财富 1000 强身份曝光报告 2023

TABLE OF CONTENTS Overview 3 主要发现 5 一览 ： 财富 1000 强身份曝光 9 密码重用 ： 按部门划分的最差罪犯 12 财富 1000 强员工最喜欢的密码 13 恶意软件 14 吸入的数据 受感染员工的危险 14 泄露的 Cookie 是新密码 15 概述 暴露的身份数量逐年激增，为网络犯罪分子提供了新的机会，使其能够以盈利的方式利用窃取的数据。随着数字身份已成为员工生活中不可或缺的一部分，任何组织都需要更加关注不断演变的威胁策略——尽管在安全和反欺诈措施上投入了大量资金，但这变得越来越具有挑战性。为了了解暴露的员工身份对企业的影响，SpyCloud 每年遍历我们从犯罪地下世界回收的整个资产数据库，并分析财富1000强企业员工在暗网上的曝光情况。 尽管被盗凭证长期以来一直是恶意行为者入侵组织和实施欺诈及其他犯罪的首选途径，我们近年来观察到一种新的发展趋势：他们正从使用“传统”的漏洞数据库和组合列表转向通过恶意软件窃取的凭证和其他身份验证数据。这种战术之所以受到网络犯罪分子的青睐，是因为其投资回报率极高——被恶意软件窃取的数据不仅非常丰富，而且极其新鲜和准确，从而提高了后续攻击的成功率。 为了应对这种转变 ， SpyCloud 研究人员在今年的年度财富 1000 强中观察到的趋势 身份暴露报告也在发展 ， 在我们这份报告的第四年 ， 我们仔细看看 恶意软件感染以及它们如何影响身份暴露。对于今年的分析 ， 我们查看了 22.7 亿次入侵和恶意软件泄露的资产在我们的数据库中，这些数据直接关联至 fortune 1000 公司的员工账户，并于 2022 年期间从犯罪地下经济中重新捕获。 为了进行分析，我们搜索了包含《财富》1000强公司电子邮件域名的记录，排除了消费者可以使用的“免费邮件”域名。例如，如果一位《财富》1000强公司的员工使用其公司电子邮件地址注册了一个被泄露的第三方网站，如jonsmith@acme.com，我们能够将由此产生的泄露记录与该员工的雇主关联起来。 在本报告中 ， 我们查看了所有 21 个行业的顶级模式 ， 确定了风险最高的行业 ， 然后对每个行业进行了更详细的分析。 关于 SPYCLOUD 的数据 SpyCloud独有的网络分析引擎收集、整理、丰富并分析从数据泄露、恶意软件受害者设备及其他地下犯罪来源回收的数据，将原始数据转化为行动，通过自动化解决方案帮助企业快速识别合法用户与潜在犯罪分子，并利用被盗信息主动防止账户接管、勒索软件和在线欺诈。 为了本报告的目的，理解SpyCloud如何区分第三方泄露数据与恶意软件数据至关重要。数据泄露是指信息通过未经授权访问网络或系统而被盗取，通常会暴露凭证和个人可识别信息（PII）。个人在这些泄露中受到影响并非由于自己的过错。SpyCloud从暗网来源重新捕获这些数据，并在我们的分析中识别出员工或消费者被暴露时通知相关企业，要求对被盗密码进行修复或对可疑交易进行额外审查。 我们所指的恶意软件数据是从受信息窃取器感染的设备中泄露出来的信息——通常包括用户名和密码、设备及会话cookie、自动填充数据、加密货币地址以及可用于通过账户接管、会话劫持或社会工程学手段冒充受害者的设备和系统详细信息。 1在财富 1000 强员工中 ， 密码重用继续猖獗。我们发现了一个62% 的密码重用率在曾多次暴露于 Fortune 1000 员工中的情况下，这一数字仅比去年低 2 个百分点——这并不是显著的改进。我们每年在 Fortune 1000 企业中都能看到这种趋势，表明大多数用户教育和培训并没有真正引起员工的重视。在这个类别中被视为最严重违规者的行业是金融行业（68% 的密码重复使用率），考虑到消费者将敏感数据交由金融机构保管，这令人担忧，因为这不仅可能影响个人，还可能为更广泛的欺诈行为打开大门。1. 密码重用率没有提高 ， 金融板块最为吃力。 