Cuando Zappos notificó a sus clientes que se ocupa de sus nombres, direcciones de correo electrónico, facturación y envío, números de teléfono y los últimos cuatro dígitos de su número de tarjeta de crédito puede haber estado expuesta durante un robo de datos a principios de este mes, el minorista de calzado en línea destacó que “el crédito crítico datos de la tarjeta y otros medios de pago no se vio afectada o acceder a ella. “

Eso es definitivamente un alivio. Esto significa que los 24 millones de clientes cuya información pudo haber estado comprometida en la violación no de inmediato tiene que preocuparse por encontrar esos gastos en sus estados de cuenta al final del mes.

Entonces, ¿qué tienen de qué preocuparse? Según los expertos, los riesgos de seguridad más probable es que para el rango de los consumidores de la molestia (más spam en sus bandejas de entrada de correo electrónico) para potencialmente mucho más peligroso objetivo “phishing”, donde el remitente se hace pasar por una persona de confianza o de la organización con el fin de engañar a los receptor haga clic en un enlace que descarga malware en su ordenador o en dar la información del remitente confidencial, como contraseñas, tarjetas de crédito o número de Seguro Social.

Los hackers que se infiltraron en bases de datos Zappos “sin duda tiene acceso a un paquete de información. Otras infracciones, como algunos de los servidores web de los ataques perpetrados por hacktivistas exponer sólo los nombres y direcciones de correo electrónico. Sean grandes o pequeñas, estas infracciones plantear una serie de preguntas:

• ¿Por qué esta información es valiosa para los delincuentes?
• ¿Cuál es el valor real, monetario de esta información?
• ¿Cuál es la cantidad mínima de información que necesitan los delincuentes para perpetrar sus fechorías?
• Cuando una empresa está pirateada, ¿cuánto tiempo pasa antes de empezar a explotar los cibercriminales la información que obtienen?
• ¿Cuál es el riesgo para los consumidores cuando los estafadores obtener esta información?
• ¿Cuáles son las probabilidades de los riesgos existentes?

¿Por qué esta información es valiosa para los delincuentes?

La información personal es la moneda de la economía sumergida. Es, literalmente, lo que los cibercriminales comercio in hackers que obtener estos datos se puede vender a una gran variedad de compradores, incluyendo los ladrones de identidad, redes del crimen organizado, los spammers y los operadores de botnet, que utilizan los datos para hacer aún más dinero.

Los spammers, por ejemplo, podría obtener una nueva lista de direcciones de correo electrónico a la que pueden enviar ofertas de Viagra y Cialis. Ellos hacen dinero (por ejemplo, $ 1 por click) de las tasas de respuesta o sitio web / pop-up de impresiones de anuncios. Mientras tanto, los ladrones de identidad pueden usar direcciones de correo electrónico para crear un esquema de phishing diseñados para engañar a la gente a renunciar a sus cuentas bancarias o números de tarjetas de crédito.

Rod Rasmussen, presidente y director de tecnología de Internet de identidad, una empresa de seguridad en Internet Tacoma, Washington basado, según los cibercriminales comercio esta información entre sí para crear una imagen más completa de un individuo. “La idea es, a juntar más información sobre la gente para que pueda hacer más daño. Usted recibe su nombre, número de tarjeta de crédito, número de identificación personal, dirección de correo electrónico, número de teléfono de diferentes fuentes para obtener su información completa.”

¿Cuál es el valor monetario real de esta información?

Un nombre o dirección de correo electrónico es un valor en cualquier lugar de fracciones de un centavo a $ 1 por cada registro, dependiendo de la calidad y la frescura de los datos, los expertos dicen que la información de seguridad.

“Hay tanta información que fluye alrededor, tienes que tener mucha de ella con el fin de obtener dinero para ella en el metro”, dijo Rasmussen. “Los números de tarjeta de crédito se va por menos de $ 1.”

