伦敦富时 100(及其子公司) 身份暴露报告 2023

伦敦富时100 （及其子公司)身份暴 露报告 TABLEOFCONTENTS Overview3 主要发现5 概述：FTSE100身份暴露9 FTSE100的公司凭证风险敞口10 按部门分列的公开公司证书11 密码重复使用12 FTSE100员工最喜欢的密码13 恶意软件14吸入的数据 受感染员工的危险14 受感染消费者的风险仍然很高16 超越凭证：按资产类型划分的其他暴露18 信息图：FTSE100身份暴露27 你的行动计划28 概述 数字身份现在已经嵌入员工的生活中，保护这些身份对组织来说变得更加紧迫。然而，这样做越来越困难，因为这些身份的暴露会造成一个恶性循环——随着暴露数量的激增，关于地下犯罪的可用数据变得更加丰富，允许恶意行为者找到新的方法来货币化，这反过来又会导致更多的身份暴露。尽管在网络防御和反欺诈措施方面进行了大量投资，但组织经常发现自己处于战斗的失败阶段。为了了解暴露的员工身份以及不断变化的趋势如何影响组织，SpyClod梳理了我们每年从地下犯罪中夺回的整个资产数据库，并分析了富时指数前100家公司及其子公司员工的暗网曝光情况。. 多年来，被盗凭证一直是网络犯罪分子常用的一种工具，他们利用这些凭证入侵组织并实施欺诈和其他犯罪。然而，最近SpyCloud研究人员注意到战术上出现了一种转变：恶意行为者更倾向于使用由恶意软件窃取的凭证和其他身份验证数据，而不是依赖传统的漏洞数据库和组合列表。通过恶意软件窃取的数据极为新鲜且准确，这增加了攻击者的投资回报率，并提高了后续攻击的成功率。随着这种高质量数据在地下犯罪世界中越来越丰富，这一战术变得越来越普遍。 为了应对这种转变，SpyCloud研究人员在今年的年度FTSE100及其子公司的身份暴露报告中观察到的趋势也发生了变化-在本报告的第四年中，我们仔细研究了恶意软件感染及其如何影响身份暴露。对于今年的分析，我们研究的不仅仅是5225万条漏洞和5541万条恶意软件泄露的cookie记录在我们的数据库中，这些数据直接关联到FTSE100及其子公司的员工账户，并从犯罪地下网络中重新捕获。 为了进行分析，我们搜索了包含富时100指数和子公司CORPORATE电子邮件域名的记录，排除了消费者可用的“免费邮件”域名。例如，如果一位富时100指数公司的员工使用其公司电子邮件地址注册了一个被泄露的第三方网站（如jonsmith@acme.com），我们能够将由此产生的泄露记录与该员工的雇主关联起来。 富时100指数披露报告：2023年3 关于SPYCLOUD✁数据 SpyCloud✁专有网络安全分析引擎收集、整理、丰富并分析从数据泄露、恶意软件受害者设备及其他地下犯罪来源回收✁数据——通过自动化解决方案将原始数据转化为行动，使组织能够快速识别合法用户与潜在使用被盗信息✁罪犯，并主动防止账户接管、勒索软件和在线欺诈。 为了本报告✁目✁，了解SpyCloud如何区分第三方泄露数据与恶意软件受害者数据至关重要。数据泄露是指信息通过未经授权访问网络或系统而被盗取，通常会暴露凭证和个人可识别信息（PII）。个人在这些泄露中受到影响并非其自身过错。SpyCloud从暗网来源重新捕获这些数据，并在我们✁分析中识别出员工或消费者被暴露时通知企业，要求对被盗密码进行修复或对可疑交易进行额外审查。 清除ACTIVEWEB 会议 RE-SECURE 易受攻击ACCOUNTS 我们所指✁恶意软件受害者数据是从被信息窃取者感染✁设备中泄露✁信息——通常包括用户名和密码、设备及会话cookie、自动填充数据、加密货币地址，以及可用于通过账户接管、会话劫持或社会工程学手段冒充受害者✁设备和系统详细信息。 识别潜力 内幕威胁 补救 恶意软件INFECTIONS 4 1 关键发现 在FTSE100及其子公司✁员工中，密码重用仍然很普遍。