[[355727]]

 雖然人們對隱私問題的認識在不斷增強，但大多數公眾對隱私的重要性仍然只有最基本的了解。

在現實生活中，即使我們很好地注意與他人共享個人數據的方式以及共享對象，我們也無法放心地保護自己的隱私。不法商販可能有足夠的動機，除了收集公共領域的數據，他們還會轉向黑市，希望找到會造成真正傷害的個人信息，比如獲取社交媒體賬戶。在本文中, 我們深入地研究在公共場所共享個人數據的兩個主要后果：doxing和在暗網上出售個人數據。另外，我們會分析兩者之間的聯系并研究這些現象如何影響我們的生活以及這些情況給用戶帶來了哪些挑戰。

重要發現

1.Doxing：Doxing 通過在線查看其詳細信息,發現并發布互聯網用戶的身份。" doxing "也可以拼作" Doxxing ", 它指的是利用互聯網發布和收集個人和私人信息, 然后在網上公布這些信息(也就是我們通常所理解的“人肉”)。這個詞源自"文件"這個詞, 它是"dropping dox"的縮寫, 這種報復方法可以追溯到上世紀90年代初的黑客文化。并不是只有弱勢群體或從事特定職業的人(如記者或性工作者)才會受到影響。任何在網上發表意見的人都有可能成為doxing的受害者。

2.幾乎所有的公共數據都可能被濫用，以進行doxing或網絡欺詐，從而使用戶受到自身數據的傷害。

3.隨著我們日常生活大部分方面的數字化，越來越多的數據被分享給組織，但最終可能落入罪犯之手，現在包括個人醫療記錄和帶有個人身份證明文件的自拍照也會出現在暗網中。

4.查閱個人資料的最低價格是每條0.5美元，最終價格取決于所提供的資料的深度和廣度。

5.一些個人信息的需求和近十年前一樣，比如信用卡數據、銀行和電子支付服務。這類數據的成本并沒有隨著時間的推移而下降，這種情況也不太可能改變。

6.在黑市網站上出售的數據可以用于敲詐、執行詐騙和網絡釣魚計劃以及直接盜竊金錢。某些類型的數據，比如對個人賬戶或密碼數據庫的訪問，不僅會被濫用以獲取經濟利益，還會被濫用以損害名譽，以及其他類型的社會損害，比如doxing。

doxing

從歷史上看，doxing(也拼作doxxing)意味著在互聯網上對一個人進行去匿名化處理，特別是在早期的黑客文化中，人們更喜歡用他們的昵稱(在線處理)來稱呼他們。然而，這個詞的含義已經演變為更廣泛的含義。

doxing在某種程度上是一種網絡欺詐的方式。當一個人未經他人同意而分享他人的隱私信息，從而使對方感到尷尬、受傷或陷入危險時，就會發生這種情況。這可以包括：

• 令人尷尬的照片或視頻;
• 部分私人信件，可能被斷章取義;
• 一個人的實際地址、電話號碼、私人電子郵件地址和其他私人聯系方式;
• 職業和工作詳情;
• 醫療或財務數據，犯罪記錄;

為什么doxing是危險的?

與現實世界相比，互聯網上的信息傳播速度非常快，而且一旦發布到網上，幾乎不可能刪除。

doxing最常見的目的是造成一種壓力、恐懼、尷尬和無助的感覺。如果你在推特上陷入了一場激烈的爭論，有人發布了你的家庭地址，并建議人們應該傷害你，這自然會引起焦慮。攻擊也可以直接針對你的親人。

除了把你的信息發布到網上讓所有人都看到，攻擊者還可以有針對性地把你的信息分享給你的親戚、朋友或雇主，尤其是讓你顏面掃地的信息。這可能會損害受害者與他們所愛的人的關系，以及他們的職業前景。

以下是一些常見的攻擊場景：

1.識別用戶并直接與雇主分享信息，這會導致用戶由于社會壓力而被解雇;

