Παραβίαση της Charter από τους ShinyHunters: 4,9 εκατ. εγγραφές μέσω Vishing

Παραβίαση της Charter από τους ShinyHunters: 4,9 εκατ. εγγραφές μέσω Vishing

Η παραβίαση δεδομένων της Charter Communications επανέρχεται ως προειδοποιητικό παράδειγμα για σύγχρονες μεθόδους επίθεσης που κανένα τείχος προστασίας δεν μπορεί να σταματήσει. Η ομάδα εκβιασμού ShinyHunters δημοσίευσε δεδομένα που φέρεται να έχουν κλαπεί από την Charter Communications, τον τηλεπικοινωνιακό κολοσσό πίσω από την επωνυμία Spectrum, αφού η εταιρεία φέρεται να αρνήθηκε να πληρώσει λύτρα. Ενώ η ομάδα αρχικά ισχυρίστηκε 42 εκατομμύρια εγγραφές, η ανάλυση από το HaveIBeenPwned περιόρισε τις μοναδικές, επαληθευμένες εγγραφές πελατών σε περίπου 4,9 εκατομμύρια. Τα εκτεθειμένα δεδομένα περιλαμβάνουν ονόματα, διευθύνσεις κατοικίας και αριθμούς τηλεφώνου, το είδος των προσωπικών πληροφοριών που τροφοδοτούν επακόλουθες απάτες και στοχευμένη παρενόχληση.

Για τους χρήστες που ενδιαφέρονται για την ιδιωτικότητά τους, συμπεριλαμβανομένων εκείνων που βασίζονται σε VPN για την προστασία της διαδικτυακής τους δραστηριότητας, αυτή η παραβίαση αποτελεί υπενθύμιση ότι ορισμένα από τα πιο ευαίσθητα δεδομένα που παραδίδετε δεν ταξιδεύουν ποτέ μέσα από καμία κρυπτογραφημένη σήραγγα. Ζουν στο σύστημα χρέωσης του παρόχου σας.

Πώς οι ShinyHunters χρησιμοποίησαν Vishing για να παρακάμψουν την τεχνική ασφάλεια στην Charter

Ο φορέας της επίθεσης εδώ δεν ήταν κάποιο zero-day exploit ή ένα εξελιγμένο κομμάτι κακόβουλου λογισμικού. Σύμφωνα με το ρεπορτάζ για την επίθεση vishing των ShinyHunters που έπληξε την Charter, η ομάδα χρησιμοποίησε voice phishing, κοινώς γνωστό ως vishing, για να χειραγωγήσει υπαλλήλους ώστε να παραχωρήσουν πρόσβαση σε εσωτερικά συστήματα. Σε μια επίθεση vishing, οι δράστες καλούν απευθείας τους υπαλλήλους, υποδυόμενοι το προσωπικό τεχνικής υποστήριξης, διευθυντές ή αξιόπιστους προμηθευτές για να αποσπάσουν διαπιστευτήρια ή να πείσουν τους στόχους να εγκρίνουν δόλια αιτήματα πρόσβασης.

Αυτή η προσέγγιση είναι αποτελεσματική ακριβώς επειδή στοχεύει την ανθρώπινη λήψη αποφάσεων αντί για ευπάθειες λογισμικού. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων, τα εργαλεία ανίχνευσης τελικών σημείων και η παρακολούθηση δικτύου μπορούν όλα να καταστούν άσχετα όταν ένας εκπαιδευμένος κοινωνικός μηχανικός πείσει τον κατάλληλο υπάλληλο να παραδώσει τα κλειδιά οικειοθελώς. Οι τεχνικές άμυνες έχουν σχεδιαστεί για να σταματούν μηχανές· το vishing σταματά ανθρώπους αντ' αυτού.

