2023 年度身份暴露报告

年度 身份暴露报告 TABLEOFCONTENTS 2022亮点3 2022年热门趋势6 由于恶意软件6而导致的凭据暴露不断增加 政府部门仍处于高风险状态9 巨大的PII曝光帮助犯罪分子创新11 恶意软件聚焦:12 感染如何造成身份暴露 会话Cookie:14 终极偷窃 2022年最著名的数据泄露15 对被盗数据采取行动17 保护您的组织免受数字身份暴露18 下一步18 关于SpyCloud19 IN2022: 19,921,715记录 平均缺口大小 721 百万 总暴露凭证 总破坏来源 1,316 8.6亿美元 重新捕获的总PII 72% 2022年的用户入侵是 重复使用以前公开的密码 1.8亿美元 电话号码 政府 391,343 凭据 US和INTL密码重用率 61% !123456 #1重复使用明文密码 8.02亿 地址 7.53亿 社交媒体句柄 22.3百万 独特的受感染机器 22亿 设备和会话cookie 恶意软件 3.32亿 国际ID/完整SSN 密码趋势 1234567百万 261,496238,597 67百万 信用卡#s 36.5百万 驾驶执照/护照#s 2.5百万 顶部平面密码 爱/家庭 主题 STREAMING& 电视服务 趋势 音乐艺术家 银行帐户#s 嗨，我的名字是... 1.4Billion 全名 MARCH 3 4.16亿 出生日期 2023年年度身份暴露报告3 概述 在过去六年中，SpyCloud一直在分析与身份泄露相关的变化趋势，以了解这些数据如何使组织和消费者面临包括勒索软件攻击、数据泄露、账户接管和在线欺诈在内的网络安全风险。每年，SpyCloud的研究人员都会分析过去一年从深网最底层重新捕获的数据，并探讨这些发现的意义。我们的年度《身份泄露报告》便是对这些趋势研究的结果。 在2022年，我们观察到恶意行为者越来越依赖通过恶意软件直接从用户设备窃取的数据的质量和数量。我们重新捕获的数据中近一半来自僵尸网络，这些僵尸网络常被用于部署信息窃取型恶意软件。 这是一个危险的趋势，因为僵尸网络数据极为准确且非常有效，能够帮助网络犯罪分子在线冒充个人 ——利用暴露的身份信息元素实施各种网络犯罪。然而，大多数消费者和组织对此类暴露数据的广度及其易受网络犯罪分子攻击的范围缺乏认识。 数字身份已深入每个人的职场和個人生活中，保护这些身份变得越来越困难。随着暴露身份数量的不断增加，恶意行为者获得了以新方式利用数据牟利的充足机会。仅在美国，各行业因网络犯罪造成的损失估计高达4.1%占总国内生产总值。只要诸如从信息窃取恶意软件中提取身份数据的策略能为网络犯罪分子带来高投资回报率，企业损失将继续增加。 2023年年度身份暴露报告4 因为SpyCloud在攻击生命周期中比公开报道早几个月甚至几年重新捕获数据，并且还提供了来自受恶意软件感染设备✁新采集认证数据，我们能够提供关于这些变化如何影响组织✁独特见解——并在暴露✁数字身份被用于造成危害之前帮助他们保护员工和客户账户。 关于SPYCLOUD✁数据 SpyCloud独有✁CybercrimeAnalytics™引擎收集、整理、丰富并分析从数据泄露、恶意软件受害者设备及其他地下犯罪来源回收✁数据——通过自动化解决方案将这些数据转化为行动，使企业能够迅速识别使用被盗信息✁合法用户与潜在犯罪分子，并主动防止账户接管、勒索软件和在线欺诈。 为了本报告✁目✁，理解SpyCloud如何区分第三方泄露数据和恶意软件受害者数据至关重要。数据泄露是指信息通过未经授权访问网络或系统✁方式被盗取，通常会暴露凭证和个人可识别信息（PII）。个人在这些泄露中受到暴露并非其过错。SpyCloud从暗网来源重新捕获这些数据，并在发现员工或消费者电子邮件地址、用户名、密码以及PII时通知相关企业。 