Användarnamn och lösenord för 15 miljarder konton har exponerats

Dina inloggningsuppgifter kan äventyras. Du kan bli offer för en phishing-bedrägeri, tjänsteleverantören du använder kan drabbas av ett dataintrång, och om dina lösenord inte är tillräckligt starka, kan cyberbrottslingar inte ha några problem att gissa dem. Men vad händer efter att dina inloggningsuppgifter faller i fel hand?

Forskare från Digital Shadows beslutade att ta reda på det. I går gav de ut en rapport där de spårar totalt 15 miljarder referenser läckta under mer än 100 tusen dataöverträdelser registrerade under de senaste två åren.

Inloggningsuppgifter säljs hela tiden

Det är lätt att anta att när de har stulit ditt användarnamn och lösenord, det första som en cyberkriminell skulle göra är att logga in på ditt konto. Oftast än inte försöker skurkarna att tjäna pengar på de komprometterade uppgifterna genom att sälja dem till andra skurkar. Som ni nu ser är det en ganska lönsam verksamhet.

Inloggningsuppgifter för alla typer av konton och tjänster köps och säljs på hackforum och mörka webbmarknadsplatser. Inte överraskande erbjöds också några av de 15 miljarder användarnamnet och lösenordsparna som till salu, och Digital Shadows forskare följde listorna noga för att få reda på mer om den stulna datatypen och de vinster det kunde ge.

Cirka en fjärdedel av de uppgifter som erbjuds till salu låser upp konton i banker eller andra finansiella institut, vilket bevisar, som om bevis behövdes, att kalla hårda kontanter är huvudmotivationen för de flesta cyberkriminella aktiviteter.

13% av de erbjudna referenser skyddar konton vid strömningstjänster som Netflix, vilket än en gång inte är chockerande. Jämfört med att betala för ett abonnemang är det mycket billigare att använda ett stulet lösenord, och ofta förblir ägaren till det komprometterade kontot ingen klokare under en längre tid.

Ungefär samma procentandel av annonserade lösenord ger köpare tillgång till proxy- och VPN-tjänster. Dessa kan vara användbara om skurkarna vill täcka sina spår under eller efter ett cyberattack.

Hackare säljer också miljontals andra lösenord som öppnar allt från profiler på sociala medier till konton på fildelningsplattformar och webbplatser för vuxna.

Hur mycket kostar ditt lösenord?

Prissättningen på de stulna referenserna är baserad på stenhård logik. Ju äldre lösenord är, till exempel, desto mer troligt är det att det blir ogiltigt snart (om det inte redan har gjort det), och desto billigare är det. Priset för en uppsättning kompromisserade referenser beror också på typen av konto de låser upp.

I den ena änden av skalan har du hackare som säljer lösenord för nätverksadministratör för allt mellan 3 000 och 140 tusen dollar. Dessa priser ser astronomiska ut, men enligt annonserna, med de sålda referenser, kunde köparen få obemärkt åtkomst till de interna nätverken för några ganska stora organisationer. Skadorna och de efterföljande vinster som kan göras efter en sådan attack är verkligen enorma. Majoriteten av de komprometterade kontona är emellertid personliga och är därför mycket billigare.

Förutsägbart ger online-banklösenord ett högre pris. Återigen är det beroende av ett antal olika faktorer, men Digital Shadows uppskattade att i genomsnitt en uppsättning inloggningsuppgifter för en bank eller ett finansinstitut kostar ungefär $ 71.

Något överraskande tar komprometterade prenumerationer på antivirusprodukter andra platsen. I genomsnitt säljs de till cirka 21 dollar per konto, vilket visar att hackarna är villiga att betala för säkerhet.

Resten av uppgifterna säljs antingen i bulk till mindre än $ 10 per uppsättning eller delas gratis, och deras överkomliga pris gör dem perfekta för hackare som försöker starta referensstoppningsattacker.

Digital Shadows 'rapport är en mycket dyster påminnelse om läget för cybersäkerhet. Dina inloggningsuppgifter komprometteras dagligen, och din identitet handlas på de underjordiska marknaderna för jordnötter. Det ser inte ut som att saker håller på att förändras snart heller. Tydligen på bara två år har antalet användarnamn och lösenord i omlopp registrerat ett hopp på 300%, och den ständiga strömmen av dataöverträdelser och läckor vi läser om varje dag tyder inte på att trenden är på väg att buckas.