安全公司稱被盜Uber賬号比被盜信用卡值錢

1月20日消息，據國外媒體cnbc報道，安全公司trend micro稱，對于不法分子來說，uber、paypal甚至netflix賬号已經變得比信用卡資訊有價值得多。

根據trend micro收編的資料，被盜uber賬号資訊在地下市場中的售價平均為每賬号3.78美元，個人驗證資訊（pii）的售價則通常在1美元到3.30美元之間，但較2014年的4美元有所下降。（pii包含任何可用于實施身份詐騙的資訊，如社會保險号和出生日期，價格視乎供售的特定資訊而定。）

那不法分子會如何利用偷來的uber賬号呢？據專家稱，那些賬号認證資訊可以用來完善受害者的個人資料，以便實施身份盜用；也可以用來對虛構乘車收費。虛構乘車，是指不法分子在建立假的司機賬号後，就實際上并不存在的乘車行為對被盜賬号進行扣費。

專家們還發現其它服務的每賬号平均售價：paypal，6.43美元；facebook，3.02美元；google voice，97美分；netflix，76美分。相比之下，在美國發行的信用卡認證資訊的捆綁售價每份隻有22美分。

trend micro網絡安全戰略副總裁艾德·卡布雷拉（ed cabrera）說道，“這是一個讓人難以置信的地下生态圈。這些不法買家之間的競争非常激烈，有很多不同種類的相關論壇。該生态圈非常多元，但極為成熟。”

他說，“他們會親自就哪裡能夠找到黑市中最有價值的資料進行市場調研，然後相應制定攻擊政策。”trend micro曾在去年10月就這一現象發表報告。

快速搜尋帶有“uberaccounthacked”（uber賬号被黑）标簽的推文，可以看到很多有關“虛構乘車”的抱怨：使用者聲稱他們實際上并沒打車，uber賬号卻被扣費。

據切爾說，信用卡之是以變得沒什麼盜取價值，是因為銀行和信用卡發行機構均開發出了更加先進的詐騙檢測系統，能夠讓被盜的卡片迅速變得一文不值。

科技公司該如何應對

科技公司們已經意識到這種威脅，很多公司（包括uber在内）專門部署團隊來監控異常的賬号活動，向賬号有被盜風險的使用者發出警告。他們還鼓勵使用者采用額外的安全措施，對于不同的賬号設定不同的密碼。

在部分市場，uber正在測試一種兩步驗證機制，在使用者在陌生裝置上登陸時提醒他們輸入額外的認證資訊。該公司計劃不久之後将這一機制推向其它的市場。

uber發言人表示，“我們的安全團隊高度專注于保護我們的社群的uber賬号。我們使用技術措施來檢測各類問題，且一直在改進所部署的設施來保護使用者的賬号。”

facebook則建議使用者啟用其名為“登陸認證”的雙重驗證機制，并進行安全檢查——讓使用者通過各種安全選項來增強賬号保護的工具。

人們往往對多個服務賬号設定相同的密碼，這使得安全保障變得尤其困難。專家們認為，企業應當部署新技術來給使用者提供更好的保護。

“企業是時候棄用密碼了，而應當制定基于行為特征計量的解決方案來驗證使用者身份——如使用者通常會有怎樣的行為習慣，他們有怎樣的握手機習慣，他們的手指頭有多大，他們按壓觸控屏的力度有多大。”

本文轉自d1net（轉載）