2021 年专题报告 ： 电信行业凭证曝光

2021年特别报告： 电信业凭据暴露 Introduction 电信公司一直面临着独特的网络安全挑战。他们建立、控制和运营关键用于通信和存储大量敏感数据的基础架构。他们还负责保护巨大的 移动订户的帐户数量以及他们的个人数据。而电信公司在保护他们的网络近年来，两个挑战顽固地持续存在: 电信高管和员工仍然对糟糕的网络卫生和密码重复使用感到内疚。 数据泄露每天都在继续影响电信客户。 正如本报告将解释的那样，解决第一个挑战相当简单。然而，解决第二个挑战更多细微差别。总体而言，电信部门一直保持着这样的立场，即在他们保护客户账户和我们都依赖的通信基础设施，当这些客户未能保护自己时，他们的责任就会减少。在换句话说，“其他公司的帐户妥协”不是他们的责任。 这似乎是合乎逻辑的，但违规数据说明了故事的另一面。 电信高管和员工暴露客户的坏习惯和其他行业欺诈 每年，SpyCloud都会分析其从数据泄露中收集的超过1300亿资产的整个数据库，以证明 暴露影响大型企业。在2021年，我们的研究人员发现与财富1000强员工相关的5.43亿笔违规资产公司-比去年增长29%。财富1000强中总共有11家电信公司。正如你在下图中看到的那样 暴露资产每个公司，电信超过了其他所有行业-包括金融、科技、医疗保健和国防-差距很大。 1,100,000 1,000,000 900,000 800,000 700,000 55,000 50,000 45,000 40,000 35,000 180,000 160,000 140,000 120,000 600,000 1,000,000 500,000 30,000 10,000 25,000 100,000 100,000 80,000 400,000 300,000 200,000 100,000 20,000 15,000 10,000 5,000 60,000 40,000 20,000 000 1,068,69854,917552,601 暴露的PII暴露的电话资产暴露的密码 24,00016,00055,000 22,000 20,000 18,000 16,000 14,000 10,000 10,000 8,000 6,000 4,000 2,000 0 14,000 12,000 10,000 10,000 8,000 6,000 4,000 2,000 50,000 45,000 40,000 35,000 30,000 25,000 20,000 15,000 10,000 5,000 我的配置文件 23,02914,22953,350 外露金融资产暴露的地理位置资产暴露的社会资产 电信的增长 欺诈自2017.1 尝试移动的 2019年交易 是欺诈行为2 使用中的浪涌 中的移动银行应用程序 2020.3 2020年欺诈攻击作为数字经济 转换为4 每个行业都容易受到网络犯罪的影响，但也许只有电信。基础设施电信公司运营 如此巨大，甚至错误的警报也会迫使他们关闭关键服务。该行业脆弱性的一个重要原因是其密码重用率高。SpyCloud发现，76％的电信员工在多个 账户。被盗凭证的使用是账户收购(ATO)和数据泄露的主要原因。事实上,根据 Verizon去年有61％的违规行为涉及凭据。 看看《财富》1000强的11家电信公司，SpyCloud发现了犯罪分子可利用的近4000万资产，被盗这些数据包括电子邮件地址，明文密码，电话号码，出生日期，家庭 地址、金融资产和社交句柄。 在来自犯罪分子手中的电信员工的4000万条信息中，超过600万条是凭证对- 明文密码和公司电子邮件地址-使犯罪分子能够从字面上破坏一个人的工作帐户(以及可能是其他个人账户重复使用这些密码)，只需付出一点努力。 整体来看，每家公司的凭证总数超过550,000个，即每位员工8个。 