Các nhà nghiên cứu an ninh mạng tại Terbium Labs đã tiến hành kiểm tra ba sàn giao dịch web đen lớn thế giới và thấy rằng, 49% các dữ liệu được tội phạm rao bán là các hướng dẫn gian lận trực tuyến. Trong nhiều trường hợp, các hướng dẫn được viết chi tiết để chỉ cách lừa đảo, nhắm vào một tổ chức cụ thể, đặc biệt trong lĩnh vực tài chính.
Các hướng dẫn đánh cắp dữ liệu cá nhân chiếm 15% danh sách mà Terbium Labs tiến hành kiểm tra, dữ liệu về tài khoản và thông tin phi tài chính chiếm 12,2%, tài khoản và thông tin tài chính chiếm 8,2%, công cụ và mẫu lừa đảo chiếm 8% và thẻ thanh toán chiếm 7%. Giá trung bình cho một hồ sơ cá nhân là 8,45 USD, trong khi chi phí của một hồ sơ cá nhân có thể giảm xuống thấp nhất là 1 USD.
Thông tin có sẵn được bán trên các trang web đen bao gồm tên người dùng và mật khẩu cho các dịch vụ, từ tài khoản email, dịch vụ phát trực tuyến và thậm chí cả tài khoản giao đồ ăn...
Giá trung bình phải trả cho các dữ liệu này là 7 USD - mặc dù trong vài trường hợp nó có thể đạt đến ba con số. Tên người dùng và mật khẩu bị rò rỉ, được liên kết với các thông tin chi tiết cá nhân khác có thể cung cấp cho những kẻ tấn công các dữ liệu để xâm phạm các tài khoản khác của nạn nhân - thậm chí có thể là tài khoản của công ty họ.
Thông tin xác thực cho các tài khoản tài chính được liệt kê trên web đen có khả năng cung cấp cho tội phạm mạng quyền truy cập trực tiếp vào ngân hàng, thẻ thanh toán và tài khoản PayPal để chúng xâm phạm - và truy cập trực tiếp vào các khoản có tiền ở trong đó. Những kẻ tấn công có thể chỉ đơn giản là ăn cắp tiền, hoặc một số khác, sử dụng các chi tiết thẻ của nạn nhân để mua hàng cho chính chúng, hoặc thậm chí thiết lập các khoản vay tiền ở các ngân hàng.
Giá cả phụ thuộc vào tiềm năng của các dữ liệu này nếu chứng minh được khả năng sinh lợi, tức là các tài khoản này sẽ có giá cao hơn các khoản khác. Các danh sách tài khoản này được bán với giá trung bình khoảng 33 USD, nhưng đôi khi chúng có thể được rao bán ở mức cao tới 500 USD.
Việc mua các hướng dẫn về cách thực hiện hành vi gian lận không phải là không có rủi ro vì một số người lừa đảo, họ cung cấp cho khách mua những thông tin không thật - và không phải là người mua nào cũng có thể yêu cầu người bán trả lại tiền.
"Trớ trêu thay, nhiều hướng dẫn gian lận lại là hướng dẫn lừa đảo. Những người xấu tạo ra các hướng dẫn giả mạo và cố gắng kiếm lợi nhuận trước khi người mua phát hiện ra", Tyler Carbone, Giám đốc chiến lược tại Terbium Labs nói.
Bằng cách nhận thức và quan tâm đến các vấn đề liên quan đến vi phạm dữ liệu và các sự cố khác khiến thông tin đăng nhập có thể bị rò rỉ, các cá nhân, doanh nghiệp và tổ chức có thể giảm khả năng trở thành nạn nhân của bất kỳ các cuộc tấn công hoặc gian lận nào.
Ngoài ra, còn có các chính sách khác mà các tổ chức có thể sử dụng để giúp ngăn chặn những kẻ tấn công khi chúng sử dụng dữ liệu bị đánh cắp để truy cập vào các tài khoản trái phép. Chúng bao gồm: khuyến khích nhân viên không sử dụng mật khẩu mà họ có thể đã sử dụng ở nơi khác và sử dụng xác thực đa yếu tố trên tài khoản doanh nghiệp, vì như thế ngay cả khi kẻ tấn công biết mật khẩu chính xác, khả năng chúng có thể sử dụng thành công mật khẩu đó sẽ giảm đáng kể.