Ποια δεδομένα εκτέθηκαν και γιατί οι ISP κατέχουν τόσα πολλά από αυτά

Οι πάροχοι υπηρεσιών διαδικτύου (ISP) καταλαμβάνουν μια μοναδικά προνομιακή θέση στο οικοσύστημα δεδομένων. Για να παρέχουν υπηρεσία, απαιτούν επαληθευμένες πληροφορίες ταυτότητας: το νόμιμο όνομά σας, τη διεύθυνση εξυπηρέτησης, τη διεύθυνση χρέωσης και τον αριθμό τηλεφώνου κατ' ελάχιστο. Ανάλογα με το ιστορικό του λογαριασμού, ενδέχεται επίσης να κατέχουν αρχεία πληρωμών, αναγνωριστικά συσκευών και μοτίβα χρήσης υπηρεσιών. Αυτά τα δεδομένα βρίσκονται σε βάσεις δεδομένων που πρέπει να είναι προσβάσιμες από εκπροσώπους εξυπηρέτησης πελατών, συστήματα χρέωσης και ομάδες τεχνικής υποστήριξης, το ακριβώς είδος πρόσβασης που μια επιτυχημένη επίθεση vishing μπορεί να ξεκλειδώσει.

Τα 4,9 εκατομμύρια αρχεία που επιβεβαιώθηκαν από το HaveIBeenPwned αντιπροσωπεύουν άτομα των οποίων οι πληροφορίες κυκλοφορούν τώρα σε δίκτυα μεσιτών δεδομένων και ενδέχεται να χρησιμοποιούνται για την κατασκευή περαιτέρω προσπαθειών phishing. Ακόμα κι αν ένα αρχείο περιέχει μόνο όνομα, διεύθυνση και αριθμό τηλεφώνου, αυτός ο συνδυασμός είναι αρκετός για να οικοδομήσει πειστικά προσχήματα για επακόλουθες απάτες που στοχεύουν απευθείας αυτά τα άτομα.

Γιατί τα VPN δεν προστατεύουν από επιθέσεις κοινωνικής μηχανικής

Ένα VPN κρυπτογραφεί την κίνηση που ρέει μεταξύ της συσκευής σας και του διαδικτύου, αποκρύπτοντας τη δραστηριότητα περιήγησής σας από τον ISP σας και αποτρέποντας την παρακολούθηση σε επίπεδο δικτύου. Αυτή είναι μια γνήσια και πολύτιμη προστασία. Αλλά δεν κάνει τίποτα για να προστατεύσει τα δεδομένα λογαριασμού που ο ISP σας κατέχει ήδη πριν από οποιαδήποτε σύνδεση.

Όταν εγγράφεστε σε υπηρεσία διαδικτύου, παραδίδετε προσωπικές πληροφορίες ως μέρος της συμβατικής σχέσης. Αυτά τα δεδομένα υπάρχουν στα συστήματα της Charter ανεξάρτητα από το αν χρησιμοποιείτε VPN στη σύνδεσή σας. Μια επίθεση vishing που στοχεύει το εσωτερικό προσωπικό της Charter δεν αλληλεπιδρά καθόλου με την κρυπτογραφημένη σας κίνηση· πηγαίνει απευθείας στη βάση δεδομένων όπου αποθηκεύονται τα αρχεία χρέωσης και λογαριασμού σας. Η παραβίαση δεδομένων της Charter Communications απεικονίζει έναν δομικό περιορισμό: οι χρήστες VPN δεν εξαιρούνται από παραβιάσεις δεδομένων ISP επειδή τα δεδομένα που κινδυνεύουν προϋπάρχουν οποιουδήποτε εργαλείου απορρήτου μπορεί να χρησιμοποιούν.

Αυτό δεν σημαίνει ότι τα VPN είναι αναποτελεσματικά. Σημαίνει ότι επιλύουν ένα συγκεκριμένο πρόβλημα και αυτό το πρόβλημα δεν είναι η κοινωνική μηχανική ή οι επιθέσεις εσωτερικής πρόσβασης.