Eso no puede sonar como un golpe de suerte, pero cuando se multiplica por millones de registros, rápidamente se van sumando. Tome la violación Zappos como ejemplo: si los hackers, de hecho, los datos obtenidos en 24 millones de clientes, aunque vendan sólo 5 millones de direcciones de correo electrónico a los cinco centavos de dólar por pop – cha-ching -; han hecho sólo $ 250.000 fuera de un hack .

Los operadores de botnet hacer aún más dinero. Diga usted el propietario de una botnet que se compone de 100.000 ordenadores. Es posible que se alquilan a los spammers por $ 1,000 por hora, dice Stu Sjouwerman, fundador y CEO de KnowB4, un proveedor de formación de conciencia de seguridad en Internet con sede en Clearwater, Florida Si usted alquila o compra de los 24 millones de registros de Zappos de modo que usted puede enviar el malware a las direcciones de correo electrónico, aunque sólo el 20 por ciento de los receptores de infectarse con el malware que toma el control de su ordenador, que le queda por crecer su red de bots alrededor de 5 millones de ordenadores con muy poco trabajo, añade.

“Ahora se puede cobrar 5.000 dólares por hora en lugar de $ 1.000 por hora por 5 millones de robots que empezar a enviar correo no deseado”, dice Sjouwerman. “Estos chicos hacen dinero a manos llenas”. Por supuesto, su actividad ilegal también significa que los cargos penales, prisión y la restitución financiera.

¿Cuál es la cantidad mínima de información que necesitan los delincuentes para perpetrar sus fechorías?

Sjouwerman dice que todos los delincuentes necesitan para empezar a hacer daño es la dirección de correo electrónico de un individuo. Con ello, se pueden inundar las bandejas de entrada de las víctimas con el spam.

Para robar la identidad de las personas o cometer fraude de tarjetas de crédito, los cibercriminales necesita una contraseña, la tarjeta de crédito o número de Seguro Social, dice Rasmussen. Si disponen de direcciones de correo electrónico de las personas, a veces se puede obtener que los datos más sensibles mediante el envío de correos electrónicos de phishing, o distribución de malware a través de correo electrónico, dice Sjouwerman. Algunos malware se instala clave de registro de nombres de usuario de software que los registros y contraseñas cuando se conectan a sus cuentas en línea diferentes, dice. Si una de estas cuentas es una cuenta bancaria, los cibercriminales rápidamente se vacía.

Si los delincuentes obtener sólo los últimos cuatro dígitos de su tarjeta de crédito o de débito, que puede ser capaz de usarlo para restablecer su contraseña en un sitio de comercio electrónico, dice Rasmussen. Algunas empresas utilizan los últimos cuatro dígitos de las tarjetas de crédito de los clientes como un código PIN, y se puede pedir si usted necesita para restablecer su contraseña, dice. Así que los criminales cibernéticos pueden utilizar para restablecer su contraseña, para que puedan realizar compras utilizando su cuenta. Pero lo más probable, añade Rasmussen, “Van a vender esa información a otra persona que va a hacer algún ataque otros.”

Cuando una organización está pirateada, ¿cuánto tiempo pasa antes de empezar a explotar los cibercriminales la información que obtienen?

Depende de la penal y la información obtenida, dice Rasmussen. Si los números de tarjetas de crédito están involucrados, los estafadores se comience a usar esa información de inmediato, señala. Los criminales cibernéticos que utilizan mensajes de correo electrónico para ataques de phishing también se puede actuar con rapidez. Para engañar a más gente a descargar malware en sus ordenadores o dar información sensible, los ciberdelincuentes pueden enviar una notificación de incumplimiento divulgación falsa pidiendo a las víctimas a restablecer sus contraseñas en un sitio web que parece real, pero es, de hecho, falso, antes de que la empresa que fue hackeado envía un aviso de revelación, dice Sjouwerman.