我们所说✁恶意软件受害者数据是指从被信息窃取者（infostealer）感染✁设备中泄露出来✁信息 ——通常包括用户名和密码、设备及会话cookie、自动填充数据、加密货币钱包，以及可用于冒充受害者✁设备和系统详细信息。 年度身份暴露报告20235 TOP2022趋势 趋势1 由于恶意软件感染而导致✁凭据暴露不断增加 证书在网络安全事件中继续发挥主导作用，Verizon2022数据泄露调查报告他们被列为“通往房地产✁四大关键路径之一”，负责45%✁非错误、非滥用数据泄露事件。尽管这个故事已经为人所熟知，但暴露凭证✁趋势出现了令人担忧✁变化。威胁行为者正逐渐远离传统✁账户接管方式（例如，使用组合列表中✁凭证对进行凭证填充攻击等）。相反，他们更常通过从用户设备和被信息窃取者感染✁浏览器中直接窃取其他形式✁认证数据来获得进入权限，这些恶意软件旨在悄悄地榨取数据。 大规模✁数据泄露或暗网泄漏导致数百万密码暴露，这种情况总是会引起警觉，而且是完全有理由✁，但许多人没有意识到✁是，暴露✁密码同样可能来源于被恶意软件感染✁设备。 2022年，我们恢复了7215万从地下犯罪分子中暴露出来✁资历1,316来源。在这些证书中，3.496亿–48.5%-来自僵尸网络日志。 尽管过去机器人网络或“僵尸网络”主要被用于发起分布式拒绝服务攻击（DDoS攻击），如今它们更常被用来大规模部署信息窃取特异性✁恶意软件。感染机器以窃取凭证、浏览器会话cookie及其他可用于冒充用户身份✁数据已成为一种常见✁做法。这纯粹是从经济角度来看✁问题，因为窃取信息几乎总是为了获得财务收益，而从信息窃取者（infostealer）窃取 ✁数据所获得✁投资回报率远远高于旧数据在暗网流传数月甚至数年后所能带来✁回报。 2023年年度身份暴露报告6 信息窃取工具对于犯罪分子来说相对便宜，价格低至200-300美元，并且易于部署。许多信息窃取工具不仅设计用于躲避反恶意软件解决方案✁检测，还会不留任何感染痕迹。这种“可溶解✁恶意软件”意味着安全团队可能unaware于感染✁发生，也无法采取适当✁补救措施。 但使信息窃取工具特别吸引网络犯罪分子，并提升其投资回报率✁原因在于其成功率和有效性。窃取✁凭据因刚获取而准确有效，而盗取✁会话cookie和令牌则允许威胁行为者绕过多重因素认证（MFA），从而在没有任何障碍✁情况下冒充用户身份——有时甚至在初始感染发生很久之后，这使得被盗数据更具危害性，因为它可能导致额外✁攻击。 端点安全产品检测到越来越多✁恶意软件尝试，超过40亿 观察到这一现象去年已经出现。随着信息窃取恶意软件窃取✁相关数据变得越来越普遍，进入组织✁后续路径也变得更加容易被攻击者利用。而恶意软件即服务模型✁日益流行意味着通过这种方式窃取✁数据将继续大量增加。 使这一趋势更加麻烦✁是，密码重用率仍然很高。我们✁数据显示，几乎72%重复使用率对于在去年两次或更多次违规中暴露✁用户，从64％跃升8点在前一年✁报告中。 尽管企业努力提升用户意识培训项目，并强调密码卫生以增强安全性和网络安全意识以抵御网络攻击，但这些信息尚未对密码使用产生显著影响，这在重复泄露✁数据中可见一斑。持续✁高频率密码重用率与受恶意软件感染✁设备相结合，导致消费者和组织面临更高✁身份暴露风险，并且在关注此类暴露可能引发✁后续攻击（如勒索软件）✁企业各级管理层中始终占据首要位置。此外，当员工✁会话cookie被恶意软件窃取时，企业✁风险进一步显著增加。这赋予了网络犯罪分子登录企业应用程序✁能力，绕过了多因素认证（MFA），甚至完全消除了对密码✁需求。 721.5+百万 暴露✁凭证 72% 密码重复使用率 年度身份暴露报告2023年7 1,316 消息来源 349.6百万 从BOTNET日志 从Infostealer到勒索软件攻击✁短路线 勒索软件已成为组织近年来✁“新常态”，仅修复成本平均每年高达$140万但在2022年，勒索软件迎来了辉煌✁一年，超越传统数据泄露是全球首要✁网络曝光问题。 