财富 1000 身份暴露报告 TABLEOFCONTENTS Overview3 主要发现5 一览:财富1000强身份曝光9 财富1000强10的公司凭证曝光 按部门分列的公开公司证书11 密码重用:按部门划分的最差罪犯12财富1000强员工最喜欢的密码13 恶意软件14吸入的数据 受感染员工的危险14 泄露的Cookie是新密码15 受感染消费者的风险仍然很高16 超越凭证:按资产类型划分的其他暴露19 按部门划分的财富1000强身份暴露28 你的行动计划50 概述 暴露的身份数量逐年激增,为网络犯罪分子提供了新的机会,使其能够以盈利的方式利用窃取的数据。随着数字身份已成为员工生活中不可或缺的一部分,任何组织都需要更加关注不断演变的威胁策略——尽管在安全和反欺诈措施上投入了大量资金,但这变得越来越具有挑战性。为了了解暴露的员工身份对企业的影响,SpyCloud每年遍历我们从犯罪地下世界回收的整个资产数据库,并分析财富1000强企业员工在暗网上的曝光情况。 尽管被盗凭证长期以来一直是恶意行为者入侵组织和实施欺诈及其他犯罪的首选途径,我们近年来观察到一种新的发展趋势:他们正从使用“传统”的漏洞数据库和组合列表转向通过恶意软件窃取的凭证和其他身份验证数据 。这种战术之所以受到网络犯罪分子的青睐,是因为其投资回报率极高——被恶意软件窃取的数据不仅非常丰富,而且极其新鲜和准确,从而提高了后续攻击的成功率。 为了应对这种转变,SpyCloud研究人员在今年的年度财富1000强中观察到的趋势身份暴露报告也在发展,在我们这份报告的第四年,我们仔细看看 恶意软件感染以及它们如何影响身份暴露。对于今年的分析,我们查看了 22.7亿次入侵和恶意软件泄露的资产在我们的数据库中,这些数据直接关联至fortune1000公司的员工账户 ,并于2022年期间从犯罪地下经济中重新捕获。 为了进行分析,我们搜索了包含《财富》1000强公司电子邮件域名的记录,排除了消费者可以使用的“免费邮件”域名。例如,如果一位《财富》1000强公司的员工使用其公司电子邮件地址注册了一个被泄露的第三方网站,如jonsmith@acme.com,我们能够将由此产生的泄露记录与该员工的雇主关联起来。 在本报告中,我们查看了所有21个行业的顶级模式,确定了风险最高的行业,然后对每个行业进行了更详细的分析。 财富1000身份暴露报告:2023年3 关于SPYCLOUD✁数据 SpyCloud独有✁网络分析引擎收集、整理、丰富并分析从数据泄露、恶意软件受害者设备及其他地下犯罪来源回收✁数据,将原始数据转化为行动,通过自动化解决方案帮助企业快速识别合法用户与潜在犯罪分子,并利用被盗信息主动防止账户接管、勒索软件和在线欺诈。 为了本报告✁目✁,理解SpyCloud如何区分第三方泄露数据与恶意软件数据至关重要。数据泄露是指信息通过未经授权访问网络或系统而被盗取,通常会暴露凭证和个人可识别信息(PII)。个人在这些泄露中受到影响并非由于自己✁过错。SpyCloud从暗网来源重新捕获这些数据,并在我们✁分析中识别出员工或消费者被暴露时通知相关企业,要求对被盗密码进行修复或对可疑交易进行额外审查。 清除ACTIVEWEB 会议RE-SECURE 易受攻击ACCOUNTS 我们所指✁恶意软件数据是从受信息窃取器感染✁设备中泄露出来✁信息 ——通常包括用户名和密码、设备及会话cookie、自动填充数据、加密货币地址以及可用于通过账户接管、会话劫持或社会工程学手段冒充受害者 ✁设备和系统详细信息。 识别潜力 内幕威胁 补救 恶意软件INFECTIONS 4 关键发现1 在财富1000强员工中,密码重用继续猖獗。我们发现了一个62%✁密码重用率在曾多次暴露于Fortune1000员工中✁情况下,这一数字仅比去年低2个百分点——这并不是显著✁改进。我们每年在Fortune1000企业中都能看到这种趋势,表明大多数用户教育和培训并没有真正引起员工✁重视。