Kiristyshaittaohjelmaryhmä Unsafe väittää Deutsche Bankin tietomurrosta
Itsestään Unsafe-nimeä käyttävä kiristyshaittaohjelmaryhmä on ilmoittautunut Deutsche Bankiin, yhteen maailman suurimmista rahoituslaitoksista, kohdistuneesta tietomurrosta ja julkaissut väittämänsä mukaan tietokantatodisteita väitteensä tueksi. Väitetty Deutsche Bankin kiristyshaittaohjelmatietomurto on paljastanut työntekijöiden kirjautumistietoja ja sisäisiä tietoja, mikä herättää välittömiä huolia siitä, miten näitä tietoja voitaisiin käyttää aseena jatkohyökkäyksissä niin pankkia kuin sen asiakkaitakin vastaan.
Deutsche Bank ei ole tätä kirjoitettaessa julkisesti vahvistanut tietomurtoa, ja tapauksen koko laajuus on yhä tutkinnan alla. Pelkkä väite, jota tukevat vuodetuilta vaikuttavat tietonäytteet, riittää kuitenkin ansaitsemaan vakavaa huomiota niin tietoturva-ammattilaisilta kuin tavallisilta käyttäjiltäkin.
Mitä kiristyshaittaohjelmaryhmä Unsafe väittää varastaneensa
Vuodettujen tietojen perusteella laadittujen raporttien mukaan tietomurto koskee työntekijöiden kirjautumistietoja, ja ainakin 353 kirjautumistietosarjan kerrotaan vaarantuneen. Tietojen sanotaan sisältävän sisäisiä asiakirjoja, jotka antaisivat hyökkääjille yksityiskohtaisen kuvan Deutsche Bankin henkilöstörakenteesta.
Kiristyshaittaohjelmaryhmille tällainen tieto palvelee kahta tarkoitusta. Ensinnäkin sitä voidaan käyttää suoraan tilikaappausyrityksiin tai syvemmän pääsyn hankkimiseen yritysjärjestelmiin. Toiseksi se voidaan myydä tai julkaista painostuskeinona, jolla kohdeorganisaatiota painostetaan maksamaan lunnaita lisäpaljastusten estämiseksi. Ryhmä Unsafe näyttää käyttävän jälkimmäistä strategiaa ja julkaisee väitettyjä tietokantanäytteitä julkisesti osoittaakseen ulottuvuutensa ja luodakseen kiireen tuntua.
On syytä huomata, että kiristyshaittaohjelmaryhmät liioittelevat rutiininomaisesti tietomurtojen laajuutta maksimoidakseen painostuksen. Silti jo osittaisetkin työntekijätietovuodot kantavat merkittäviä jatkoriskejä, mikä tuo meidät käytännöllisempään huolenaiheeseen.
Miten vuodetetut työntekijätiedot ruokkivat tietojenkalastelu- ja sosiaalisen manipuloinnin hyökkäyksiä
Kun työntekijöiden nimiä, sähköpostiosoitteita, tehtävänimikkeitä ja kirjautumistietoja sisältävä tietokanta päätyy avoimeen verkkoon, se ei uhkaa ainoastaan murron kohteeksi joutunutta organisaatiota. Se luo työkalupakin hyökkääjille, jotka kohdistavat iskunsa kaikkiin tuohon organisaatioon yhteydessä oleviin, mukaan lukien asiakkaat, kumppanit ja toimittajat.
Aitoihin työntekijätietoihin perustuvat tietojenkalastelukampanjat ovat huomattavasti vakuuttavampia kuin geneeriset huijaukset. Hyökkääjä, joka tietää tietyn Deutsche Bankin työntekijän nimen, osaston ja sisäisen sähköpostimuodon, voi laatia viestin, joka näyttää vastaanottajasta täysin aidolta. Tällainen kohdennettu, ei massajakeluun perustuva, keihäskalastelu on syynä suureen osaan onnistuneista yrityksiin kohdistuvista kyberhyökkäyksistä.
Sosiaalinen manipulointi vie tätä pidemmälle. Hyökkääjät voivat esiintyä työntekijöinä soittaessaan IT-tukeen, toimittajille tai jopa asiakkaille ja käyttää aitoja sisäisiä tietoja läpäistäkseen varmennustarkistukset. Juuri tästä syystä 12 miljoonaa tiliä paljastanut Ranskan henkilötietoviraston tietomurto herätti huolta paljon virastoa laajemmalti. Institutionaaliset tietovuodot leviävät ulospäin, ja tämän ketjun päässä olevat yksilöt näkevät sen harvoin tulevan.
