小心!全美的社會安全號碼被黑客盜取!? 受害者一天損失超1萬美元
大約四個月前,一個臭名昭著的黑客組織聲稱從一家大型數據經紀商那裡竊取了大量敏感個人信息,據報道,該組織的一名成員已將大部分信息免費發布在一個被盜個人數據的在線市場上。
敏感數據
美國公共信息研究小組消費者監督機構負責人表示,此次泄露的數據包括社保號碼和其他敏感數據,可能引發一系列身份盜竊、欺詐和其他犯罪行為。
該負責人稱,可以大膽假設所有美國人的全部檔案都可能被盜,那麼這肯定比之前的遭遇黑客攻擊導致個人信息泄露事件更令人擔憂。如果主管部門過去沒有採取預防措施,而他們本應該這樣做,那麼這應該為他們敲響警鐘。
根據在佛羅里達州勞德代爾堡美國地方法院提起的集體訴訟,黑客組織聲稱從國家公共數據公司竊取了29億人的個人記錄,該公司向僱主、私人調查員、人事代理機構和其他進行背景調查的機構提供個人信息。一名網路安全專家在X上的一篇帖子中表示,該組織在一個論壇上提出以350萬美元的價格出售這些數據,其中包括來自美國、加拿大和英國的個人記錄。
上周,一位自稱是國防部成員的人表示,他們正在提供完整的被盜數據,這些信息包含約27億條記錄,每條記錄都包括個人的全名、地址、出生日期、社會安全號碼和電話號碼,以及別名和出生日期。
面臨威脅
泄露的數據包括兩個文本文件,總計 277GB,包含近 27 億條純文本記錄,而不是美國國防部最初共享的 29 億條記錄。如果得到證實,從受影響人數來看,此次泄密事件可能是有史以來最大的泄密事件之一。2013 年,雅虎泄露了估計30億人。
根據投訴,目前尚不清楚此次違規行為發生的具體時間和方式,截至提交時,提供商仍未向受影響的個人發出通知或警告。
起訴書稱,為了開展業務,國家公共數據公司從非公開來源收集了數十億人的個人身份信息,這意味著原告並未故意向該公司提供他們的數據。
據訴狀稱,泄露的信息包括社會安全號碼、幾十年來的現在和過去的地址、全名、親屬信息(包括一些已故近二十年的親屬信息)等等。
黑客的竊取數據中似乎遺漏了幾個關鍵信息。一個是電子郵件地址,許多人用它來登錄服務。另一個是駕照或護照照片,一些政府機構依靠它們來驗證身份。
但即便如此,不法分子依舊可以利用泄露的信息做「各種各樣的事情」,最令人擔憂的可能是試圖接管某人的賬戶——包括與銀行、投資、保險單和電子郵件相關的賬戶。同時,利用失竊的姓名、社會安全號碼、出生日期和郵寄地址,欺詐者可能會以失竊者本人的名義創建虛假賬戶,或試圖說服某人重置您現有賬戶的密碼。
安全專家表示,對於一個真正精通此道的人來說,可能性真的是無窮無盡的。有了這些失竊信息,可以製造各種混亂,犯下各種罪行,竊取各種金錢。
應對之策
今年6月,洛杉磯公共衛生機構也曾遭遇網路釣魚攻擊,20多萬居民個人信息遭泄露。
針對多年來屢見不鮮的數據泄露事件,網路安全專家表示,人們的敏感信息幾乎肯定隱藏在互聯網的黑暗角落,而且有很多人能夠找到這些信息。VPNRanks 是一家對虛擬專用網路服務進行評級的網站,據它估計,每天有500萬人通過匿名TOR((The Onion Router))瀏覽器訪問暗網,毫無疑問,其中有一部分人會做壞事。
如果你懷疑自己的社保號或其他重要身份信息被泄露,專家建議你應該凍結三大信用機構Experian、Equifax和TransUnion的信用檔案。你可以免費這樣做,這將防止犯罪分子以你的名義貸款、申請信用卡和開設金融賬戶。問題是,如果你正在獲取或申請需要信用檢查的東西,你需要暫時解除凍結。
凍結資金可通過在線或電話方式進行,具體操作需與各信用機構單獨聯繫。專家提醒您,切勿對聲稱來自信用機構的未經請求的電子郵件或簡訊做出回應 ——此類信息很可能是騙子所為,他們試圖欺騙您泄露敏感的個人信息。
還可以註冊一項服務來監控個人的賬戶和暗網,以防止身份被盜,這通常需要付費。如果個人的數據在入侵中暴露,被入侵網路的公司通常會免費提供其中一項服務,為期一年或更長時間。
設置針對每項服務都不同的強密碼並定期更改也十分有用。密碼管理器應用程序提供了一種簡單的方法來創建和跟蹤密碼,方法是將密碼存儲在雲中,本質上要求您記住一個主密碼,而不是幾十個長而無法發音的密碼。這些既可以免費使用(例如 Apple 的 iCloud Keychain),也可以付費使用。
除此之外,註冊雙重身份驗證非常重要,這在您的登錄名和密碼之上增加了另一層安全性。其次,要妥善處理髮送或鏈接到您手機的東西,例如簡訊;更安全的方法是使用身份驗證器應用程序,即使您的電話號碼被詐騙者劫持,它也能保證您的安全。
永不這樣
詐騙者可以通過SIM卡交換和埠轉移欺詐等手段攔截個人的電話號碼,從而造成更多身份盜竊噩夢。為此,AT&T允許個人創建密碼來限制對帳戶的訪問;T-Mobile提供可選保護,以防止個人的電話號碼被切換到新設備,而Verizon會通過關閉新設備和現有設備來自動阻止SIM卡交換,直到帳戶持有人使用現有設備進行權衡是否真的需要更換SIM卡。
除了竊取數據外,詐騙者還依賴人們透露自己的敏感信息。一種常見的伎倆是冒充銀行、僱主、電話公司或與自己有業務往來的其他服務提供商,然後試圖用簡訊或電子郵件誘騙。例如,銀行通常會告訴客戶,他們不會通過電話詢問他們的賬戶信息。然而,詐騙者會冒充銀行保安人員,試圖阻止未經授權的提款或其他所謂的緊急威脅,誘騙受害者提供他們的賬號、登錄名和密碼。
網路安全專家表示,人們甚至可能會收到一封看似來自國家公共數據公司的官方電子郵件,表示願意幫助他們處理所報告的泄密事件。「這不是國家公共數據公司試圖提供幫助。這可能是一些海外的壞人,試圖騙取他們的敏感信息」。
一個好的經驗法則是永遠不要點擊未經請求的簡訊或電子郵件中的鏈接或撥打電話號碼。如果該消息警告帳戶存在欺詐行為,而你不想簡單地忽略它,請查找該公司欺詐部門的電話號碼(在借記卡和信用卡背面)並致電尋求指導。
「這些壞人就是靠這個謀生的,」安全專家說,騙子可能會發出數萬個查詢,但只收到一個回復,但這個回復可能會讓他們從不知情的受害者那裡獲得 10,000 美元。一天內,只要對一個受害者進行一次攻擊,就能獲得1萬美元,這是相當不錯的投資回報,,這就是他們的動機。
ref: