การละเมิดข้อมูลเป็นเรื่องปกติของภัยคุกคามทางไซเบอร์ พวกเขาสร้างจำนวนมากของ ความสนใจของสื่อทั้งเพราะปริมาณข้อมูลที่ถูกขโมยมักมีมาก และเพราะว่าส่วนมากเป็น ข้อมูลที่ผู้คนต้องการยังคงเป็นส่วนตัว. เป้าหมายการละเมิดระดับสูงหลายสิบครั้งในช่วงไม่กี่ปีที่ผ่านมา ร้านค้าปลีกระดับประเทศ ผู้ให้บริการด้านสุขภาพ และแม้กระทั่ง ฐานข้อมูลของรัฐบาลกลางการรับหมายเลขประกันสังคม ลายนิ้วมือ และแม้แต่ผลการตรวจสอบประวัติ แม้ว่าการละเมิดที่ส่งผลกระทบต่อข้อมูลผู้บริโภคกลายเป็นเรื่องธรรมดา แต่ก็มีทรัพยากรอื่นๆ ที่เมื่อกำหนดเป้าหมายแล้ว จะนำไปสู่ข้อกังวลด้านความปลอดภัยที่สำคัญ ล่าสุดแฮ็กเกอร์อ้างว่าขายเกิน ชื่อผู้ใช้และรหัสผ่าน Twitter 32 ล้านครั้ง ที่ตลาดใต้ดิน
แต่จะเกิดอะไรขึ้นหลังจากการฝ่าฝืน? ผู้โจมตีทำอะไรกับข้อมูลที่เก็บรวบรวม? และใครอยากได้ล่ะ? ของฉัน การวิจัย, และการศึกษาต่างๆ จากท่านอื่นๆ คอมพิวเตอร์ และ นักวิทยาศาสตร์สังคมแสดงให้เห็นว่าข้อมูลที่ถูกขโมยมักจะขายโดยแฮกเกอร์ให้กับผู้อื่นในตลาดใต้ดินออนไลน์ ผู้ขายมักใช้ความสามารถทางเทคนิคของตนในการเก็บรวบรวมข้อมูลที่ต้องการ หรือทำงานในนามของแฮ็กเกอร์เป็นหัวหน้าในการให้ข้อมูล ผู้ซื้อต้องการใช้ข้อมูลที่ขโมยมาเพื่อประโยชน์ทางการเงินสูงสุด รวมถึงการซื้อสินค้าที่มีหมายเลขบัตรเครดิตที่ถูกขโมย หรือการโอนเงินเพื่อรับเงินสดโดยตรง ในกรณีของข้อมูลบัญชีโซเชียลมีเดีย ผู้ซื้อสามารถระงับบัญชีอินเทอร์เน็ตของผู้คนเพื่อเรียกค่าไถ่ ใช้ข้อมูลเพื่อสร้างการโจมตีเป้าหมายเพิ่มเติมต่อเหยื่อ หรือตามที่ ผู้ติดตามปลอมที่เพิ่มชื่อเสียงของบัญชีที่ถูกกฎหมาย.
