消息和可以轻松登录敏感帐户（甚至是公司帐户）未被发现。 手机被盗资产的严重程度往往会被掩盖。对消费者来说，电话营销诈骗和机器人电话的激增证明电话号码已经在坏人手中。但是这种想法忽略了这样一个事实，即几乎每个业务或服务consumer engaged with digital - including the federal government - phone numbers are their primary identifier. Therefore, telcos被高度鼓励将电话号码视为风险的主要标识符。如果犯罪分子劫持电话帐户来绕过MFA并拦截银行交易，例如，他们破坏了受害者的金融服务和受害者的手机帐户。对于电信公司来说，这应该引起人们的警惕，因为他们现在被认为对两个帐户的妥协负责once. 目前，SpyCloud的数据库中有超过30亿的电话资产。在欺诈风险算法中，大多数组织习惯于检查用户名和电子邮件地址是否存在泄露，但增加了电话该等式的数字提供了比第三方身份认证系统更强大的见解提供。 在下面的示例中，SpyCloud可以搜索与电话号码相关联的违规记录，如果它以前与欺诈有关，则可以标记。 这是一个值得关注的欺诈因素，即使您已经通过其他方式对用户进行了身份验证， could help determine whether to delay or block a possible fraulic transaction. It is very possible that a bad演员接管了用户的账户，甚至愚弄了生物识别验证系统。 恶意软件感染：从员工到消费者，这是一个电信公司的问题 令世界各地的安全团队感到沮丧的是，人们习惯性地点击收件箱中的任何链接或文件，无论他们是否认识在最坏的情况下，无辜的点击会导致用户的设备感染键盘记录恶意软件。 带有键盘记录组件的恶意软件可以记录用户的一举一动，捕获浏览器历史记录、文件、系统信息和登录公司和第三方资源的数据。SpyCloud确定了28, 201名可能受感染的Fortune 1000员工，其中包括电信公司总数第二高（仅次于技术部门），为2, 328。 虽然所有暴露的凭据都会使企业面临风险，但使用受恶意软件感染的系统的员工尤其危险。无论感染是在员工的个人系统还是公司系统上，这都是正确的，因为收集的数据的广度和设备之间交叉使用的高可能性。在SpyCloud的数据中，我们经常看到员工使用受感染的个人设备访问企业资源的证据。 不幸的是，恶意软件问题并没有解决电信员工。SpyCloud确定了59, 669名潜在受感染的消费者他们的服务。这些是电信面向消费者的网站的用户，键盘记录恶意软件正在收集用户名和密码（以及其他个人和系统信息）的不良行为者。 感染的真实数量可能更高，因为我们的分析排除了许多仅限消费者的领域。它还删除了凭据使用用户名而不是电子邮件地址，因为不清楚它们是员工还是消费者记录。然而，每一个都有极高的ATO、身份盗窃和在线欺诈风险，这可能会导致受影响企业的个人和品牌损害。 账户接管的后果 犯罪分子通常以利润为目的，纯粹而简单。正如ATO有不同的方法一样，也有无数欺诈的方法。 有了被盗的数据，犯罪分子将： 耗尽fi金融账户、加密钱包或忠诚度积分余额犯罪分子将控制财务帐户并立即电汇或转移受害者账户的余额。在这个概念上，有一个点对点支付欺诈的大幅上升，自2016年以来上升了733%。 进行欺诈性购买 另一个快速计划：犯罪分子将使用被盗或存储购买商品信用卡或礼品卡数据。事实上，40%的所有欺诈活动与账户接管发生在一天内。 授予访问权限 电信订阅欺诈 结合虚假和合法（被盗）的客户数据，犯罪分子可以创建新的“合成”身份，以实现电信服务的欺诈性使用。一旦建立，这些假订阅让犯罪分子获得增值服务，包括电视和互联网，以及新的移动金融服务。 利用受害者的工作帐户 犯罪分子可能会尝试查找和窃取公司IP并部署商业电子邮件妥协骗局，仅在2020年就造成了18亿美元的损失。 SIM交换受害者绕过MFA 在SIM卡交换攻击中，犯罪分子将受害者的电话号码转移到他们自己的电话号码SIM卡，以绕过多因素身份验证和接管敏感帐户。 ATO是一种可怕而危险的威胁，有可能对企业和个人造成重大的财务伤害。许多进入基于云的系统和网络的入口点，ATO给我们的数字世界带来了最大的风险之一。罪犯不需要使用复杂的技术来破坏防火墙或其他旨在保护企业的安全措施。他们只需要密码或电话号码。 即使企业采取了所有安全措施来防止这些攻击，但针头却朝着错误的方向发展。2019年，ATO是最大的欺诈手段，仅金融账户就同比增长72%。2020年，COVID - 19破坏我们的世界，同比增长惊人-超过300％。犯罪分子将其大部分归功于不良的在线习惯。 坏习惯 预防措施 我们认识到，欺诈是一个不断发展的挑战，其影响不仅限于电信行业。这使得打击和规划方案变得困难，但电信公司可以采取一些共同的步骤和最佳做法追求适用于许多（如果不是全部）形式的欺诈。从根本上讲，所有这些都是对暴露的凭证和加强对保护他们的警惕。 c使用电话号码作为风险标识符 在整个SpyCloud数据库中，数据中已经暴露了近30亿个电话号码breakmiss. A phone number is an identity marker that can be used to imperature victors through SIM swap, but on the另一方面，它也可以用来标记潜在的欺诈交易，根据次数该电话号码已被泄露。对于某些SpyCloud客户，甚至1出现了订户的电话号码意味着订户将在交易之前通过另一种形式的升级认证最终，每家公司的风险承受能力会有所不同。 c监视凭据以进行妥协 坏演员只需要一次违规曝光就能闯入，特别是当密码被重用到我们现在的程度时今天看到（根据SpyCloud的分析，2020年为60％）。能够知道哪些用户的凭据具有被曝光对于降低泄露风险-并保持订户的信息锁定至关重要。 c实施多因素身份验证 为尽可能多的面向公众的网站以及处理的内部资源实施MFA敏感和机密数据。虽然它不是万无一失的保护(攻击者不断寻找新的技术来阻止防御)，它提供了一个障碍，对于那些希望从低努力中获利的罪犯来说，可能不值得努力击败凭证填充攻击。 c教育员工和订阅者 网络安全团队应培训用户有关预防措施，如MFA，密码管理器的使用，以及识别网络钓鱼尝试，但他们还应该利用主动监控服务，在用户信息在数据泄露中被发现。 一旦网络犯罪分子知道一个帐户的密码，他们将在其他帐户上测试它，如果帐户所有者重复使用密码，罪犯可以轻松访问。如果被盗的凭据包括公司电子邮件域，则坏人有一个漂亮的他们可能能够访问公司网络和潜在有价值的企业系统、客户数据或知识产权。这使得公司尽早识别易受攻击的帐户非常重要，以便他们可以锁定它们down并强制更改密码，然后才能泄露密码。 有这么多的员工和客户，电信公司将永远是一个犯罪目标，但采取预防措施可以大大挫