Security - Cybersecurity

Πώς και γιατί οι κυβερνοεγκληματίες κατασκευάζουν ψεύτικες διαρροές δεδομένων

Οι διαρροές δεδομένων αποτελούν μια σημαντική και κλιμακούμενη πρόκληση για τις εταιρείες παγκοσμίως, ιδίως λόγω της αυξανόμενης επικράτησης του ransomware αλλά και της αυξανόμενης πολυπλοκότητας των κυβερνοεπιθέσεων. Ωστόσο, αυτή η πρόκληση περιπλέκεται περαιτέρω από την εμφάνιση πλαστών διαρροών δεδομένων. Οι φορείς απειλών όχι μόνο διαπράττουν διαρροές και παραβιάσεις, αλλά και επωφελούνται από τη δημιουργία πλαστών. Οι επιπτώσεις τέτοιων κατασκευασμένων διαρροών είναι εκτεταμένες. Μπορούν να βλάψουν ουσιαστικά τη φήμη των εμπλεκόμενων οργανισμών. Ακόμη και αν τελικά αποδειχθεί ότι τα στοιχεία που διέρρευσαν είναι ψευδή, η αρχική διάδοση παραπληροφόρησης μπορεί να προκαλέσει δυσμενή δημοσιότητα. Η Yuliya Novikova, Επικεφαλής του Digital Footprint Intelligence της Kaspersky, ρίχνει φως στη φύση των ψεύτικων διαρροών και παρέχει συμβουλές για το πώς οι επιχειρήσεις μπορούν να μετριάσουν αποτελεσματικά τους σχετικούς κινδύνους.

Τι παρακινεί τους εγκληματίες του κυβερνοχώρου να κατασκευάσουν διαρροές δεδομένων;

Τα ιστολόγια ομάδων κυβερνοεγκληματιών, όπως οι LockBit, Conti, Clop και άλλες, βρίσκονται σταθερά στο επίκεντρο της προσοχής των μέσων ενημέρωσης. Κατά κάποιον τρόπο, αυτοί οι «bloggers» μπορούν να ανταγωνιστούν διασημότητες ή αστέρια του Instagram όσον αφορά τη δημοσιότητά τους. Τα ιστολόγιά τους φιλοξενούνται στο dark web και σε άλλους σκιώδεις ιστότοπους, ενώ ορισμένοι παράγοντες απειλών έχουν επίσης τις δικές τους σελίδες στο Twitter. Εκεί δημοσιεύουν οι κακόβουλοι φορείς πληροφορίες σχετικά με εταιρείες που έχουν πέσει θύματα πειρατείας και προσπαθούν να τις εκβιάσουν, απαιτώντας λύτρα και ορίζοντας αντίστροφη μέτρηση για την αποδέσμευση ευαίσθητων δεδομένων – όπως ιδιωτική επαγγελματική αλληλογραφία, διαπιστευτήρια σύνδεσης για εταιρικούς λογαριασμούς, πληροφορίες για εργαζομένους ή πελάτες κ.α. Επιπλέον, οι εγκληματίες ενδέχεται να διαθέσουν δεδομένα προς πώληση, καθώς άλλοι παράγοντες απειλών μπορεί να ενδιαφέρονται να αγοράσουν τέτοιες πληροφορίες για περαιτέρω επιθέσεις σε εταιρείες.

Το ιστολόγιο LockBit περιέχει πολλαπλές ανακοινώσεις για επιθέσεις σε εταιρείες με αντίστροφη μέτρηση για τη διαρροή των κλεμμένων δεδομένων

Οι λιγότερο γνωστοί εγκληματίες του κυβερνοχώρου θέλουν επίσης να αποκτήσουν ένα κομμάτι τέτοιας φήμης, γεγονός που τους ωθεί να δημιουργούν ψεύτικες διαρροές. Τέτοιες διαρροές όχι μόνο προκαλούν δημοσιότητα και μία ανησυχητική αντίδραση από τη στοχευμένη επιχείρηση, αλλά χρησιμεύουν επίσης και ως γόνιμος τρόπος εξαπάτησης «συναδέλφων» στη μαύρη αγορά – και πώλησης σε άλλους εγκληματίες του κυβερνοχώρου κάτι που στην πραγματικότητα δεν είναι διαρροή. Οι αρχάριοι εγκληματίες του κυβερνοχώρου είναι πολύ πιο πιθανό να ξεγελαστούν από αυτό το τέχνασμα.

Ανεξάρτητα από το αν το χακάρισμα συνέβη πραγματικά ή όχι, μια αναφερόμενη διαρροή μπορεί να βλάψει τη φήμη της στοχευμένης επιχείρησης. Ωστόσο, η ζημιά μπορεί να ελαχιστοποιηθεί σημαντικά εάν η εταιρεία είναι έτοιμη να χειριστεί ένα περιστατικό που περιλαμβάνει ψεύτικη διαρροή δεδομένων (και, φυσικά, εάν είναι προετοιμασμένη να διαχειριστεί και μια πραγματική διαρροή δεδομένων). Είναι δυνατό να εντοπιστεί μια ψεύτικη ανάρτηση πριν τα μέσα ενημέρωσης αρχίσουν να αναφέρουν το περιστατικό, επιτρέποντας στην εταιρεία να μετριάσει προληπτικά την αναδυόμενη κρίση.

