กลุ่มแรนซัมแวร์ Unsafe อ้างว่าแฮ็กข้อมูล Deutsche Bank

กลุ่มแรนซัมแวร์ที่เรียกตัวเองว่า Unsafe อ้างความรับผิดชอบในการเจาะระบบของ Deutsche Bank หนึ่งในสถาบันการเงินที่ใหญ่ที่สุดในโลก และได้เผยแพร่สิ่งที่อ้างว่าเป็นหลักฐานฐานข้อมูลเพื่อสนับสนุนคำกล่าวอ้าง การละเมิดข้อมูลโดยแรนซัมแวร์ของ Deutsche Bank ที่ถูกกล่าวหานี้ ได้เปิดเผยข้อมูลประจำตัวของพนักงานและข้อมูลภายใน ก่อให้เกิดความกังวลในทันทีว่าข้อมูลเหล่านั้นอาจถูกนำมาใช้เป็นอาวุธในการโจมตีต่อเนื่องที่มุ่งเป้าทั้งธนาคารและลูกค้า

Deutsche Bank ยังไม่ได้ออกมายืนยันการละเมิดดังกล่าวต่อสาธารณะ ณ เวลาที่เขียน และขอบเขตทั้งหมดของเหตุการณ์ยังอยู่ระหว่างการสอบสวน แต่คำกล่าวอ้างเอง ซึ่งได้รับการสนับสนุนจากสิ่งที่ดูเหมือนตัวอย่างข้อมูลที่หลุดออกมา ก็มากพอที่จะเรียกร้องความสนใจอย่างจริงจังจากผู้เชี่ยวชาญด้านความปลอดภัยและผู้ใช้งานทั่วไป

สิ่งที่กลุ่มแรนซัมแวร์ Unsafe อ้างว่าขโมยไป

ตามรายงานที่อ้างอิงข้อมูลที่หลุดออกมา การละเมิดเกี่ยวข้องกับข้อมูลประจำตัวของพนักงาน โดยมีชุดข้อมูลเข้าสู่ระบบอย่างน้อย 353 ชุดที่ถูกละเมิด ข้อมูลดังกล่าวรวมถึงบันทึกภายในที่จะทำให้ผู้โจมตีมีแผนผังโดยละเอียดของโครงสร้างบุคลากรของ Deutsche Bank

สำหรับกลุ่มแรนซัมแวร์ ข้อมูลประเภทนี้มีจุดประสงค์สองประการ ประการแรก สามารถใช้โดยตรงเพื่อพยายามยึดบัญชีหรือเข้าถึงระบบองค์กรในเชิงลึกมากขึ้น ประการที่สอง สามารถขายหรือเผยแพร่เพื่อเป็นเครื่องต่อรอง กดดันองค์กรเป้าหมายให้จ่ายค่าไถ่เพื่อป้องกันการเปิดเผยเพิ่มเติม กลุ่ม Unsafe ดูเหมือนจะใช้กลยุทธ์ที่สอง โดยปล่อยตัวอย่างฐานข้อมูลที่ถูกกล่าวหาออกสู่สาธารณะเพื่อแสดงให้เห็นถึงความสามารถในการเข้าถึงและสร้างความเร่งด่วน

เป็นที่น่าสังเกตว่ากลุ่มแรนซัมแวร์มักจะพูดเกินจริงเกี่ยวกับขนาดของการละเมิดเพื่อเพิ่มแรงกดดันสูงสุด ถึงกระนั้น การรั่วไหลของข้อมูลพนักงานแม้เพียงบางส่วนก็มีความเสี่ยงต่อเนื่องอย่างมีนัยสำคัญ ซึ่งนำเราไปสู่ข้อกังวลที่เป็นประโยชน์มากขึ้น

ข้อมูลพนักงานที่รั่วไหลกระตุ้นการโจมตีแบบฟิชชิ่งและวิศวกรรมสังคมอย่างไร

เมื่อฐานข้อมูลชื่อพนักงาน ที่อยู่อีเมล ตำแหน่งงาน และข้อมูลประจำตัวปรากฏบนเว็บสาธารณะ มันไม่ได้เป็นภัยคุกคามเฉพาะองค์กรที่ถูกละเมิดเท่านั้น แต่มันสร้างชุดเครื่องมือสำหรับผู้โจมตีที่มุ่งเป้าหมายทุกคนที่เชื่อมโยงกับองค์กรนั้น รวมถึงลูกค้า คู่ค้า และผู้ขาย