在我们的数据库中发现每个电子邮件地址有8-10次曝光，无论行业如何，所以这个电信特定的数字是典型的，但没有不那么令人担忧。 这些风险不仅会损害组织的底线，还会损害其在客户中的声誉。 无论行业如何，任何人都没有理由将公司数据暴露给犯罪分子。但是电信公司的员工和高管有明显更大的责任。他们存储的大量敏感客户数据使他们成为磁铁 当被盗时，这些客户数据-姓名，地址，密码，信用卡等-提供燃料 犯罪分子对其他部门实施各种恶意行为，包括ATO，金融欺诈，勒索软件，甚至更多有影响力的供应链攻击。 我们的大部分生活（包括商业和个人）都依赖于电信服务和移动设备，这就是为什么提供商倾向于比其他业务存储更多的数据。这些数据可能以各种方式落入坏人手中——一个被窃取的员工 例如，笔记本电脑。电信领域的数据被盗问题非常严重，因为该领域的员工为无数作为呼叫中心或帮助台角色的客户每天都有大量的敏感客户数据存储在 安全性较差的Web应用程序。当这些作业是远程作业时，他们可能会将这些数据放在他们用于工作和个人功能。这与密码重用一起，通过蛮力或凭证填充攻击为ATO敞开大门。 在家工作带来新的移动安全挑战 在大流行的高峰期，网络犯罪分子以新的远程劳动力形式发现了无数新的机会。甚至在大流行之前，员工将个人移动设备用于工作目的(如检查电子邮件或查看文档) 为IT部门带来了复杂的挑战。网络钓鱼攻击可能在移动设备上更成功，因为我们与他们的共生、信任关系的性质，也因为屏幕尺寸会使人们更难注意到 恶意电子邮件或网站。移动设备也比笔记本电脑更容易丢失或被盗，这反过来可能导致丢失关键数据和生产力。 根据Verizon的2021年移动安全指数，超过五分之一的公司表示，他们的移动设备安全在过去的一年中妥协。 被盗的电话号码比你想象的更有价值 当消费者了解到犯罪分子可以接触到他们的社会安全号码或密码，他们经常感到被侵犯。那些碎片数据被认为是高度个人化的，因此受到严密保护。电话号码是另一回事。在大多数情况下，这些不是 太秘密了，所以它们对罪犯来说没有太大价值，对吧？ 近年来，随着越来越多的数字服务采用多因素身份验证(MFA)，个人智能手机已成为 企业确认消费者是谁的主要接触点他们说是。理论是罪犯可能有用户的密码，但他们可能没有物理电话。 然而，被盗凭证的正确组合允许犯罪分子使用SIM交换和电话等策略绕过MFA 移植。通过简单的呼叫移动运营商和一些轻的社交工程，犯罪分子可以将消费者的电话服务转移到他们自己的设备。一旦攻击者控制了受害者的电话号码，他们会收到所有基于SMS的身份验证消息和可以轻松登录敏感帐户（甚至是公司帐户） 未被发现。 授予访问权限 07623 手机被盗资产的严重程度往往会被掩盖。对消费者来说，电话营销诈骗和机器人电话的激增证明电话号码已经在坏人手中。但是这种想法忽略了这样一个事实，即几乎每个业务或服务 consumerengagedwithdigital-includingthefederalgovernment-phonenumbersaretheirprimaryidentifier.Therefore,telcos 被高度鼓励将电话号码视为风险的主要标识符。如果犯罪分子劫持电话帐户来绕过MFA 并拦截银行交易，例如，他们破坏了受害者的金融服务和受害者的手机 帐户。对于电信公司来说，这应该引起人们的警惕，因为他们现在被认为对两个帐户的妥协负责 once. 目前，SpyCloud的数据库中有超过30亿的电话资产。在欺诈风险算法中，大多数组织习惯于检查用户名和电子邮件地址是否存在泄露，但增加了电话 该等式的数字提供了比第三方身份认证系统更强大的见解提供。 在下面的示例中，SpyCloud可以搜索与电话号码相关联的违规记录，如果它以前与欺诈有关，则可以标记。 