Şəxsiyyətim Oğurlandı. Budur Necə Etdilər

Bu yaxınlarda Phil McKennaya heç vaxt gəlməyəcəyinə ümid etdiyi bir zəng gəldi. Kredit kartının ardınca gələn peşəkar oğrular onun şəxsiyyətini oğurlamışdılar. Bu belə oldu.

Bu yaxınlarda heç vaxt gəlməyəcəyini ümid etdiyim bir zəng aldım. Bankım mənə bildirdi ki, mənim sosial təminat nömrəmi, ünvanımı, doğum tariximi və anamın qız adını bilən bir oğru mənim kredit kartımla əlaqəli əlaqə məlumatlarını dəyişməyi bacardı. Danışdığım nümayəndə, peşəkar bir şəxsiyyət oğrusu ilə məşğul olduğumuzu və bütün şəxsi məlumatlarımın pozulduğunu zənn etməli olduğumu söylədi.

Nümayəndə, zərərə nəzarət etmək üçün dərhal nə etməli olduğumu göstərərək davam etdi. Qeydlər aparmağa çalışdım, amma əsəbləşdim. Bildiyim kimi və ya özümə dediyim kimi həyat heç vaxt əvvəlki kimi olmayacaq.

Hər il 13 milyon amerikalı və ya ABŞ -ın yetkin əhalisinin 5% -i şəxsiyyət oğurluğunun qurbanı olur. Javelin Strategy və maliyyə analitiklərinin son araşdırmasına görə, mövcud kredit kartları ilə edilən alışlar, yeni kredit xətləri açma və qurbanların bank hesablarından pul köçürmələri də daxil olmaqla saxta əməliyyatlar maliyyə qurumlarına və şəxslərə hər il 20 milyard dollardan çox ziyan vurur. Araşdırma. Bəs şəxsiyyətlər necə oğurlanır, mənim kimi banklar saxtakarlığı necə aşkarlayır və bir şey olsa özümüzü qorumaq üçün nə edə bilərik?

Nömrələr Oyunu

Bir fərdin sosial təhlükəsizlik nömrəsini təxmin etməyə çalışın və doqquz rəqəmli kodun təxminən 1 milyard fərqli ədəd birləşməsinin görünməz anonimliyini təmin etdiyini tez bir zamanda anlayacaqsınız. Buradan əbədiyyətə qədər təxmin edən bir oğru yuvasını saxlamaq kifayətdir, elə deyilmi? Carnegie Mellon Universitetinin informasiya texnologiyaları və ictimai siyasət professoru Alessandro Acquisti belə demir.

2009 -cu ildə Acquisti göstərdi ki, bəzi əsas demoqrafik məlumatlar və federal hökumətin sosial təhlükəsizlik nömrələrini necə təyin etməsi ilə bağlı ümumi anlayışa malik olan adamlar, fərdlərin sayını həyəcan verici dərəcədə yüksək dəqiqliklə proqnozlaşdıra bilər.

Ölən şəxslərin sosial təminat nömrələrinin milyonlarla ictimaiyyətə açıq qeydlərini araşdıraraq, Acquisti və həmkarları bu nömrələrin necə təyin edildiyini yenidən qura bildilər. Bir fərdin doğum tarixi və doğulduğu vəziyyəti nəzərə alaraq, tədqiqatçılar bəzi hallarda fərdin sosial təminat nömrəsinin ilk beş rəqəmini 90% -dən çox dəqiqliklə proqnozlaşdıra bilər.

"Oğrular tək bir şəxsiyyətin deyil, minlərlə və ya milyonların arxasınca gedirlər."

Bütün bunlar oğruların doğum tarixini və yerini, bəzi dostlarınızın belə bilmədiyi faktları bildiyini güman edir. Ancaq çox güman ki, bu məlumatlar açıq şəkildə gizlənir. Veb kamerası və satışda mövcud olan görüntü tanıma proqramından istifadə edərək, Acquisti komandası, şəkillərini çəkərək və Facebook -dan yükləyə biləcəyiniz şəkillərin verilənlər bazasına uyğunlaşdıraraq, Şimali Amerika kollec kampusundakı tələbələrin 30% -ni adla müəyyən edə bildi. Bir çox hallarda Facebook hesablarında şagirdlərin doğum tarixləri və yerləri göstərilirdi. Bu məlumatı istifadə edərək, komanda bir tələbənin sosial təminat nömrələrinin ilk beş rəqəmini dörd cəhddə 28% dəqiqliklə proqnozlaşdıra bilər.

