2023 年度身份暴露报告

TABLE OF CONTENTS 2022 亮点 3 由于恶意软件 6 而导致的凭据暴露不断增加 政府部门仍处于高风险状态 9 巨大的 PII 曝光帮助犯罪分子创新 11 恶意软件聚焦:12感染如何造成身份暴露 2022 年最著名的数据泄露 15 对被盗数据采取行动 17 关于 SpyCloud 19 8.02 亿 7.53 亿 概述 在过去六年中，SpyCloud一直在分析与身份泄露相关的变化趋势，以了解这些数据如何使组织和消费者面临包括勒索软件攻击、数据泄露、账户接管和在线欺诈在内的网络安全风险。每年，SpyCloud的研究人员都会分析过去一年从深网最底层重新捕获的数据，并探讨这些发现的意义。我们的年度《身份泄露报告》便是对这些趋势研究的结果。 在2022年，我们观察到恶意行为者越来越依赖通过恶意软件直接从用户设备窃取的数据的质量和数量。我们重新捕获的数据中近一半来自僵尸网络，这些僵尸网络常被用于部署信息窃取型恶意软件。 这是一个危险的趋势，因为僵尸网络数据极为准确且非常有效，能够帮助网络犯罪分子在线冒充个人——利用暴露的身份信息元素实施各种网络犯罪。然而，大多数消费者和组织对此类暴露数据的广度及其易受网络犯罪分子攻击的范围缺乏认识。 数字身份已深入每个人的职场和個人生活中，保护这些身份变得越来越困难。随着暴露身份数量的不断增加，恶意行为者获得了以新方式利用数据牟利的充足机会。仅在美国，各行业因网络犯罪造成的损失估计高达4.1%占总国内生产总值。只要诸如从信息窃取恶意软件中提取身份数据的策略能为网络犯罪分子带来高投资回报率，企业损失将继续增加。 因为SpyCloud在攻击生命周期中比公开报道早几个月甚至几年重新捕获数据，并且还提供了来自受恶意软件感染设备的新采集认证数据，我们能够提供关于这些变化如何影响组织的独特见解——并在暴露的数字身份被用于造成危害之前帮助他们保护员工和客户账户。 关于 SPYCLOUD 的数据 SpyCloud独有的Cybercrime Analytics™引擎收集、整理、丰富并分析从数据泄露、恶意软件受害者设备及其他地下犯罪来源回收的数据——通过自动化解决方案将这些数据转化为行动，使企业能够迅速识别使用被盗信息的合法用户与潜在犯罪分子，并主动防止账户接管、勒索软件和在线欺诈。 为了本报告的目的，理解SpyCloud如何区分第三方泄露数据和恶意软件受害者数据至关重要。数据泄露是指信息通过未经授权访问网络或系统的方式被盗取，通常会暴露凭证和个人可识别信息（PII）。个人在这些泄露中受到暴露并非其过错。SpyCloud从暗网来源重新捕获这些数据，并在发现员工或消费者电子邮件地址、用户名、密码以及PII时通知相关企业。 我们所说的恶意软件受害者数据是指从被信息窃取者（infostealer）感染的设备中泄露出来的信息——通常包括用户名和密码、设备及会话cookie、自动填充数据、加密货币钱包，以及可用于冒充受害者的设备和系统详细信息。 TOP 2022 趋势 趋势 1 由于恶意软件感染而导致的凭据暴露不断增加 证书在网络安全事件中继续发挥主导作用 ，Verizon 2022 数据泄露调查报告他们被列为“通往房地产的四大关键路径之一”，负责45%的非错误、非滥用数据泄露事件。尽管这个故事已经为人所熟知，但暴露凭证的趋势出现了令人担忧的变化。威胁行为者正逐渐远离传统的账户接管方式（例如，使用组合列表中的凭证对进行凭证填充攻击等）。相反，他们更常通过从用户设备和被信息窃取者感染的浏览器中直接窃取其他形式的认证数据来获得进入权限，这些恶意软件旨在悄悄地榨取数据。 大规模的数据泄露或暗网泄漏导致数百万密码暴露，这种情况总是会引起警觉，而且是完全有理由的，但许多人没有意识到的是，暴露的密码同样可能来源于被恶意软件感染的设备。 2022 年 ， 我们恢复了7215 万从地下犯罪分子中暴露出来的资历1, 316 来源。