แคมเปญฟิชชิ่งที่สร้างขึ้นจากข้อมูลพนักงานจริงนั้นน่าเชื่อถือมากกว่ากลโกงทั่วไปอย่างมาก ผู้โจมตีที่รู้ชื่อ แผนก และรูปแบบอีเมลภายในของพนักงาน Deutsche Bank คนใดคนหนึ่งสามารถสร้างข้อความที่ดูถูกต้องสมบูรณ์สำหรับผู้รับ ฟิชชิ่งแบบเจาะจงเป้าหมาย (spear-phishing) เช่นนี้ ซึ่งมุ่งเป้าเฉพาะแทนที่จะกระจายเป็นวงกว้าง เป็นสาเหตุของการโจมตีทางไซเบอร์ในองค์กรที่สำเร็จเป็นสัดส่วนใหญ่

วิศวกรรมสังคมยกระดับขึ้นไปอีก ผู้โจมตีสามารถแอบอ้างเป็นพนักงานเมื่อโทรหาแผนกช่วยเหลือด้านไอที ผู้ขาย หรือแม้แต่ลูกค้า โดยใช้รายละเอียดภายในจริงเพื่อผ่านการตรวจสอบยืนยัน นี่คือเหตุผลที่ การละเมิดข้อมูลของหน่วยงานบัตรประจำตัวฝรั่งเศสที่เปิดเผย 12 ล้านบัญชี ทำให้เกิดความกังวลไปไกลเกินกว่าตัวหน่วยงานเอง การรั่วไหลของข้อมูลสถาบันกระจายออกไปเป็นวงกว้าง และบุคคลที่อยู่ปลายสายโซ่นั้นแทบไม่ทันได้คาดคิด

การละเมิดของ Deutsche Bank เปิดเผยอะไรเกี่ยวกับความล้มเหลวด้านสุขอนามัยข้อมูลองค์กร

สถาบันการเงินเป็นหนึ่งในหน่วยงานที่มีการกำกับดูแลเข้มงวดที่สุดเมื่อพูดถึงความปลอดภัยของข้อมูล พวกเขาลงทุนอย่างมากในโครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์ ซึ่งทำให้การกล่าวอ้างว่ามีการละเมิดในระดับนี้เป็นที่น่าสังเกตมากกว่าเป็นเรื่องปกติ

สิ่งที่มักจะล้มเหลวไม่ใช่ปริมณฑลแต่เป็นภายใน ข้อมูลประจำตัวของพนักงานที่เก็บไว้ในฐานข้อมูลที่เข้าถึงได้ การควบคุมการเข้าถึงที่ไม่เพียงพอที่แบ่งส่วนระบบภายใน และการตรวจจับที่ล่าช้า ล้วนมีส่วนทำให้เกิดการละเมิดที่กลุ่มแรนซัมแวร์ที่มีความซับซ้อนสามารถใช้ประโยชน์ได้ เมื่ออยู่ในเครือข่ายแล้ว ผู้โจมตีมักจะสามารถเคลื่อนย้ายไปด้านข้างได้เป็นสัปดาห์หรือเป็นเดือนก่อนที่จะกระตุ้นสัญญาณเตือนใด ๆ ที่มองเห็นได้

การเปิดเผยข้อมูลประจำตัวที่รายงานในที่นี้ยังชี้ให้เห็นถึงปัญหาที่กว้างขึ้น: องค์กรมักเก็บข้อมูลพนักงานในรูปแบบรวมศูนย์ที่เข้าถึงได้มากเกินความจำเป็น การลดสิ่งที่จัดเก็บ ที่จัดเก็บ และใครที่เข้าถึงได้ จะลดความเสียหายที่การละเมิดครั้งเดียวสามารถก่อให้เกิดได้ นี่คือหลักการที่ใช้ได้โดยตรงกับธนาคารข้ามชาติเช่นเดียวกับธุรกิจขนาดเล็ก หรือแม้แต่บุคคลที่จัดการบัญชีของตนเอง