Qalan dörd rəqəmi təxmin etmək nisbətən asandır. Acquisti deyir: "Min fərqli sosial təhlükəsizlik nömrəsinin birləşməsini sınadığınız bir kobud güc hücumu həyata keçirirsinizsə, o zaman müəyyən əyalətlər və doğum illəri üçün doğru nömrəni müvəffəqiyyətlə əldə etmə ehtimalı çox yüksək ola bilər" deyir Acquisti. "Bir izdiham içərisində bir şəxs kimi anonim bir şeylə başlaya bilərsiniz və o insan haqqında çox həssas məlumatlar əldə edə bilərsiniz."

Kimlik oğruları köhnə kredit kartlarını zibil qutusundan çıxarmağın ötəsinə keçdilər.

Acquisti -nin araşdırması bir konsepsiya sübutu təqdim edir, baxmayaraq ki, şəxsiyyət oğrularının məlumat əldə etmək üçün belə bir dövrəli yolu seçib -götürmədikləri bəlli deyil. İstehlakçı məlumatlarını toplayan maliyyə qurumlarının və kredit bürolarının məlumat mərkəzləri daha asan hədəflərdir.

Keçən ay, onlayn təhlükəsizlik mütəxəssisi Brian Krebs, Sosial Təhlükəsizlik nömrələrini qanunsuz olaraq satan bir yeraltı şəxsiyyət oğurluğu xidmətinin, üç böyük kredit bürosundan biri olan Experian -ı sataraq məlumatlarını əldə etdiyini ortaya qoydu. Microsoft Research -in təhlükəsizlik mütəxəssisi Cormac Herley, "Təhlükəsiz verilənlər bazası daha çox cəmlənmiş bir hədəfdir" deyir. "Oğrular tək bir şəxsiyyətin deyil, minlərlə və ya milyonların arxasınca gedirlər."

Bir yerdən gələn zəng

Bir şəxsin şəxsiyyəti oğurlandıqdan sonra, oğrular, bu yaxınlarda kəşf etdiyim kimi, tez -tez zəng mərkəzlərini hədəf alırlar. Pindrop Security -in baş direktoru Vijay Balasubramaniyan "Bir bank soymaq üçün üç yol var" deyir. "Silahla girə bilərsiniz, onlayn sistemlərinə girə bilərsiniz və ya telefonla zəng edə bilərsiniz. Fırıldaqçılar həmişə ən zəif nöqtəyə keçirlər və telefon kanalı tez bir zamanda ən zəif halqa halına gəldi.

Balasubramaniyan deyir ki, telefonları zəif edən, fırıldaqçının digər tərəfdən fərdləri manipulyasiya etmək qabiliyyətidir. "Kompüter duyğusuzdur" deyir. "Dediklərinizə əsasən sizə fərqli reaksiya verməyəcək. Ancaq digər tərəfinizdə bir insan varsa, onların zəif cəhətlərini öyrənməyə başlaya bilərsiniz və bundan sizin xeyrinizə istifadə etməyə başlaya bilərsiniz. "

Əlaqəli

Əkiz Qüllələrin Sağ Qalan Hekayəsi

Venesiyanı dənizdən xilas etmək

Ədli Tibbdə Sabit İzotoplar

Balasubramaniyan, şirkətinin izlədiyi yüksək müvəffəqiyyətli iki oğru növündən nümunələr verir. İstədiyi məlumatı almayanda qışqırmağa başlayır. İllərdir müştəri olduğunu iddia edir və axtardığı məlumatı vermədiyi təqdirdə nümayəndəsini rəhbərinə bildirəcəyi ilə hədələyir. Başqası, "xeyirxahlıqla öldürür", nümayəndələrini "Sir" və ya "Xanım" adlandırır və qadın nümayəndələrini səslərinin səsi ilə tamamlayır.

