当网络犯罪分子未经所有者或管理员许可从组织的数据库中窃取信息时,就会发生数据泄露。
网络犯罪分子可以在数据泄露期间窃取大量敏感信息,如个人身份信息、个人健康信息、公司商业秘密和信用卡号等等。当这些信息落入坏人之手时, 网络犯罪分子就可以利用它来谋取私利。
个人数据非常有价值,这就是网络犯罪分子如此渴望这些数据并愿意使用不正当手段获取这些数据的原因。犯罪分子在获得个人数据后可能会执行以下操作:
- 使用个人的信用卡或财务信息进行购买;
- 使用个人的健康保险信息来支付医疗保健程序和药物费用;
- 使用个人的社会安全号码(SSN)和其他个人数据创建虚假身份,并用它来申请贷款;
- 将公司商业秘密出售给其他企业;
- 在暗网上向竞标者出售个人信息。
在黑客尝试破坏组织之前,他们会寻找组织网络中的弱点。可能攻击公司数据安全系统中的漏洞,甚至试图强迫员工透露授权凭据。
以下是黑客入侵组织时的一些主要目标:
- 弱密码:如果公司的网络密码不强,黑客很快就会破解它们;
- 物联网: 一些员工可能使用移动设备登录网络或存储授权凭据;
- 第三方:如果犯罪分子无法直接访问企业的数据库,他们可能入侵该公司的业务合作伙伴。通过侵入第三方网络,犯罪分子可以间接访问目标公司的信息;
- 员工:黑客可以发起社会工程计划来欺骗员工,让他们未经授权访问 信息。
内部数据泄露威胁来自于公司工作的人员。存在恶意和意外的内部数据泄露威胁。当内部人员故意泄露信息时,就会发生恶意泄露。同样,当内部人员意外泄露信息时,就会发生意外泄露。
内部人员滥用对个人信息的访问权限。他们出于犯罪意图故意泄露个人数据。这种内部人员可能是寻求意外之财的现任员工,也可能是想要伤害公司的心怀不满的前员工。
外部数据泄露来自与被黑客攻击无关的个人或组织。外部威胁可能来自单独行动的黑客、在线组织,甚至其他政府。
以下是网络犯罪分子可能用来获取个人信息的一些主要方法 :
- 当犯罪分子冒充他人以获取目标信任,就会发生网络钓鱼。如果犯罪分子瞄准一个公司,他们可能会冒充执法机构、潜在雇主,甚至慈善机构。在某些时候,他们会索要金钱、个人信息或授权凭证;
- 恶意软件是攻击网络安全程序漏洞的有害软件。黑客可能会使用病毒感染公司的网络以损坏文件、劫持数据的勒索软件或跟踪员工击键的间谍软件。公司可能需要很长时间才能意识到恶意软件攻击了其网络;
- 当黑客使用特殊软件猜测网络密码时,就会发生暴力攻击。黑客非常擅长猜测密码。通常,他们可以在一分钟内破解弱密码。
- 尽可能经常检查个人银行账户、财务报表和信用报告。查找个人未进行的购买或信用评分中不明原因的变化。这些迹象可能表明有人窃取了信息;
- 警惕对个人的数据隐私的诈骗和威胁,不要打开来自可疑来源的电子邮件;
- 不要在社交媒体上过度分享。 黑客在社交媒体上搜索潜在的密码和其他个人信息;
- 在线使用强密码。设置至少12 个字符的密码。它们有大写字母、小写字母、数字和符号,与个人信息没有任何关系。为每个帐户设置不同的密码并经常更改密码。同时,不要共享密码;
- 确保个人设备安全。 智能手机、笔记本电脑、智能手表和其他在线设备应受密码保护,并配备安全软件,并为设备下载最新的软件更新。
- 公司的信息技术团队定期测试和审核操作系统是否存在错误和安全问题。 如果发现任何问题或弱点,需要立即修补和更新;
- 教员工如何预防、识别和应对安全威胁。 召开会议,向员工展示如何创建强密码并区分诈骗电子邮件和合法电子邮件;
- 制定详细的事件响应计划,说明公司将如何处理安全漏洞。包括谁需要知道、做什么以及何时 向公众发布数据泄露通知等内容。召开会议讨论应急计划,创建计划文档并将其存储在员工可以访问的位置。