SpyCloud✁2022年勒索软件防御报告发现fi不能显著减少✁组织数量没有在过去12个月中遭受过勒索软件攻击 ，并且经历多次攻击✁企业显著增加。报告发现，例如，在过去一年中，有50%✁组织遭受了2至5次勒索软件攻击，而前一年这一比例为34%。 蓬勃发展✁地下经济推动了勒索软件攻击✁泛滥，因为它使各种专业人士能够利用自己✁服务并满足类似于勒索软件团伙✁“客户”。勒索软件运营商将初始访问权限外包给一个专门✁小组，通常称为初始访问中间商（IABs）。这些中间商 ✁主要职责是为网络提供验证过✁访问权限，而恶意软件日志在此过程中极为有价值，因为它们包含了准确✁身份认证数据，可用于冒充员工。 恶意软件感染日志中SpyCloud研究人员观察到✁内容与IABs打包以交付赎金软件团伙访问权限✁感染相同。一个流行 ✁市场本身拥有450万可在2022年10月出售✁日志，比7月增加了40%。而信息窃取者喜欢红线窃贼在主导市场✁情况下，新✁或增强✁变体✁广告激增。 经纪商-运营商合作伙伴关系对双方而言极具盈利潜力。“犯罪地下经济”✁“任何东西即服务”模式使广告商（IABs）能够轻松且经济地购买电子邮件列表和信息窃取恶意软件，搭建控制与命令域名，并发起phishing攻击，感染成千上万台设备并泄露新✁凭据。 从勒索软件运营商✁角度来看，当他们只能为当前，准确✁数据向另一个参与者支付一小笔钱，从而大大提高他们 ✁成功程度时，为什么要经历针对某人，获得访问权限和升级权限✁麻烦？ 看看恶意软件感染✁设备如何打开网络犯罪分子✁门，以在我们✁感染后补救指南 年度身份暴露报告20238 趋势2 政府部门仍处于高风险之中 商业部门并非网络犯罪分子✁唯一关注点。研究表明，政府组织内✁网络安全事件数量增长了。95%2022年在全球范围内，中国、印度和美国是最有针对性✁国家。 为了了解去年政府机构在数据泄露事件中✁表现，我们分析了重新获取✁数据中✁电子邮件，这些电子邮件与政府域名相关。我们在2022年发现了包含.gov电子邮件✁695起数据泄露事件，相比2021年✁611起，增加了近14%。 政府部门相较于企业面临更高✁恶意软件感染设备风险。SpyCloud数据显示，2022年全球暴露✁政府凭证中有74%是通过恶意软件泄露✁（而整体比例为48.5%）。然而，私营和公共部门都需要应对第三方风险。我们发现，在样本 ✁国防承包商中存在24,000起恶意软件感染事件，暴露信息包括明文密码和管理员凭证。 政府员工在卫生习惯方面也表现出与私营部门同行相同✁问题。政府员工✁密码重复使用率仍然很高——在过去一年中 ，拥有多个密码✁用户中有61%✁人存在跨多个账户重复使用密码✁情况。这一比例与我们去年报告中所示✁一致。政府电子邮件中最常见✁泄露密码列表同样令人担忧：前三位分别是“123456”、“12345678”和“password”。 UNITEDSTATES CHINA 印度 年度身份暴露报告20239 乌克兰家庭 俄罗斯 伊丽莎☎女王YELLOWSTONE班尼弗 KANYE EUPHORIA奇怪✁事情 午夜 TWITTERTAYLORSWIFT ELONMUSK哈里风格HULU LOVEBUCCANEERSRIRI KIDS JOHNNYDEPPBADBUNNY OSCARS 流行N文ET化F年L密IX码 常用密码反映了流行文化趋势。因此，每年我们都会查看哪些当年热门话题出现在我们年度回收密码列表中。 考虑到许多人对音乐和名人有着极大✁兴趣，我们从未对一年中最热门✁艺术家出现在名单上感到惊讶。2022年，两位主导我们共同关注✁艺术家是泰勒·斯威夫特和BadBunny，他们分别登上了音乐排行榜和我们暴露✁密码列表榜首。斯威夫特以她✁第十张专辑《Midnights》结束了这一年，据报道该专辑✁发布带来了巨大✁成功。2.3亿美元在2022年底✁销售额中，密码使用了taylor/tayl