Pereiti į pagrindinį turinį

Šešėlinė pavogtų slaptažodžių ekonomika

Daniel Kelley
Stolen passwords

Duomenų saugumo pažeidimai ir kibernetinės atakos tapo ypatingai dažni. Panašu, kad kiekvieną savaitę šmėžuoja naujienų antraštės apie daugybę nutekintų duomenų ir asmeninės konfidencialios informacijos vagystes.

Visai neseniai „Roku“ įvykusios saugumo pažeidimo (prisijungimo duomenų kaupimo atakos) metu galimai buvo atskleista daugiau nei 15 000 naudotojų paskyrų duomenų. Po vėliau įvykusio incidento „Roku“ atskleidė, kad įsilaužėliai papildomai pasiekė maždaug 576 000 paskyrų.

Tačiau, pirmiausia, kaip tiksliai šie duomenys buvo pavogti? Ir kas jiems nutinka patekus į kibernetinių nusikaltėlių rankas? Pažvelkime atidžiau.

Būdai pavogti slaptažodžius ir asmens duomenis

Kibernetiniai nusikaltėliai naudojasi keliais populiariais būdais vogti slaptažodžius ir asmeninę informaciją.

Vogimo programinė įranga

Vogimo programinė įranga paprastai yra kenkėjiška programinė įranga, specialiai sukurta slaptažodžiams, kredito kortelių numeriams, kriptovaliutų piniginių raktams ir kitiems vertingiems duomenims kaupti, renkant juos iš užkrėstų kompiuterių. Dažniausiai ji platinama duomenų viliojimo el. laiškais, apgaunant naudotojus, kad šie atsisiųstų kenkėjiškus priedus, arba per nesaugias svetaines, kurios apsilankymo metu slapčia įdiegia kenkėjišką programinę įrangą. Kai tik vogimo programinė įranga užkrečia sistemą, ji kruopščiai nuskaito aukos naršykles, failus ir programėles bei ieško konfidencialios informacijos. Tada šie duomenys nepastebimai perkeliami į užpuoliko serverius, kur jie renkami ir sisteminami, siekiant juos parduoti kibernetinių nusikaltimų forumuose ir tinkluose.

Kenkėjiškos programos

Be vogimo programinės įrangos, slaptažodžiams ir asmens duomenims vogti naudojami ir kiti kenkėjiškos programinės įrangos tipai, pvz., Trojos arkliai, šnipinėjimo programinė įranga bei klavišų paspaudimus registruojančios programos. Šios kenkėjiškos programos dažnai apsimeta teisėta programine įranga ir apgauna naudotojus, kad jie ją įdiegtų panaudojus netikrus naujinius arba įtikinamas socialinės inžinerijos schemas. Patekusi į sistemą, ši kenkėjiška programinė įranga tyliai veikia foniniu režimu, įrašo kiekvieną aukos spaudžiamą klavišą, periodiškai daro momentines ekrano kopijas ir net perduoda pasiektus failus ir duomenis. Laikui bėgant užpuolikas sukaupia išsamų aukos veiklų internete ir konfidencialios informacijos profilį be aukos žinios.

Duomenų bazės

Dar vienas dažnas būdas duomenims vogti yra patekus į nesaugias, viešai internete prieinamas duomenų bazes ir kodų saugyklas. Daug įmonių dėl neapsižiūrėjimo netinkamai sukonfigūruoja savo debesies saugyklas arba palieka numatytuosius prieigos valdiklius, tad kiekvienas užėjęs į duomenų bazę gali peržiūrėti ir atsisiųsti jos turinį.

Užpuolikai reguliariai nuskaito internetą ir ieško tokio neapsaugoto turto bei surenka visus rastus konfidencialius duomenis. Kai kuriais atvejais šiose neapsaugotose duomenų bazėse randami didžiuliai, pasiimti paruošti naudotojų slaptažodžių, asmeninės informacijos ir net finansinės informacijos lobiai.

Jei žvilgtelėsite aukščiau, pamatysite svetainę, kurioje galima peržiūrėti ir apsaugoti viešai rodomas saugyklas. Šioje platformoje teikiama visapusiška sąsaja, skirta identifikuoti ir tvarkyti visuomenei prieinamoms saugykloms, dažnai naudojamoms debesų paslaugose, pvz., AWS S3, „Google Cloud Storage“ ir „Azure Blob Storage“.

Šešėlinė pavogtų duomenų ekonomika

Kas nutinka duomenų saugumo pažeidimo metu pavogus slaptažodžių ir asmeninės informacijos? Šie duomenys greitai atsiranda tamsiajame internete ir kibernetinių nusikaltimų forumuose, kur verda šešėlinė ekonomika ir prekiaujama pavogtais duomenimis.

Jei naršytumėte šiuose neteisėtuose tinkluose, rastumėte nutekintų duomenų skyrių, kur kibernetiniai nusikaltėliai nuolat perka, parduoda ir dalijasi pavogtais slaptažodžiais ir asmeniniais įrašais.