2不包括恶意软件 - 包括 fi 在内的数据 ， 我们已经重新捕获13243 万条违规记录与财富 1000 强员工相关 ， 比 2021 年增长 4.6% 。这相当于72563 万违约资产(个别数据点)相比去年，增幅为5.6%。技术、金融和零售业领头，其总泄露资产数量最高。特别是零售业尤为突出：它也是平均每家公司泄露记录数最多的前三行业之一（197,205条），以及平均每家公司资产数最多的前三行业之一（接近122万）。2. 尽管恶意软件在增加 ， 但数据泄露的风险已经稳步上升 ， 尤其 是在零售业。 3. 网络犯罪分子在恶意软件上加倍投入。3在171, 528 名感染恶意软件的员工与财富 1000 强公司和3100 万恶意软件感染客户在我们检测到的这些公司中 ， 一个惊人的18.7 亿条 cookie 记录已从受感染的设备中引用了 fi 。使用被盗的cooie，犯罪分子可以在不需要凭据的情况下执行活动会话的会话劫持，并且可以绕过 MFA 。源于这种阴险策略的曝光似乎已经失控，网络犯罪分子才刚刚开始。Ifostealers — — 专门为窃取各种个人、身份验证和系统数据而设计的恶意软件 — — 正在迅速流行，地下市场也越来越受欢迎，这些市场迎合了恶意行为者，如初始访问经纪人(IAB)，他们使用 Ifostealers 来访问勒索软件运营商。. 技术拥有最高感染员工数（67,723名）的公司遍布119家公司，但没有一个行业能够免疫于恶意软件感染。网络罪犯对敏感和有价值系统及资产的访问权限所带来的威胁在多个层面令人担忧。前五名中感染员工数最多的四个行业的细分情况如下： 财务状况:在 167 家公司中 ， 15274 名受感染的员工数量仅次于技术 ， 同比增长近 300% 。 零售 ：排名第三 ， 共有 81 家公司的 11, 950 名恶意软件感染员工。 Health Care:紧随其后的是 76 家公司的 9, 884 名恶意软件感染员工。 电信 ：在《财富》 1000 强榜单上的 9 家公司中 ， 有 8000 多名受感染的员工。 4在所有被恶意软件窃取的认证数据中，浏览器会话cookies最受青睐。每个cookie都允许网络犯罪分子成为合法用户的身份克隆，并绕过认证以无缝劫持会话。如前所述，我们重新获得了18.7 亿条恶意软件 cookie 记录去年，主要来自技术领域（15.1亿），其次是零售业（2.0012亿）和商业服务（0.617亿）。拥有这些工具，恶意行为者可以无限制地访问企业的网络，并伪装成合法用户发起有害的网络攻击，包括勒索软件、访问敏感数据以及实施欺诈。尽管过去网络罪犯可能认为窃取的数据越多越好，但在会话cookie的情况下，这种心态已不再适用——这些数据的质量如此之高，几乎可以确保成功。4. 网络犯罪分子通过会话 cookie 获得大奖 ， 尤其是在技术、零售和商业服务领域。 5暴露的个人 identifiable information（PII）使组织面临风险，因为这些数据可以被网络犯罪分子用于社会工程学、钓鱼方案以及合成身份的开发，从而实施欺诈行为。去年，在涉及最多PII暴露的行业中，技术和金融仍然位居前列，尽管它们的位置发生了互换。具体而言，技术行业的PII资产暴露数量为77.41百万，超过了金融行业（74.61百万），排名第二；零售业则保持第三位，暴露了71.39百万的PII资产。这些行业中，PII暴露量均较2021年有所增长，而整体来看，所有行业暴露的总PII资产数量也有所增加。42328 万, 表示同比增加了7%。零售和科技行业在平均每家公司暴露的个人可识别信息（PII）资产数量中排名第二和第三（分别为881,360和650,499）。在后者类别中处于领先地位的电信行业再次重复了前一年的表现：平均每家公司暴露的个人可识别信息资产数量为3.21百万，该行业远远超过了所有行业中平均的423,277。5. 