Kaspersky: Πώς οι κυβερνοεγκληματίες κατασκευάζουν ψεύτικες διαρροές δεδομένων
Οι διαρροές δεδομένων αποτελούν μια σημαντική και κλιμακούμενη πρόκληση για τις εταιρείες παγκοσμίως, ιδίως λόγω της αυξανόμενης επικράτησης του ransomware αλλά και της αυξανόμενης πολυπλοκότητας των κυβερνοεπιθέσεων.
Ωστόσο, αυτή η πρόκληση περιπλέκεται περαιτέρω από την εμφάνιση πλαστών διαρροών δεδομένων. Οι φορείς απειλών όχι μόνο διαπράττουν διαρροές και παραβιάσεις, αλλά και επωφελούνται από τη δημιουργία πλαστών. Οι επιπτώσεις τέτοιων κατασκευασμένων διαρροών είναι εκτεταμένες.
Μπορούν να βλάψουν ουσιαστικά τη φήμη των εμπλεκόμενων οργανισμών. Ακόμη και αν τελικά αποδειχθεί ότι τα στοιχεία που διέρρευσαν είναι ψευδή, η αρχική διάδοση παραπληροφόρησης μπορεί να προκαλέσει δυσμενή δημοσιότητα. Η Yuliya Novikova, Επικεφαλής του Digital Footprint Intelligence της Kaspersky, ρίχνει φως στη φύση των ψεύτικων διαρροών και παρέχει συμβουλές για το πώς οι επιχειρήσεις μπορούν να μετριάσουν αποτελεσματικά τους σχετικούς κινδύνους.
Τι παρακινεί τους εγκληματίες του κυβερνοχώρου να κατασκευάσουν διαρροές δεδομένων;
Τα ιστολόγια ομάδων κυβερνοεγκληματιών, όπως οι LockBit, Conti, Clop και άλλες, βρίσκονται σταθερά στο επίκεντρο της προσοχής των μέσων ενημέρωσης. Κατά κάποιον τρόπο, αυτοί οι «bloggers» μπορούν να ανταγωνιστούν διασημότητες ή αστέρια του Instagram όσον αφορά τη δημοσιότητά τους. Τα ιστολόγιά τους φιλοξενούνται στο dark web και σε άλλους σκιώδεις ιστότοπους, ενώ ορισμένοι παράγοντες απειλών έχουν επίσης τις δικές τους σελίδες στο Twitter. Εκεί δημοσιεύουν οι κακόβουλοι φορείς πληροφορίες σχετικά με εταιρείες που έχουν πέσει θύματα πειρατείας και προσπαθούν να τις εκβιάσουν, απαιτώντας λύτρα και ορίζοντας αντίστροφη μέτρηση για την αποδέσμευση ευαίσθητων δεδομένων – όπως ιδιωτική επαγγελματική αλληλογραφία, διαπιστευτήρια σύνδεσης για εταιρικούς λογαριασμούς, πληροφορίες για εργαζομένους ή πελάτες κ.α.
Επιπλέον, οι εγκληματίες ενδέχεται να διαθέσουν δεδομένα προς πώληση, καθώς άλλοι παράγοντες απειλών μπορεί να ενδιαφέρονται να αγοράσουν τέτοιες πληροφορίες για περαιτέρω επιθέσεις σε εταιρείες.
Οι λιγότερο γνωστοί εγκληματίες του κυβερνοχώρου θέλουν επίσης να αποκτήσουν ένα κομμάτι τέτοιας φήμης, γεγονός που τους ωθεί να δημιουργούν ψεύτικες διαρροές. Τέτοιες διαρροές όχι μόνο προκαλούν δημοσιότητα και μία ανησυχητική αντίδραση από τη στοχευμένη επιχείρηση, αλλά χρησιμεύουν επίσης και ως γόνιμος τρόπος εξαπάτησης «συναδέλφων» στη μαύρη αγορά – και πώλησης σε άλλους εγκληματίες του κυβερνοχώρου κάτι που στην πραγματικότητα δεν είναι διαρροή. Οι αρχάριοι εγκληματίες του κυβερνοχώρου είναι πολύ πιο πιθανό να ξεγελαστούν από αυτό το τέχνασμα.
