Si tregjet e paligjshme të financuara nga shkeljet e të d...

Kriminelët shpesh blejnë informacione të paligjshme me kriptomonedha. Boris Zhitkov via Getty Images

Çdo vit, shkeljet masive të të dhënave dëmtojnë publikun. Objektivat janë ofruesit e shërbimeve të postës elektronike, shitësit me pakicë dhe agjencitë qeveritare që ruajnë informacione rreth njerëzve. Çdo shkelje përfshin informacione të ndjeshme personale si numrat e kartave të kreditit dhe debiti, adresat e shtëpive dhe emrat e përdoruesve të llogarive dhe fjalëkalimet nga qindra mijëra – dhe ndonjëherë miliona – njerëz.

Kur Të Dhënat Publike Kombëtare, një kompani që kryen kontrolle të sfondit online, u shkel në vitin 2024, kriminelët morën emrat, adresat, datat e lindjes dhe numrat e identifikimit kombëtar si numrat e sigurimeve shoqërore të 170 milionë njerëzve në SHBA, MB dhe Kanada. Në të njëjtin vit, hakerët që kishin si objektiv Ticketmaster vjedhën informacionin financiar dhe të dhënat personale të më shumë se 560 milionë klientëve.

Si një kriminolog që hulumton krimin e cyber, studioj mënyrat se si hakerët dhe kriminelët kibernetikë vjedhin dhe përdorin informacionin personal të njerëzve. Kuptimi i njerëzve të përfshirë na ndihmon të njohim më mirë mënyrat se si lidhen hakerimi dhe shkeljet e të dhënave. Në tregjet e të dhënave të vjedhura, hakerët shesin informacionin personal që marrin në mënyrë të paligjshme tek të tjerët, të cilët pastaj përdorin të dhënat për të kryer mashtrime dhe vjedhje për përfitim.

Problemi i sasisë

Çdo pjesë e të dhënave personale e kapur në një shkelje të të dhënave – një numër pasaporte, numër sigurimi shoqëror ose hyrje për një shërbim blerjesh – ka vlerën e saj të brendshme. Kriminelët mund të përdorin informacionin në disa mënyra të ndryshme. Ata mund të marrin identitetin e dikujt tjetër, të bëjnë një blerje mashtruese ose të vjedhin shërbime si shërbimet e transmetimit të mediave ose muzikës.

Sasia e informacionit, qoftë numrat e sigurimeve shoqërore ose detajet e kartës së kreditit, që mund të vjedhen përmes shkeljeve të të dhënave është më e madhe se sa çdo grup kriminal mund të përpunojë, të verifikojë ose të përdorë në një kohë të arsyeshme. E njëjta vlen edhe për miliona emra përdoruesh të llogarive email dhe fjalëkalime, ose aksesin në shërbimet e transmetimit që shkeljet e të dhënave mund të zbulojnë.

Ky problem i sasisë ka mundësuar shitjen e informacionit, duke përfshirë të dhënat personale financiare, si pjesë e ekonomisë së krimit kibernetik në internet.

p.sh.: Në titullin e grafikës së mëposhtme, SHBA nuk ka nevojë për pikë.

Shitja e të dhënave, e njohur gjithashtu si carding, i referohet keqpërdorimit të numrave të kartave të kreditit të vjedhura ose detajeve të identitetit. Këto tregje të paligjshme të të dhënave filluan në mesin e viteve 1990 përmes përdorimit të gjeneratorëve të numrave të kartave të kreditit të përdorura nga hakerat. Ata ndanin programe që gjeneronin rastësisht numra dhe detaje të kartave të kreditit dhe pastaj kontrollonin nëse të dhënat e rreme të llogarisë përputheshin me karta aktive që mund të përdoren për transaksione mashtruese.

Ndërsa më shumë shërbime financiare u krijuan dhe bankat lejuan klientët të aksesonin llogaritë e tyre përmes internetit, u bë më e lehtë për hakerat dhe kriminelët kibernetikë të vjedhin informacione personale përmes shkeljeve të të dhënave dhe phishing-ut. Phishing përfshin dërgimin e email-eve ose mesazheve SMS të besueshme tek njerëzit për të mashtruar ata për të dhënë informacione të ndjeshme si hyrjet dhe fjalëkalimet, shpesh duke klikuar në një lidhje false që duket legjitime.

Një nga skemat e para të phishing-ut që synuan përdoruesit e America Online për të marrë informacionin e llogarisë së tyre për të përdorur shërbimin e tyre të internetit pa pagesë.

Shitja e të dhënave të vjedhura online

Sasia e madhe e informacionit që kriminelët ishin në gjendje të vjedhin nga skemat e tilla çoi në rritjen e numrit të shitësve që ofronin të dhëna të vjedhura tek të tjerët përmes platformave të ndryshme online.

Në fund të viteve 1990 dhe fillim të viteve 2000, autorët përdorën Internet Relay Chat, ose kanale IRC, për të shitur të dhëna. IRC ishte në mënyrë efektive si sistemet moderne të mesazheve të shpejta, duke lejuar njerëzit të komunikonin në kohë reale përmes softuerit të specializuar. Kriminelët përdorën këto kanale për të shitur të dhëna dhe shërbime hakerimi në një vend të efektshëm.

