SpyCloud 年度身份暴露报告 2024

未锁定的下一级网络威胁分析 TABLE OF CONTENTS欢迎亮相 ： 网络犯罪分子加紧了他们的游戏32023 年的数字身份2 关于数字身份的斗争4我们为什么要做这个报告5我们的秘密武器 ： SPYCLOUD 重新捕获的数据6 用户 VS 。犯罪 ： 2023 年身份暴露区域7数字身份是顶级攻击向量8作为身份暴露中的主要参与者的恶意软件感染9123456 ： 暴露的流行密码10被淘汰 ： 政府部门11通过 GO, 收集 200 PII12 MALWARE 的下一步行动 ： INFOSTEALER 家庭观看16和一个新的角色进入游戏 ： 移动恶意软件17其他彩蛋17 胜利的标志 ： 偷窃的对话技巧18 GOTTA 重新捕获所有这些 ： 值得注意的数据突破19 阶段 1 欢迎来到展示： 网络罪犯加强了他们的游戏 关于数字身份的斗争 数字身份已融入我们的生活中，其广泛应用使得保护我们的账户和企业系统免受攻击变得越来越困难。犯罪分子窃取的数据逐年大幅增加，并在不良分子之间进行交易。例如：SpyCloud 收集的数据总数已增长到超过 437 亿条不同的身份记录。 并且在本已复杂的威胁 landscape 中进一步复杂化的是，恶意行为者开始超越传统意义上的利用被盗用户名和密码对消费者和组织进行犯罪。通过使用扩展的数据集，犯罪分子基于来自不同来源的身份记录，并利用个人可识别信息（如社会保障号码或社交媒体账号）将这些记录链接起来，扩大了他们的攻击模式。因此，用户现在需要担心他们被从数十甚至数百个来源窃取的信息所组成的综合数字身份。 情况变得更糟的是，犯罪分子响应改进的身份认证技术，完全绕过了用户身份验证方法。恶意行为者能够利用被盗的会话cookie和双因素认证（2FA）密钥来冒充受害者，使得区分合法用户和犯罪分子变得极其困难。 犯罪分子显然正在利用这个机会获利 ， 这就是为什么全球成本预计到 2027 年 ， 网络犯罪的 Cy 将增加近三倍 ， 从 2022 年的 8.44 万亿美元增加到23.84 万亿美元. 我们看到这种指数增长在我们自己的从暗网中重新获取的数据存储库中重新反映出来 ， 这些数据总计超过 5600 亿被盗资产截至本报告发布之时。 正如本报告所示，我们观察到下一代身份攻击有所增加，这迫使我们必须扩大对数字身份及其保护措施的定义。 我们为什么要做这个报告 数字身份的安全威胁并非新鲜事。然而，动态犯罪地下网络的快速步伐和隐秘性质使得安全团队难以跟上节奏，并主动防御新的威胁。 SpyCloud 研究人员和数据科学家每年都会研究与身份泄露相关的犯罪地下趋势。我们密切关注暗网活动，以了解被盗数据如何使组织和消费者暴露在账户接管、会话劫持、欺诈和勒索软件等网络犯罪风险中。 尽管我们一直看到暴露身份的数量在增加，但在过去几年中，我们也发现了恶意行为者用来窃取身份的数据类型发生了变化。为应对这种变化，我们继续扩大数据集，以探索新兴和演变的威胁如何进一步增加消费者和组织的风险。 我们今天看到的最令人震惊的趋势 - 没有 - 是恶意软件。Infostealers并且其他类型的恶意软件会窃取有效的认证数据，如登录凭证和会话 cookie，并开始针对 passkeys。在犯罪分子手中，这些数据使攻击者能够高度成功地模仿消费者或员工对网络和应用的访问。 我们重新捕获的 61 ％ 的漏洞是 恶意软件相关2。这反映了网络犯罪分子利用高质量数据获得的巨大价值 ， 而不是由恶意软件进行的数据。 API 密钥 大多数组织和消费者仍然 unaware 于容易从感染设备窃取的广泛数字身份数据，并且这些数据在暗网上变得易于获取。本报告旨在阐明较少被理解的威胁，并强调这些威胁所带来的风险，以便您能够保护用户并减少对组织的影响。 WebHOOKS 我们的秘密武器 ： SPYCLOUD 重新捕获的数据 SpyCloud 收集、整理、丰富、分析并自动化处理从数据泄露、恶意软件感染及其他来源重新捕获的数据。