Наприкінці січня передбачувані дані приблизно 50 мільйонів клієнтів Europcar були запропоновані на підпільному форумі. Europcar швидко відреагував і спростував, що це справжній файл.
Дані не узгоджуються, ані електронні адреси, зокрема, відомі Europcar. Хоча Europcar припустив, що ці дані були згенеровані за допомогою генеративного штучного інтелекту (наприклад, ChatGPT), інші дослідники безпеки вважають, що тут не працював ШІ. Однак спільним для них є думка, що ці дані були створені машинами. На форумі швидко виникла підозра, що дані, які пропонуються для продажу, не є достовірними, що зрештою призвело до блокування продавця на форумі. Якою б цікавою не була історія на перший погляд, погляд «за історію» відкриває інші цікаві аспекти:
Честь серед злочинців
Останніми роками в середовищі програм-вимагачів розповідається про нібито «честь» кіберзлочинців: якщо ви платите за розшифровку, «честь» злочинців вимагає, щоб вони також передали ключ; лише «честь» тут не те слово. Віддача ключа за викуп не має нічого спільного з честю. Це просто діловий інстинкт злочинців: якби повідомили, що ключ не було видано, незважаючи на оплату, це завдало б шкоди бізнесу, тобто чистий особистий інтерес і ніякої «честі».
Думка про те, що злочинці не зраджують один одному, більше пов’язана з прославленим оповіданням про Робін Гуда, ніж з фактами: у наведеному вище випадку злочинець намагався обдурити інших злочинців. Залишається сподіватися, що покупців поки не знайшлося. І те, що покупцям заборонено проходити через офіційну систему правосуддя, не означає, що немає жодних наслідків, яких варто побоюватися. У минулому подібні дії призводили до дуже сумних результатів. «Доксінг» (віртуальне викриття шахрая шляхом злому електронної пошти, публікації справжньої адреси, персосканів, публікації посилань тощо) — це лише початок. Інформація Doxing – це те, що ви бачите на форумах. Ви не бачите, що потенційно ошуканий злочинець робить з цією інформацією в реальному світі... можливо, на щастя.
Ви знаєте свої дані?
Можливо, більш цікавим аспектом з точки зору захисту є реакція Europcar. Europcar швидко і дуже чітко дав зрозуміти, що дані несправжні. Але цей інцидент також показує, що злочинці створюють підроблені дані – чи то для того, щоб продати їх (як у цьому випадку), чи то для того, щоб шантажувати ними потенційних жертв. І саме тут все стає захоплюючим. Уявіть собі, що компанія отримує (наприклад, після інциденту з програмою-вимагачем) чергове шантажне повідомлення на зразок «У нас є ваші дані! Додається приклад. Якщо ви не хочете, щоб вони були опубліковані…».
А тепер важливе питання: чи може компанія перевірити (вчасно), чи дані є справжніми? Чим довше триває процес прийняття рішення, тим більше нервує керівництво. І ця нервозність може підвищити ймовірність того, що платіж буде здійснено - як безвідмовне рішення.
Це призводить до двох важливих висновків для сторони захисту. По-перше, цей сценарій шантажу (імовірно) викраденими даними має бути включений до оцінки ризику. По-друге, заходи щодо зниження ризику або заходи перевірки (процеси, права доступу, люди) також повинні бути визначені заздалегідь. В іншому випадку дуже швидко може статися так, що, наприклад, призначена група реагування на інциденти не зможе досить швидко перевірити дані, оскільки, наприклад, бази даних технічно недоступні. Іншим аспектом, особливо коли йдеться про персональні дані, є, звичайно, GDPR. Як у такому випадку перевірити персональні дані, не порушуючи GDPR?
І те, і інше можна відносно легко визначити *заздалегідь*: у разі надзвичайної ситуації відповідний процес може бути здійснений упорядкованим чином. Якщо процес не визначений, часто спалахує великий хаос і паніка, в результаті чого заяву про те, чи дані шантажують, не можна зробити вчасно. Це в свою чергу збільшує ймовірність того, що шантажисти заплатять.
Дві поради
1) Приготуйтеся до шантажу (нібито) викраденими даними.
2) Заздалегідь визначте процеси, за допомогою яких служби реагування на інциденти зможуть швидко (технічно) і законно отримати доступ до даних (прочитати) у разі інциденту, щоб перевірити автентичність дампа.
Про Trend Micro Як один із провідних світових постачальників ІТ-безпеки, Trend Micro допомагає створити безпечний світ для обміну цифровими даними. Завдяки більш ніж 30-річному досвіду в галузі безпеки, глобальним дослідженням загроз і постійним інноваціям Trend Micro пропонує захист для компаній, державних установ і споживачів. Завдяки нашій стратегії безпеки XGen™ наші рішення отримують переваги від поєднання методів захисту між поколіннями, оптимізованих для передових середовищ. Інформація про мережеві загрози забезпечує кращий і швидший захист. Оптимізовані для хмарних робочих навантажень, кінцевих точок, електронної пошти, Інтернету речей і мереж, наші підключені рішення забезпечують централізовану видимість у всьому підприємстві для швидшого виявлення загроз і реагування.
Статті по темі