在这些证书中 ，3.496亿–48.5%- 来自僵尸网络日志。 尽管过去机器人网络或“僵尸网络”主要被用于发起分布式拒绝服务攻击（DDoS攻击），如今它们更常被用来大规模部署信息窃取特异性的恶意软件。感染机器以窃取凭证、浏览器会话cookie及其他可用于冒充用户身份的数据已成为一种常见的做法。这纯粹是从经济角度来看的问题，因为窃取信息几乎总是为了获得财务收益，而从信息窃取者（infostealer）窃取的数据所获得的投资回报率远远高于旧数据在暗网流传数月甚至数年后所能带来的回报。 信息窃取工具对于犯罪分子来说相对便宜，价格低至200-300美元，并且易于部署。许多信息窃取工具不仅设计用于躲避反恶意软件解决方案的检测，还会不留任何感染痕迹。这种“可溶解的恶意软件”意味着安全团队可能 unaware 于感染的发生，也无法采取适当的补救措施。 但使信息窃取工具特别吸引网络犯罪分子，并提升其投资回报率的原因在于其成功率和有效性。窃取的凭据因刚获取而准确有效，而盗取的会话 cookie 和令牌则允许威胁行为者绕过多重因素认证（MFA），从而在没有任何障碍的情况下冒充用户身份——有时甚至在初始感染发生很久之后，这使得被盗数据更具危害性，因为它可能导致额外的攻击。 端点安全产品检测到越来越多的恶意软件尝试 ， 超过40 亿观察到这一现象去年已经出现。随着信息窃取恶意软件窃取的相关数据变得越来越普遍，进入组织的后续路径也变得更加容易被攻击者利用。而恶意软件即服务模型的日益流行意味着通过这种方式窃取的数据将继续大量增加。 使这一趋势更加麻烦的是 ， 密码重用率仍然很高。我们的数据显示 ， 几乎72% 重复使用率对于在去年两次或更多次违规中暴露的用户 ，从 64 ％ 跃升 8 点在前一年的报告中。 尽管企业努力提升用户意识培训项目，并强调密码卫生以增强安全性和网络安全意识以抵御网络攻击，但这些信息尚未对密码使用产生显著影响，这在重复泄露的数据中可见一斑。持续的高频率密码重用率与受恶意软件感染的设备相结合，导致消费者和组织面临更高的身份暴露风险，并且在关注此类暴露可能引发的后续攻击（如勒索软件）的企业各级管理层中始终占据首要位置。此外，当员工的会话cookie被恶意软件窃取时，企业的风险进一步显著增加。这赋予了网络犯罪分子登录企业应用程序的能力，绕过了多因素认证（MFA），甚至完全消除了对密码的需求。 从 Infostealer 到勒索软件攻击的短路线 勒索软件已成为组织近年来的“新常态”，仅修复成本平均每年高达$140 万但在 2022 年 ， 勒索软件迎来了辉煌的一年 ，超越传统数据泄露是全球首要的网络曝光问题。 SpyCloud 的 2022 年勒索软件防御报告发现 fi 不能显著减少的组织数量没有在过去12个月中遭受过勒索软件攻击，并且经历多次攻击的企业显著增加。报告发现，例如，在过去一年中，有50%的组织遭受了2至5次勒索软件攻击，而前一年这一比例为34%。 蓬勃发展的地下经济推动了勒索软件攻击的泛滥，因为它使各种专业人士能够利用自己的服务并满足类似于勒索软件团伙的“客户”。勒索软件运营商将初始访问权限外包给一个专门的小组，通常称为初始访问中间商（IABs）。这些中间商的主要职责是为网络提供验证过的访问权限，而恶意软件日志在此过程中极为有价值，因为它们包含了准确的身份认证数据，可用于冒充员工。 恶意软件感染日志中SpyCloud研究人员观察到的内容与IABs打包以交付赎金软件团伙访问权限的感染相同。一个流行的市场本身拥有450 万可在 2022 年 10 月出售的日志 ， 比 7 月增加了 40% 。而信息窃取者喜欢红线窃贼在主导市场的情况下 ， 新的或增强的变体的广告激增。 经纪商-运营商合作伙伴关系对双方而言极具盈利潜力。“犯罪地下经济”的“任何东西即服务”模式使广告商（IABs）能够轻松且经济地购买电子邮件列表和信息窃取恶意软件，搭建控制与命令域名，并发起 phishing 攻击，感染成千上万台设备并泄露新的凭据。 