2.向公眾泄漏用戶的私密照片和視頻內容，這種行為通常被稱為“色情報復”，是一種惡意攻擊個人隱私的普遍方式，可能會給受害者帶來嚴重后果;

3.暴漏匿名博主、互聯網用戶、意見領袖和創建者的身份，如果受害者身處敵對環境，例如某些國家的反對派博主或支持非傳統觀點的人，就會導致真正的危險;

4.在有關資料不符合公眾利益及可能直接損害有關人士的情況下，向傳媒披漏有關人士及提供有關人士的個人資料;

5.收集和分享含有敏感或可疑內容的特定人(潛在受害者)的帳戶信息，并分享給可能對該人進行在線或甚至離線暴力的敵對團體;

社會影響

在社會和政治分裂日益加劇的時代， Doxing的攻擊，阻礙了言論自由，產生了令人不寒而栗的效果。它阻止人們表達自己的觀點，這對民主和健康的社會是有害的。

某些特定人群更有可能成為doxing的受害者，記者、博客、活動家、律師、性工作者、執法人員都面臨著更大的風險。對女性來說，doxing與性語言侮辱和攻擊密切相關。對執法人員來說，這也意味著對他們的人身安全的直接危險，特別是對便衣警察來說，網絡名人比普通用戶面臨的風險更大。但這并不意味著“普通”人就不會被doxing。如果你在網上說了什么或者在鏡頭前做了什么讓一大群人不爽的話，那你一樣會遭受網絡暴力。

個人信息的黑市價格

Doxing是濫用公共領域中可用的信息的結果，這些信息不用于獲取經濟利益。但是，對個人資料和人身安全的攻擊并不止于此。除了我們自由分享的、任何人都可以收集并用于惡意目的的公開數據之外，與我們共享數據的組織并不總是負責任地處理這些數據。

根據定義，這些信息是不應該泄漏給公眾的，即使它泄漏了，也不期望它會傷害我們。根據卡巴斯基最近的一項研究，37%的千禧一代認為他們太無聊了，不會成為網絡犯罪的受害者。今年，大規模數據泄漏的數量達到了新高，我們再也不會對一家公司遭到黑客攻擊、其客戶數據被泄漏或用于索要贖金感到驚訝了。

許多國家/地區都在努力更好地保護個人數據，政府強加了新的指令以確保保護和懲罰對公民數據進行不負責任的管理。新的個人信息保護法律，如歐盟的《通用數據保護條例》(GDPR)和巴西《通用數據保護法案》(LGPD)，以及增加客戶對數據處理實踐的審查，已經迫使組織提高其安全性并更加認真地對待數據泄漏攻擊。

然而，就算有法律的保護也并不意味著數據是安全的。在某些情況下，被竊取的數據被用于勒索，而在其他情況下，數據被公開發布。有時是兩者兼而有：使用Maze勒索軟件的攻擊攻擊者如果未能成功獲得贖金，就會公布竊取的數據。但是大部分的信息最終以一種商品的形式出現在暗網上，而且是一種非常容易獲得的商品。黑網論壇和市場，本質上是非法的實物和數字商品的市場，被網絡罪犯用來銷售從惡意軟件到個人數據的服務和產品。

為此卡巴斯基實驗室的研究人員專門研究了在暗網絡中發生的事情，他們研究了此類平臺上作為商品的數據的當前狀態，以了解需要什么樣的個人數據，使用了哪些數據以及花費了多少。

出于研究目的，研究人員分析了10個以英語或俄語運行的國際暗網論壇和市場上的有效報價，樣本包括在2020年第三季度期間共享且仍然相關的帖子。

本文涵蓋了暗網上提供的所有類型的個人數據，為了方便介紹，所以本文只關注在黑市上最受歡迎的一些類別。然而，值得一提的是，被泄漏并在暗網上出售的數據庫類型各不相同，考慮到它們是從不同的機構和組織竊取的，這一點也不奇怪。泄漏的數據庫可以相互參照，這種方式使其更有價值，因為它們提供了受害者更全面的個人信息。

