詐欺ビジネス:PIIとPHIの販売

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

Recorded Future analyzed current data from the Recorded Future® Platform, dark web and special-access sources, and open-source intelligence (OSINT) between January and December 2021 to observe the sale of compromised PII and PHI and how this data can be used to facilitate criminal activities. This report expands upon findings addressed in the first Insikt Group Fraud Series report, “The Business of Fraud: An Overview of How Cybercrime Gets Monetized”.

Editor’s note: This research covers January to December 2021. Since then, the following dark web sources are no longer in operation: UNICC Shop (January 2022), ToRReZ Market (January 2022), and Amigos Market (January 2022).

Executive Summary

個人を特定できる情報(PII)と患者の健康情報(PHI)は、クリアネットとダークウェブの両方で、犯罪者から非常に求められているデータです。 私たちの調査では、脅威アクターがソーシャルエンジニアリングやインフォスティーラーマルウェアの亜種など、さまざまな攻撃ベクトルを使用して被害者のPIIまたはPHIを取得していることが特定されました。 このデータが収集されると、脅威アクターは従来のサイバー犯罪者ソース(フォーラム、マーケットプレイス、ショップなどのダークウェブ)やメッセージングプラットフォームを通じてデータを収益化します。 PIIおよびPHIデータの売買に関心のある脅威アクターは、戦術、技術、手順(TTP)を改善し続けており、ベンダーは、機密性の高いユーザーデータを持つアカウントへのアクセス、セキュリティ対策を破る方法、偽造文書など、カスタマイズされたサービスや方法を販売しています。

主な判断

• 脅威アクターは、被害者のネットワークへのアクセスを促進してPIIおよびPHIデータを収集および盗むためのさまざまなツールと機能を自由に使用できます。
• 金銭的な動機を持つ脅威アクターは、サイバー犯罪者のエコシステムのあらゆる側面(フォーラム、マーケットプレイス、ショップ、メッセージングプラットフォーム)を引き続き使用して、侵害されたPIIとPHIを広告、議論、販売、購入します。 前述の4つのソースタイプはそれぞれ独立していますが、すべての共有が重複しているため、サイバー犯罪が可能になります。
• ダークウェブや、PIIを含む侵害されたユーザーアカウントの掲載を専門とする特別なアクセスソースに加えて、ダークウェブマーケットプレイスなど、参入障壁の低いソースは、脅威アクターがPIIを含むスキャンや偽造ドキュメントを売買するための魅力的な目的地です。
• ランサムウェア恐喝Webサイトは、被害者が身代金を支払わない場合に無料でダウンロードできる独自のデータが記録に含まれているため、脅威アクターがPIIとPHIを取得するための別の魅力的なソースです。 これらの恐喝サイトは、身代金を恐喝するこの方法が効果的であることが証明されているため、当面続く可能性があります。

編集者注: この記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。