Pas på det mørke web: hvor meget er dit værd?
Hvor meget er en scanning af dit pas værd for en cyberkriminel?
I slutningen af september 2018 søgte Comparitech opslag på flere ulovlige markedspladser for at finde ud af, hvor meget pas er værd på det mørke web. Disse sorte markeder inkluderer Dream Market, Berlusconi Market, Wall Street Market og Tochka Free Market.
Dette er en typisk liste for en passcanning, der inkluderer en selfie:
Her er vores vigtigste resultater:
- Den gennemsnitlige pris for en digital passcanning er $14,71.
- Hvis bevis på adresse eller bevis for identifikation - en selfie, forbrugsregning og/eller kørekort - føjes til en passcanning, springer den gennemsnitlige pris til $61,27.
- Australske passcanninger var de mest almindelige, og alligevel de dyreste ($32).
- Den gennemsnitlige pris for et ægte, fysisk pas er 13.567 $.
- Gennemsnitsprisen for et forfalsket, fysisk pas er $1.478.
Passcanninger, hvad enten de er forfalskede eller ægte, er ofte ledsaget af andre former for identifikation, typisk en forbrugsregning, selfie af ID-kortejeren, der holder sit ID og/eller et kørekort. Disse tilføjelser afspejles i prisen – de koster væsentligt mere end blot en digital scanning. Årsagen til dette er, fordi der normalt kræves flere former for ID for at bestå kontrol af adressebevis og identifikationsbevis på websteder. Disse kontroller er ofte en del af kontogendannelsesprocessen, hvor en bruger på en eller anden måde har mistet adgangen til sin konto og skal bevise, hvem de er for at få adgang igen.
Hovedparten af vores analyse fokuserede på digitale scanninger og billeder af rigtige pas. I alt fandt vi 48 unikke lister for ægte passcanninger, hvoraf 38 ikke blev solgt med noget medfølgende bevis på ID eller adresse. Disse 48 spændte over 20 lande, hvis priser du kan se i denne tabel:
Australien | 10,40 USD | inkluderer kørekort |
Australien | $37,65 | |
Australien | $7,91 | |
Australien | $36,40 | |
Australien | $37,99 | |
Australien | $27,36 | |
Australien | 20,34 USD | |
Australien | $94,21 | inkluderer sekundært ID |
Belgien | 10,39 USD | |
Canada | $102,96 | inkluderer selfie |
Kina | $18,72 | |
Kina | 1,04 USD | sælges i pakke med 100 stk |
Kina | 10,40 USD | sælges i pakke med 10 stk |
Kina | $12,23 | |
jeg (tilfældig) | 5,17 USD | |
Finland | $8,32 | |
Frankrig | 0,61 USD | (sælges i pakke med 40 stk.) |
Frankrig | $18,99 | omfatter forbrugsregning |
Frankrig | $7,91 | |
Frankrig | $11,66 | |
Frankrig | $124,80 | inkluderer elregning og selfie |
Frankrig | 10,40 USD | sælges i pakke med 10 stk |
Tyskland | $8,31 | |
Tyskland | $12,48 | |
Irland | $7,27 | |
Italien | $14,68 | sælges i pakke med 10 stk |
Letland | $12,48 | |
Mexico | $28,81 | |
Polen | $12,68 | |
Polen | $33,10 | |
Rumænien | $12,48 | |
Rusland | 10,00 USD | |
Rusland | 11,00 USD | sælges i pakke med 10 stk |
Spanien | 10,40 USD | |
Spanien | $14,68 | |
Storbritannien | 51,99 USD | inkluderer kørekort |
Storbritannien | $14,76 | omfatter forbrugsregning |
Storbritannien | $7,91 | |
Storbritannien | $18,25 | sælges i pakke med 10 stk |
Storbritannien | $17,68 | |
Storbritannien | $24,47 | |
Storbritannien | $12,48 | |
Storbritannien | $61,19 | inkluderer elregning + selfie |
Ukraine | 11,00 USD | sælges i pakke med 10 stk |
hjort | $6,11 | |
hjort | $8,32 | |
hjort | 115,00 USD | inkluderer selfie |
hjort | $18,36 | inkluderer SSN og adresse |
Australiens og britiske passcanninger var de hyppigst opførte, og australske scanninger var i gennemsnit de dyreste (US$32).Vi fandt ikke noget konsekvent mønster for priserne i henhold til land; de syntes ikke at være baseret på knaphed eller den magt i landets pas . En lang række leverandører sælger passcanninger, men en lille håndfuld ser ud til at specialisere sig i dem.
Typer af pas til salg på det mørke web
Pas, der sælges på det mørke web, kommer i nogle få former:
- Redigerbar Photoshopskabelonerbruges til at lave falske passcanninger. Disse koster meget lidt og er tilgængelige for næsten alle vestlige lande. De udgør størstedelen af markedspladslister, når de søger efter 'pas'.