发现10条违规记录带电话号码+ 明文密码 交易已停止 违反曝光检查 没有发现暴露 1发现违规记录带电话号码 增强身份验证需要 交易收益 这是一个值得关注的欺诈因素，即使您已经通过其他方式对用户进行了身份验证，根据SpyCloud的数据库检查用户的电话号码的能力可以揭示 couldhelpdeterminewhethertodelayorblockapossiblefraulictransaction.Itisverypossiblethatabad 演员接管了用户的账户，甚至愚弄了生物识别验证系统。 恶意软件感染：从员工到消费者，这是一个电信公司的问题 令世界各地的安全团队感到沮丧的是，人们习惯性地点击收件箱中的任何链接或文件，无论他们是否认识在最坏的情况下，无辜的点击会导致用户的设备感染键盘记录恶意软件。 带有键盘记录组件的恶意软件可以记录用户的一举一动，捕获浏览器历史记录、文件、系统信息和登录 公司和第三方资源的数据。SpyCloud确定了28,201名可能受感染的Fortune1000员工，其中包括电信公司总数第二高（仅次于技术部门），为2,328。 虽然所有暴露的凭据都会使企业面临风险，但使用受恶意软件感染的系统的员工尤其危险。无论感染是在员工的个人系统还是公司系统上，这都是正确的，因为 收集的数据的广度和设备之间交叉使用的高可能性。在SpyCloud的数据中，我们经常看到员工使用受感染的个人设备访问企业资源的证据。 不幸的是，恶意软件问题并没有解决电信员工。SpyCloud确定了59,669名潜在受感染的消费者他们的服务。这些是电信面向消费者的网站的用户，键盘记录恶意软件正在收集用户名和 密码（以及其他个人和系统信息）的不良行为者。 浏览器指纹 捕获和出售，给许多坏演员访问订户的帐户 (&muchmore) 用户身份受损 个人数据和财务信息用于 实施合同欺诈 telecom-operator.com 订阅者的登录 捕获并用于欺诈性购买 jane@mymail.commainStr33t123 IP地址 作为欺诈的代理人出售 帐户详细信息 捕获并用于SIM交换 感染的真实数量可能更高，因为我们的分析排除了许多仅限消费者的领域。它还删除了凭据使用用户名而不是电子邮件地址，因为不清楚它们是员工还是消费者记录。 然而，每一个都有极高的ATO、身份盗窃和在线欺诈风险，这可能会导致受影响企业的个人和品牌损害。 账户接管的后果 犯罪分子通常以利润为目的，纯粹而简单。正如ATO有不同的方法一样，也有无数欺诈的方法。 有了被盗的数据，犯罪分子将： 耗尽fi金融账户、加密钱包或忠诚度积分余额 犯罪分子将控制财务帐户并立即电汇或转移受害者账户的余额。在这个概念上，有一个 点对点支付欺诈的大幅上升，自2016年以来上升了733%。 进行欺诈性购买 另一个快速计划：犯罪分子将使用被盗或存储购买商品信用卡或礼品卡数据。事实上，40%的所有欺诈活动与账户接管发生在一天内。 用户名 catgirl23 用户名 catgirl23 用户名 catgirl23 密码 fluffykitty9 密码 fluffykitty9 密码 fluffykitty9 登录 登录 登录 授予访问权限电信订阅欺诈 结合虚假和合法（被盗）的客户数据，犯罪分子可以创建新的“合成”身份，以实现电信服务的欺诈性使用。一旦建立，这些假订阅让犯罪分子获得增值 服务，包括电视和互联网，以及新的移动金融服务。 利用受害者的工作帐户 犯罪分子可能会尝试查找和窃取公司IP并部署商业电子邮件妥协骗局，仅在2020年就造成了18亿美元的损失。 SIM交换受害者绕过MFA 在SIM卡交换攻击中，犯罪分子将受害者的电话号码转移到他们自己的电话号码SIM卡，以绕过多因素身份验证和接管敏感 帐户。 ATO是一种可怕而危险的威胁，有可能对企业和个人造成重大的财务伤害。 许多进入基于云的系统和网络的入口点，ATO给我们的数字世界带来了最大的风险之一。罪犯不需要使用复杂的技术来破坏防火墙或其他旨在保护企业的安全措施。他们 只需要密码或电话号码。 即使企业采取了所有安全措