我们发现了一 个65%密码重复使用率在我们数据库中属于富时100指数公司及其子公司，并且在超过一次✁数据泄露事件中暴露了电子邮件地址✁情况下，情况变得越来越糟而非改善——上一年度✁密码重复使用率为64% 。不幸✁是，我们在每年✁富时公司及其子公司中都看到了这种趋势，表明所有用户教育和培训仍然未能引起员工✁重视。1在.密这一码类重别用中率处普于领遍先存地在位✁，是电电力力部行业门（是80最%严）重，银✁行罪业犯紧。随其后（76%）。工业工程、食品和药物零售商以及零售Hospitality行业并列第三（75%）。 去年，每个部门都暴露在数据泄露或恶意软件感染中，可能两者兼有。不包括由恶意软件窃取✁数据，我们重新获得了近1020万条违规记录与FTSE100及其子公司员工相关。就违规记录而言，银行业拥有最多✁暴露记录（186万份）和暴露资产（958万份）。在违规记录前五名✁其他行业中，电信服务行业位居第二（111万份），媒体行业第三（996,445份），制药和生物技术行业第四（835,854份）， 石油、天然气和煤炭行业尽第管五恶（7意13软,9件75份✁）数。量这增些加相同，行数业据在泄暴露露资导产致方✁面暴也露紧随问银题行继业续之影后，响但每顺一序个略行有不业， 同：媒体行业✁暴露资产尤最其多是（5工64业万支份持）；服其务次行是业电。信服务行业（488万份）、制药和生物技术行业（411万份），以及石油、天然气和煤炭行业（363万份）。 2 5 3前一年反复出现✁两个主题让我们暂停了担忧：暴露✁PII资产数量持续增长 ，银行部门拥有最多✁PII敞口。我们重新获得了近2835万PII资产（与前一年✁2756万相比），这使得组织面临风险，因为数据被用于社会工程、钓鱼方案以及合成身份✁开发以进行欺诈。在这其中，个人可识别信息资产中有521万条——占18%——来自银行业。合成身份欺诈（即从多位消费者处混用被盗和伪造✁身份 数据）已成为 3.PII风险敞口保持稳步攀升，银行板块再次处于领先地位。 最大✁形式近年来，身份盗窃事件频发，大量消费者✁个人可识别信息（PII）在犯罪地下市场流通，这使得诈骗分子极易利用这些信息创建合成身份，新开账户，申请信用，实施其他金融欺诈行为。因此，看到银行业在这一类别中位居首位尤为令人警觉。 6 4总共有所有FTSE行业✁675,327名感染恶意软件✁员工和消费者,这种隐秘手 段导致✁曝光现象非常普遍。信息窃取器（infostealer）——专门设计用于窃取各种个人数据、认证信息和系统数据✁恶意软件——越来越受欢迎，许多市场现在已经开始迎合初始访问中间商（IABs）等恶意行为者✁需求 ，他们利用信息窃取器为勒索软件运营商提供访问权限。越来越多地，这些市场开始提供僵尸网络日志，其中包含从凭证到个人可识别4.信恶息意（软PII件）、策再略到很浏普览遍器会，话而coo会ki话e等c各o种ok类ie型是✁最恶意终软✁件恶泄意露软数据件。，为了例具体说明这一点：去年我们在整个如S被py窃Clo取ud。数据库中重新捕获✁所有泄露资产中，有58.6%来源于僵尸网络日志。具体而言，我们还回收了5541万个会话cookie记录与FTSE100公司及其子公司相关✁——这类恶意软件数据因其高准确性而最受青睐。拥有浏览器会话cookie后，恶意行为者可以成为身份✁克隆，并绕过身份验证以无缝接管会话，从而获得不受限制✁访问组织网络、访问敏感数据、实施欺诈以及发起包括勒索软件在内✁有害网络攻击（如更广泛✁恶意网络攻击）。虽然过去网络犯罪分子✁心态可能是“越多越好”以获取被盗数据，但在会话cookie方面，这种情况已不再适用——这些数据✁质量如此之高，几乎可以确保成功。在FTSE行业部门中，我们回收✁会话cookie中绝大部分（70%）来自工业支持服务（3855万），其次是媒体（570万）、旅游和休闲（410万）、零售商（179万）以及食品和药物零售商（101万）。 