เนื่องจากลักษณะลับของตลาดมืดออนไลน์ จำนวนรวมของการขายข้อมูลที่ถูกขโมยเสร็จสมบูรณ์จึงยากที่จะหาจำนวน ผู้ขายส่วนใหญ่โฆษณาข้อมูลและบริการของตนในฟอรัมบนเว็บที่ดำเนินการเหมือนกับผู้ค้าปลีกออนไลน์รายอื่นๆ เช่น Amazon ซึ่งผู้ซื้อและผู้ขายให้คะแนนซึ่งกันและกันและคุณภาพของผลิตภัณฑ์ของพวกเขา – ข้อมูลส่วนบุคคล – ถูกขาย เมื่อเร็วๆ นี้ เพื่อนร่วมงานของฉันและฉัน ประมาณการรายได้ของผู้ซื้อและผู้ขายข้อมูล โดยใช้ข้อเสนอแนะออนไลน์ที่โพสต์หลังการขายเสร็จสิ้น เราได้ตรวจสอบความคิดเห็นเกี่ยวกับธุรกรรมที่เกี่ยวข้องกับข้อมูลบัตรเครดิตและบัตรเดบิต ซึ่งบางรายการก็รวมมูลค่าการตรวจสอบบัตรสามหลักที่ด้านหลังบัตรจริงด้วย
เราพบว่าผู้ขายข้อมูลในธุรกรรม 320 รายการอาจได้รับรายได้ระหว่าง 1 ล้านถึง 2 ล้านดอลลาร์สหรัฐ ในทำนองเดียวกัน ผู้ซื้อใน 141 ธุรกรรมเหล่านี้ได้รับเงินประมาณ 1.7 ล้านดอลลาร์และ 3.4 ล้านดอลลาร์จากการใช้ข้อมูลที่พวกเขาซื้อ ผลกำไรมหาศาลเหล่านี้น่าจะเป็นเหตุผลสำคัญที่การละเมิดข้อมูลเหล่านี้ยังคงดำเนินต่อไป มีความต้องการที่ชัดเจนสำหรับข้อมูลส่วนบุคคลที่สามารถใช้เพื่ออำนวยความสะดวกในการก่ออาชญากรรมทางอินเทอร์เน็ตและแหล่งข้อมูลที่แข็งแกร่ง
ไปตลาด
ปรากฎว่าตลาดข้อมูลลับนั้นคล้ายกับตลาดออนไลน์ที่ถูกกฎหมายอย่าง eBay และ Amazon และเว็บไซต์ช้อปปิ้งที่ดำเนินการโดยบริษัทค้าปลีกที่ถูกกฎหมาย พวกเขาแตกต่างกันในวิธีการโฆษณาหรือซ่อนตลาดจากประชาชนทั่วไป ความเชี่ยวชาญทางเทคนิคของผู้ประกอบการ และวิธีการส่งและรับการชำระเงิน
ตลาดเหล่านี้ส่วนใหญ่ทำงานบนเว็บที่เรียกว่า "เปิด" บนไซต์ที่เข้าถึงได้เช่นเดียวกับเว็บไซต์ส่วนใหญ่ โดยใช้ซอฟต์แวร์เว็บเบราว์เซอร์ทั่วไปเช่น Chrome หรือ Firefox พวกเขาขาย ขาย หมายเลขบัญชีบัตรเครดิตและบัตรเดบิต ตลอดจนข้อมูลรูปแบบอื่นๆ ได้แก่ ข้อมูลทางการแพทย์.
ตลาดจำนวนน้อยแต่เกิดใหม่ดำเนินการในส่วนอื่นของอินเทอร์เน็ตที่เรียกว่า "เว็บมืด" ไซต์เหล่านี้สามารถเข้าถึงได้โดยใช้ซอฟต์แวร์เข้ารหัสเฉพาะและโปรโตคอลเบราว์เซอร์ที่ซ่อนตำแหน่งของผู้ใช้ที่เข้าร่วมในไซต์เหล่านี้ เช่น บริการทอร์ฟรี. ยังไม่ชัดเจนว่าตลาดมืดเหล่านี้มีอยู่กี่แห่ง แม้ว่าจะเป็นไปได้ว่าบริการที่ใช้ Tor จะกลายเป็นเรื่องธรรมดามากขึ้น ตลาดใต้ดินใช้แพลตฟอร์มนี้.
