伦敦富时 100(及其子公司) 身份暴露报告 2023

（ 及其子公司)身份暴露报告 TABLE OF CONTENTS Overview 3 主要发现 5 概述 ： FTSE 100 身份暴露 9 密码重复使用 12 FTSE 100 员工最喜欢的密码 13 恶意软件 14 吸入的数据 受感染员工的危险 14 你的行动计划 28 概述 数字身份现在已经嵌入员工的生活中，保护这些身份对组织来说变得更加紧迫。然而，这样做越来越困难，因为这些身份的暴露会造成一个恶性循环 — — 随着暴露数量的激增，关于地下犯罪的可用数据变得更加丰富，允许恶意行为者找到新的方法来货币化，这反过来又会导致更多的身份暴露。尽管在网络防御和反欺诈措施方面进行了大量投资，但组织经常发现自己处于战斗的失败阶段。为了了解暴露的员工身份以及不断变化的趋势如何影响组织，SpyClod 梳理了我们每年从地下犯罪中夺回的整个资产数据库，并分析了富时指数前 100 家公司及其子公司员工的暗网曝光情况。. 多年来，被盗凭证一直是网络犯罪分子常用的一种工具，他们利用这些凭证入侵组织并实施欺诈和其他犯罪。然而，最近SpyCloud研究人员注意到战术上出现了一种转变：恶意行为者更倾向于使用由恶意软件窃取的凭证和其他身份验证数据，而不是依赖传统的漏洞数据库和组合列表。通过恶意软件窃取的数据极为新鲜且准确，这增加了攻击者的投资回报率，并提高了后续攻击的成功率。随着这种高质量数据在地下犯罪世界中越来越丰富，这一战术变得越来越普遍。 为了应对这种转变 ， SpyCloud 研究人员在今年的年度 FTSE 100 及其子公司的身份暴露报告中观察到的趋势也发生了变化 - 在本报告的第四年中 ， 我们仔细研究了恶意软件感染及其如何影响身份暴露。对于今年的分析 ， 我们研究的不仅仅是5225 万条漏洞和 5541 万条恶意软件泄露的 cookie 记录在我们的数据库中，这些数据直接关联到FTSE 100及其子公司的员工账户，并从犯罪地下网络中重新捕获。 为了进行分析，我们搜索了包含富时100指数和子公司 CORPORATE 电子邮件域名的记录，排除了消费者可用的“免费邮件”域名。例如，如果一位富时100指数公司的员工使用其公司电子邮件地址注册了一个被泄露的第三方网站（如jonsmith@acme.com），我们能够将由此产生的泄露记录与该员工的雇主关联起来。 关于 SPYCLOUD 的数据 SpyCloud 的专有网络安全分析引擎收集、整理、丰富并分析从数据泄露、恶意软件受害者设备及其他地下犯罪来源回收的数据——通过自动化解决方案将原始数据转化为行动，使组织能够快速识别合法用户与潜在使用被盗信息的罪犯，并主动防止账户接管、勒索软件和在线欺诈。 为了本报告的目的，了解SpyCloud如何区分第三方泄露数据与恶意软件受害者数据至关重要。数据泄露是指信息通过未经授权访问网络或系统而被盗取，通常会暴露凭证和个人可识别信息（PII）。个人在这些泄露中受到影响并非其自身过错。SpyCloud从暗网来源重新捕获这些数据，并在我们的分析中识别出员工或消费者被暴露时通知企业，要求对被盗密码进行修复或对可疑交易进行额外审查。 我们所指的恶意软件受害者数据是从被信息窃取者感染的设备中泄露的信息——通常包括用户名和密码、设备及会话 cookie、自动填充数据、加密货币地址，以及可用于通过账户接管、会话劫持或社会工程学手段冒充受害者的设备和系统详细信息。 1在 FTSE 100 及其子公司的员工中 ， 密码重用仍然很普遍。我们发现了一个65% 密码重复使用率在我们数据库中属于富时100指数公司及其子公司，并且在超过一次的数据泄露事件中暴露了电子邮件地址的情况下，情况变得越来越糟而非改善——上一年度的密码重复使用率为64%。不幸的是，我们在每年的富时公司及其子公司中都看到了这种趋势，表明所有用户教育和培训仍然未能引起员工的重视。