Ką tik nutekintos duomenų bazės dažnai parduodamos aukcione už didžiausią pasiūlytą kainą arba jos įrašai parduodami už nustatytą kainą, atsižvelgiant į duomenų vertę. Pvz., duomenų bazė, kurioje yra išsami finansinė informacija arba išsamūs tapatybių profiliai, įkainojamai daug brangiau nei paprastas el. pašto adresų ir slaptažodžių sąrašas.

Kai kurie verslūs kibernetiniai nusikaltėliai net dalina pavogtas duomenų bazes dykai ir tai daro tam, kad susikurtų reputaciją bei išgarsėtų forumuose. Tokiuose „atiduodamų“ duomenų skyriuose pilna įsilaužėlių skelbimų, kur jie demonstruoja savo sugebėjimus ir pelno bendraminčių pagarbą. Jiems prestižas ir pripažinimas svarbesni nei pinigai, kuriuos uždirbtų parduodami duomenis.

Tačiau, be atskirų duomenų nutekinimų pardavimui yra didžiuliai per kelis saugumo pažeidimus nutekėjusių duomenų rinkiniai, teikiami patogiose duomenų bazėse su paieškos funkcija. Piktybiškai nusiteikę asmenys gali įsigyti kreditų ir pateikti tikslines užklausas, ieškodami konkretaus asmens informacijos visuose saugumo pažeidimų metu paslaugos surinktuose duomenyse. Šiame debesyje bloga linkintys asmenys sukuria neįtikėtinai išsamius potencialių taikinių profilius, koreliuoja duomenis, surinktus iš daugybės nutekinimų, ir sudaro išsamias dosjė. Toliau pateikiame kelis tokių duomenų bazių kompiliavimo paslaugų pavyzdžius.*

1. „DeHashed“

Gerai žinoma duomenų bazių kompiliavimo paslauga, kurioje yra daugiau nei 14 mlrd. įrašų iš tūkstančių saugumo pažeidimų. „DeHashed“ siūlo patogią paieškos sąsają, kuri padeda bloga linkintiems asmenims greitai ieškoti konkrečių asmenų ir peržiūrėti visus su jais susijusius pavogtus duomenis, įskaitant slaptažodžius, adresus, telefono numerius ir kt.

2. „Leaked.Domains“

„Leaked.Domains“ yra naujesnė paslauga duomenų bazių kompiliavimo erdvėje, pasižyminti kiek kitokiu duomenų sisteminimu pagal konkrečių svetainių saugumo pažeidimus. Bloga linkintys asmenys gali ieškoti konkretaus domeno ir matyti visus susietus duomenis, kurie buvo nutekinti iš tos svetainės, kad būtų lengviau taikytis į konkrečių paslaugų naudotojus.

Pavogtų duomenų keliamas pavojus įmonėms

Kai jau suprantame pavogtų duomenų eksploatavimo ciklą, gali kilti klausimas, kaip atskleistų slaptažodžių ir asmeninės informacijos krūva gali būti panaudota prieš įmonę. Aptarkime hipotetinį pavyzdį.

Įsivaizduokime, kad esame įsilaužėlis, besitaikantis į didelę „Fortune 500“ telekomunikacijų įmonę. Pirmasis dalykas, kurį reikėtų padaryti, tai ieškoti susijusių paskyrų keliose duomenų bazių kompiliavimo paslaugose. Išleidę kelis kreditus sužinotume šimtus tūkstančių užuominų: el. pašto adresų, slaptažodžių ir kitų asmens duomenų, susijusių su tos įmonės darbuotojais ir naudotojais.

Šiuos duomenis galima įkelti į lentelę ir analizuoti bei panaudoti galimai atakai. Daugeliu atvejų įmonė, į kurią įsilaužiama, nė nežino, kad konfidenciali informacija buvo atskleista, todėl mums tai yra didelis pranašumas.

Viena iš akivaizdžių taktikų būtų tiesiog išbandyti atskleistus slaptažodžius ir pažiūrėti ar su kuriais nors iš jų galime prisijungti prie konkretaus darbuotojo paskyrų. Žmonės yra įpročių vergai. Nors ir galėtų elgtis geriau, bet dauguma žmonių pakartotinai naudoja tuos pačius slaptažodžius keliose paslaugose. Užtenka vieno taip besielgiančio darbuotojo ir mes jau galime įkelti koją į įmonę.

Tačiau, net jei nė vienas slaptažodis netinka, vis tiek turime daug galima naudingos informacijos. Greičiausiai tarp nutekintų duomenų matome darbuotojo IP adresą ar telefono numerį. Galime ieškoti šios informacijos visose pavogtose duomenų bazėse, kuriose gali būti kitų su šiais asmens duomenimis susijusių paskyrų.