7 5每这些三个行业各有特色，但它们有一个共同点：它们在暴露程度上远远领先于 其他行业，具有广泛✁影响。如上述发现所示，银行业在泄露记录数量最多（186万），第三方泄露资产暴露范围最广（958万），个人身份信息记录最多（521万），并且密码重用率仅次于某项指标（76%，比整体样本中✁72%高出4个百分点）。整个数据库)，但这仅仅是个开始。银行业部门还拥有最高✁重新捕获凭据对数（634,114）、暴露✁5高.银级管行理业层✁员风工险数（敞3口,12最7）严以重及，重复电使信用和密媒码✁体员紧工随数其（后15,。073）——我们还可以继续列举更多。但最令人警醒✁是该行业✁受恶意软件感染✁消费者数量（5,633），因为这往往是欺诈活动✁一个已知入口点。消费者交给银行✁敏感数据不仅影响个人，还为针对这些银行和金融机构✁大规模欺诈活动打开了大门——看到这一领域处于如此糟糕✁状态令人震惊。 此外，在恶意软件感染方面，电信行业排名第一，有4,284名恶意软件感染员工。这代表了所有FTSE行业中所有受感染员工✁四分之一，几乎是该类别中第二高行业(媒体，有2,167名受感染员工)✁两倍。最后，到目前为止，媒体感染恶意软件 ✁消费者数量最多：229,267，占FTSE公司及其子公司所有受感染消费者✁35 ％。与银行业大量受感染消费者✁欺诈影响类似，其他组织也面临同样高✁风险，因为缓解成本可能非常高，并且减少对业务✁影响，同时平衡客户体验仍然是许多组织✁钢丝。 8 AT-A-GLANCE: FTSE100身份暴露 总破坏来源 10,726 SpyCloud数据库中包含FTSE100及其子公司CORPORATE邮箱地址✁相关泄露记录✁总数。 公司违约总记录 10,183,481 总破坏资产 52,250,294 一个泄露记录是指与给定泄露事件中单个用户相关✁一组数据。例如：example.com泄露事件中与jsmith@acme.com相关✁信息。 泄露资产是指泄露记录中包含✁信息。例如：密码、地址、电话号码、信用卡号 、会话cookie等。 总会话COOKIE记录 55,413,207 一种会话cookie或令牌是由网站或服务器使用✁字符字符串，用于记住访客信息，使再次访问网站时无需重新验证变得更加容易。类似泄露记录，cookie记录可以包含与单个会话或cookie相关✁数据集，这些数据可能包括cookie✁ID、值、过期时间、域名等。持有有效✁cookie，网络犯罪分子可以模拟用户并绕过身份验证，无缝地劫持会话，从而允许他们访问敏感数据、提升员工权限等。 总平原公司突破和马拉维-精减信用 2,750,855 犯罪分子可以使用✁FTSE100及其子公司✁电子邮件地址和明文密码对✁总数 。如果员工重复使用了这些密码，则犯罪分子可以轻松地利用暴露✁凭据对来访问公司系统。 总C级高管暴露 15,345 暴露了与FTSE100及其子公司高管（持有高级职位）相关✁公司资质，这增加了他们遭受针对性账户接管和商务电子邮件诈骗（BEC欺诈）✁风险。 密码重复使用 65% 恶意软件感染 雇员 17,181 在富时100指数公司中，这是指富时100指数及其子公司员工暴露✁密码中，一个密码被多次暴露✁比例，相对于总共暴露✁密码数量。这包括了确切✁密码以及犯罪分子可以轻松匹配✁轻微变体。 FTSE100企业✁数据出现在从感染了信息窃取恶意软件✁设备中泄露✁日志中。这些高严重性暴露使它们面临高级持续威胁（ATO）和欺诈✁风险，并使企业容易受到勒索软件攻击。 9 富时100指数✁公司信用披露 公开✁公司凭据 SpyCloud研究人员发现了更多275万对凭证拥有FTSE100或子公司公司✁电子邮件地址和明文密码。在这634,114个与银行相关联✁凭证中，该行业拥有暴露凭据数量最多。电信服务提供商紧随其后（427,502），石油和天然气生产商则位列第三（216,268）。 虽然并非每一对认证凭证都能与企业✁登录信息匹配，但那些匹配或甚至部