A Nedbank olyan adatszegést jelentett be, amely 1,7 millió ügyfelet érinthetett volna

Február elején a Dél-afrikai „négy nagy bank” egyikében, a Nedbanknél dolgozó informatikai szakértők megtudták, hogy egyes ügyfeleiket adatmegsértés sújtotta. Egy héten belül alaposan megvizsgálták az eseményt, és Mike Brown, a Nedbank vezérigazgatója beleegyezett abba, hogy a támadást egy CNBC Africa interjúban tárgyalják. Az egyik pillanatban azt mondta, hogy a Nedbank ügyfeleinek „nem kell másképpen csinálniuk”. De mi arra késztette őt, hogy ezt mondja? És ez ilyen jó tanács?

A közvetlen marketing társaságnál történt jogsértés 1,7 millió Nedbank ügyfelet érint

Az egyik első dolog, amelyet a Nedbank ügyfeleinek tudnia kell, hogy semmi nem utal arra, hogy bankjának informatikai biztonsága veszélybe került. A jogsértés a Computer Services Ltd. nevű harmadik fél szolgáltatónál történt, amelyet a Nedbank bérelt fel az ügyfelekkel e-mailen és SMS-ben történő kapcsolattartás céljából. A támadás jellegére vonatkozó technikai részletek gyakorlatilag nem léteznek, de megtudtuk, hogy egy pillanatban a hackerek hozzáférést szereztek néhány olyan kiszolgálóhoz, amely a Computer Features-hez tartozott, és a Nedbank felhasználói személyes adatait tárolták. A MyBroadband.co.za szerint 1,7 millió Nedbank ügyfél személyazonosító számát, telefonszámát, valamint fizikai és e-mail címét veszélyeztették.

A dolgok szempontjából sem a Nedbank, sem a Computer Facilities nem tudják, vajon ezeket az adatokat valóban ellopták-e, ám a rengeteg óvatosság miatt a bank kompromittáltként kezeli azokat. A potenciálisan érintett fiókokat felvetették egy csalási adatbázisba, és a Nedbank alkalmazottai jobban figyelemmel kísérik őket, hogy minden gyanús tevékenységet gyorsan és hatékonyan kezeljenek.

Interjújában a Nedbank vezérigazgatója ragaszkodott hozzá, hogy a bankszámlaszámokat, jelszavakat vagy PIN-eket nem sérti a jogsértés. Ezért úgy tűnik, úgy gondolja, hogy a Nedbank ügyfeleinek nem kell a szokásos módon semmit tenniük maguk védelme érdekében. Ennek ellenére van egy vagy két kérdés.

A Nedbank ügyfelei nem szabad alábecsülni a jogsértést

A számítógépes létesítményekből esetlegesen veszélyeztetett információk nem elegendőek ahhoz, hogy a hackerek ellopják a Nedbank ügyfelek bankszámláit, és Mike Brown többször kijelentette, hogy mindaddig, amíg az emberek nem adnak el olyan érzékeny információkat, mint például PIN-kódok, jelszavak és bankszámlaszámok, pénzük biztonságosnak kell lennie. Ez nagyon igaz, de azzal a kijelentéssel, hogy a Nedbank ügyfeleinek nem kell „valamit másképp csinálniuk”, Brown azt feltételezi, hogy általában az emberek elég éberesek, és nem lehet megtéveszteni, hogy megadják a bejelentkezési adataikat. A társadalomtechnikai támadások áldozatainak napi hatalmas száma azt mutatja, hogy ez nem igaz.

Noha évtizedek óta ez történik, az adathalászat továbbra is az egyik leghatékonyabb módszer a bejelentkezési hitelesítő adatok gyűjtésére. Minél hitelesebbek az e-mailek, annál nagyobb a siker esélye, és a számítógépes létesítményekben történt megsértésnek köszönhetően az Nedbank ügyfelek által kapott üzenetek meglehetősen meggyőzőek lehetnek.

Ha megkapták az adatokat, a csalók adathalász e-maileket készíthetnek, amelyek név szerint célozzák meg a célt, és képessé tehetik az üzeneteket, mintha a bankból származnának. Eközben a telefonszámok és a fizikai címek megléte megnyitja az egyéb csalások utat.

Más szavakkal: a számítógépes létesítményekben elkövetett jogsértéseknek köszönhetően a Nedbank ügyfelek számos támadás áldozatává válhatnak, amelyek közül néhány rendkívül kifinomult lehet. Ennek fényében valószínűleg Mike Brown döntése, miszerint az ügyfeleknek mindent megtesz, amit általában tesznek, nem volt ilyen jó ötlet. Az érintett ügyfeleknek tisztában kell lenniük a lehetséges veszélyekkel, és sok különös óvatossággal kell megközelíteniük a mindennapi feladatokat.