从勒索软件运营商的角度来看 ， 当他们只能为当前 ， 准确的数据向另一个参与者支付一小笔钱 ， 从而大大提高他们的成功程度时 ， 为什么要经历针对某人 ， 获得访问权限和升级权限的麻烦 ？ 看看恶意软件感染的设备如何打开网络犯罪分子的门 ， 以在我们的感染后补救指南 政府部门仍处于高风险之中 商业部门并非网络犯罪分子的唯一关注点。研究表明，政府组织内的网络安全事件数量增长了。95%2022 年在全球范围内 ， 中国、印度和美国是最有针对性的国家。 为了了解去年政府机构在数据泄露事件中的表现，我们分析了重新获取的数据中的电子邮件，这些电子邮件与政府域名相关。我们在2022年发现了包含.gov电子邮件的695起数据泄露事件，相比2021年的611起，增加了近14%。 政府部门相较于企业面临更高的恶意软件感染设备风险。SpyCloud数据显示，2022年全球暴露的政府凭证中有74%是通过恶意软件泄露的（而整体比例为48.5%）。然而，私营和公共部门都需要应对第三方风险。我们发现，在样本的国防承包商中存在24,000起恶意软件感染事件，暴露信息包括明文密码和管理员凭证。 政府员工在卫生习惯方面也表现出与私营部门同行相同的问题。政府员工的密码重复使用率仍然很高——在过去一年中，拥有多个密码的用户中有61%的人存在跨多个账户重复使用密码的情况。这一比例与我们去年报告中所示的一致。政府电子邮件中最常见的泄露密码列表同样令人担忧：前三位分别是“123456”、“12345678”和“password”。 乌克兰家庭伊丽莎白女王 流行文化年密码NETFLIX 常用密码反映了流行文化趋势。因此，每年我们都会查看哪些当年热门话题出现在我们年度回收密码列表中。 考虑到许多人对音乐和名人有着极大的兴趣，我们从未对一年中最热门的艺术家出现在名单上感到惊讶。2022年，两位主导我们共同关注的艺术家是泰勒·斯威夫特和Bad Bunny，他们分别登上了音乐排行榜和我们暴露的密码列表榜首。斯威夫特以她的第十张专辑《Midnights》结束了这一年，据报道该专辑的发布带来了巨大的成功。2.3 亿美元在2022年底的销售额中，密码使用了taylor/taylor swift/swiftie/midnights（186,000）。Bad Bunny则未能落后，成为Spotify的最流的艺术家在 2022 年 ， 激发了密码坏兔子 / titi / verano - 后两者在他的流行歌曲(141, 000) 中。 其他各种流行文化主题同样反映了一年中谈论最多的一些事件 ： 流媒体电视服务(YouTube / Netflix / hulu) 的日益普及 |261,000英国女王伊丽莎白之死(女王 / 伊丽莎白女王 / 王室)167,000埃隆 · 马斯克(Elon Musk) 的 Twitter 收购74,000本尼芬的第二次回归——詹妮弗·洛佩兹和本·阿弗莱克终于修成正果（詹妮弗·洛佩兹/JLo/本·阿弗莱克/Bennifer）|46,000 正如预期，最受欢迎的重获 popularity 的密码还包括 russia/russian war、ukraine/ukraine war 和 trump，但真正让我们感到温暖（尽管仍然存在安全隐患）的是 love、family、kids、wife、husband、boyfriend 等词汇集体出现超过 700 万次。 巨大的 PII 曝光有助于犯罪分子创新 Experian 的 2022 年全球消费者调查发现58%受访者中要么自己经历过身份盗用，要么认识经历过身份盗用的人的比例为53%，认为发生过账户接管事件的比例为58%，认为发生过在线欺诈事件的比例为58%。近年来，合成身份盗用——犯罪分子将多个消费者的身份信息和虚假身份数据混合在一起——已成为一种常见的欺诈手段。最大形式身份