Τα ονόματα χρήστη και οι κωδικοί πρόσβασης των 15 δισεκατομμυρίων λογαριασμών έχουν εκτεθεί

15 Billion Usernames and Passwords Exposed

Τα διαπιστευτήρια σύνδεσής σας μπορεί να παραβιαστούν. Μπορείτε να πέσετε θύμα απάτης ηλεκτρονικού ψαρέματος (phishing), ο πάροχος υπηρεσιών που χρησιμοποιείτε ενδέχεται να υποστεί παραβίαση δεδομένων και εάν οι κωδικοί πρόσβασής σας δεν είναι αρκετά ισχυροί, οι εγκληματίες στον κυβερνοχώρο δεν θα μπορούσαν να αντιμετωπίσουν προβλήματα. Τι συμβαίνει όμως όταν τα δεδομένα σύνδεσής σας πέσουν σε λάθος χέρια;

Ερευνητές από το Digital Shadows αποφάσισαν να το μάθουν. Χθες, εξέδωσαν μια έκθεση στην οποία παρακολουθούν συνολικά 15 δισεκατομμύρια διαπιστευτήρια που διέρρευσαν κατά τη διάρκεια περισσότερων από 100 χιλιάδων παραβιάσεων δεδομένων που καταγράφηκαν τα τελευταία δύο χρόνια.

Τα διαπιστευτήρια σύνδεσης πωλούνται συνεχώς

Είναι εύκολο να υποθέσουμε ότι μόλις κλέψουν το όνομα χρήστη και τον κωδικό πρόσβασής σας, το πρώτο πράγμα που θα έκανε ένας εγκληματίας στον κυβερνοχώρο είναι να συνδεθεί στον λογαριασμό σας. Τις περισσότερες φορές, ωστόσο, οι απατεώνες προσπαθούν να δημιουργήσουν έσοδα από τα παραβιασμένα δεδομένα, πωλώντας τα σε άλλους απατεώνες. Όπως θα δείτε τώρα, είναι μια πολύ κερδοφόρα επιχείρηση.

Τα διαπιστευτήρια σύνδεσης για κάθε είδους λογαριασμούς και υπηρεσίες αγοράζονται και πωλούνται σε φόρουμ ηλεκτρονικής εισβολής και σε αγορές με σκοτεινό ιστό. Δεν αποτελεί έκπληξη το γεγονός ότι μερικά από τα 15 δισεκατομμύρια ζεύγη ονόματος χρήστη και κωδικού πρόσβασης προσφέρθηκαν επίσης προς πώληση και οι ερευνητές της Digital Shadows παρακολούθησαν στενά τις λίστες για να μάθουν περισσότερα σχετικά με τη φύση των κλεμμένων δεδομένων και τα κέρδη που θα μπορούσε να αποφέρει.

Περίπου το ένα τέταρτο των διαπιστευτηρίων που προσφέρονται προς πώληση ξεκλειδώνουν λογαριασμούς σε τράπεζες ή άλλα χρηματοπιστωτικά ιδρύματα, γεγονός που αποδεικνύει, σαν να χρειάζονταν αποδείξεις, ότι τα κρύα μετρητά είναι το κύριο κίνητρο για τις περισσότερες εγκληματικές δραστηριότητες στον κυβερνοχώρο.

Το 13% των προσφερόμενων διαπιστευτηρίων προστατεύει λογαριασμούς σε υπηρεσίες ροής όπως το Netflix, το οποίο, για άλλη μια φορά, δεν είναι συγκλονιστικό. Σε σύγκριση με την πληρωμή μιας συνδρομής, η χρήση κλεμμένου κωδικού πρόσβασης είναι πολύ φθηνότερη, και συχνά, ο ιδιοκτήτης του παραβιασμένου λογαριασμού δεν παραμένει κανένας σοφότερος για μεγάλο χρονικό διάστημα.

Περίπου το ίδιο ποσοστό διαφημιζόμενων κωδικών πρόσβασης δίνει στους αγοραστές πρόσβαση σε υπηρεσίες διακομιστή μεσολάβησης και VPN. Αυτά θα μπορούσαν να είναι χρήσιμα εάν οι απατεώνες θέλουν να καλύψουν τα ίχνη τους κατά τη διάρκεια ή μετά από μια επίθεση στον κυβερνοχώρο.