- Digitale passcanninger. Disserigtige scanningeraf faktiske pas koster omkring $10 stykket og sælges ofte i løs vægt. De er tilgængelige for flere lande og er ret almindelige.
- Fysisk pasforfalskninger. Vi fandt lister over falske pasforfalskninger for en håndfuld europæiske lande. De koster typisk nord for $1.000.
- Ægte, fysiske pas. Disse er den rigtige vare (ifølge listen), så de er ikke almindelige eller billige. De fleste af dem koster mere end $12.000.
Alle disse sælges på det mørke web for kryptovaluta, typisk Bitcoin eller Monero. Priserne i tabellen blev tilgået og konverteret til amerikanske dollars den 24. og 25. september 2018.
Hvordan bruger kriminelle passcanninger?
Nogle af de mest almindeligemål for kriminelle, der køber passcanninger, omfatter kryptovalutabørser, betalingssystemer og væddemålswebsteder.
Selvom en virksomhed kan blive henvist til i en markedspladsnotering, betyder det ikke nødvendigvis, at den er sårbar, eller at konti er blevet kompromitteret.
Bank falder
Nogle banker og andre finansielle institutioner kræver kun to stykker identifikation for at åbne en ny konto. Med stjålet pas og kørekort kan svindlere f.eksåbne konti og indsamle tilmeldingsbelønningernei offerets navn, ellerbruge kontoen som et muldyr til at udbetale andre ulovlige transaktioner.Dette kaldes en 'bank drop' fidus, og det kan implicere offeret i andre forbrydelser.
Vi formoder, at rigtige scanninger er mere effektive end forfalskninger i Photoshop til banksvindel.
Kontogendannelsessvindel og omgåelse af 2FA
I denne fidus bruger hackere personefterligning og social engineering til at omgå to-faktor-autentificering og misbruge den kontogendannelsesproces, der bruges på mange websteder. Kontogendannelse kræver ofte scanning eller fotografering af et fysisk ID, såsom et pas.
Svindlere kan ændre ID-scanninger til udgive sig for kontohavere på en række websteder, der kræver billed-id til kontobekræftelse og gendannelse.
Her er eneksempelaf, hvordan en passcanning kan bruges i et svindelnummer for kontogendannelse:
- Målet har en konto hos en cryptocurrency-børs. De har konfigureret to-faktor-godkendelse på deres konto, så en kode sendes til en app på deres telefon for at bekræfte logins.
- På en anden måde stjæler svindleren brugerens adgangskode (måske gennem phishing eller et databrud). Men fordi 2FA er aktiveret på kontoen, kan de ikke komme ind.
- I stedet poserer svindleren som offeret og henvender sig til kryptovalutabørsen og siger, at de har mistet adgangen til deres telefon og ikke kan få godkendelses-PIN-koden og dermed ikke kan logge ind.
- Detcryptocurrency exchange anmoder kontohaveren om at sende en scanning af deres IDat bevise deres identitet, før de nulstiller 2FA på kontoen. I mange tilfælde vil virksomheder kræve, at personen tager en selfie, mens han holder ID'et, deraf den højere pris for passcanninger med selfies.
- Svindleren ændrer scanningerne fra det mørke web efter behov for at matche ofrets personlige detaljer, og sender det derefter til børsen, mens han stadig udgiver sig for at være offeret.
- Efter modtagelse af bevis på identitet nulstiller eller fjerner kryptovalutabørsen 2FA på kontoen, hvilket giver hackeren mulighed for at få adgang til og dræne offerets kryptoaktiver. Hackere ændrer rutinemæssigt de adgangskoder og e-mail-adresser, der er knyttet til konti, for at gøre det sværere for kontoejeren at genvinde kontrollen.
Mange sortbørsleverandører tilbyder at ændre de oplysninger, der vises i disse dokumenter, scanninger og selfies, så de matcher det navn og andre detaljer, som køberen har givet.Køberen kan nogle gange anmode om pas fra personer med et bestemt køn, hårfarve, hudfarve, øjenfarve og omtrentlig fødselsdato.
Ved brugPhotoshop skabeloner, kriminelle indtaster blot de oplysninger, de ønsker, og indsender deres eget billede. Pasnumre er sekventielle og derfor ikke svære at gætte et legitimt, og de fleste virksomheder, der anmoder om bevis på ID, vil faktisk ikke verificere, om pasnummeret matcher pasindehaveren.
Fysiske pas
Alle de fysiske pas, vi fandt til salg på det mørke web, var til europæiske lande. Fysiske pas, der sælges på det mørke web, kommer i to former: ægte og forfalskede. De kan bruges som identifikation for et vilkårligt antal svindel-relaterede forbrydelser såvel som ulovlig immigration, menneskesmugling og smugling.