Mitä Deutsche Bankin tietomurto paljastaa yritysten tietohygieniapuutteista
Rahoituslaitokset kuuluvat tietoturvan suhteen säännellyimpiin toimijoihin. Ne investoivat huomattavasti kyberturvallisuusinfrastruktuuriin, minkä vuoksi tämän mittakaavan väitetty tietomurto on huomionarvoinen, ei rutiininomainen.
Se, mikä yleensä pettää, ei ole ulkokehä vaan sisäpuoli. Työntekijöiden kirjautumistiedot helposti saatavilla olevissa tietokannoissa, puutteelliset sisäjärjestelmiä eriyttävät käyttöoikeusrajoitukset ja viivästynyt havaitseminen vaikuttavat kaikki tietomurtoihin, joita kehittyneet kiristyshaittaohjelmaryhmät voivat hyödyntää. Päästyään sisään verkkoon hyökkääjät voivat usein liikkua sivuttaissuunnassa viikkoja tai kuukausia ennen kuin mikään näkyvä hälytys laukeaa.
Raportoitu kirjautumistietojen paljastuminen viittaa myös laajempaan ongelmaan: organisaatiot säilyttävät usein enemmän työntekijätietoja keskitetyissä, helposti saavutettavissa muodoissa kuin on tarpeen. Sen minimointi, mitä tallennetaan, missä se tallennetaan ja kuka sitä voi käyttää, pienentää vahinkoa, jonka yksittäinen tietomurto voi aiheuttaa. Tämä periaate pätee yhtä suoraan kansainväliseen pankkiin kuin pieneen yritykseen tai jopa yksityishenkilöön, joka hallinnoi omia tilejään.
Laajamittaiset tietovälikohtaukset, kuten Novo Nordiskin tietomurto, jossa varastettiin 1,3 TB kliinistä tutkimusdataa, vahvistavat, ettei mikään toimiala ole immuuni ja että arkaluonteisen tiedon määrä, jota organisaatiot keräävät, kasvattaa kumuloituvaa riskiä ajan myötä.
Käytännön toimenpiteitä, joilla käyttäjät ja yritykset voivat rajoittaa altistumistaan
Työskenteletpä suuressa laitoksessa tai sinulla on vain tili sellaisessa, on olemassa konkreettisia toimia, joihin kannattaa ryhtyä tällaisten uutisten myötä.
Tarkista altistumisesi tietovuodoille. Palvelut, jotka seuraavat, onko sähköpostiosoitteesi esiintynyt tunnetuissa tietovuodoissa, voivat hälyttää, kun tileihisi sidottuja kirjautumistietoja kiertää verkossa. Jos sinulla on minkäänlainen suhde Deutsche Bankiin, suhtaudu tähän kehotuksena tarkistaa tilisi turvallisuus.
Vaihda salasanat ja ota monivaiheinen todennus käyttöön. Jos samaa salasanaa, jota käytät töissä tai pankkiasioissa, esiintyy missään muualla, vaihda se nyt. Monivaiheinen todennus vähentää merkittävästi varastettujen kirjautumistietojen arvoa hyökkääjille.
Suhtaudu epäillen odottamattomiin yhteydenottoihin. Suurta tietomurtoa seuraavina viikkoina kyseiseen laitokseen liittyvät tietojenkalasteluyritykset tyypillisesti lisääntyvät. Suhtaudu korostuneen epäilevästi kaikkiin ei-toivottuihin sähköposteihin, puheluihin tai viesteihin, joissa viitataan tiliisi, kiireelliseen pyyntöön tai sisäisiin tietoihin, vaikka yksityiskohdat vaikuttaisivat täsmällisiltä.
Yrityksille: tarkasta, mitä tallennat. Jos organisaatiosi säilyttää työntekijä- tai asiakastietoja keskitetyissä tietokannoissa, tämä on käytännöllinen hetki kysyä, täytyykö kaiken olla siellä, kenellä on pääsy niihin ja valvotaanko käyttölokeja.
Väitetty Deutsche Bankin kiristyshaittaohjelmatietomurto on muistutus siitä, että institutionaalinen tietoturva ja yksilöllinen digitaalinen turvallisuus eivät ole erillisiä huolenaiheita. Kun suuret organisaatiot vaarantuvat, altistuminen ulottuu kauas niiden omien seinien ulkopuolelle. Oman tietovuotoaltistumisesi tarkistaminen ja henkilökohtaisten turvakäytäntöjesi tiukentaminen ei ole ylireagointia; se on oikeassa suhteessa oleva vastaus siihen, miten nämä välikohtaukset todella etenevät.




