Hittills i år har vi redan kunnat läsa om mer än ett 30-tal stora dataläckor från välkända företag – listan inkluderar till exempel Facebook, Instagram, Linkedin, T-Mobile och kreditvärderingsföretaget Experian. Information som stulits vid dessa intrång kommer påverka tillvaron för miljontals användare, även om delar av det ser ganska oskyldigt ut, kanske bara en e-postadress. Men de stulna uppgifterna hamnar inte i en silo, isolerade från omvärlden.
– Dataläckor sker inte i ett vakuum, säger Jeff Pollard som är analytiker vid Forrester Research. Du hittar en e-postadress i ett intrång och i ett annat intrång dyker det upp annan information som hör till den e-postadressen. Data kan sammanställas från många källor och ge en mer detaljerad bild av en person än vad ett enskilt intrång skulle ge, varnar han, och intrång är tillräckligt vanliga för att detta ska vara ett verkligt hot.
En önskan att slå ihop
De kriminella har blivit mer sofistikerade i hur de hanterar sina stulna data. Ny information slås ihop med den information de redan har och resultatet blir växande databaser. Namn från ett intrång kopplas till en e-postadress från ett annat och ur en tredje datamängd hämtas uppgifter om intressen och tummen upp-klick.
– Var för sig tycks inte uppgifterna vara särskilt viktiga, men när de slås ihop i en gemensam databas kan resultatet användas för till exempel nätfiske eller för att få ut en kreditupplysning på någon, säger John Kinsella, molnarkitekt hos Accurics som tillhandahåller verktyg för it-säkerhet och regelefterlevnad.
Ännu så länge håller de flesta aktörer på sina databaser, men det kommer ändras. Enligt Kinsella är det bara en tidsfråga innan de börjar hyra ut uppgifterna till andra som kan använda dem till exempel för riktade nätfiskekampanjer.
Han är också övertygad om att statliga aktörer ägnar sig åt samma sak, dock i ännu större skala. Skurkarna skriver sina egna program för att slå ihop och analysera data, men det är svårt att skala upp sådan arkitektur hur långt som helst.
– Vi hör talas om läckor som är på 700 gigabyte, eller till och med sju terabyte. Så stora datamängder kan du bara hantera om du har en analysmotor som är byggd för det, som till exempel Apache Spark.
Angriparna siktar in sig på organisationsschemat
De stora datamängderna utgör ett hot mot både företag och konsumenter. E-postadresser kan till exempel användas för att få en bild av ett företags interna organisation. Analys av data som samlats ihop från flera intrång kan resultera i en lista med e-postadresser att rikta in sig på.
– När angriparna har en lista med namn kan de börja leta efter vilka titlar de här personerna har, och det ger dem en bild av organisationen som de sedan kan utnyttja för mer effektiva sociala attacker, säger John Kinsella.
Ur angriparens synvinkel är poängen med att samla information om den person man siktar in sig på att det kan göra det lättare att vinna offrets tillit.
Elena Elkina, konsult inom dataskydd och integritet, förklarar att det ofta är tillräckligt för angriparen att ett fåtal personer klickar på den skumma länken eller laddar ner en skadlig app. Och det spelar ingen större roll om de gör det som privatpersoner eller anställda, det kan ändå innebära problem för företagen eftersom den drabbade privatpersonen förmodligen också är anställd någonstans.
– Intrång börjar ofta med en individ som gör ett misstag, och vare sig det är lösenordet till hemmanätverket eller inloggningen till företagsnätverket kan slutresultatet bli detsamma, säger Elkina.
Skapa tillit med icke känsliga uppgifter
Enligt Roger Grimes, konsult på säkerhetsutbildningsföretaget KnowBe4, är det mycket vanligare att en angripare använder annan information än känsliga personuppgifter för att nå sitt mål, helt enkelt därför att det finns mycket mer sådan information och den går ofta att hitta i öppna källor. Allt som angriparen kan ta reda på om det tilltänkta offrets familjeförhållanden och intressen kan användas för att skapa kontakt och tillit.
– Det är ju precis så vi bygger relationer och vänskap i den verkliga världen. Människor älskar att kommunicera och dela med sig, och det kan den som ägnar sig åt nätfiske och sociala attacker utnyttja, säger han.
Angriparens syfte med att prata om vädret, trädgårdsskötsel, barnens skolgång eller vad det nu kan vara är att bygga en vardaglig, ofarlig relation. Nästa steg är att överföra den skenbart ömsesidiga tilliten till andra områden där känsligare uppgifter hanteras.
Ett exempel: en angripare som snappar upp att det företag han vill ge sig på använder ett visst lönesystem kan ringa upp lönekontoret och presentera sig som representant för leverantören av det systemet. Efter lite allmänt småprat kommer han till saken: en större uppdatering av systemet är planerad inom ett par veckor som kommer rätta till flera problem, och han kommer höra av sig igen om hur uppdateringen rent praktiskt ska gå till.
– Eftersom ingen bad dem göra något riskabelt vid första kontakten kan offerföretaget mycket väl komma att lita på uppringaren i högre grad än de borde, säger Roger Grimes. De kanske har lite medlidande med honom som måste sitta och ringa runt till alla användare, och de har absolut varit med om systemuppgraderingar tidigare och vet hur rörigt det kan bli.
– Angriparen kan ringa tillbaka både en och två gånger till, inte för att komma med instruktioner utan för att bygga på relationen. Men en dag hör han av sig och säger att nu är det dags, och offret utför blint alla instruktioner utan att tänka på några säkerhetsproblem. Innan de vet ordet av har de blivit av med miljontals kronor. Den typen av incidenter händer så gott som varje dag.
Alla uppgifter på vift innebär en risk
En angripare som saknar resurser att slå ihop databaser och lägga pussel kan fortfarande ställa till med problem för sitt offer med hjälp av allmänna, icke känsliga uppgifter. Föreställningen att det inte är någon fara så länge de inte kommer över personnummer eller kreditkortsnummer stämmer helt enkelt inte, förklarar Trevor Morgan på tyska Comforte AG.
– Varje liten bit av information, vare sig den är känslig eller ej, kan utgöra det första steget på vägen mot en genomförd identitetsstöld.