Autentiske, statsudstedte pas er svære at få fat i og koster meget, der spænder fra $8.216 (Tyskland) til $17.116 (UK). Gennemsnitsprisen for de otte angiveligt ægte pas var $13.567. Mindst én leverandør hævder, at disse pas kom fra 'vores korrupte immigrationspolitikontakter', selvom vi ikke har nogen måde at bekræfte dette på. I mange tilfælde får købere mulighed for at angive, hvilke detaljer der er inkluderet i passet, herunder stempler for specifikke lande.
Østrig | $14684 |
tjekkisk | $12237 |
Tyskland | $8216 |
Italien | $14684 |
Polen | $12237 |
Portugal | $14684 |
Storbritannien | $17116 |
Storbritannien | $14679 |
Forfalskninger koster omkring en tiendedel af prisen, men de koster stadig over $1.000. Gennemsnitsprisen for de seks sælgere, der solgte forfalskninger, var $1.478. Købere indsender oplysningerne og headshot, der skal bruges i forfalskningen, når de foretager købet.
Spanien | 1560,00 USD |
Italien | 1027,00 USD |
Spanien | 1027,00 USD |
På guleroden | 1027,00 USD |
Italien | 1560,00 USD |
Danmark | 2667,00 USD |
Sådan beskytter du dit pas
Det er svært at beskytte dit pas, fordi rejsende er forpligtet til at vise dem ved så mange lejligheder, mens de rejser. Pas er påkrævet ved immigrationskontrolpunkter, hotelindtjekning og ved ansøgning til job og skoler i udlandet.Pas bliver ofte scannet og gemt på computere, der måske ikke er tilstrækkeligt sikre.Nogen med adgang til disse scanninger kan indhegne dem på det mørke web. Det er nemt at forestille sig, at en receptionist på et billigt hostel vender scanninger af deres klientel på det mørke web for nogle lommepenge.
Du bør gøre, hvad du kan for at beskytte dit pas, så det ikke bliver misbrugt af kriminelle. Her er et par tips:
- I mange tilfælde kan du give din egen kopi af dit pas i stedet for at få en fremmed til at scanne det. Lav sort-hvid-scanninger forud for din rejse, for de fleste kriminelle vil have farvekopier.
- Post ikke billeder af indersiden af dit pas på sociale medier.
- Bortskaf gamle pas ved at ødelægge dem, smid dem ikke bare væk.
- Opbevar ikke dit pas i indchecket bagage på et fly, tog eller bus.
- Pas på lommetyve, og overvej en tyverisikringstaske.
- Lad ikke dit pas ligge ude, når du ikke er i nærheden, såsom på et hotelværelse. Lås den op, når det er muligt.
- Gem ikke scanninger af dit pas på din enhed, hvis det bliver stjålet eller hacket. Krypter og gem scanningerne på en separat harddisk eller i skyen i stedet for.
- Opbevar ikke dit pas sammen med andre identifikationsdokumenter, der kan bruges til at stjæle din identitet
Noter og begrænsninger
Til tider er det svært at skelne mellem en notering for en photoshoppet scanning og en rigtig scanning. Vi forsøgte kun at inkludere rigtige scanninger i tabellen ovenfor.
Passcanninger er meget billigere, hvis du køber i løs vægt, men der er ingen garanti for, at disse scanninger ikke er blevet brugt før, at oplysningerne i dem ikke er udløbet, eller at de ikke er forfalskede i Photoshop. Nogle af fortegnelserne ligner dubletter fra forskellige leverandører, hvilket tyder på, at flere leverandører måske sælger de samme scanninger. Vi forsøgte at undgå at angive dubletter i tabellen ovenfor.
Selvom det altid er muligt, at nogle fortegnelser er svindel, havde alle de leverandører, hvis produkter vi inkluderede i vores analyse, positiv køberfeedback.
Alle de markedspladser, vi søgte, bruger engelsk som deres primære sprog. Markedspladser på andre sprog, såsom russisk, kunne godt give andre resultater.
EN 2014 undersøgelse afslørede en fejlrate på 15 procent ved at matche personen med det pasfoto, de viste blandt pasudstedende immigrationsembedsmænd i Australien.
Der er ingen mangel på falske ID-generator-apps på nettet, der ikke kræver at købe stjålne scanninger fra det mørke web, men vi er ikke sikre på, hvordan de sammenligner sig med hensyn til kvalitet, tilpasning og nøjagtighed.
Billeder redigeret af Comparitech. Vi nåede ud til nogle af de angiveligt sårbare virksomheder, der er nævnt i fortegnelserne og vil opdatere denne artikel, hvis vi hører tilbage.
“ Nyt pas ” af Nick Richards licenseret under CC BY-SA 2.0