Οι χάκερ πωλούν επίσης εκατομμύρια άλλους κωδικούς πρόσβασης που ανοίγουν οτιδήποτε από προφίλ κοινωνικών μέσων σε λογαριασμούς σε πλατφόρμες κοινής χρήσης αρχείων και ιστότοπους για ενήλικες.

Πόσο κοστίζει ο κωδικός πρόσβασής σας;

Η τιμολόγηση των κλεμμένων διαπιστευτηρίων βασίζεται στη σκληρή λογική. Όσο μεγαλύτερος είναι ο κωδικός πρόσβασης, για παράδειγμα, τόσο πιο πιθανό είναι να καταστεί άκυρος σύντομα (εάν δεν το έχει ήδη), και επομένως, τόσο φθηνότερος είναι. Η τιμή ενός συνόλου παραβιασμένων διαπιστευτηρίων εξαρτάται επίσης από τον τύπο λογαριασμού που ξεκλειδώνουν.

Στο ένα άκρο της κλίμακας, έχετε χάκερ που πωλούν κωδικούς πρόσβασης διαχειριστή δικτύου για οτιδήποτε από 3 χιλιάδες έως 140 χιλιάδες $. Αυτές οι τιμές φαίνονται αστρονομικές, αλλά σύμφωνα με τις διαφημίσεις, με τα διαπιστευτήρια που πουλήθηκαν, ο αγοραστής θα μπορούσε να αποκτήσει χωρίς περιορισμούς πρόσβαση στα εσωτερικά δίκτυα ορισμένων αρκετά μεγάλων οργανισμών. Η ζημιά και τα επακόλουθα κέρδη που μπορούν να γίνουν μετά από μια τέτοια επίθεση είναι πραγματικά τεράστια. Η πλειονότητα των παραβιασμένων λογαριασμών, ωστόσο, είναι προσωπικοί και επομένως είναι πολύ φθηνότεροι.

Προβλέψιμα, οι διαδικτυακοί κωδικοί πρόσβασης τραπεζικής έχουν υψηλότερη τιμή. Για άλλη μια φορά, εξαρτάται από διάφορους παράγοντες, αλλά οι Digital Shadows υπολόγισαν ότι, κατά μέσο όρο, ένα σύνολο διαπιστευτηρίων σύνδεσης για μια τράπεζα ή ένα χρηματοπιστωτικό ίδρυμα κοστίζει περίπου 71 $.

Απροσδόκητα, οι παραβιασμένες συνδρομές για προϊόντα κατά των ιών έχουν τη δεύτερη θέση. Κατά μέσο όρο, πωλούνται περίπου 21 $ ανά λογαριασμό, κάτι που δείχνει ότι οι χάκερ είναι πρόθυμοι να πληρώσουν για ασφάλεια.

Τα υπόλοιπα διαπιστευτήρια είτε πωλούνται χύμα με λιγότερα από 10 $ ανά σετ είτε μοιράζονται δωρεάν, και η προσιτή τιμή τους τα καθιστά ιδανικά για τους χάκερ που προσπαθούν να ξεκινήσουν επιθέσεις εμπιστοσύνης.

Η έκθεση Digital Shadows είναι μια πολύ ζοφερή υπενθύμιση της κατάστασης της ασφάλειας στον κυβερνοχώρο. Τα διαπιστευτήρια σύνδεσής σας διακυβεύονται σε καθημερινή βάση και η ταυτότητά σας ανταλλάσσεται στις υπόγειες αγορές για φιστίκια. Δεν φαίνεται ότι τα πράγματα πρόκειται να αλλάξουν σύντομα. Προφανώς, σε μόλις δύο χρόνια, ο αριθμός των ονομάτων χρήστη και των κωδικών πρόσβασης που κυκλοφόρησε έχει σημειώσει άλμα 300% και η συνεχής ροή παραβιάσεων δεδομένων και διαρροών που διαβάζουμε για κάθε μέρα δεν υποδηλώνει ότι η τάση πρόκειται να αφαιρεθεί.

July 9, 2020

Αφήστε μια απάντηση