Në vitet 2000 të hershme, shitësit kaluan në forume në internet ku individët reklamuan shërbimet e tyre tek përdorues të tjerë. Forumet shpejt fituan popullaritet dhe u bënë biznese të suksesshme me shitës që shisnin karta krediti të vjedhura, malware dhe mallra dhe shërbime të lidhura për keqpërdorimin e informacioneve personale dhe lehtësimin e mashtrimit.

Një nga forumet më të shquara nga kjo kohë ishte ShadowCrew, i cili u formua në vitin 2002 dhe veproi deri sa u mënjanu nga një operacion i përbashkët i zbatimit të ligjit në vitin 2004. Anëtarët e tyre trafikuan më shumë se 1.7 milion karta krediti në më pak se tre vjet.

Forumet vazhdojnë të jenë të popullarizuara, megjithëse shitësit kaluan në drejtim të menaxhimit të dyqaneve të tyre në internet në internetin e hapur dhe në rrjetin e errët, i cili është një pjesë e enkriptuar e rrjetit që mund të aksesohen vetëm përmes shfletuesve të specializuar si TOR, duke filluar në fillim të viteve 2010. Këto dyqane kanë adresat e tyre të veçanta në internet dhe marka të veçanta për të tërhequr klientët, dhe ato punojnë në të njëjtën mënyrë si dyqanet e tjera të e-commerce. Më së fundmi, shitësit e të dhënave të vjedhura kanë filluar gjithashtu të operojnë në platforma mesazhi si Telegram dhe Signal për të lidhur shpejt me klientët.

Kibernëgjyrat dhe klientët

Shumë prej njerëzve që furnizojnë dhe operojnë tregjet duket se janë kibernëgjyrë nga Evropa Lindore dhe Rusi që vjedhin të dhëna dhe më pas i shesin tek të tjerët. Tregjet gjithashtu janë vëzhguar në Vietnam dhe në pjesë të tjera të botës, megjithëse nuk marrin të njëjtën dukshmëri në peizazhin global të sigurisë kibernetike.

Klientët e tregjeve të të dhënave të vjedhura mund të qëndrojnë kudo në botë, dhe kërkesat e tyre për të dhëna ose shërbime të veçanta mund të shkaktojnë shkelje të të dhënave dhe krim kibernetik për të ofruar furnizimin.

Mallrat

Të dhënat e vjedhura zakonisht janë në grupe individuale, si karta e kreditit ose debiti e një personi dhe të gjitha informacionet e lidhura me llogarinë. Këto pjesë janë të çmuara individualisht, me kosto të ndryshme në varësi të llojit të kartës, vendndodhjes së viktimës dhe sasisë së të dhënave të disponueshme në lidhje me llogarinë e prekur.

Shitësit shpesh ofrojnë zbritje dhe promovime për blerësit për të tërhequr klientët dhe për t’i mbajtur ata besnikë. Kjo shpesh bëhet me karta krediti ose debiti që po skadojnë.

Disa shitës gjithashtu ofrojnë produkte të veçanta si raporte krediti, numra të Sigurimeve Shoqërore dhe detaje hyrjeje për shërbime të ndryshme të paguara. Çmimi për pjesë të informacionit ndryshon. Një analizim i fundit zbuloi se të dhënat e kartave të kreditit shiteshin mesatarisht për 50 dollarë amerikanë, ndërsa hyrjet në Walmart shiteshin për 9 dollarë. Megjithatë, çmimet mund të ndryshojnë shumë midis shitësve dhe tregjeve.

Pagesa të paligjshme

Shitësit zakonisht pranojnë pagesa përmes kriptomonedhave si Bitcoin që janë të vështira për autoritetet ligjore për t’i gjurmuar.

Një ATM bitcoin me logon e bitcoin në ekranin e madh dhe një tastierë të vogël në fund — Bitcoin shpesh përdoret si pagesë për informacion të paligjshëm sepse është e vështirë të gjurmohet. AP Photo/Charles Krupa

Pasi që pagesa merret, shitësi lëshon të dhënat tek klienti. Klientët marrin pjesë në një pjesë të madhe të rrezikut në këtë treg sepse nuk mund të shkojnë te policia ose te një rregullator i tregut për të ankuar për një shitje të mashtruar.

Shitësit mund të dërgojnë klientëve llogari të vdekura që nuk mund të përdoren ose të mos ofrojnë asnjë të dhënë. Këto mashtrime janë të zakonshme në një treg ku blerësit mund të mbështeten vetëm në sinjale të besimit të shitësit për të rritur shanset që të dhënat që blejnë do të dorëzohen, dhe nëse po, që do të shpërblejnë. Nëse të dhënat që blejnë janë funksionale, ata mund t’i përdorin për të bërë blerje mashtruese ose transaksione financiare për përfitim.

Norma e kthimit mund të jetë e jashtëzakonshme. Një i dënuar që blen 100 karta për 500 dollarë mund të rimarrë shpenzimet nëse vetëm 20 prej tyre janë aktive dhe mund të përdoren për të bërë një blerje mesatare prej 30 dollarësh. Rezultati është se shkeljet e të dhënave janë të prirura të vazhdojnë sa të ketë kërkesë për të dhëna të paligjshme, fitimprurëse.

Kjo artikull është pjesë e një serie mbi privatësinë e të dhënave që eksploron se kush grumbullon të dhënat tuaja, çfarë dhe si i mbledhin, kush shet dhe blen të dhënat tuaja, çfarë bëjnë të gjithë me to, dhe çfarë mund të bëni ju për të.