Peretas hanyalah salah satu bagian dari rantai pasokan di pasar gelap bernilai jutaan dolar untuk data curian. Peach_iStock melalui Getty Images
Lihat Komentar Editor di:
Pengambilan -- Seberapa Rentan Anda terhadap Pelanggaran Data?
Adalah umum untuk mendengar laporan berita tentang pelanggaran data besar, tetapi apa yang terjadi setelah data pribadi Anda dicuri? Penelitian kami menunjukkan bahwa, seperti kebanyakan komoditas legal, produk data curian mengalir melalui rantai pasokan yang terdiri dari produsen, grosir, dan konsumen. Tapi rantai pasokan ini melibatkan interkoneksi beberapa organisasi kriminal beroperasi di pasar gelap bawah tanah.
Rantai pasokan data yang dicuri dimulai dengan produsen – peretas yang mengeksploitasi sistem yang rentan dan mencuri informasi sensitif seperti nomor kartu kredit, informasi rekening bank, dan nomor Jaminan Sosial. Selanjutnya, data yang dicuri diiklankan oleh grosir dan distributor yang menjual data tersebut. Akhirnya, data tersebut dibeli oleh konsumen yang menggunakannya untuk berkomitmen berbagai bentuk penipuan, termasuk penipuan transaksi kartu kredit, pencurian identitas, dan serangan phishing.
Perdagangan data curian antara produsen, grosir, dan konsumen ini diaktifkan oleh pasar darknet, yaitu situs web yang menyerupai situs web e-niaga biasa tetapi hanya dapat diakses menggunakan browser khusus atau kode otorisasi.
Kami menemukan beberapa ribu vendor yang menjual puluhan ribu produk data curian di 30 pasar darknet. Vendor ini memiliki pendapatan lebih dari US$140 juta selama periode delapan bulan.
Rantai pasokan data yang dicuri, dari pencurian data hingga penipuan. Christian Jordan Howell, CC BY-ND
Pasar Darknet
Sama seperti situs e-niaga tradisional, pasar darknet menyediakan platform bagi vendor untuk terhubung dengan pembeli potensial guna memfasilitasi transaksi. Namun, pasar Darknet terkenal karena penjualan produk terlarang. Perbedaan utama lainnya adalah bahwa akses ke pasar darknet memerlukan penggunaan perangkat lunak khusus seperti Router Bawang, atau TOR, yang menyediakan keamanan dan anonimitas.
Silk Road, yang muncul pada tahun 2011, menggabungkan TOR dan bitcoin untuk menjadi pasar darknet pertama yang diketahui. Pasar tersebut akhirnya dikuasai pada tahun 2013, dan pendirinya, Ross Ulbricht, dijatuhi hukuman menjadi dua hukuman seumur hidup ditambah 40 tahun tanpa kemungkinan pembebasan bersyarat. Hukuman penjara Ulbricht yang berat tampaknya tidak memberikan efek jera yang diharapkan. Beberapa pasar muncul untuk mengisi kekosongan dan, dengan melakukan itu, menciptakan ekosistem yang berkembang pesat yang mendapat untung dari data pribadi yang dicuri.
Contoh 'produk' data curian yang dijual di pasar darknet. Tangkapan layar oleh Christian Jordan Howell, CC BY-ND
Dapatkan Terbaru Dengan Email
Ekosistem data yang dicuri
Menyadari peran pasar darknet dalam memperdagangkan data curian, kami melakukan pemeriksaan sistematis terbesar terhadap pasar data curian yang kami ketahui untuk lebih memahami ukuran dan ruang lingkup ekosistem online terlarang ini. Untuk melakukannya, pertama-tama kami mengidentifikasi 30 pasar darknet yang mengiklankan produk data curian.
Selanjutnya, kami mengekstrak informasi tentang produk data curian dari pasar setiap minggu selama delapan bulan, mulai 1 September 2020 hingga 30 April 2021. Kami kemudian menggunakan informasi ini untuk menentukan jumlah vendor yang menjual produk data curian, jumlah produk data yang dicuri yang diiklankan, jumlah produk yang terjual dan jumlah pendapatan yang dihasilkan.
Secara total, ada 2,158 vendor yang mengiklankan setidaknya satu dari 96,672 daftar produk di 30 pasar. Vendor dan daftar produk tidak didistribusikan secara merata di seluruh pasar. Rata-rata, pasar memiliki 109 alias vendor unik dan 3,222 daftar produk yang terkait dengan produk data yang dicuri. Marketplace mencatat 632,207 penjualan di seluruh pasar ini, yang menghasilkan total pendapatan $140,337,999. Sekali lagi, ada variasi yang tinggi di seluruh pasar. Rata-rata, pasar memiliki 26,342 penjualan dan menghasilkan pendapatan $5,847,417.
Ukuran dan cakupan ekosistem data yang dicuri selama periode delapan bulan. Christian Jordan Howell, CC BY-ND
Setelah menilai karakteristik agregat ekosistem, kami menganalisis masing-masing pasar secara individual. Saat melakukannya, kami menemukan bahwa beberapa pasar bertanggung jawab atas perdagangan sebagian besar produk data yang dicuri. Tiga pasar terbesar – Apollon, WhiteHouse, dan Agartha – berisi 58% dari semua vendor. Jumlah daftar berkisar antara 38 hingga 16,296, dan jumlah total penjualan berkisar antara 0 hingga 237,512. Total pendapatan pasar juga bervariasi secara substansial selama periode 35 minggu: Berkisar dari $0 hingga $91,582,216 untuk pasar yang paling sukses, Agartha.
Sebagai perbandingan, sebagian besar perusahaan menengah yang beroperasi di AS menghasilkan antara $10 juta dan $1 miliar per tahun. Baik Agartha dan Cartel memperoleh pendapatan yang cukup dalam periode 35 minggu kami melacak mereka untuk dicirikan sebagai perusahaan menengah, masing-masing menghasilkan $91.6 juta dan $32.3 juta. Pasar lain seperti Aurora, DeepMart, dan WhiteHouse juga berada di jalur yang tepat untuk mencapai pendapatan perusahaan menengah jika diberi waktu setahun penuh untuk menghasilkan.
Riset kami merinci ekonomi bawah tanah yang berkembang pesat dan rantai pasokan terlarang yang diaktifkan oleh pasar darknet. Selama data dicuri secara rutin, kemungkinan akan ada pasar untuk informasi yang dicuri.
Pasar darknet ini sulit untuk diganggu secara langsung, tetapi upaya untuk menggagalkan pelanggan yang menggunakan data curian menawarkan beberapa harapan. Kami percaya bahwa kemajuan dalam kecerdasan buatan dapat memberikan informasi yang dibutuhkan lembaga penegak hukum, lembaga keuangan, dan lainnya untuk mencegah data yang dicuri digunakan untuk melakukan penipuan. Ini dapat menghentikan aliran data yang dicuri melalui rantai pasokan dan mengganggu ekonomi bawah tanah yang mendapat keuntungan dari data pribadi Anda.
Tentang Penulis
Christian Jordan Howell, Asisten Profesor di Cybercrime, University of South Florida serta David Maimun, Profesor Peradilan Pidana dan Kriminologi, Georgia State University
Artikel ini diterbitkan kembali dari Percakapan di bawah lisensi Creative Commons. Membaca Artikel asli.