Keçmişdə, xarici fırıldaqçının vurğusu onları verəndə bir çox bu cür cəhdlərin qarşısı alındı. "Rus hacker olsam və ABŞ kredit kartı oğurlasam nə edim?" RSA Security LLC -nin kibertəhlükəsizlik üzrə strateqi Daniel Cohen soruşur. "Bir çağrı mərkəzinə zəng etsəm, vurğumu alacaqlar." RSA, şəxsiyyət oğrularına şəxsiyyət oğurluğu qurbanının cinsiyyətini, yaşını və vurğusunu təqlid edən "peşəkar zəng edənlər" təqdim edən yeraltı, onlayn bazarlarda son illərdə artan bir tendensiya gördü. Cohen deyir: "Missisipi ştatından kiminsə şəxsiyyətini oğurladığımı söyləyin, sonra cənub vurğusu olan birini istəyə bilərəm".

Belə bir çağrı mərkəzi fırıldaqçılığının qarşısını almaq üçün maliyyə təşkilatları biliyə əsaslanan təsdiqləmə və ya KBA kimi tanınan bir şeyə güvənirlər. Çağrı mərkəzi təhlükəsizliyi üçün qızıl standart olan KBA, yalnız istehlakçının bilməli olduğu əvvəlki yaşayış yerləri və maliyyə məlumatları ilə əlaqədar bir sıra sual və cavablardır.

Sualların nə qədər geriyə getməsindən asılı olaraq, istehlakçılar tez -tez düzgün cavabları xatırlamırlar. Əslində, bir şəxsin kredit məlumatlarını əldə edən şəxsiyyət oğruları, suallara tez -tez qurduqlarından daha yaxşı cavab verə bilərlər.

Qara bazar saytları oğruların oğurlanmış şəxsiyyətlərdən qazanc əldə etmələrinə kömək edən xidmətlər təqdim edir, o cümlədən banklara, mağazalara və daha çox yerli ləhcəli insanlar tərəfindən zəng etmək.

Fırıldaqçılar, ehtimal ki, mənim vəziyyətimdə olduğu kimi, bir şəxsin KBA məlumatlarına giriş əldə edərsə, nəticələr sadəcə kredit kartı məlumatlarından və ya sosial təminat nömrəsindən istifadə etməkdən daha pis ola bilər. "Gartner, Inc" informasiya texnologiyaları firmasının analitiki Avivah Litan, "Maliyyə məlumatları baxımından başınıza gələ biləcək ən pis şeydir" deyir.

Oğru, KBA məlumatlarımı 25 Sentyabrda Experian -dakı son pozuntunu aşkar edən təhlükəsizlik mütəxəssisi Krebs tərəfindən aşkarlanan KBA məlumatlarının kütləvi şəkildə pozulması yolu ilə əldə etmiş ola bilər. O, hakerlərin KBA -nın maliyyə qurumlarına ən böyük məlumat verənlərdən biri olan LexisNexis -in kompüter serverlərinə girdiyini tapdı. Krebs yazır ki, hakerlər şirkətin serverlərinə "nbc.exe adlı kiçik bir icazəsiz proqram" yerləşdiriblər və ya ya serverlərin konfiqurasiyasındakı zəiflikdən istifadə edərək, ya da zərərli bir e -poçt vasitəsilə yerləşdiriblər. Proqram, LexisNexis -in daxili kompüterləri və botnetlər, zərərli proqramlarla yoluxmuş şəxsi kompüterlər arasında internet üzərindən şəxsiyyət oğruları tərəfindən idarə olunan şifrəli bir əlaqə kanalını açmaq üçün hazırlanmışdır. Oğruların pozuntudan hansı məlumatları əldə etdikləri bəlli deyil.milyonlarla amerikalıların KBA məlumatlarını əldə etmiş ola bilərlər. LBA, KBA məlumatları ilə əlaqədar olaraq "hər zaman güzəştə getdilər", - dedi.

