互联网安全是一个永无止境的猫捉老鼠游戏。安全专家不断想出新方法来保护我们的宝贵数据，只有网络犯罪分子才能设计出新颖而狡猾的方法来破坏这些防御。TU / e的研究人员现在已经发现了一个基于俄罗斯的高度复杂的在线市场的证据，该市场交易了数十万个非常详细的用户资料。这些个人“指纹”使犯罪分子可以绕过最先进的身份验证系统，使他们能够访问有价值的用户信息，例如信用卡详细信息。

我们的在线经济取决于用户名和密码，以确保在网上购买东西或进行汇款的人确实是他们所说的人。但是，由于人们倾向于在多个服务和网站之间重用其密码，因此这种有限的身份验证方法远非安全。这导致了用户凭证的大规模且高额利润的非法交易：根据最近的估计（自2017年起），一年时间内通过地下市场出售了约19亿个被盗身份。

银行和其他数字服务提供了更复杂的身份验证系统也就不足为奇了，该系统不仅依赖于用户知道的信息（他们的密码），还依赖于他们拥有的东西（例如令牌）。此过程称为多因素身份验证（MFA），严重限制了网络犯罪的可能性，但也有缺点。因为它增加了一个额外的步骤，所以许多用户不必费心注册它，这意味着只有少数人使用它。

为了缓解此问题，最近一种替代的身份验证系统已在诸如Amazon，Facebook，Google和PayPal的服务中流行。该系统称为基于风险的身份验证（RBA），它查看“用户指纹”以检查某人的凭据。这些可以包括基本的技术信息，例如浏览器或操作系统的类型，还可以包括行为特征，例如鼠标的移动，位置和击键速度。如果指纹符合用户的期望（基于早期的行为），则允许他们仅使用其用户名和密码立即登录。如果不是，则需要通过令牌进行其他身份验证。

当然，网络罪犯很快想出了规避RBA的方法，开发了还包括指纹的网络钓鱼工具包。但是，他们发现很难将其转变为有效且盈利的业务。原因之一是这些用户配置文件随时间和跨服务而变化，并且必须通过其他网络钓鱼攻击来收集。

模仿即服务

TU / e的研究人员现在已经发现了大规模且高度复杂的市场的证据，这些市场似乎已经克服了这些限制。该市场位于俄罗斯，提供超过260.000个高度详细的用户个人资料，以及其他用户凭据，例如电子邮件地址和密码。“该地下网站的独特之处不仅在于其规模，还在于所有配置文件都在不断更新，这意味着它们保留了其价值，”数学和计算机系安全小组的研究员Luca Allodi说。科学，与博士学位一起学生Michele Campobasso负责这项研究。

“此外，客户可以搜索数据库，以便他们精确选择要定位的互联网用户，从而进行高度危险的鱼叉式网络钓鱼攻击。他们还可以下载软件，将购买的用户配置文件自动加载到目标网站中。”

为了强调网站的系统性，Allodi和Campobasso创造了“模拟即服务”（IMPaaS）一词，呼应了著名的云计算服务，例如SaaS（软件即服务）和IaaS。 （基础架构即服务）。“据我们所知，这是系统地提供这些服务的最大，最复杂的犯罪市场。”

研究市场并不容易。为了访问可用用户个人资料列表，研究人员必须掌握现有用户共享的特殊邀请代码。由于平台运营商积极监控“流氓”帐户，因此收集数据也很困难。研究人员还决定对网站的真实姓名保密，以最大程度地减少市场经营者采取报复行动的风险。

价钱

用户在市场上的“虚拟身份”的价格从1美元到大约100美元不等。访问加密货币配置文件和Webmoney平台似乎是最有价值的。“至少存在一个与密码相关的配置文件，几乎使平均配置文件值翻了一番，” Allodi说。

推动价格上涨的另一个重要因素是用户所在国家的财富。Campobasso说：“这是有道理的：试图冒充用户资料并从中获利的攻击者为可能带来更大财务收益的资料赋予了更大的价值，这些资料主要存在于发达国家。”

与访问平台“合成”的指纹相比，用户简要表也具有很高的价值，它可以访问多个服务和带有“真实”指纹的简要表。

使用配置文件

在他们的论文中，研究人员还描述了一些犯罪分子如何“武器化”这些配置文件的示例，他们在平台客户使用的秘密电报频道中发现了这些示例。在所报告的一种攻击中，攻击者描述了为受害者的电子邮件邮箱设置过滤器的目的，目的是隐藏来自亚马逊的通知，该通知与攻击者使用受害者的Amazon账户进行的购买有关。