Ανάλυση και συγκέντρωση: χειρισμός βάσεων δεδομένων για να περάσουν ως διαρροές που ανακαλύφθηκαν πρόσφατα

Μια «ψεύτικη» διαρροή δεδομένων μπορεί να λάβει τη μορφή μιας «αναλυμένης» βάσης δεδομένων, η οποία περιλαμβάνει την εξαγωγή πληροφοριών από ανοιχτές πηγές χωρίς ευαίσθητα δεδομένα. Η ανάλυση στο Διαδίκτυο, επίσης γνωστή ως web scraping, αναφέρεται στην εξαγωγή κειμένου, εικόνων, συνδέσμων, πινάκων ή άλλων πληροφοριών από ιστότοπους. Με τη βοήθεια της ανάλυσης, οι φορείς απειλών μπορούν να συλλέγουν πληροφορίες για κακόβουλους σκοπούς, συμπεριλαμβανομένων των ψεύτικων διαρροών.

Το 2021, μια γνωστή πλατφόρμα δικτύωσης επιχειρήσεων αντιμετώπισε παρόμοια περίπτωση. Ένα υποτιθέμενο σύνολο δεδομένων των χρηστών της φαίνεται να τέθηκε προς πώληση στο dark web. Ωστόσο, τα αποτελέσματα της έρευνας που ακολούθησαν αποκάλυψαν ότι στην πραγματικότητα επρόκειτο για συγκέντρωση δεδομένων που προέρχονταν από δημόσια προσβάσιμα προφίλ χρηστών και άλλους ιστότοπους και όχι για παραβίαση δεδομένων. Αυτό πυροδότησε ένα κύμα δημοσιεύσεων στα μέσα ενημέρωσης, καθώς και στην κοινότητα του dark web.

Κάθε φορά που προκύπτουν προσφορές στο dark net που ισχυρίζονται ότι παρέχουν βάσεις δεδομένων που έχουν διαρρεύσει από δημοφιλή κοινωνικά δίκτυα όπως το LinkedIn, το Facebook ή το Twitter, είναι πολύ πιθανό να πρόκειται για πλαστές διαρροές που περιέχουν πληροφορίες που είναι ήδη διαθέσιμες δημόσια στο διαδίκτυο. Τέτοιες βάσεις δεδομένων μπορούν να κυκλοφορούν στο dark web για χρόνια, προκαλώντας περιστασιακά νέες δημοσιεύσεις και προκαλώντας ανησυχία στις εταιρείες για υποτιθέμενες νέες διαρροές.

Σύμφωνα με το Kaspersky Digital Footprint Intelligence, από το 2019 έως τα μέσα του 2021 υπήρχαν κατά μέσο όρο 17 δημοσιεύσεις τον μήνα σχετικά με διαρροές μέσων κοινωνικής δικτύωσης στο dark web, ενώ ξεκινώντας από το καλοκαίρι του 2021, όταν συνέβη η προαναφερθείσα περίπτωση με μια πλατφόρμα επιχειρηματικής δικτύωσης, ο αριθμός των αναρτήσεων αυξήθηκε σε 65 τον μήνα κατά μέσο όρο. Πολλά από αυτά τα μηνύματα, με βάση τα ευρήματά μας, μπορεί να είναι αναδημοσιεύσεις της ίδιας βάσης δεδομένων. Ωστόσο, είναι σημαντικό να σημειωθεί ότι αυτές οι δραστηριότητες δεν σχετίζονται με μια εταιρεία που έχει παραβιαστεί ή με μια πραγματική επίθεση και δεν περιέχουν ευαίσθητες ιδιωτικές πληροφορίες, όπως κωδικούς πρόσβασης, πληροφορίες διαχείρισης ή πληροφορίες που δεν αποτελούν μέρος του δημόσιου προφίλ χρήστη (ημερομηνία εγγραφής ή τελευταίας επίσκεψης, διεύθυνση IP κ.λπ.). Μπορούμε όμως να παρατηρήσουμε ότι ακόμη και τέτοιες δραστηριότητες μπορούν να επηρεάσουν το τοπίο των μέσων ενημέρωσης και την εικόνα της εταιρείας.

Μηνιαίος αριθμός αναρτήσεων στο dark net που αναφέρουν βάσεις δεδομένων κοινωνικών δικτύων, 2019-2023. Πηγή: Kaspersky Digital Footprint Intelligence

Old is gold: αναδημοσίευση ξεπερασμένων βάσεων δεδομένων

Οι παλιές διαρροές, ακόμη και αν είναι γνήσιες, μπορούν επίσης να χρησιμεύσουν ως βάση για τη δημιουργία ψεύτικων διαρροών. Όταν οι παλιές διαρροές δεδομένων παρουσιάζονται ως νέες, δημιουργείται η ψευδαίσθηση ότι οι κυβερνοεγκληματίες έχουν ευρεία πρόσβαση σε ευαίσθητες πληροφορίες και συμμετέχουν ενεργά σε κυβερνοεπιθέσεις. Αυτή η τακτική μπορεί να τους βοηθήσει να χτίσουν μια φήμη μεταξύ πιθανών αγοραστών ή άλλων εγκληματιών στις σκοτεινές αγορές.