"Smartfonumda nömrənizi korlaya biləcək yarım onlarla tətbiqim var."

Güzəştli KBA məlumatlarının boşluğunu doldurmaq üçün banklar "telefon çapı" kimi tanınan bir şeyə və ya bir zəngin mənşəyini yoxlamaq qabiliyyətinə etibar etməyə başladılar. Son illərdə onlayn və mobil telefon texnologiyasının çoxalması, həqiqətən də bir zəngin haradan gəldiyini söyləməyi çətinləşdirdiyi üçün belə bir yoxlama indi lazımdır. Oğrular, saxtakarlıqlarına başqa bir etibarlılıq qatını əlavə etmək üçün istifadə edirlər ki, sanki zəng edən şəxs dünyanın yarısında olsa belə, nömrənizdən bir zəng gəlir.

Pindrop -dan Balasubramaniyan, son konfransda mənə dedi: "Smartfonumda nömrənizi korlaya biləcək yarım onlarla tətbiqim var". Bunu sübut etmək üçün CallerID Faker adlı bir tətbiq açır. Bunu bilmədən telefonumdakı zəng edən şəxsiyyət nömrəsi mənə öz ofis nömrəmdən gələn bir zəng olduğunu söyləyir.

Balasubramaniyan bu tətbiqləri telefonunda yaxşı bir səbəbdən saxlayır - şirkəti zəng mərkəzlərinə zəng mənbəyini yoxlamaq üçün bir yol təqdim edir. Zəngdə səs keyfiyyətinin müxtəlif aspektlərini təhlil edərək, Pindropun proqram təminatı, zəngin Cincinnati'deki bir cib telefonundan və ya Sibirdəki Skype zəngindən qaynaqlandığını tez bir zamanda təyin edə bilər. Balasubramaniyan deyir: "15 saniyəlik bir zəngi düşünün, bankınız bunun Phil McKenna olmadığını bildirir".

Pindropun proqram təminatı səs keyfiyyətinin 147 fərqli aspektini təhlil edir. Daha sonra fərqli şəbəkələrdən və telefon növlərindən istifadə edərək fərqli yerlərdən edilən zənglər üçün unikal "telefon nömrələri" verilənlər bazası yaradır.

Bir şəxsiyyət oğurluğu hadisəsindəki zənglərin Pindrop təhlili, oğrunun faktiki telefon nömrəsinə (ortada) bağlı ən yaxşı 200 nömrəni ortaya çıxardı.

Məsələn, Skype üzərindən edilən İnternet Səsli İnternet Protokolu (VoIP) zənglərində, paket məlumatlarının itirilməsi və ya rəqəmsal məlumatların bu şəbəkələr arasında necə ötürülməsi nəticəsində səs siqnalında kiçik fasilələr var. Fasilələr yalnız milisaniyə uzunluğundadır, insan qulağı tərəfindən aşkar edilməyəcək qədər qısadır, lakin çoxlu məlumat ehtiva edir. Balasubramaniyan deyir: "Fasilənin uzunluğuna baxa bilərəm və zəng edənin hansı şirkətdən - Skype, Google Voice və ya magicJack -dən istifadə etdiyini deyə bilərəm".

Pindrop, zəng edənin arxa fon səs -küyündən istifadə edərək hansı şəbəkədən istifadə etdiyini də müəyyən edə bilər. Telefon şəbəkələrinin rəqəmsallaşmasından əvvəl, analoq telekommunikasiya sistemlərində edilən zənglərin hamısı, xəttin digər ucunda olduğunu bildirən kiçik bir tıslama verir. Telefon şirkətləri rəqəmsal ötürməyə keçəndə ətrafdakı səs -küy yox idi. İstifadəçilərin keçidini asanlaşdırmaq üçün şirkətlər bunu "rahat səs -küy" adlandıraraq yenidən yaratdılar. Balasubramaniyan deyir: "Hər bir şəbəkə bunu fərqli bir şəkildə etdi.

Pindropun istifadə etdiyi müxtəlif tədbirlər, telefonun növü, istifadə olunan şəbəkə və kobud coğrafi mövqe də daxil olmaqla 90% -dən çox dəqiqliklə bir zəngin mənşəyini düzgün müəyyən etməyə imkan verir.