Ανεξάρτητα από το αν το χακάρισμα συνέβη πραγματικά ή όχι, μια αναφερόμενη διαρροή μπορεί να βλάψει τη φήμη της στοχευμένης επιχείρησης. Ωστόσο, η ζημιά μπορεί να ελαχιστοποιηθεί σημαντικά εάν η εταιρεία είναι έτοιμη να χειριστεί ένα περιστατικό που περιλαμβάνει ψεύτικη διαρροή δεδομένων (και, φυσικά, εάν είναι προετοιμασμένη να διαχειριστεί και μια πραγματική διαρροή δεδομένων). Είναι δυνατό να εντοπιστεί μια ψεύτικη ανάρτηση πριν τα μέσα ενημέρωσης αρχίσουν να αναφέρουν το περιστατικό, επιτρέποντας στην εταιρεία να μετριάσει προληπτικά την αναδυόμενη κρίση.
Ανάλυση και συγκέντρωση: χειρισμός βάσεων δεδομένων για να περάσουν ως διαρροές που ανακαλύφθηκαν πρόσφατα
Μια «ψεύτικη» διαρροή δεδομένων μπορεί να λάβει τη μορφή μιας «αναλυμένης» βάσης δεδομένων, η οποία περιλαμβάνει την εξαγωγή πληροφοριών από ανοιχτές πηγές χωρίς ευαίσθητα δεδομένα. Η ανάλυση στο Διαδίκτυο, επίσης γνωστή ως web scraping, αναφέρεται στην εξαγωγή κειμένου, εικόνων, συνδέσμων, πινάκων ή άλλων πληροφοριών από ιστότοπους. Με τη βοήθεια της ανάλυσης, οι φορείς απειλών μπορούν να συλλέγουν πληροφορίες για κακόβουλους σκοπούς, συμπεριλαμβανομένων των ψεύτικων διαρροών.
Το 2021, μια γνωστή πλατφόρμα δικτύωσης επιχειρήσεων αντιμετώπισε παρόμοια περίπτωση. Ένα υποτιθέμενο σύνολο δεδομένων των χρηστών της φαίνεται να τέθηκε προς πώληση στο dark web. Ωστόσο, τα αποτελέσματα της έρευνας που ακολούθησαν αποκάλυψαν ότι στην πραγματικότητα επρόκειτο για συγκέντρωση δεδομένων που προέρχονταν από δημόσια προσβάσιμα προφίλ χρηστών και άλλους ιστότοπους και όχι για παραβίαση δεδομένων. Αυτό πυροδότησε ένα κύμα δημοσιεύσεων στα μέσα ενημέρωσης, καθώς και στην κοινότητα του dark web.
Κάθε φορά που προκύπτουν προσφορές στο dark net που ισχυρίζονται ότι παρέχουν βάσεις δεδομένων που έχουν διαρρεύσει από δημοφιλή κοινωνικά δίκτυα όπως το LinkedIn, το Facebook ή το Twitter, είναι πολύ πιθανό να πρόκειται για πλαστές διαρροές που περιέχουν πληροφορίες που είναι ήδη διαθέσιμες δημόσια στο διαδίκτυο. Τέτοιες βάσεις δεδομένων μπορούν να κυκλοφορούν στο dark web για χρόνια, προκαλώντας περιστασιακά νέες δημοσιεύσεις και προκαλώντας ανησυχία στις εταιρείες για υποτιθέμενες νέες διαρροές.
Σύμφωνα με το Kaspersky Digital Footprint Intelligence, από το 2019 έως τα μέσα του 2021 υπήρχαν κατά μέσο όρο 17 δημοσιεύσεις τον μήνα σχετικά με διαρροές μέσων κοινωνικής δικτύωσης στο dark web, ενώ ξεκινώντας από το καλοκαίρι του 2021, όταν συνέβη η προαναφερθείσα περίπτωση με μια πλατφόρμα επιχειρηματικής δικτύωσης, ο αριθμός των αναρτήσεων αυξήθηκε σε 65 τον μήνα κατά μέσο όρο. Πολλά από αυτά τα μηνύματα, με βάση τα ευρήματά μας, μπορεί να είναι αναδημοσιεύσεις της ίδιας βάσης δεδομένων.
Ωστόσο, είναι σημαντικό να σημειωθεί ότι αυτές οι δραστηριότητες δεν σχετίζονται με μια εταιρεία που έχει παραβιαστεί ή με μια πραγματική επίθεση και δεν περιέχουν ευαίσθητες ιδιωτικές πληροφορίες, όπως κωδικούς πρόσβασης, πληροφορίες διαχείρισης ή πληροφορίες που δεν αποτελούν μέρος του δημόσιου προφίλ χρήστη (ημερομηνία εγγραφής ή τελευταίας επίσκεψης, διεύθυνση IP κ.λπ.). Μπορούμε όμως να παρατηρήσουμε ότι ακόμη και τέτοιες δραστηριότητες μπορούν να επηρεάσουν το τοπίο των μέσων ενημέρωσης και την εικόνα της εταιρείας.