在这一类别中处于领先地位的是电力行业（80%），银行业紧随其后（76%）。工业工程、食品和药物零售商以及零售 Hospitality 行业并列第三（75%）。1. 密码重用率普遍存在 ， 电力部门是最严重的罪犯。 2去年，每个部门都暴露在数据泄露或恶意软件感染中，可能两者兼有。不包括由恶意软件窃取的数据，我们重新获得了近 1020 万条违规记录与FTSE 100及其子公司员工相关。就违规记录而言，银行业拥有最多的暴露记录（186万份）和暴露资产（958万份）。在违规记录前五名的其他行业中，电信服务行业位居第二（111万份），媒体行业第三（996,445份），制药和生物技术行业第四（835,854份），石油、天然气和煤炭行业第五（713,975份）。这些相同行业在暴露资产方面也紧随银行业之后，但顺序略有不同：媒体行业的暴露资产最多（564万份）；其次是电信服务行业（488万份）、制药和生物技术行业（411万份），以及石油、天然气和煤炭行业（363万份）。尽管恶意软件的数量增加，数据泄露导致的暴露问题继续影响每一个行业，尤其是工业支持服务行业。 3前一年反复出现的两个主题让我们暂停了担忧 ： 暴露的 PII 资产数量持续增长， 银行部门拥有最多的 PII 敞口。我们重新获得了近2835 万 PII 资产（与前一年的2756万相比），这使得组织面临风险，因为数据被用于社会工程、钓鱼方案以及合成身份的开发以进行欺诈。在这其中，个人可识别信息资产中有521万条——占18%——来自银行业。合成身份欺诈（即从多位消费者处混用被盗和伪造的身份数据）已成为最大的形式近年来，身份盗窃事件频发，大量消费者的个人可识别信息（PII）在犯罪地下市场流通，这使得诈骗分子极易利用这些信息创建合成身份，新开账户，申请信用，实施其他金融欺诈行为。因此，看到银行业在这一类别中位居首位尤为令人警觉。3. PII 风险敞口保持稳步攀升 ， 银行板块再次处于领先地位。 4总共有所有 FTSE 行业的 675, 327 名感染恶意软件的员工和消费者, 这种隐秘手段导致的曝光现象非常普遍。信息窃取器（infostealer）——专门设计用于窃取各种个人数据、认证信息和系统数据的恶意软件——越来越受欢迎，许多市场现在已经开始迎合初始访问中间商（IABs）等恶意行为者的需求，他们利用信息窃取器为勒索软件运营商提供访问权限。越来越多地，这些市场开始提供僵尸网络日志，其中包含从凭证到个人可识别信息（PII）、再到浏览器会话cookie等各种类型的恶意软件泄露数据。为了具体说明这一点：去年我们在整个SpyCloud数据库中重新捕获的所有泄露资产中，有58.6%来源于僵尸网络日志。具体而言，我们还回收了5541 万个会话 cookie 记录与FTSE 100公司及其子公司相关的——这类恶意软件数据因其高准确性而最受青睐。拥有浏览器会话cookie后，恶意行为者可以成为身份的克隆，并绕过身份验证以无缝接管会话，从而获得不受限制的访问组织网络、访问敏感数据、实施欺诈以及发起包括勒索软件在内的有害网络攻击（如更广泛的恶意网络攻击）。虽然过去网络犯罪分子的心态可能是“越多越好”以获取被盗数据，但在会话cookie方面，这种情况已不再适用——这些数据的质量如此之高，几乎可以确保成功。在FTSE行业部门中，我们回收的会话cookie中绝大部分（70%）来自工业支持服务（3855万），其次是媒体（570万）、旅游和休闲（410万）、零售商（179万）以及食品和药物零售商（101万）。4. 恶意软件策略很普遍 ， 而会话 cookie 是最终的恶意软件 ， 例如被窃取。 5每这些三个行业各有特色，但它们有一个共同点：它们在暴露程度上远远领先于其他行业，具有广泛的影响。如上述发现所示，银行业在泄露记录数量最多（186万），第三方泄露资产暴露范围最广（958万），个人身份信息记录最多（521万），并且密码重用率仅次于某项指标（76%，比整体样本中的72%高出4个百分点）。