黑客为何伪造数据泄露？

数据泄露给全球公司带来了重大且不断升级的挑战，特别是由于勒索软件的日益盛行和网络攻击的日益复杂化。虚假数据泄露的出现进一步加剧了这一挑战。威胁行为者现在经常试图利用虚假信息牟利。这种捏造的泄露影响深远。它们会严重损害相关组织的声誉。即使泄露的数据最终被证明是虚假的，错误信息的最初传播也会引起不利的宣传。

今年早些时候，Europcar 发现一名黑客在暗网上出售其 5000 万客户的信息。这家欧洲汽车租赁公司立即展开调查，结果发现出售的数据完全是经过篡改的，可能使用了生成式人工智能。

黑客捏造数据泄露的动机是什么？

LockBit、Conti、Cl0p等网络犯罪集团的博客一直是媒体关注的焦点。在某种程度上，这些“博主”在宣传方面可以与名人或 Instagram 明星相媲美。他们的博客托管在暗网和其他影子网站上，而一些威胁行为者也在 X 平台（以前称为 Twitter）上拥有自己的页面。恶意行为者在这里发布有关受害公司的信息并试图勒索他们，索要赎金并为敏感数据的发布设定倒计时，例如私人商业通信、公司账户的登录凭据以及有关员工或客户的信息。此外，犯罪分子可能会将数据出售，因为其他威胁行为者可能有兴趣购买此类信息以进行进一步的攻击。

不太知名的网络犯罪分子也想吸引注意力，这促使他们制造虚假泄密。这些泄密不仅会炒作并激起目标企业的担忧反应，而且还是一种在黑市上欺骗“同事”并向其他网络犯罪分子出售实际上不是泄密的东西的有效方法。新手网络犯罪分子更容易上当受骗。

黑客出售虚假数据最明显的原因是因为可以赚钱。仔细想想，这就像一个罪犯试图兜售假珠宝或仿制手表。但还有其他可能的原因：

声名狼藉： 2024 年 3 月，一个俄罗斯黑客组织宣布入侵了 Epic Games。Epic 没有发现任何证据证明这一说法。最终，黑客宣布他们伪造了整个事件，因为他们试图通过针对知名品牌来提高知名度。声誉在黑客社区中非常受重视，因此一些团体诉诸此类策略是有道理的。

制造干扰：干扰是一种常见的战场战术——让对手（或目标）分心，以便从另一个方向攻击他们。同样，攻击者可以伪造数据泄露，让安全团队分心，让他们发现数据泄露的迹象，然后对手在其他地方执行更危险的攻击或渗透。 

破坏声誉：网络犯罪分子无需窃取公司数据即可损害公司声誉。2023 年 9 月，一个勒索软件组织宣布已入侵索尼环境并获取其数据。随后出现了负面宣传。索尼最终得出结论，黑客的说法是错误的，但损害已经造成。 

操纵股价：对于上市公司来说，网络攻击或数据泄露的消息至少会对市场价值或股价造成3% 到 5%的影响。威胁行为者可以宣布虚假的数据泄露，从而引发恐惧、恐慌和公众信心丧失，导致股价下跌；通过这种方式，网络犯罪分子可以操纵市场以获取经济利益。

揭露安全流程和设置：就像钓鱼需要诱饵一样，网络犯罪分子可以利用数据泄露的借口来了解公司的安全设置、安全功能、流程和威胁响应时间。攻击者可以利用这些知识来微调他们的攻击策略，发起更严重、更精准的攻击。 

解析和聚集：操纵数据库以伪装成新发现的泄漏

虚假数据泄露可以采用解析数据库的形式，即从不包含敏感数据的开放源中提取信息。互联网解析（也称为 Web 抓取）是指从网站中提取文本、图像、链接、表格或其他信息。借助解析，威胁行为者可以收集信息用于恶意目的，包括虚假泄露。

2021 年，一家知名商业社交平台就曾遭遇过此类事件，据称其一组用户数据被放在暗网上出售。但随后的调查显示，这实际上是来自可公开访问的用户资料和其他网站的数据的汇总，并非数据泄露。这引起了媒体和暗网社区的关注。

黑客如何生成虚假数据？

像 ChatGPT 这样的生成式 AI工具可轻松用于生成虚假数据，其中包含真实数据集，包括真实公司的电子邮件格式以及本地电话号码等。聪明的黑客会花更多时间研究以前的入侵行为或使用现有数据模型来重现另一个数据集。

此外，网上有多个资源可以生成大量用于测试目的的数据集。

旧即是金：重新发布过时的数据库

即使是真实的旧泄密事件，也可以作为制造虚假泄密事件的基础。当旧的数据泄露被当作新的泄露事件时，就会造成网络犯罪分子可以广泛获取敏感信息并积极参与网络攻击的假象。这种策略可以帮助他们在潜在买家或地下市场中的其他犯罪分子中树立声誉。

类似情况在影子社区中不断发生，甚至非常古老或未经证实的泄密事件也会被曝光。几年前的数据不断被重新上传到暗网论坛，有时免费提供，有时收费，伪装成新数据库。这不仅带来声誉风险，也危及客户安全。

组织可以采取什么措施来应对虚假数据泄露的威胁？

以下建议可帮助组织减轻虚假违规威胁：

主动监控暗网：让您的安全团队或专家合作伙伴主动监控暗网，以发现违规迹象，例如攻击者出售您的数据。立即调查这些指控。

分析以前泄露的数据集：回收以前被盗的数据是诈骗者常用的伎俩。当遇到泄露的数据集时，请将其与旧的泄露数据进行比较，以评估数据是否被回收。 

做好员工准备：提高员工对虚假数据泄露的认识，并解释如果他们遇到潜在泄露的消息，他们应该做什么或不应该做什么。

让沟通团队随时待命：作为事件响应计划的一部分，确保营销和公共关系部门接受过培训，并准备好应对可能因违规新闻（无论是真实的还是欺诈的）而产生的任何负面口碑。

部署金丝雀令牌：在网络中，金丝雀令牌是一种数字标识符，用于检测未经授权的访问、数据泄露和入侵。如果黑客宣布数据泄露，安全团队可以利用金丝雀令牌来确定涉嫌盗窃的真实性和完整性。

利用集成安全性：鉴于47%的漏洞源自云，建议组织采用融合安全模型，如安全访问服务边缘 ( SASE )，该模型可在漏洞发生时检测并阻止漏洞，并将整个网络中的事件关联起来。这种方法提高了对安全事件的可见性，可辨别真正的威胁和误报。

总体而言，大型企业的数据泄露（包括虚假泄露）不是是否会发生的问题，而是何时发生的问题。在应对如此重大的挑战时，透明度和准备工作是关键。提前制定与客户、记者和政府机构互动的沟通计划非常有用。此外，持续主动监控暗网将能够检测到有关虚假和真实泄露的新帖子，以及跟踪恶意活动的高峰。由于暗网监控需要自动化，而内部团队可能没有资源或时间，因此通常由外部专家负责。

此外，制定全面的事件响应计划，指定团队、沟通渠道和协议，有助于在发生这些情况时及时处理。

在数据泄露对企业构成持续威胁的时代，迅速主动的行动至关重要。通过及时识别和应对这些事件、进行彻底调查、与网络安全专家接触并与执法部门合作，公司可以降低风险、保护其声誉并维护客户信任。