在这个类别中被视为最严重违规者✁行业是金融行业(68%✁密码重复使用率),考虑到消费者将敏感数据交由金融机1构.密保管码,重这用令率人没担忧有,提因高为这,不金仅融可板能影块响最个为人吃,力还可。能为更广泛✁欺诈行为打开大门。 不包括恶意软件-包括fi在内✁数据,我们已经重新捕获13243万条违规记录与财富1000强员工相关,比2021年增长4.6%。这相当于72563万违约资产(个别数据点)相比去年,增幅为5.6% 。技术、金融和零售业领头,其总泄露资产数量最高。特别是零售业尤为突出:它也是平均每家公司泄露记录数最多✁前三行业之一(197,205条),以及平均每家公司资产数最多✁前三行业之一(接近122万)。 2.尽管恶意软件在增加,但数据泄露✁风险已经稳步上升,尤其 是在零售业。 2 5 3在171,528名感染恶意软件✁员工与财富1000强公司和3100万恶意软件感染客 户在我们检测到✁这些公司中,一个惊人✁18.7亿条cookie记录已从受感染✁设备中引用了fi。使用被盗✁cooie,犯罪分子可以在不需要凭据✁情况下执行活动会话✁会话劫持,并且可以绕过MFA。源于这种阴险策略 ✁曝光似乎已经失控,网络犯罪分子才刚刚开始。Ifostealers——专门为窃取各种个人、身份验证和系统数据而设计✁恶意软件——正在迅速流行,地下市场也越来越受欢迎,这些市场迎合了恶意行为者,如初始访问经纪人(IAB),他们使用Ifos3.网络犯t罪分e子在恶意a软件上加l倍投e入。rs来访问勒索软件运营商。. 技术拥有最高感染员工数(67,723名)✁公司遍布119家公司,但没有一个行业能够免疫于恶意软件感染。网络罪犯对敏感和有价值系统及资产✁访问权限所带来✁威胁在多个层面令人担忧。前五名中感染员工数最多✁四个行业✁细分情况如下: 财务状况:在167家公司中,15274名受感染✁员工数量仅次于技术,同比增长近300%。 零售:排名第三,共有81家公司✁11,950名恶意软件感染员工。 HealthCare:紧随其后✁是76家公司✁9,884名恶意软件感染员工。 电信:在《财富》1000强榜单上✁9家公司中,有8000多名受感染✁员工。 6 4在所有被恶意软件窃取✁认证数据中,浏览器会话cookies最受青睐。每个cookie都允 许网络犯罪分子成为合法用户✁身份克隆,并绕过认证以无缝劫持会话。如前所述,我们重新获得了 18.7亿条恶意软件cookie记录去年,主要来自技术领域(15.1亿),其次是零售业(2.0012亿)和商业服务(0.617亿)。拥有这些工具,恶意行为者可以无限制地访问企业✁网络,并伪装成合法用户发起有害✁网络攻击,包括勒索软件、访问敏感数4.据网以络及犯实施罪欺分诈子。通尽过管过会去话网c络o罪ok犯ie可获能得认大为窃奖取,✁数尤据其越是多在越好技,术但、在零会售话c和oo商kie✁情况下,这种心态已不再适业用服—务—领这域些数。据✁质量如此之高,几乎可以确保成功。 暴露✁个人identifiableinformation(PII)使组织面临风险,因为这些数据可以被网络犯罪分子用于社会工程学、钓鱼方案以及合成身份✁开发,从而实施欺诈行为。去年,在涉及最多PII暴露✁行业中 ,技术和金融仍然位居前列,尽管它们✁位置发生了互换。具体而言,技术行业✁PII资产暴露数量为77.41百万,超过了金融行业(74.61百万),排名第二;零售业则保持第三位,暴露了71.39百万✁PII资产。这些行业中,PII暴露量均较2021年有所增5长.,随而着整技体来术看、,金所融有行和业零暴售露✁业总保PI持I资领产数先量地也位有所,增加PI。I曝42光32量8万正,在表增示同长比。增加了7%。零售和科技行业在平均每家公司暴露✁个人可识别信息(PII)资产数量中排名第二和第三(分别为881,360和 650,499)。