Şirkət bu yaxınlarda Şərqi Avropada oğurlanmış KBA məlumatlarından istifadə edən bir fırıldaqçını ifşa etdi. Pindropun proqram təminatı, oğrunun iddia etdiyi şəxs olmadığını ortaya çıxardıqdan sonra oğurlanmış məlumatlardan istifadə etdiyi aydın oldu. Balasubramaniyan deyir: "Ondan 'ananızın qız adı nədir' soruşulduqda, əslində qeydlərini vərəqlədiyini eşidə bilərdik".

Sən nə edə bilərsən?

Təhlükəsizlikdəki hər bir pozuntu üçün, fırıldaqçılığın qarşısını almağa çalışan yeni texnologiyalar ortaya çıxır və gələcəkdə bir nöqtədə böyük ehtimalla qarşısı alınacaq texnologiyalar ortaya çıxır. Bu, maliyyə qurumları ilə şəxsiyyət oğruları arasında sonsuz görünən bir silah yarışıdır. Yenə də son vaxtlar məlumatlarımın oğurlanmasının birtəhər günahım olduğunu hiss edə bilmərəm.

Ehtiyat tədbirləri görmədiyim üçün deyil. Şəxsi məlumatlarımla diqqətli idim. Sənədləri parçaladım və güclü onlayn şifrələrdən istifadə etdim. Böyük məbləğdə pul köçürmək istəyən zəngin Nigeriyalıların yalvarışları kimi açıq phishing fırıldaqçılarına düşmədim. Ancaq bəlkə də şifrələri daha tez -tez dəyişdirməli, əlavə yoxlama tədbirləri əlavə etməli və ya sosial mediada daha az paylaşmalıydım.

Berkeley, Kaliforniya Universitetinin kompüter təhlükəsizliyi üzrə mütəxəssisi Vern Paxson məni bu cür günahlardan azad edir. "Yalnız səhv etdiyiniz bir şey yoxdur, bəlkə də başqa cür edə biləcəyiniz bir şey yoxdur" deyir. Problemin, Experian və LexisNexis tərəfindən son vaxtlar kimi məlumat mərkəzlərində kütləvi pozuntular olduğunu söyləyir. Peşəkar şəxsiyyət oğrularının ayrı -ayrı insanları otlamaq üçün vaxtı yoxdur - ən zəngin mənbəyi, mərkəzi məlumat bazalarını istismar etməyi üstün tuturlar.

Heç bir sistem mükəmməl təhlükəsiz deyil, lakin bu cür pozuntuların qarşısını almağa kömək edəcək maliyyə qurumlarının indi ata biləcəyi nisbətən asan addımlar var. Konnektikut Universiteti Hüquq Fakültəsi professoru David Thaw, təşkilatlardan istehlakçı məlumatlarını necə qoruduqlarına dair təhlükəsizlik siyasəti qurmağın uzun bir yol keçəcəyini söyləyir. Sağlamlıq və maliyyə sənayesi ilə bağlı son bir araşdırmada, Thaw, bu cür siyasəti olan təşkilatların təhlükəsizlik pozuntularının qarşısını almamaqdan dörd qat daha yaxşı olduğunu tapdı.

"Fırıldaqçılıq bizim növlərimiz qədər qədimdir."

Sosial təhlükəsizlik nömrələrini proqnozlaşdırmağın mümkün olduğunu göstərən Acquisti, rəqəmləri tamamilə ləğv etməyimizi təklif edir. Problemin həm identifikasiya, həm də yoxlama üçün istifadə edilməsidir. Telefon nömrənizi insanlara verməyə bərabərdir ki, onlar sizə zəng etsinlər və sonra səs poçtunuz üçün keçid kodu ilə eyni nömrəni istifadə etsinlər. "Heç bir ağlı başında adam bunu etməz" deyir.

