2021 年报告 ： 违反伦敦富时 100 指数的风险敞口

2021年报告：违反暴露伦敦富时100指数（及其子公司） Overview关键发现一览：违反FTSE 100的曝光FTSE 100的公司凭证风险敞口按资产类型划分的其他违约风险FTSE 100违规曝光信息图 Overview 我们能够识别出 这是人类的天性：人们重复使用密码。不幸的是，那些重复使用的密码很容易暴露给网络犯罪分子并用于恶意意图。根据2020 Verizon数据泄露调查报告，使用薄弱和被盗凭证被列为最常见的黑客攻击策略连续第四年。 3900万违约资产在我们的与FTSE 100及其子公司的员工关联的数据集。维护安全的方法很重要。 Bearinmind，本分析不包括员工的breachdatatiedto个人别名，也可以与企业身份绑定并用于非法收益。它将包括一些员工已经转移到其他公司。然而，我们希望这分析为客户接管的规模提供了一个窗口大型组织面临的风险和监控的重要性弱密码和重复使用密码的员工凭据。 密码重用代表了特别重要的安全性组织的风险，其中包含有价值的公司秘密并代表网络犯罪分子的有利可图的目标。员工经常重复使用公司凭据作为个人登录，无论安全准则如何禁止此类行为。当这些第三方网站遭受数据泄露时，重复使用员工登录为公司系统提供了简单的切入点和网络。 关于SpyCloud数据 真正可行的违规数据，以防止账户接管SpyCloud使用人类智能（HUMINT）快速恢复违反数据，通常在违反事件发生后的几天内。我们的独特的数据清理和密码破解过程揭示更快、更高的匹配率受损的凭据。访问此大规模漏洞数据库使组织能够为了快速识别暴露的账户并对其采取行动，防止这些风险敞口进展到账户收购。SpyCloud保护了超过20亿员工和来自账户接管和后续的消费者账户-针对信用卡欺诈、网络钓鱼和勒索软件等攻击。在spycloud. com上了解更多信息。 除了公司凭据之外，数据泄露还暴露了丰富的个人信息，可以使网络犯罪分子绕过安全措施，接管账户，妥协企业网络。员工、值得信赖的合作伙伴和供应商具有特权访问权限的所有人都可能容易受到帐户接管的攻击和商业电子邮件妥协。 到目前为止，已经收集了超过1000亿的违规资产，SpyCloud维护着世界上最大的已恢复存储库被盗凭证和个人身份信息（PII）。SpyCloud研究人员不断监视罪犯地下获取已可用于的违规数据网络犯罪分子，利用人类智能获取被盗数据越快越好。 企业，我们检查了SpyCloud的整个数据库，以查看我们可以将哪些违规数据与FTSE 100公司及其子公司。为此，我们搜索了包含以下内容的违规记录公司电子邮件域，不包括“freemail”域提供给消费者。例如，如果FTSE 100员工使用他们的公司注册了一个被入侵的第三方网站电子邮件地址，example @ employer. com，我们能够将由此导致的违规记录提交给他们的雇主组织。 拥有多个子公司的公司面临扩大的攻击表面很容易迷路，所以我们觉得这很重要将它们纳入我们的分析中，以全面了解富时100指数违规暴露。 关键发现 1.与FTSE 100相关的违规数据量 员工是惊人的。 在我们发现的3900多万个违规资产中，近260万是公司电子邮件地址+明文密码对(即每个公司26, 000个，上平均)。如果员工重复使用了这些密码，犯罪分子很容易利用暴露的凭据对，以获得对公司系统的访问权限。 2.富时100指数及其子公司的员工重复使用密码的比率高于普通人。 在出现多个违规行为的FTSE 100员工中，我们发现密码重用率为76%，包括精确匹配和轻微变化罪犯很容易匹配。最坏的罪犯？能源和Real Estate industries, both at 80%. By comparies, across the whole SpyCloud违反数据库，密码重用率为57%。 3. 15, 692 C级FTSE 100的凭据 高管对罪犯有帮助地下- 25%来自消费者自由支配产业。 