Pelanggaran data adalah bagian reguler dari lanskap cyberthreat. Mereka menghasilkan banyak perhatian media, keduanya karena jumlah informasi yang dicuri seringkali besar, dan karena begitu banyak itu Data orang lebih memilih tetap pribadi. Puluhan pelanggaran profil tinggi selama beberapa tahun terakhir telah ditargetkan pengecer nasional, penyedia layanan kesehatan dan bahkan database pemerintah federal, mendapatkan nomor Jaminan Sosial, sidik jari dan bahkan hasil pemeriksaan latar belakang. Meskipun pelanggaran yang mempengaruhi data konsumen telah menjadi hal biasa, ada sumber daya lain yang, bila ditargetkan, mengarah pada masalah keamanan utama. Baru-baru ini, seorang hacker mengaku bisa menjualnya 32 juta username dan password Twitter di pasar bawah tanah.

Tapi apa yang terjadi setelah pelanggaran? Apa yang dilakukan penyerang dengan informasi yang dikumpulkan? Dan siapa yang menginginkannya? Saya penelitian, dan berbagai penelitian dari yang lain komputer dan ilmuwan sosial, menunjukkan bahwa data curian biasanya dijual oleh hacker ke orang lain di pasar bawah tanah secara online. Penjual biasanya menggunakan kecakapan teknis mereka untuk mengumpulkan informasi yang diinginkan, atau bekerja atas nama hacker sebagai front man untuk menawarkan informasi. Pembeli ingin menggunakan informasi curian untuk keuntungan finansial maksimalnya, termasuk membeli barang dengan nomor kartu kredit curian atau melakukan transfer uang untuk langsung memperoleh uang tunai. Dalam kasus data akun media sosial, pembeli dapat menahan akun internet orang untuk mendapatkan uang tebusan, menggunakan data untuk mengumpulkan lebih banyak serangan yang ditargetkan pada korban, atau sebagai pengikut palsu yang membenarkan reputasi akun yang sah.

Karena sifat klandestin dari pasar gelap online, jumlah total penjualan informasi curian yang sudah selesai sulit dihitung. Kebanyakan penjual mengiklankan data dan layanan mereka di forum web yang beroperasi seperti pengecer online lainnya seperti Amazon, di mana pembeli dan penjual menilai satu sama lain dan kualitas produk mereka - informasi pribadi - dijual. Baru-baru ini, rekan-rekan saya dan saya Diperkirakan pendapatan data pembeli dan penjual menggunakan umpan balik online yang dikirim setelah penjualan selesai. Kami memeriksa umpan balik mengenai transaksi yang melibatkan informasi kartu kredit dan kartu debet, beberapa di antaranya termasuk Nilai Verifikasi Kartu tiga digit di belakang kartu fisik.

Kami menemukan bahwa penjual data dalam transaksi 320 mungkin telah menghasilkan antara US $ 1 juta dan $ 2 juta. Demikian pula, pembeli di 141 dari transaksi ini menghasilkan sekitar $ 1.7 juta dan $ 3.4 juta melalui penggunaan informasi yang mereka beli. Keuntungan besar ini kemungkinan merupakan alasan utama pelanggaran data ini berlanjut. Ada permintaan yang jelas akan informasi pribadi yang dapat digunakan untuk memfasilitasi kejahatan dunia maya, dan persediaan sumber yang kuat.

Sampai ke pasar

Pasar data klandestin, ternyata, sangat mirip dengan pasar online legal seperti eBay dan Amazon, dan situs belanja yang dijalankan oleh perusahaan ritel yang sah. Mereka berbeda dalam cara pasar diiklankan atau disembunyikan dari masyarakat umum, kemampuan teknis operator, dan cara pembayaran dikirim dan diterima.

grafis berlangganan batin

Sebagian besar pasar beroperasi pada apa yang disebut web "terbuka", di situs yang dapat diakses seperti kebanyakan situs web, dengan perangkat lunak peramban web konvensional seperti Chrome atau Firefox. Mereka menjual nomor kartu kredit dan debit, serta bentuk data lainnya termasuk informasi medis.