Yenə də Acquisti, sosial sığorta nömrələrinin bağlanmasının olduqca bahalı ola biləcəyini qəbul edir. "Bütövlükdə, şəxsiyyət oğurluğundan fərqli tərəflərin çəkdiyi bu xərclər tamamilə yeni bir sistemə keçməkdən daha az ola bilər" deyir. Sistemləri dəyişdirsək belə, əvəzedicinin şəxsiyyət oğurluğunu çox uzun müddət dayandıra biləcəyi ehtimalı azdır. Harvard Universitetinin Berkman İnternet və Cəmiyyət Mərkəzinin təhlükəsizlik mütəxəssisi Bruce Schneier, "fırıldaqçılıq bizim növlərimiz qədər qədimdir" deyir. "Cəmiyyətdə cinayət nisbəti heç vaxt sıfır olmayacaq. Hiylə onu idarə etməkdir. "

Schneier, oxşar hadisələrin illərdir müntəzəm olaraq baş verdiyini söyləyərək son məlumat mərkəzi pozuntularının şiddətini rədd edir. Onun sözlərinə görə, əsas metrik şəxsiyyət oğurluğunun baş verdikdən sonra nə qədər tez aşkarlanıb düzəldilməsidir. "Bir neçə il əvvəl bu, tamamilə fəlakət idi" deyən Schneier əlavə edir ki, əgər şəxsiyyətim o vaxt oğurlansaydı, bəlkə də 50 min dollardan çox pul almışam və illərlə kreditimi bərpa etmişəm. Mənim vəziyyətimdə, kredit kartı şirkətim tək bir ödəniş etmədən şəxsiyyət oğrularımın qarşısını aldı.

Ömrümün bir neçə gününü itirmiş şəxsiyyətimi qorumağa çalışaraq itirdim. Kredit kartı şirkətimlə telefon əlaqəsi kəsildikdən sonra oğurluqla bağlı üç böyük kredit bürosunu xəbərdar etdim və hər hansı bir zərərin qarşısını almaq üçün kredit hesabatımı nəzərdən keçirdim. Daha sonra hesabım olan hər bir maliyyə təşkilatına zəng vurdum ki, hər dəfə zəng vuranda məndən soruşacaqları yeni, bənzərsiz bir şifrə açsın. İki bank şifrəni şəxsən qurmaq üçün yerli filiallarından birini ziyarət etməyimi tələb etdi. Başqa bir qurum əvvəlcə yeni parolumu düzgün qura bilmədi. Vəziyyətimi bir zəng mərkəzinin nəzarətçisinə çatdırana qədər, yalnız sosial təminat nömrəmi və anamın qız adını istəməyə davam etdilər.

Qarşıdakı NOVA proqramları və əlaqəli məzmun haqqında e -məktublar alın, habelə bir elm obyektivindən cari hadisələr haqqında xəbərlər alın.

Bu ilkin müdafiəni qurduqdan sonra Federal Ticarət Komissiyasına bir sənəd təqdim etdim və bir hesabat doldurmaq üçün yerli polis idarəmi ziyarət etdim. Sonuncu, hər üç kredit bürosu ilə kredit hesabatımı beş illik dondurmağa icazə verdi. Növbəti dəfə yeni bir kredit kartı istədikdə əlavə halqalardan keçməli olacağam, amma donma bir oğrunun mənim adıma yeni bir kredit xətti açmasını çox çətinləşdirməlidir.

Hər il mənim kimi milyonlarla şəxsiyyət oğurluğu qurbanı bu kimi hallardan sağalmaq üçün sərf etdiyi vaxt əhəmiyyətsiz deyil. Microsoft -un Herley hesablamalarına görə, ABŞ istehlakçılarının hər il sadəcə mövcud şifrələri və digər təhlükəsizlik tədbirlərini saxlamağa sərf etdikləri vaxt milyardlarla dollara başa gəlir.

Yenə də nə qədər əlverişsiz olsa da, Schneier mənim təcrübəmin əslində sistemin işlədiyini sübut etdiyini söyləyir. "Pis bir şey olmamışdan əvvəl tutdular. Daha nə istəyirsən? "

Fotoşəkillər: Laura Ellis, barsen/Flickr (CC-BY-NC) və Pindrop Security