เชื่อมต่อผู้ซื้อและผู้ขาย
ผู้ขายข้อมูลโพสต์ข้อมูลเกี่ยวกับประเภทข้อมูลที่มี จำนวนข้อมูล ราคา วิธีที่ดีที่สุดสำหรับผู้มีโอกาสเป็นผู้ซื้อในการติดต่อ และวิธีการชำระเงินที่ต้องการ ผู้ขายยอมรับการชำระเงินออนไลน์ผ่านกลไกอิเล็กทรอนิกส์ต่างๆ รวมถึง Web Money, Yandex และ Bitcoin ผู้ขายบางรายยอมรับการชำระเงินในโลกแห่งความเป็นจริงผ่าน Western Union และ MoneyGram แต่มักจะเรียกเก็บค่าธรรมเนียมเพิ่มเติมเพื่อครอบคลุมค่าใช้จ่ายในการใช้ตัวกลางในการโอนและรับสกุลเงินจริงในต่างประเทศ
การเจรจาข้อมูลส่วนใหญ่เกิดขึ้นผ่านการแชทออนไลน์หรือบัญชีอีเมลที่กำหนดโดยผู้ขาย เมื่อผู้ซื้อและผู้ขายตกลงกันในข้อตกลง ผู้ซื้อจะชำระเงินให้ผู้ขายล่วงหน้าและต้องรอการส่งมอบผลิตภัณฑ์ ผู้ขายจะใช้เวลาระหว่างสองสามชั่วโมงถึงสองสามวันในการเปิดเผยข้อมูลที่ขาย
การตรวจสอบธุรกรรม
หากผู้ซื้อทำข้อตกลง แต่ผู้ขายไม่เคยส่งข้อมูล หรือสิ่งที่ได้รับรวมถึงข้อมูลที่ไม่ใช้งานหรือไม่ถูกต้อง ผู้ซื้อจะไม่ฟ้องข้อหาละเมิดสัญญาหรือโทรหา FBI เพื่อร้องเรียนว่าเขาถูกหลอก ลักษณะที่ผิดกฎหมายของการทำธุรกรรมทำให้ผู้ซื้อส่วนใหญ่ไม่มีอำนาจที่จะใช้วิธีการระงับข้อพิพาทแบบดั้งเดิม
เพื่อปรับสมดุลอำนาจนี้ กองกำลังทางสังคมจึงเข้ามามีบทบาท เพิ่มผลตอบแทนสูงสุดสำหรับทั้งผู้ซื้อและผู้ขาย และลดความเสี่ยงที่จะสูญเสีย เช่นเดียวกับระบบจาก eBay ไปจนถึง Lyft ผู้ซื้อและผู้ขายในตลาดใต้ดินหลายแห่งสามารถตรวจสอบการปฏิบัติตามข้อตกลงที่เจรจากันของกันและกันได้ คู่สัญญาดำเนินการโดยไม่ระบุชื่อ แต่มีชื่อผู้ใช้ที่เหมือนกันตั้งแต่การทำธุรกรรมไปจนถึงการทำธุรกรรม สร้างชื่อเสียงในตลาดซื้อขายเมื่อเวลาผ่านไป การโพสต์บทวิจารณ์และข้อเสนอแนะเกี่ยวกับประสบการณ์การซื้อและการขายจะส่งเสริมความไว้วางใจและทำให้ตลาดกลางโปร่งใสมากขึ้น คำติชมแสดงผู้ใช้ทั้งหมดที่ดำเนินการตามบรรทัดฐานของชุมชน ซึ่งมีพฤติกรรมที่น่าเป็นห่วง และผู้ใช้ใหม่อาจยังไม่รู้กฎทั้งหมด
ความสามารถในการโพสต์และตรวจสอบความคิดเห็นนี้เป็นช่องทางที่น่าสนใจสำหรับการหยุดชะงักของตลาด หากผู้ขายทั้งหมดในตลาดได้รับการตอบรับเชิงลบและเชิงบวกมากมาย ผู้ซื้อก็จะมีปัญหาในการหาว่าใครน่าเชื่อถือ บาง นักวิทยาศาสตร์คอมพิวเตอร์ ได้แนะนำว่าแนวทางดังกล่าวสามารถขัดขวางตลาดข้อมูลโดยไม่จำเป็นต้องจับกุมและวิธีการบังคับใช้กฎหมายแบบเดิม การวิจัยเพิ่มเติมเกี่ยวกับวิธีการจำกัดตลาดสำหรับข้อมูลที่ถูกขโมยสามารถตรวจสอบเรื่องนี้และกลยุทธ์ที่เป็นไปได้อื่นๆ
เกี่ยวกับผู้เขียน
Thomas Holt, รองศาสตราจารย์ด้านกระบวนการยุติธรรมทางอาญา, Michigan State University
บทความนี้ถูกเผยแพร่เมื่อวันที่ สนทนา. อ่าน บทความต้นฉบับ.
หนังสือที่เกี่ยวข้อง
at ตลาดภายในและอเมซอน