Πρακτικά βήματα που μπορούν να λάβουν οι χρήστες που ενδιαφέρονται για την ιδιωτικότητα άμεσα

Εάν είστε πελάτης της Charter ή της Spectrum, το πιο άμεσο βήμα είναι να ελέγξετε αν τα αρχεία σας εμφανίζονται σε δημόσια διαθέσιμες βάσεις δεδομένων παραβιάσεων. Πέρα από αυτό, υπάρχουν συγκεκριμένες ενέργειες που αξίζει να αναλάβετε ανεξάρτητα από το αν εμφανίζεστε σε αυτό το συγκεκριμένο σύνολο δεδομένων.

• Προσοχή σε στοχευμένο vishing εναντίον σας προσωπικά. Οι εγκληματίες που αποκτούν το όνομά σας, τη διεύθυνση και τον αριθμό τηλεφώνου σας συχνά χρησιμοποιούν αυτά τα δεδομένα για να υποδυθούν την τράπεζά σας, τον ISP σας ή κυβερνητικούς φορείς σε επακόλουθες κλήσεις. Να είστε σκεπτικοί σε κάθε μη ζητηθείσα κλήση που σας ζητά να επιβεβαιώσετε στοιχεία λογαριασμού ή να εγκρίνετε οποιαδήποτε ενέργεια.
• Ενεργοποιήστε την επίγνωση πλαστογράφησης αριθμών. Το αναγνωριστικό κλήσης δεν είναι αξιόπιστος δείκτης του ποιος καλεί πραγματικά. Αντιμετωπίστε κάθε απροσδόκητη κλήση που ζητά ευαίσθητες πληροφορίες ως ύποπτη, ακόμα κι αν ο αριθμός φαίνεται οικείος.
• Χρησιμοποιήστε μοναδικά στοιχεία επικοινωνίας όπου είναι δυνατόν. Υπηρεσίες που δημιουργούν καλυμμένους αριθμούς τηλεφώνου ή ψευδώνυμα email περιορίζουν το πόσο μία παραβίαση μπορεί να επεκταθεί σε άλλη.
• Ελέγξτε τον λογαριασμό σας ISP για μη εξουσιοδοτημένες αλλαγές. Εάν η διεύθυνση, ο αριθμός επικοινωνίας ή τα στοιχεία πληρωμής σας τροποποιήθηκαν εν αγνοία σας, αυτό θα μπορούσε να υποδηλώνει ότι κάποιος έχει ήδη χρησιμοποιήσει τα εκτεθειμένα δεδομένα σας.
• Παγώστε την πίστωσή σας αν δεν το έχετε ήδη κάνει. Αυτή η παραβίαση δεν φαίνεται να περιλαμβάνει αριθμούς κοινωνικής ασφάλισης με βάση τις τρέχουσες αναφορές, αλλά ο συνδυασμός εκτεθειμένων δεδομένων διεύθυνσης και τηλεφώνου με άλλα διαρρεύσαντα σύνολα δεδομένων είναι μια κοινή τακτική για κλοπή ταυτότητας.

Για μια πληρέστερη ανάλυση του χρονοδιαγράμματος της παραβίασης και του τι έχει επιβεβαιώσει δημόσια η Charter, η κάλυψη της επίθεσης vishing των ShinyHunters παρέχει βαθύτερο πλαίσιο για το πώς εκτυλίχθηκε το περιστατικό και τι έχει αποκαλύψει η εταιρεία.

Η παραβίαση δεδομένων της Charter Communications είναι μια υπενθύμιση ότι η προστασία της ιδιωτικότητάς σας απαιτεί σκέψη πέρα από οποιοδήποτε μεμονωμένο εργαλείο. Τα VPN, οι ισχυροί κωδικοί πρόσβασης και ο έλεγχος ταυτότητας δύο παραγόντων έχουν όλα σημασία, αλλά οι οργανισμοί με τους οποίους μοιράζεστε δεδομένα παραμένουν ένας παράγοντας κινδύνου εκτός του άμεσου ελέγχου σας. Η κατανόηση του πού ζουν τα δεδομένα σας και πώς μπορούν να προσπελαστούν είναι το πρώτο βήμα προς την αποτελεσματική διαχείριση αυτού του κινδύνου.