高管们为针对性的网络攻击制定了令人信服的目标，包括业务电子邮件泄露(BEC)，也称为首席执行官欺诈，这是一个主要原因网络犯罪造成的财务损失。非必需消费品公司部门总共有3, 939个暴露的C级证书(平均每个人188个company). 4.证书只是故事的一部分。 除了暴露的密码和可能受损的用户之外，不良行为者可以访问大量可用于针对性攻击的受损PII-与FTSE 100员工相关的近1900万PII资产可用于网络犯罪分子。PII暴露量最高的行业？金融界，23%或440万暴露的PII资产。 FTSE 100的公司凭证风险敞口 公开的公司凭据 在SpyCloud数据库中，我们发现： 在SpyCloud数据集中，我们发现2, 589, 187对具有FTSE 100的证书或子公司电子邮件地址和明文密码。虽然不是每个凭证对将匹配活跃的公司登录详细信息，匹配的代表这些企业面临的巨大风险-以及他们的客户和合作伙伴。 当凭证在数据泄露中暴露时，网络犯罪分子不可避免地对他们进行测试各种其他在线网站，接管任何受同一登录名保护的其他帐户信息。如果这些被盗凭证包含一个公司的电子邮件域，罪犯有一个明显的线索，他们可以提供访问有价值的企业系统，客户数据，和知识产权。 理论上，公司密码应该是强大的资产的重要性，他们保护和通常提供的强大指导由公司安全团队。在实践中，许多员工在以下地方练习不良密码卫生工作，以及一些公司密码策略甚至鼓励坏习惯。过时的政策像严格的复杂性规则和强制性季度密码轮换制作密码更难记住，带领员工做出不安全的选择，如回收版本他们最喜欢的密码。这就是为什么来自国家的密码指南网络安全中心（NCSC）建议仅在必要时过期密码，并实施a密码黑名单,这引导用户远离普通和密码受损。 密码重复使用: 密码重用猖獗。对SpyCloud数据库的分析在我们的电子邮件地址中发现57%的密码重用率数据库暴露在多个漏洞中。这个比率甚至富时100指数及其子公司的员工情况更糟；尽管你可以想象赌注(和安全措施)是特别高，我们发现平均密码重用率为76%。 在我们的FTSE 100公司违规风险数据集中，我们检查了有多少员工暴露了一个以上登录已重复使用相同的密码或跨多个站点，然后为每个站点分配一个密码重用索引行业。百分比越高，员工密码重用。 在我们的数据集中具有多个重复使用密码的员工可能或可能不会在工作中重复使用密码-我们无法确定没有检查他们的实际工作密码。但是，密码跨个人账户的重用确实提供了一个指示员工的整体密码卫生。 欢迎12345利物浦密码Linkedin password1阳光charlie aaron431 * 0295F867E58AA24[公司名称] 1 12345678 Password1切尔西[公司名称] 123456789welcom1 [公司名称]. com matthewqwerty阿森纳猴子埃弗顿苏格兰丹尼尔mac273 111111老虎老虎护林员托马斯假日汉娜蓝鱼威廉奥利弗·安德鲁·杰西卡·夏洛特折扣3sYqo15hiL夏季jasper 0295F867E58AA24 letmein索菲约书亚 FTSE 100员工最喜欢的密码 有数百个账户需要跟踪，难怪人们采取快捷方式来记住他们的登录凭据。此外回收每个账户中一些收藏夹的变化，人们经常使用容易记住的简单密码-犯罪分子很容易猜到。犯罪分子经常使用密码喷射攻击中常见的密码，把具有弱密码的帐户面临风险，即使用户没有故意重复使用该密码。 在我们的数据集中成千上万次。(我们已经编辑了公司名称，这些名称经常出现。） 虽然这些例子中的大多数都无法通过基本的公司密码策略，人们倾向于转换基本密码以可预测的方式绕过复杂性规则。例如，“password ”在工作时可能变为“ Password1 ”或“Passw0rd! ”。不幸的是，罪犯很清楚这些模式，而且复杂的帐户检查工具使犯罪分子很容易 我们。