單純的用戶身份數據每條在0.5美元到10美元之間

在大多數國家，包括美國和整個歐洲，身份證明文件或身份證是主要的身份證明手段。它們通常與最重要的服務，特別是國家服務聯系在一起，并包含敏感信息，如美國的社會安全號碼(SSN)。雖然很重要，但這些文件在黑市上的成本并沒有那么高，這取決于信息的完整程度。例如，擁有全名和保險號碼的信息每人只需支付0.50美元，而包括身份證號碼、全名、SSN、出生日期(DOB)、電子郵件和手機在內的“全套服務”信息最高可到10美元。價格也根據購買的數量而不同，通常情況下批量銷售的數據更便宜。

購買150張身份證信息算下來每條僅需50美分

身份證明文件中的數據可用于各種騙局，填寫特定服務的應用程序，并獲得其他敏感信息的訪問權，這些信息以后可用于犯罪目的。

有時，泄漏的數據庫不僅包含ID信息，還包含更多信息

護照掃描身份數據每條在6美元到15美元之間

護照是另一種很受網絡罪犯歡迎的身份證明文件，在俄羅斯、烏克蘭和其他前蘇聯國家，幾乎所有與政府有關的服務或金融服務都必須使用護照，從向商店投訴到申請貸款。在其他國家/地區，護照也可以用于在國際平臺(例如，加密貨幣交易所)上進行身份識別或用于國際欺詐。

護照掃描身份數據比身份信息更昂貴，根據掃描質量和國籍的不同，價格從6美元到15美元不等。通常，出售兩種類型的護照掃描件，第一頁的掃描件，比完整護照的掃描件便宜，這是可以理解的。

如果需要，可以按性別選擇護照復印件

駕照數據每條在5美元到25美元之間

由于可以使用駕駛員ID注冊的服務數量不斷增加，駕照逐漸成為另一種身份證明證件。通常，論壇上出售的信息包括有完整信息的駕照掃描件。這些掃描件的價格從5美元到25美元不等，網絡罪犯可以用它來租車、提供本地服務或進行保險詐騙。

持有身份證明信息的自拍照數據每條在40美元到60美元之間

出于安全考慮，有些遠程服務要求對各種操作進行身份驗證。例如，加密貨幣交易所采用這種做法，讓人們持有身份證明自拍一張以進行身份驗證，從而提取資金。當用戶需要恢復賬戶權限時，社交網絡會要求用戶持有身份證明自拍一張，銀行員工在給客戶送信用卡時也會拍下類似的照片。

使用盜竊的護照或身份證自拍可以讓騙子繞過這樣的規定，繼續洗錢。這些文件還可以用于各種各樣的服務，從汽車租賃到獲得小額貸款或操縱保險公司。

帶有身份證明文件的自拍照可以用來繞過各種身份驗證

醫療記錄數據每條在1美元到30美元之間

這個世界正變得越來越數字化，以醫療記錄為例，網絡罪犯也已經將其列入到了盜取范圍。回顧2012年，當我們分析“暗網”中可用的不同類型的數據時，醫療數據還不算什么香餑餑。然而，現在對這些數據的需求很大，因為它們可以用于各種各樣的欺詐活動，從獲得醫療保險服務到購買管制藥品，甚至可以用來索要贖金。

對醫療信息的盜竊非常喪失人性，因為它們將本來就脆弱的受害者置于更加脆弱的境地。在“暗網”上共享的數據類型各不相同，從帶有全名、電子郵件、保險號碼和醫療組織名稱的醫療表格到患者的完整醫療記錄：包括其醫療歷史、處方等。

在暗網論壇上出售的醫療記錄，從個人的完整信息到醫療機構

本文我們對部分個人隱私的數據價格做了介紹，下一篇文章我們會對其他更有價值的數據做一些介紹，同時給出一些保護個人隱私的方法。

本文翻譯自：https://securelist.com/dox-steal-reveal/99577/如若轉載，請注明原文地址。