通过 SpyCloud，安全团队可以基于真实的受侵害证据采取行动，以减轻依赖被盗数据进行的破坏性攻击的风险——防止账户接管、会话劫持、勒索软件和在线欺诈。 为了本报告的目的，让我们定义SpyCloud如何区分第三方泄露数据与恶意软件受害者数据。 数据泄露当信息通过未经授权访问网络或系统的方式被盗取时，通常会暴露凭证和个人可识别信息（PII）。在这些泄露事件中，个人并未因自身过错而受到影响。我们将单一用户在泄露事件中暴露的数据集合称为泄露记录。SpyCloud 从暗网来源重新捕获第三方泄露数据，并在员工或客户的信息（包括电子邮件地址、用户名、密码和PII）被发现时通知相关企业。 恶意软件是专门为损害或利用计算机系统、网络或用户而设计的软件。恶意软件可以采取各种形式。SpyCloud 主要专注于重新捕获信息窃取木马和特洛伊木马感染的数据。我们称之为恶意软件受害者数据是从受感染设备泄露信息——通常包括用户名和密码、会话cookies、自动填充数据、个人可识别信息（PII）以及可用于冒充受害者的企业和系统详细信息。（相反地揭露网络犯罪分子). 阶段 2 趋势 74% 的用户在重复损坏的密码中 MACBOOK用户以广泛使用的告密者为目标新数据类型会议技巧 ， 信用卡信息 ， API 密钥和WebHOOKS ， CRYPTO 地址52 ACTIVEINFOSTEALER FAMILIES 数字身份是顶级攻击向量 云应用程序、远程工作、移动设备使用以及在线服务已将数字身份置于我们个人和职业生活的核心位置。因此，数字身份已成为主要的攻击目标——90%在过去的一年中 ， 接受调查的组织报告了与身份相关的违规行为。 我们的意思是数字身份 窃取的凭证仍然是犯罪分子获取系统和应用程序初始访问权限的流行工具。但数字身份已经远远超越了传统的用户名和密码组合，所有迹象都表明恶意行为者会利用他们能够窃取的所有数据。 证书的定义已经演变，不再仅仅指的是用户名和密码。您网络中的每个身份验证层都充当证书的角色，这扩大了犯罪分子绕过身份验证方法和安全措施以获得访问权限的可能性。 为了深化其能力，行为者现在还利用暗网中可用的大量信息来交叉比对被盗数据集。通过这种方式，不同电子邮件地址或用户名下相同的密码可以被混合使用，从而增加行为者可能在攻击中使用的个人身份信息（PII）总量。 此外 ， 从受感染设备提取的日志可能包括 IP地址 ， 信用卡信息 ， 身份验证或会话 cookie 以及数十个其他数据点等数据。该人的身份和设备详细信息的结合使网络犯罪分子掌握了更广泛的可能攻击的关键。 SpyCloud 的数据显示 ， 今天的身份暴露规模巨大。我们对 2023 年重新捕获的随机电子邮件地址样本的分析发现 ， 对于给定人的数字身份 ， 平均而言 ： 随着恶意行为者跨多个被盗数据集收集和使用数据，此类信息及相关访问详细信息和PII为恶意行为者提供了多种机会，使其能够访问组织或应用程序。 恶意软件（尤其是信息窃取器）的迅速崛起是我们继续观察到的最大趋势之一。仅在2023年，信息窃取器恶意软件的使用就急剧增加。三倍.我们在重新获取的数据中看到了窃取器急剧增加，多达五分之一的人已经成为信息窃取者的受害者。 机器人网络或“僵尸网络”可以大规模部署信息窃取工具，在用户和安全运营中心（SOC）团队未察觉的情况下悄无声息地感染机器。由于这类恶意软件通常不具备持久性设计，因此只需几秒钟即可窃取身份验证和财务数据，而不会被防病毒软件检测到。不出所料，这一趋势引起了SOC的关注：在SpyCloud 2023年恶意软件准备与防御报告中，受访者将信息窃取工具列为他们最关注的问题之一。三大关注点. 信息窃取者之所以能够崛起的原因是显而易见的。它们价格低廉、在窃取大量有用数据方面效果显著，并能带来高投资回报。