เหตุการณ์ข้อมูลขนาดใหญ่ เช่น การละเมิดของ Novo Nordisk ที่เกี่ยวข้องกับข้อมูลทางคลินิกที่ถูกขโมย 1.3TB ตอกย้ำว่าไม่มีภาคส่วนใดมีภูมิคุ้มกัน และปริมาณข้อมูลละเอียดอ่อนที่องค์กรสะสมไว้สร้างความเสี่ยงทบต้นเมื่อเวลาผ่านไป

ขั้นตอนปฏิบัติที่ผู้ใช้และธุรกิจสามารถดำเนินการเพื่อจำกัดความเสี่ยง

ไม่ว่าคุณจะทำงานในสถาบันขนาดใหญ่หรือเพียงแค่มีบัญชีกับสถาบันนั้น มีการดำเนินการที่เป็นรูปธรรมซึ่งควรค่าแก่การทำเพื่อตอบสนองต่อข่าวเช่นนี้

ตรวจสอบความเสี่ยงในการถูกละเมิดของคุณ บริการที่ตรวจสอบว่าที่อยู่อีเมลของคุณปรากฏในข้อมูลดัมพ์ที่รู้จักหรือไม่ สามารถแจ้งเตือนคุณเมื่อข้อมูลประจำตัวที่ผูกกับบัญชีของคุณกำลังหมุนเวียนออนไลน์ หากคุณมีความสัมพันธ์ใด ๆ กับ Deutsche Bank ให้ถือว่านี่เป็นสิ่งกระตุ้นให้คุณตรวจสอบความปลอดภัยของบัญชีของคุณ

เปลี่ยนรหัสผ่านและเปิดใช้งานการยืนยันตัวตนหลายปัจจัย หากรหัสผ่านเดียวกับที่คุณใช้ในการทำงานหรือธนาคารปรากฏที่อื่น ให้เปลี่ยนตอนนี้ การยืนยันตัวตนหลายปัจจัยลดมูลค่าของข้อมูลประจำตัวที่ถูกขโมยสำหรับผู้โจมตีได้อย่างมาก

จงสงสัยต่อการติดต่อที่ไม่คาดคิด ในช่วงหลายสัปดาห์หลังจากการละเมิดครั้งใหญ่ ความพยายามฟิชชิ่งที่เชื่อมโยงกับสถาบันนั้นมักจะเพิ่มขึ้น ปฏิบัติต่ออีเมล โทรศัพท์ หรือข้อความที่ไม่พึงประสงค์ใด ๆ ที่อ้างอิงถึงบัญชีของคุณ คำขอเร่งด่วน หรือข้อมูลภายใน ด้วยความสงสัยที่มากขึ้น แม้ว่ารายละเอียดจะดูถูกต้องก็ตาม

สำหรับธุรกิจ ตรวจสอบสิ่งที่คุณจัดเก็บ หากองค์กรของคุณเก็บข้อมูลพนักงานหรือลูกค้าในฐานข้อมูลแบบรวมศูนย์ นี่คือช่วงเวลาที่เป็นประโยชน์ที่จะถามว่าทั้งหมดจำเป็นต้องอยู่ที่นั่นหรือไม่ ใครเข้าถึงได้บ้าง และมีการตรวจสอบบันทึกการเข้าถึงหรือไม่

การกล่าวอ้างการละเมิดข้อมูลโดยแรนซัมแวร์ของ Deutsche Bank เป็นเครื่องเตือนใจว่าความปลอดภัยของข้อมูลสถาบันและความปลอดภัยดิจิทัลส่วนบุคคลไม่ใช่เรื่องที่แยกจากกัน เมื่อองค์กรขนาดใหญ่ถูกโจมตี ความเสี่ยงจะเดินทางไปไกลเกินกว่ากำแพงของพวกเขาเอง การตรวจสอบความเสี่ยงในการถูกละเมิดของคุณเองและปรับปรุงแนวปฏิบัติด้านความปลอดภัยส่วนบุคคลให้เข้มงวดขึ้นไม่ใช่การตอบสนองที่เกินเลย แต่เป็นการตอบสนองที่สมส่วนต่อวิธีที่เหตุการณ์เหล่านี้เกิดขึ้นจริง