Es por eso que es crítico para las organizaciones que la información del cliente se ha comprometido en una violación a enviar notificaciones tan pronto como ellos saben lo que pasó y que fue afectada, dice Rasmussen. Señala que la Unión Europea está considerando una ley que obligaría a las empresas a notificar a los clientes de las violaciones dentro de las 24 horas.

¿Cuál es el riesgo para los consumidores cuando los estafadores obtener esta información?

Si su dirección de correo electrónico se ha visto comprometida en un fallo de seguridad, usted puede esperar más spam, phishing y malware enviados por correo electrónico. El malware podría permitir a los ciberdelincuentes tomar el control de su ordenador para que se convierta en parte de una botnet, afirma Sjouwerman. Se podría permitir que se activen la webcam o un micrófono en su computadora para que puedan espiar a usted. Se puede descargar clave de registro de software en su PC para que los delincuentes pueden registrar sus contraseñas o información financiera y, añade.

Si los hackers obtener más información que su nombre y dirección de correo electrónico – si tienen su número de teléfono, dirección postal, los últimos cuatro dígitos de su número de tarjeta de crédito – pueden crear esquemas de phishing más convincente y eficaz que puede dar lugar a la identidad robo y fraude con tarjetas de crédito.

¿Cuáles son las probabilidades de los riesgos existentes?

Rasmussen y Sjouwerman de acuerdo, puede contar con recibir más spam si su email está expuesto en una violación. También hay que tener cuidado de “phishy” mensajes de correo electrónico. Cuatro de cada 10 personas caerán en un ataque de phishing, basado en la investigación anecdótica Sjouwerman es. Se realizó un experimento con uno de los clientes KnowB4, un contratista de defensa, en el que KnowB4 envió un correo electrónico falso, presuntamente de CEO de la compañía, a 100 empleados cuyos direcciones de correo electrónico KnowB4 encontrar en la web. En el correo electrónico, KnowB4, haciéndose pasar por el director general, pidió a los empleados para hacer cambios a sus beneficios a través de un sitio web KnowB4 falsa. El cuarenta por ciento de los empleados cayó en la trampa.

A menos que su número de tarjeta de crédito o cuenta bancaria se ha visto comprometida en la brecha, no tiene que preocuparse por el fraude financiero, siempre, por supuesto, no dar esa información a un estafador.

Si los hackers hacerse con números de tarjetas de crédito, usted puede esperar encontrar cargos fraudulentos en su próxima factura, y usted debe alertar a las compañías de tarjetas de crédito y las agencias de informes de crédito de que su información puede estar comprometida en la brecha. Después de que Sony hackear el año pasado PlayStation Network, algunos usuarios de PlayStation Network comenzó a informar los cargos fraudulentos en las tarjetas de crédito y débito se usa para acceder al servicio de PlayStation, pero a la vez que no había manera de saber si el fraude fue el resultado de la violación de Sony o simplemente una coincidencia, de acuerdo con CNET.

Obviamente, no todas las infracciones dará lugar a robo de identidad y fraude con tarjetas de crédito – o incluso de spam extra y correos electrónicos de phishing. CIO.com recientemente en contacto con 10 personas cuyos nombres, direcciones de correo electrónico y contraseñas fueron publicados en Pastebin después LulzSec hackeado PBS en mayo pasado para averiguar si se han visto afectados por la violación. De las cuatro personas que respondieron a la pregunta de CIO.com ‘s, tres dijeron que la violación no les afectará en modo alguno. El cuarto no quiso hacer comentarios.

Incluso si los hackers obtener los nombres de las personas sólo y direcciones de correo electrónico, lo que la gente la mayoría de los problemas, dice Rasmussen, “es la sensación de ser víctima: alguien sin su permiso ha publicado algo sobre ti.”

Meredith Levinson cubre Empleo y Seguridad para CIO.com. Siga en Twitter @ Meridith Meredith. Siga todo, desde CIO.com en Twitter @ CIOonline y en Facebook. Correo electrónico a Meredith mlevinson@cio.com.