转向恶意软件即服务（Malware-as-a-Service，MaaS）的模式更是锦上添花——研究显示，24%作为服务分发的恶意软件来自 infostealer 家族。 SpyCloud 的数据说明了 Infostealer 威胁的普遍性和重要性。在我们分析的 3, 478 个漏洞中 ， 2, 115 个 - 或61 ％ 的总攻击- 与恶意软件相关并包含在内343.78 百万被盗凭证有了有效的凭证 ， 网络犯罪分子就有了进入员工和客户账户的捷径。 343, 780, 000 + 窃取凭证 让事情变得更糟... 密码重用率在一年内多次遭受数据泄露的用户中仍然非常高，我们的研究显示——不幸的是——安全意识和密码政策并没有改善密码卫生状况。所有时间的重用率故事相似，这是从SpyCloud自2016年开始重新捕获数据以来的运行平均值。 每年，“123456”及其变体都会出现在常用密码列表的顶部，这毫不令人惊讶，但常用的密码也反映了主导流行文化的热点话题。那么，去年我们的集体思维关注的是什么呢？ 最热门的流行文化趋势是幻想足球. 根据2023年的估计，大约有29.2百万美国人参与其中，这或许可以解释为什么基础词汇包括美式足球、幻想足球/NFL。超过 110 万次在我们最常泄露的密码列表中。其他流行文化话题去年潜入心底的密码包括: 被淘汰 ： 政府部门 和其他复杂的行为者瞄准关键基础设施机构。然而 ， SpyCloud 数据显示 ， 政府身份暴露仍然是一个日益严重的问题。 为了了解去年政府机构在数据泄露事件中的表现，我们分析了重新获取的数据中的与政府域名相关的电子邮件。 2023 年 GOV 电子邮件包含 723 次突破， 而 2022 年为 695 张 ， 2021年为 611 张。重新捕获的记录包含 281042 张. gov 凭证。 当我们分析政府雇员的密码重用率时 ， 这个故事并没有变得更好。 我们发现. GOV 用户在过去一年中暴露了两次或更多次。， 比前一年的 61% 有所上升。. gov 的历史重用率也高达 54% - 这意味着用户不仅在重用旧密码 ， 而且可能在 2016 年使用公开密码。3 通过 GO, 收集 200 PII PII 曝光仍然是用户和组织的主要关注点。几乎70%接受调查的企业表示 ， 他们的欺诈损失近年来有所增加。大量暴露的 PII 助长了这些趋势。 我们发现几乎200 类型OF PII从日常的细节 ， 如namesand地址到更多相关类型 ， 如护照号码,出生日期,信用卡, and社会保障号码. 阶段 3 恶意软件， 尽管 如前所述，我们对数字身份暴露的分析每年都会根据暗网和网络犯罪的趋势进行扩展。我们正在追踪更高级的恶意软件形式，并收集新的泄露数据，这些数据加剧了新的身份风险。对于今年的报告，我们加大了努力来理解恶意软件的影响，这反映了威胁行为者策略的重要转变以及地下市场角色的增强作用。 僵尸网络恶意软件并不新鲜——可以追溯到20世纪90年代。但是自那时以来，该技术已经取得了巨大的进步，超越了最初的分布式拒绝服务（DDoS）攻击和垃圾邮件等用途。如今的高级僵尸网络主要被用于部署信息窃取器，这些信息窃取器能够规避防病毒和其他终端保护解决方案。 超过343.78 百万恶意软件 - 前 fi 编译的凭据 信息窃取器通常以低价出售作为服务的恶意软件订阅形式，这消除了新手网络犯罪分子进入市场的障碍。整个地下市场专门销售机器人和僵尸网络日志，并且见证了前所未有的增长。其中一个在这个领域占主导地位的平台，被称为“俄罗斯市场”（Russian Market），500 万2023年2月单日存在信息窃取行为的日志出售。在此期间，从2021年6月到2023年5月，该市场上的日志销售数量惊人地增加了670%。 包括超过100,000主人 这些市场非常有韧性，以Genesis市场的案例为例。2023年4月，联邦调查局取缔了一个知名的、仅限邀请加入的交易平台，该平台专门从事机器人交易。但一些