Pvz., jei atsitiktiniame forume randame su paskyra susieto darbuotojo namų adresą, o į tą forumą taip pat buvo įsilaužta, gali būti, kad gausime prieigą prie kito slaptažodžių rinkinio ir juos išbandysime su darbuotojo paskyromis. Arba galime naudoti surinktus duomenis ir sukurti ypatingai įtikinamą duomenų viliojimo el. laišką arba socialinės inžinerijos schemą bei apgauti darbuotoją, kad jis mums tiesiogiai suteiktų prieigą.

Taip po truputį galime sukurti savo taikinių įmonėje profilius ir dosjė bei galimai įkelti koją į įmonę ir išplėsti savo prieigą. Dabar galime pradėti kitas atakas ir užpulti serverius, pavogti pirminį programos tekstą arba įdiegti kenkėjišką programinę įrangą įmonės tinkle. Ir visa tai prasidėjo nuo pavogtų slaptažodžių ir asmens duomenų rinkimo.

Pakartotinio slaptažodžių naudojimo prevencija ir paskyrų apsauga

Kai tik jūsų slaptažodžiai nuteka į tamsųjį internetą, jie visam laikui tampa nesaugūs. O pasitelkę duomenų bazių kompiliavimo paslaugas, įsilaužėliai gali lengvai pasiekti didžiulius kiekius asmenis identifikuojančios informacijos ir pulti aukas. Siekiant apsaugoti save ir savo įmonę, svarbiausia kiekvienai paskyrai naudoti stiprius, unikalius slaptažodžius.

Tačiau ryžtas gali dingti prireikus kurti ir prisiminti sudėtingus dešimčių paskyrų slaptažodžius. Štai čia į pagalbą ateina slaptažodžių tvarkyklė. Slaptažodžių tvarkyklė generuoja, saugo ir automatiškai užpildo stiprius slaptažodžius, kad jums būtų paprasta naudoti unikalius, sunkiai įveikiamus prisijungimo duomenis su kiekviena paskyra.

Viena geriausių slaptažodžių tvarkyklių rinkoje yra „NordPass“. Ją sukūrė patikima „NordVPN“ kūrėjų komanda. „NordPass“ siūlo įvairių funkcijų, dėl kurių ji yra puikus pasirinkimas apsaugant paskyras, pvz., stiprių slaptažodžių generavimą, saugų šifravimą ir paprastą automatinį užpildymą.

Naudodami tokią slaptažodžių tvarkyklę, galite užtikrinti kiekvienos savo paskyros apsaugą stipriu, unikaliu slaptažodžiu. Net jei vienas slaptažodis nutekėtų duomenų saugumo pažeidimo metu, kitos paskyros liktų saugios.

Be to, „NordPass“ stebi nutekintų duomenų bazes ir įspėja, jei jose randa jūsų duomenų. Ši saugumo pažeidimų stebėjimo funkcija yra neatsiejama pažeidimų ataskaitos įrankio dalis. Jos paskirtis – aktyviai stebėti el. pašto adresų ir kredito kortelių informaciją, saugomą jūsų „NordPass“ paskyroje. Programa siunčia tikslius pranešimus, jei nutekinami kurie nors iš jūsų išsaugotų duomenų.

Galiausiai, siekiant identifikuoti galimus duomenų nutekėjimus, prisijungiant prie paslaugų galima naudoti unikalius el. pašto adresų pakaitalus. Pridėdami „+paslauga“ plėtinį el. pašto adrese (pvz., [email protected]), galite sukurti atskirą kiekvienos paskyros identifikatorių. Jei šiuo konkrečiu adreso pakaitalu būtų gauta brukalų arba jis būtų rastas nutekintų duomenų bazėje, tiksliai žinosite, kurios paslaugos paskyrai kilo pavojus.

Atkreipkite dėmesį, kad ne visose svetainėse leidžiama naudoti tokius el. pašto adreso pakaitalus, o sumanesnis įsilaužėlis vis tiek gali identifikuoti pagrindinį el. pašto adresą, pašalindamas „+service“ dalį. Tačiau šis būdas išlieka naudingas, siekiant stebėti, kurių paskyrų duomenys nutekėjo.

Kaip įmonės savininkas, galite įpareigoti naudoti slaptažodžių tvarkyklę. Norėdami išbandyti „NordPass Business“ 3 mėnesius nemokamai, spustelėkite čia ir pradėkite naudoti jau šiandien. Naudokite kodą „danielk“ – kredito kortelės nereikia.


*Pavyzdžiai teikiami tik informaciniais ir šviečiamaisiais tikslais. „NordPass“ neremia, nereklamuoja ir nepalaiko tokio elgesio bei nėra su tuo susijusi. Skaitytojams labai rekomenduojama laikytis visų galiojančių įstatymų ir reglamentų. Visi paminėti prekių ženklai yra jų atitinkamų savininkų nuosavybė.

Prenumeruokite „NordPass“ naujienas

Gaukite naujienas ir patarimus iš „NordPass“ tiesiai į savo el.pašto dėžutę