Alla fine di gennaio in un forum clandestino sono stati offerti i presunti dati di circa 50 milioni di clienti Europcar. Europcar ha reagito prontamente e ha negato che si trattasse di un file vero.
I dati non sono coerenti né gli indirizzi e-mail in particolare sono noti a Europcar. Mentre Europcar ha suggerito che questi dati siano stati generati utilizzando l’intelligenza artificiale generativa (ad esempio ChatGPT), altri ricercatori sulla sicurezza sono del parere che qui non sia intervenuta alcuna intelligenza artificiale. Ciò che hanno in comune, però, è l’idea che questi dati siano stati generati dalle macchine. Nel forum è sorto rapidamente il sospetto che i dati offerti in vendita non fossero autentici, il che alla fine ha portato al blocco del venditore nel forum. Per quanto interessante possa essere la storia a prima vista, uno sguardo “dietro la storia” rivela altri aspetti interessanti:
Onore tra i criminali
Una narrazione diffusa negli ultimi anni nell’ambiente dei ransomware riguarda il presunto “onore” dei criminali informatici: se si paga per la decrittazione, l’“onore” dei criminali impone che consegnino anche la chiave; Solo "onore" non è davvero la parola giusta qui. Rinunciare alla chiave per un riscatto non ha nulla a che fare con l'onore. Questo è semplicemente l'istinto commerciale dei criminali: se si diffondesse la voce che nonostante il pagamento non è stata consegnata alcuna chiave, ciò sarebbe dannoso per gli affari, cioè puro interesse e nessun "onore".
L'opinione che i criminali non si tradiscono a vicenda è dovuta più a una narrazione glorificata di Robin Hood che ai fatti: nel caso sopra, un criminale ha cercato di ingannare altri criminali. Si può solo sperare che non ci siano ancora acquirenti. E solo perché agli acquirenti è vietato passare attraverso il sistema giudiziario ufficiale non significa che non ci siano conseguenze da temere. In passato, azioni simili hanno portato a risultati molto poco raccomandabili. Il “doxing” (l'esposizione virtuale del truffatore attraverso l'hacking dell'account di posta elettronica, la pubblicazione dell'indirizzo reale, i persoscan, la pubblicazione di riferimenti, ecc.) è solo l'inizio. Le informazioni sul doxing sono ciò che vedi nei forum. Non vedi cosa fa un criminale potenzialmente ingannato con queste informazioni nel mondo reale... forse per fortuna.
Conosci i tuoi dati?
Forse l'aspetto più interessante dal punto di vista della difesa è la reazione di Europcar. Europcar ha chiarito in modo rapido e molto chiaro che i dati non erano reali. Ma l'incidente dimostra anche che i criminali producono dati falsi, sia per venderli (come in questo caso) sia per ricattare potenziali vittime. Ed è proprio qui che le cose si fanno interessanti. Immagina che un'azienda riceva (ad esempio dopo un incidente di ransomware) un altro messaggio di ricatto del tipo “Abbiamo i tuoi dati! In allegato un esempio. Se non vuoi che questi vengano pubblicati…”.
E ora la domanda cruciale: l’azienda è in grado di verificare (in modo tempestivo) se i dati sono reali oppure no? Quanto più lungo è il processo decisionale, tanto più nervosa può diventare la gestione. E questo nervosismo può aumentare la probabilità che il pagamento venga effettuato, proprio come una soluzione di sicurezza.
Ciò porta a due conclusioni importanti per la difesa. In primo luogo, questo scenario di ricatto con dati (presunti) rubati deve essere incluso nella valutazione del rischio. In secondo luogo, dovrebbero essere definite in anticipo anche misure di riduzione del rischio o di verifica (processi, diritti di accesso, persone). Altrimenti può accadere molto rapidamente che, ad esempio, il team di risposta agli incidenti incaricato non possa verificare i dati abbastanza rapidamente perché, ad esempio, i database non sono tecnicamente accessibili. Un altro aspetto, soprattutto quando si parla di dati personali, è sicuramente il GDPR. In tal caso, come è possibile verificare i dati personali senza violare il GDPR?
Entrambe le cose possono essere definite con relativa facilità *in anticipo*: in caso di emergenza, il processo corrispondente può essere eseguito in modo ordinato. Se il processo non viene definito, spesso scoppia il caos e il panico, per cui non è possibile stabilire tempestivamente se i dati siano stati ricattati. Ciò a sua volta aumenta la probabilità che i ricattatori paghino.
Due consigli
1) Preparati a essere ricattato con dati (presunti) rubati.
2) Definire in anticipo i processi con cui gli addetti alla risposta agli incidenti possono accedere rapidamente (tecnicamente) e legalmente ai dati (leggere) in caso di incidente per verificare l'autenticità di una discarica.
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.
Articoli relativi all'argomento