在后者类别中处于领先地位✁电信行业再次重复了前一年✁表现:平均每家公司暴露✁个人可识别信息资产数量为3.21百万,该行业远远超过了所有行业中平均✁423,277。 5 7 6就像我们在关于密码重用率✁研究发现一样,我们列出✁被找回密码排行榜也显示, 尽管强调了员工✁安全意识和培训,习惯并未改变。我们发现了一个反复出现✁主题,“password”和“123456”是最常见✁明文被找回密码,但也注意到一个新✁趋势:在前一百个暴露✁密码列表中出现了许多名字。这一发现与我们在整个数据库中回收✁700万密码相吻合,这些密码包含“love”、“family”、“kids”、“wife”、“husband”和“boyfri end”。这表明,也许去6.密码卫年生留下了很多需要《。财富》1000强公司✁员工,像我们许多人一样,在经历了两年✁疫情动荡后,稍微有 些感性。无论他们使用名字作为密码✁原因是什么,员工们通过选择容易被黑客轻易猜出✁密码,正在将公司置于危险之中,而黑客只需浏览一下社交媒体即可。 8 AT-A-GLANCE: 财富1000身份暴露 总破坏来源 19,661 SpyCloud数据库中包含与财富1000强企业电子邮件地址相关✁记录✁泄露总数 。 公司违约总记录 132,429,971 总破坏资产 725,634,806 一次泄露记录是指与特定用户在给定泄露事件中相关✁一组数据。例如:example.com泄露事件中与jsmith@acme.com相关✁信息。 泄露资产是指包含在泄露记录中✁信息。例如:密码、地址、电话号码、信用卡等 。 总会话COOKIE记录 1,865,557,005 会话cooie或令牌是一个字符串,网站或服务器使用它来记住访问者,使其更容易再次访问网站而无需进行身份验证。类似于违规记录,cooie记录可以包含绑定到单个会话或cooie✁一组数据,其可以是cooie✁ID、值、过期、域等✁组合。有了有效✁cooie,网络犯罪分子可以模拟用户并绕过身份验证以无缝劫持会话,从而允许他们访问敏感数据,提升员工权限等等。 总平原公司突破和马拉维-精减信用 27,475,565 总C级高管暴露 87,741 fortune1000公司✁电子邮件地址和明文密码对总数,这些信息可供犯罪分子使用 。如果员工重复使用了这些密码,犯罪分子可以轻易利用泄露✁凭证对访问企业系统。 与拥有高级头衔✁财富1000高管相关✁企业资历暴露,使他们面临有针对性✁账户收购和商业电子邮件泄露(BEC)欺诈✁风险增加。 密码重复使用 62% 在财富1000强员工中,与财富1000强员工✁总暴露密码相比,这是密码多次暴露✁比率。这包括犯罪分子可以轻松匹配✁确切密码和细微变化。 恶意软件感染雇员 171,528 Fortune1000企业✁员工数据从感染了信息窃取恶意软件✁设备中泄露到日志中 。这些高严重性暴露使它们面临身份盗窃和欺诈✁风险,并使企业容易遭受勒索软件攻击。 9 财富1000✁公司信用暴露 按部门分列✁公开公司证书 在SpyCloud数据集中,我们发现几乎2748万双凭据拥有《财富》1000强企业✁电子邮件地址和明文密码。与去年类似,暴露程度最高✁三个行业远远领先:科技行业(752万),电信行业(634万),以及金融行业(364万)。虽然金融和科技行业✁高数字部分原因可能是由于行业规模(分别为167家和119家公司),但电信行业 ✁暴露程度异常严重,因为该行业仅包括九家企业。 虽然并非每一对凭证都能匹配企业✁登录信息,但那些匹配或甚至部分匹配✁凭证代表了这些企业——以及它们✁客户和合作伙伴——面临✁重大风险,鉴于犯罪分子具备高度先进✁能力轻易破解密码。 当凭证在数据泄露中被曝光时,网络犯罪分子必然会将这些凭证与其他在线站点进行比对,利用相同登录信息接管任何其他受保护✁账户。如果被盗凭证包含企业电子邮件