下面的每个密码都出现了数百个甚至 密码123456APPEARED 8, 478倍 恶意软件收集的凭据 受感染员工的危险 1.威胁行为者向用户分发恶意软件。这可能需要网络钓鱼电子邮件或广告的形式，诱使用户下载恶意file。 并非此报告中的所有公开数据都来自数据 spycloud还恢复了一些收集的信息僵尸网络。带有键盘记录组件或“窃取程序”的恶意软件可以虹吸信息，如浏览器历史记录，自动完成数据，cookie、屏幕截图、系统信息、加密钱包和来自不知情的用户的受感染系统的登录凭据。 像违规数据一样，僵尸网络窃取的信息由网络犯罪分子，在小圈子中分享，有时发布在黑客网络论坛上。当SpyCloud能够恢复一些在这些机器人日志中，我们解析出被感染的受害者的用户名，URL和密码，以帮助消费者和组织保护自己。对于这份报告，我们搜索了这些记录用于FTSE 100公司电子邮件地址以识别员工可能正在使用受感染的个人或公司系统的人。 2.用户受感染的系统将数据发送到威胁行为者的C & C。 总的来说，SpyCloud已经确定了3, 347个潜在的受感染的员工在FTSE 100和子公司，平均每家公司33家。 这听起来可能不是每个公司都很多，但宽度这些感染捕获的数据可能会带来灾难性的后果对组织的后果，受影响的设备是否个人或公司。带有键盘记录组件的恶意软件可以记录员工的一举一动，捕捉浏览器历史记录，公司和第三方的文件、系统信息和登录数据-party resources. Bad actors can use this information to bypass多因素身份验证，登录公司网络，窃取敏感数据、授权欺诈性交易等。甚至如果没有确切的公司登录，犯罪分子很容易勒索，勒索、欺骗或冒充受害者，以扩大他们对企业资源。 3.威胁行为者在管理面板中看到结果，该面板可以包括被盗凭证，加密钱包，系统信息，浏览器数据和files。 4.威胁行为者通过耗尽账户和把偷来的信息卖给其他罪犯. 受感染的消费者怎么办？ 从此分析中排除了许多仅限消费者的域。我们还删除了用户名而不是电子邮件的凭据地址，因为不清楚他们是否是员工或消费者记录。然而，这些被感染的人中的每一个消费者面临极高的账户接管风险，身份盗窃和在线欺诈，这可能会导致重大损失和对受影响组织的品牌损害。 除了受感染的员工，我们还确定了FTSE 100服务的143, 000名潜在受感染的消费者。这些是FTSE 100 (和子公司)消费者的用户-面对僵尸网络日志显示他们被感染的网站在登录页面上输入用户名和密码时(例如jim @ hotmail. com在登录登录时被感染。ftse100company. com)。 由于本报告的范围，感染的真实人数这些行业的消费者可能更高；例如，我们 以下是网络犯罪分子利用消费者被盗信息的几种方式： 使用存储提交保修欺诈设备信息将送货地址更改为方便包裹盗窃和掉落-航运跟踪或勒索受害者使用浏览器历史记录和其他被盗数据出售登录详细信息和浏览器fi对其他罪犯的指纹 窃取受害者的身份欺诈，如在他们的名称从加密钱包转移资金，投资组合，支付应用程序和其他帐户使用信用下达欺诈性订单卡信息或礼品卡存储账户内关联虹吸忠诚度积分与帐户 超越凭证：其他违约风险资产类型 违规资产是与单个 developers. Given the potential payoff associated with these目标，难怪犯罪分子愿意投入大量资金努力和创造力来接管他们的账户。 违规记录。除了登录凭据外，违规资产还可以包括电话号码，地址，社会安全号码，信用评级，以及更多-任何类型的信息，可以在数据泄露中获得。而被盗凭证提供恶意行为者的明显入口点，其他类型的漏洞资产还可以为网络犯罪分子提供巨大的价值，无论是用于消费者欺诈还是作为获取企业网络、数据、知识产权和资金。 SpyCloud总共收集了39, 690, 559次违规与FTSE 100员工相关的资产。 在Sp