Παρόμοιες περιπτώσεις συμβαίνουν συνεχώς εντός της σκιώδους κοινότητας, όπου εκτίθενται ακόμη και πολύ παλιές ή μη επαληθευμένες διαρροές. Δεδομένα πολλών ετών επαναφορτώνονται συνεχώς σε φόρουμ στο dark web, άλλοτε προσφέρονται δωρεάν και άλλοτε επί πληρωμή, μεταμφιεσμένα σε «νέα» βάση δεδομένων. Αυτό όχι μόνο εγκυμονεί κινδύνους για τη φήμη, αλλά θέτει σε κίνδυνο και την ασφάλεια των πελατών. Η βάση δεδομένων, η οποία περιέχει πληροφορίες πελατών, μπορεί να χρησιμοποιηθεί για κακόβουλους σκοπούς, παρόλο που ορισμένες λεπτομέρειες, όπως οι κωδικοί πρόσβασης, ενδέχεται να είναι ξεπερασμένες. Για παράδειγμα, τα ονόματα, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και οι αριθμοί κινητών τηλεφώνων είναι πολύ πιθανό να εξακολουθούν να χρησιμοποιούνται και μπορούν να χρησιμοποιηθούν από εγκληματίες του κυβερνοχώρου για ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, καθώς και δραστηριότητες phishing.

Μετριασμός ψευδών διαρροών: οδηγός για τις επιχειρήσεις

Όταν αντιμετωπίζουν μια ψεύτικη διαρροή, η φυσική αντίδραση των επιχειρήσεων είναι συχνά ο πανικός λόγω της αυξανόμενης προσοχής από τα μέσα ενημέρωσης και τα κοινωνικά δίκτυα. Ωστόσο, ο έγκαιρος εντοπισμός και η απόκριση σε ψεύτικες διαρροές είναι ζωτικής σημασίας: τα πρώτα βήματα που πρέπει να κάνουν όσοι βρίσκονται στη μέση μιας καταιγίδας είναι να αποφύγουν την επαφή με τους εισβολείς και να διερευνούν διεξοδικά τις αναφερόμενες διαρροές δεδομένων. Αυτό μπορεί να γίνει με την επαλήθευση της πηγής, τη διασταύρωση εσωτερικών δεδομένων και την αξιολόγηση της αξιοπιστίας των πληροφοριών. Με άλλα λόγια, μια εταιρεία πρέπει να συλλέξει στοιχεία για να επιβεβαιώσει την επίθεση και να την ελέγξει.

Γενικά, οι διαρροές δεδομένων για μεγάλες επιχειρήσεις, συμπεριλαμβανομένων των ψεύτικων διαρροών, δεν τίθεται θέμα «αν θα συμβούν» αλλά «πότε». Η διαφάνεια και η προετοιμασία είναι βασικές για την αντιμετώπιση τόσο σημαντικών προκλήσεων. Είναι χρήσιμο να προετοιμάσετε ένα σχέδιο επικοινωνίας εκ των προτέρων για την αλληλεπίδραση με πελάτες, δημοσιογράφους και κρατικούς φορείς. Επιπλέον, η προληπτική παρακολούθηση του dark web σε σταθερή βάση θα επιτρέψει τον εντοπισμό νέων αναρτήσεων τόσο για ψεύτικες όσο και για πραγματικές διαρροές, καθώς και για τον εντοπισμό αιχμών κακόβουλης δραστηριότητας. Δεδομένου ότι η παρακολούθηση του dark web απαιτεί αυτοματοποίηση και οι εσωτερικές ομάδες μπορεί να μην έχουν τους πόρους ή τον χρόνο, εξωτερικοί ειδικοί είναι συχνά υπεύθυνοι γι’ αυτό.

Επιπλέον, η ανάπτυξη ολοκληρωμένων σχεδίων αντιμετώπισης περιστατικών με καθορισμένες ομάδες, κανάλια επικοινωνίας και πρωτόκολλα βοηθά στην έγκαιρη αντιμετώπιση τέτοιων περιπτώσεων, εάν συμβούν.

Σε μια εποχή όπου οι διαρροές δεδομένων αποτελούν διαρκή απειλή για τις επιχειρήσεις, η ταχεία και προληπτική δράση είναι απαραίτητη. Με τον έγκαιρο εντοπισμό και την απόκριση σε αυτά τα περιστατικά, τη διεξαγωγή ενδελεχών ερευνών, τη συνεργασία με ειδικούς στον κυβερνοχώρο και τη συνεργασία με τις αρχές επιβολής του νόμου, οι εταιρείες μπορούν να μετριάσουν τους κινδύνους, να προστατεύσουν τη φήμη τους και να διαφυλάξουν την εμπιστοσύνη των πελατών.

TAGS:

close menu