随着技术、金融和零售业保持领先地位 ， PII 曝光量正在增长。 6. 密码卫生留下了很多需要。6就像我们在关于密码重用率的研究发现一样，我们列出的被找回密码排行榜也显示，尽管强调了员工的安全意识和培训，习惯并未改变。我们发现了一个反复出现的主题，“password” 和 “123456” 是最常见的明文被找回密码，但也注意到一个新的趋势：在前一百个暴露的密码列表中出现了许多名字。这一发现与我们在整个数据库中回收的700万密码相吻合，这些密码包含“love”、“family”、“kids”、“wife”、“husband” 和 “boyfriend”。这表明，也许去年《财富》1000强公司的员工，像我们许多人一样，在经历了两年的疫情动荡后，稍微有些感性。无论他们使用名字作为密码的原因是什么，员工们通过选择容易被黑客轻易猜出的密码，正在将公司置于危险之中，而黑客只需浏览一下社交媒体即可。 AT - A - GLANCE:财富 1000 身份暴露 会话 cooie 或令牌是一个字符串，网站或服务器使用它来记住访问者，使其更容易再次访问网站而无需进行身份验证。类似于违规记录, cooie 记录可以包含绑定到单个会话或 cooie 的一组数据, 其可以是 cooie 的 ID 、值、过期、域等的组合。有了有效的cooie，网络犯罪分子可以模拟用户并绕过身份验证以无缝劫持会话，从而允许他们访问敏感数据，提升员工权限等等。 与拥有高级头衔的财富 1000 高管相关的企业资历暴露 ， 使他们面临有针对性的账户收购和商业电子邮件泄露 (BEC) 欺诈的风险增加。 Fortune 1000企业的员工数据从感染了信息窃取恶意软件的设备中泄露到日志中。这些高严重性暴露使它们面临身份盗窃和欺诈的风险，并使企业容易遭受勒索软件攻击。 财富 1000 的公司信用暴露 按部门分列的公开公司证书 在 SpyCloud 数据集中 ， 我们发现几乎2748 万双凭据拥有《财富》1000强企业的电子邮件地址和明文密码。与去年类似，暴露程度最高的三个行业远远领先：科技行业（752万），电信行业（634万），以及金融行业（364万）。虽然金融和科技行业的高数字部分原因可能是由于行业规模（分别为167家和119家公司），但电信行业的暴露程度异常严重，因为该行业仅包括九家企业。 虽然并非每一对凭证都能匹配企业的登录信息，但那些匹配或甚至部分匹配的凭证代表了这些企业——以及它们的客户和合作伙伴——面临的重大风险，鉴于犯罪分子具备高度先进的能力轻易破解密码。 当凭证在数据泄露中被曝光时，网络犯罪分子必然会将这些凭证与其他在线站点进行比对，利用相同登录信息接管任何其他受保护的账户。如果被盗凭证包含企业电子邮件域名，犯罪分子会明显意识到这些凭证可能为企业系统、客户数据和知识产权提供访问途径。其中，属于公司高管（C-suite成员）的凭证尤为宝贵。网络犯罪分子针对公司高管和高级管理人员进行账户接管和商务电子邮件诈骗（BEC欺诈）。这类骗局给企业带来了巨大的损失：根据联邦调查局的数据，2022年全年BEC总损失达到了巨额数字。来自近 22, 000 个投诉的 $2.7 B. 在我们的数据集中 ， 我们发现935, 786 来自 87, 741 名暴露的 C 级员工的被盗资产诈骗分子利用这些数据进行网络钓鱼和社会工程攻击，以接管高管的电子邮件账户。然后，他们使用该电子邮件账户冒充高管，迫使员工、供应商或其他可信合作伙伴支付虚假发票、非法转账资金、泄露敏感信息等。商务电子邮件欺骗（BEC）欺诈具有广泛的影响，从威胁敏感数据和知识产权到影响公司的财务状况。 从理论上讲，与企业账户关联的密码应该很强，因为这些密码保护的重要资产对企业至关重要，而企业的安全团队通常会提供 robust 的指导。然而，在实践中，许多员工出于感知上的便利而在工作中使用不良的密码习惯，而一些企业的密码策略（如每90天更换一次密码）甚至可能鼓励不良习惯。 密码重复使用:按部门