Wat is de zwarte marktwaarde van gestolen data?

Intel Security heeft met een nieuw rapport, genaamd ‘The Hidden Data Economy,’ meer inzicht gegeven in de handel in gestolen informatie.

Hierin is te lezen hoe de verschillende soorten informatie worden gecombineerd, aangeboden en verkocht, tegen verschillende prijsniveaus voor elk type data. De onderzoekers hebben de prijsstelling geanalyseerd voor gestolen credit- en debitcards, bank-inloggegevens, heimelijke overboekingsdiensten en inloggegevens voor online betalingsdiensten, premium contentdiensten, bedrijfsnetwerken, klantloyaliteitsprogramma’s in het hotelwezen (hospitality) en online veilingen.

De onderzoekers van McAfee Labs werken inmiddels al jaren samen met IT-securityleveranciers, wetshandhavers en anderen voor de opsporing en analyse van de vele websites, chatrooms, online communities en ondergrondse marktplaatsen waar alle gestolen data wordt verhandeld. Hierdoor is nu een goede inschatting te maken van de cybercrime-economie, compleet met voorbeelden van meest voorkomende gegevenstypes en de prijzen die daarvoor betaald worden.

Betaalpas

Gegevens van betaalpassen is de meest bekende soort data die worden gestolen en verhandeld. Onderzoekers hebben een waardesysteem ontdekt in de manier waarop gestolen data worden ‘verpakt’, geprijsd en vervolgens verkocht op het ‘dark web’. Een basisaanbod bevat een nummercombinatie van het bankpasnummer (Primary Account Number; PAN), een vervaldatum en een CVV2-beveiligingscode. De verkopers noemen zo’n nummercombinatie een ‘Random’. Software om dergelijke nummercombinaties aan te maken zijn online te koop en zijn zelfs gratis te vinden.

De prijzen stijgen naarmate het malafide aanbod extra informatie omvat waarmee criminelen meer kunnen doen dan met alleen de financiële basisgegevens. Deze extra informatie kan het bankrekeningnummer van een slachtoffer zijn, diens geboortedatum of andere gegevens. Dit soort informatie valt dan onder de categorie ‘Fullzinfo’. Daarbij valt te denken aan een factuuradres, de PIN-code, het sofinummer (Burgerservicenummer), de meisjesnaam van de moeder en soms zelfs de gebruikersnaam plus wachtwoord om het bankaccount van een slachtoffer online te kunnen plunderen.

Onderstaande tabel toont de gemiddelde prijzen voor accountgegevens van credit- en debitcards, in verschillende regio’s en in de verschillende combinaties van het criminele data-aanbod:

“Een crimineel die het digitale equivalent bezit van een fysieke betalingspas kan daarmee aankopen doen of geld opnemen, net zolang tot het slachtoffer die afschrijvingen aanvecht bij de financiële instelling”, zo vervolgt Samani. “Geef zo’n crimineel ook uitgebreide persoonlijke informatie om de identiteit van de pasgebruiker te verifiëren en het risico van substantiële financiële schade voor het slachtoffer neemt enorm toe. Om nog maar te zwijgen van de gevolgen van directe toegang door criminelen tot bankrekeningen en de instellingen daarvoor.”

Online betalingsdiensten

De prijzen voor gestolen accountgegevens voor online betalingsdiensten lijken puur en alleen bepaald te worden door het tegoed dat zo’n account bevat. De oorzaak hiervoor is waarschijnlijk het feit dat er slechts beperkte mogelijkheden zijn om zo’n account te misbruiken. Inloggegevens voor accounts met tegoeden van 400 tot 1000 dollar kosten naar schatting tussen de 20 en 50 dollar. Inloggegevens voor accounts met toegang tot 5000 tot 8000 dollar leveren 200 tot 300 dollar op.

Bankgegevens

Cybercriminelen kunnen inloggegevens voor banken en financiële diensten kopen waarmee zij heimelijk overboekingen kunnen doen op internationaal niveau. Ontdekt is dat inloggegevens voor een tegoed van 2200 dollar ‘over de toonbank’ gaan voor 190 dollar. Inloggegevens voor rekeningen waar vandaan valt over te boeken naar Amerikaanse banken kosten 500 dollar voor een tegoed van 600 dollar, tot wel 1200 dollar voor een tegoed van 20.000 dollar. Hetzelfde maar dan voor overboekingen naar Britse banken levert 700 dollar op voor een tegoed van 10.000 dollar, tot wel 900 dollar voor een tegoed met 16.000 dollar waarde.

Premium contentdiensten

Het rapport geeft ook een inschatting van de zwarte marktprijzen voor inloggegevens voor online contentdiensten. Dit omvat videostreaming (0,55 tot 1 dollar), premium kabeldiensten (7,50 dollar), diensten voor digitale comic books (0,55 dollar) en professionele streamingdiensten voor sportwedstrijden (15 dollar). De prijzen voor deze inloggegevens zijn relatief laag, wat aangeeft dat cybercriminelen hun geautomatiseerde diefstal flink hebben verbeterd en uitgebreid om hun criminele businessmodellen winstgevender te maken.

Klantloyaliteitsaccounts en online veilingen

Sommige online diensten, zoals loyaliteitsprogramma’s van hotels en online veilingen, lijken weinig waarde te hebben voor cybercriminelen. De onderzoekers hebben echter ontdekt dat ook inloggegevens voor deze diensten worden verhandeld op de zwarte markt. Deze accountgegevens lijken de kopers namelijk in staat te stellen om online aankopen te plegen uit naam van de eigenlijke accounthouders. Een account met 100.000 punten bij een grote hotelketen gaat voor 20 dollar van de hand.