Sejumlah kecil namun muncul pasar beroperasi di bagian lain dari internet yang disebut "web gelap." Situs-situs ini hanya dapat diakses dengan menggunakan perangkat lunak enkripsi dan protokol browser khusus yang menyembunyikan lokasi pengguna yang berpartisipasi dalam situs ini, seperti layanan Tor gratis. Tidak jelas berapa banyak pasar gelap ini ada, meski mungkin layanan berbasis Tor akan menjadi lebih umum seperti yang lainnya pasar bawah tanah menggunakan platform ini.

Menghubungkan pembeli dan penjual

Penjual data mengirimkan informasi tentang jenis data yang mereka miliki, berapa harganya, harga, cara terbaik bagi calon pembeli untuk menghubungi mereka dan metode pembayaran pilihan mereka. Penjual menerima pembayaran online melalui berbagai mekanisme elektronik, termasuk Web Money, Yandex dan Bitcoin. Beberapa penjual bahkan menerima pembayaran dunia nyata melalui Western Union dan MoneyGram, namun mereka sering mengenakan biaya tambahan untuk menutupi biaya penggunaan perantara untuk mentransfer dan menerima mata uang keras secara internasional.

Sebagian besar negosiasi untuk data dilakukan melalui chat online atau akun email yang ditunjuk oleh penjual. Begitu pembeli dan penjual menyetujui sebuah kesepakatan, pembeli membayar penjual di depan dan kemudian harus menunggu pengiriman produk. Dibutuhkan antara beberapa jam sampai beberapa hari agar penjual melepaskan data yang terjual.

Meninjau transaksi

Jika pembeli membuat kesepakatan namun penjual tidak pernah mengirimkan data, atau informasi yang masuk termasuk informasi yang tidak aktif atau tidak tepat, pembeli tidak akan menuntut pelanggaran kontrak atau meminta FBI untuk mengeluhkan bahwa dia harus dicabut. Sifat ilegal transaksi membuat pembeli tidak berdaya menggunakan cara tradisional untuk menyelesaikan perselisihan.

Untuk menyeimbangkan kembali kekuatan ini, kekuatan sosial ikut bermain, memaksimalkan penghargaan bagi pembeli dan penjual dan meminimalkan risiko kerugian. Seperti dalam sistem dari eBay ke Lyft, pembeli dan penjual di banyak pasar bawah tanah dapat secara terbuka meninjau kepatuhan masing-masing terhadap kesepakatan yang dinegosiasikan. Pihak-pihak beroperasi secara anonim, namun memiliki nama pengguna yang tetap sama dari transaksi ke transaksi, membangun reputasi mereka di pasar dari waktu ke waktu. Mengeposkan ulasan dan umpan balik tentang pengalaman membeli dan menjual mendorong kepercayaan dan membuat pasar lebih transparan. Umpan balik menunjukkan semua pengguna yang beroperasi sesuai dengan norma masyarakat, yang perilakunya mengkhawatirkan, dan pengguna baru mana pun mungkin belum mengetahui semua peraturan.

Kemampuan untuk memposting dan meninjau umpan balik ini menghadirkan jalan yang menarik bagi gangguan pasar. Jika semua penjual di pasar dibanjiri umpan balik negatif dan positif, pembeli akan kesulitan mencari tahu siapa yang dapat dipercaya. Beberapa ilmuwan komputer telah menyarankan bahwa pendekatan dapat mengganggu pasar data tanpa memerlukan penangkapan dan metode penegakan hukum tradisional. Penelitian lebih lanjut tentang bagaimana mengurangi pasar untuk data curian bisa menyelidiki ini dan strategi potensial lainnya.

PercakapanTentang Penulis

Thomas Holt, Profesor Kehormatan Peradilan Pidana, Michigan State University

Artikel ini awalnya diterbitkan pada Percakapan. Membaca Artikel asli.

Buku terkait

at Pasar InnerSelf dan Amazon