整个数据库)，但这仅仅是个开始。银行业部门还拥有最高的重新捕获凭据对数（634,114）、暴露的高级管理层员工数（3,127）以及重复使用密码的员工数（15,073）——我们还可以继续列举更多。但最令人警醒的是该行业的受恶意软件感染的消费者数量（5,633），因为这往往是欺诈活动的一个已知入口点。消费者交给银行的敏感数据不仅影响个人，还为针对这些银行和金融机构的大规模欺诈活动打开了大门——看到这一领域处于如此糟糕的状态令人震惊。5. 银行业的风险敞口最严重 ， 电信和媒体紧随其后。 此外，在恶意软件感染方面，电信行业排名第一，有 4, 284 名恶意软件感染员工。这代表了所有 FTSE 行业中所有受感染员工的四分之一，几乎是该类别中第二高行业(媒体，有 2, 167 名受感染员工) 的两倍。最后，到目前为止，媒体感染恶意软件的消费者数量最多 ： 229, 267，占 FTSE 公司及其子公司所有受感染消费者的 35％ 。与银行业大量受感染消费者的欺诈影响类似，其他组织也面临同样高的风险，因为缓解成本可能非常高，并且减少对业务的影响，同时平衡客户体验仍然是许多组织的钢丝。 富时 100 指数的公司信用披露 公开的公司凭据 SpyCloud 研究人员发现了更多275 万对凭证拥有FTSE 100或子公司公司的电子邮件地址和明文密码。在这634,114个与银行相关联的凭证中，该行业拥有暴露凭据数量最多。电信服务提供商紧随其后（427,502），石油和天然气生产商则位列第三（216,268）。 虽然并非每一对认证凭证都能与企业的登录信息匹配，但那些匹配或甚至部分匹配的凭证对这些企业及其客户和合作伙伴构成了重大风险——尤其是鉴于犯罪分子具备高级能力轻易破解密码。 当凭证在数据泄露中被曝光，网络犯罪分子不可避免地会将这些凭证测试应用于各种其他在线站点，这被称为凭证填充,一旦获取了同一登录信息保护的其他账户。如果被盗凭证包含企业电子邮件域名，犯罪分子将明显了解到这些凭证可能提供对企业系统、客户数据和知识产权的访问权限。其中最有价值的是属于公司高管（C-suite）成员的凭证。网络犯罪分子针对公司高管和其他拥有高级职位或高权限级别的员工，企图进行账户接管和商务电子邮件欺诈（BEC）。这类骗局给企业造成了巨大的经济损失：2022年的总BEC损失达到了$27 billion近 22, 000 投诉。 在我们的数据集中 ， 我们还发现来自 15, 345 名暴露的 C 级员工的 84, 297 条记录诈骗分子利用这些数据进行钓鱼和社交工程攻击，以控制高管的电子邮件账户，然后使用该电子邮件账户冒充高管，迫使员工、供应商或其他可信合作伙伴支付欺诈性发票、非法转账资金、泄露敏感信息等。商务邮件冒用（BEC）诈骗具有广泛的影响，不仅威胁到敏感数据和知识产权，还可能危及公司的财务状况。 从理论上讲，鉴于它们所保护的资产的重要性以及企业安全团队通常提供的强大指导，企业密码应该很强。实际上，许多员工出于感知上的便利性在工作中使用不良的密码习惯，而一些企业密码政策（如每90天更换一次密码）甚至可能鼓励不良习惯。 密码重复使用 在我们的 FTSE 100 和子公司违规风险数据集中 ， 我们发现了65% 密码重复使用率- 意味着同一密码在一次或多次泄露事件中被发现。这一比例较前一年的64%有所上升，并且仅比整个数据库中密码重复使用率低7个百分点（72%）。在我们的数据集中，拥有多个重复使用密码的员工可能在工作中也会重复使用密码；然而，他们在第三方泄露事件暴露的账户中重复使用密码的情况可以反映员工整体的密码卫生状况，这仍然是组织面临的一个挑战。 FTSE 100 员工最喜欢的密码 随着需要跟踪的账户数量众多，人们采取捷径记住登录凭据也就不足为奇了。除了在每个账户中重复使用少数几个喜欢的密码的变化版本外，人们还经常使用易于记忆的简单密码——这些密码也容易被犯罪分子猜到。犯罪分子经常在密码喷射攻击中使用常见密码列表，即使用