„Surfshark“: programišiai nutekina 5 mln. el. pašto adresų kasdien
Trys ketvirtadaliai adresų nutekinami kartu su slaptažodžiais, todėl tai daro realią žalą vartotojams – programišiai gali pasiekti kasdien žmonių naudojamas skaitmenines paskyras. Kibernetinio saugumo ekspertai išanalizavo, kokią įtaką žmonių gyvenimui turi sparčiai plintančios asmens duomenų nutekėjimo atakos
„Didžioji dalis atakų rengiamos siekiant finansinės naudos, nes sukaupti duomenys parduodami suinteresuotiems asmenims. Vis tik pasitaiko atvejų, kai siekiama padaryti ir kur kas rimtesnę – reputacinę žalą. Šių metų vietinės duomenų nutekėjimo atakos Lietuvoje parodė, jog daugumai žmonių trūksta žinių, kaip elgtis netekus asmens duomenų ir kokie padariniai laukia tinkamai neapsisaugojus“, – sako Vytautas Kaziukonis, „Surfshark“ vadovas.
Tyrimmo duomenimis, nuo 2004-ųjų kiekvienas interneto vartotojas vidutiniškai du kartus neteko el. pašto adreso ir slaptažodžio, o iš 100 žmonių vidutiniškai pusė parado vartotojo vardą ir slaptažodžių kodavimo sistemas, kurios gali padėti pasiekti ir pačius slaptažodžius.
„Šių duomenų kombinacijos vagystė ypač pavojinga, nes programišiams tai gali padėti pasiekti vartotojų naudojamas interneto paskyras ir asmens duomenis jose. Be to, socialinių tinklų paskyros dažnai naudojamos prisijungiant prie kitų – mobiliojo ryšio, namų ar net darbui skirtų – paslaugų puslapių. Gavus prieigą prie socialinių tinklų paskyros, tikėtina, jog nusikaltėliai galės prisijungti ir prie daugiau platformų“, – aiškina V. Kaziukonis.
Tyrimas taip pat atskleidė, kad iš 100 žmonių atakų metu vidutiniškai 18 neteko vardo ir pavardės, 16 – tik vardo, 14 – šalies, kurioje gyvena, pavadinimo, pavardės, gimimo datos ar lyties, 9 – telefono numerio. Tuo tarpu itin jautri informacija nutekinama itin retai. Tik 1 žmogus iš 100 neteko sveikatos ar finansinių duomenų – kredito reitingo, pajamų dydžio, ūgio ar kraujo grupės.
„Kuo daugiau asmens informacijos pasisavinama, tuo aiškesnį žmogaus paveikslą programišiai gali nupiešti. Tai leidžia nusikaltėliams kurti specialiai žmonių pomėgius, gyvenimo būdą ar situaciją atspindinčias socialinės inžinerijos atakas. Užmezgus asmeniškesnį pokalbį, žmonės lengviau apsigauna, nes mano, kad pasiūlymas iš tiesų skirtas jiems ir yra pasiruošę paprasčiau į nusikaltėlių rankas atiduoti savo asmeninius duomenis ar net pinigus“, – pasakoja V. Kaziukonis.
2021 m. gali būti rekordiškai sėkmingi programišiams – jau dabar užfiksuota penktadaliu daugiau atakų nei pernai, nors dar neprasidėjo didžiosios metų šventės, kurių metu nusikaltėliai suaktyvėja. Bet kas nutinka su nutekintais duomenimis?
V. Kaziukonis teigia, kad skirtingi duomenys gali sukelti skirtingas problemas – nuo nepageidaujamų žinučių iki tiesioginės finansinės žalos.
„Pavyzdžiui, jei nutekinamas vartotojo el. pašto adresas ir slaptažodis, šie duomenys gali būti pasitelkti vadinamosiose pakartotinio naudojimo atakose. Jų metu įsilaužėliai gauna vienos paskyros slaptažodį ir bando jį naudoti prisijungdami prie kitų paskyrų. Užuot praradę prieigą prie vienos paskyros, tokiu būdu vartotojai gali susidurti su daugybe papildomų problemų“, – aiškina ekspertas.
Jei nusikaltėliai gauna prieigą prie asmeninės ar verslo socialinių tinklų paskyros, taip pat dažnai vykdomos ir vadinamosios fišingo (angl. phishing) atakos. Jų metu žmonės masinami neįtikėtinais pasiūlymais, kuriais susižavėję netikėtai patenka į programišių rankas.
„Turbūt garsiausiai nuskambėjusi tokio tipo atako nutiko praėjusių metų liepą, kai buvo pagrobtos žinomų žmonių „Twitter“ paskyros. Jose pasirodė melagingos žinutės apie neva nemokamai vartotojams atgal dalinamas kriptovaliutas už jų suaukotus pinigus. Žinutėmis „pasidalino“ Donaldas Trumpas, Joe Bidenas, Barackas Obama, Kanye Westas ir kitos žvaigždės, tad nepatyrusiai akiai galėjo pasirodyti, kad pasiūlymas tikras. Šis pavyzdys rodo, kad tokio tipo atakos gali būti pavojingos ne tik duomenis praradusiam žmogui, bet ir jo aplinkai“, – sako V. Kaziukonis.
Fišingo atakos gali būti vykdomos ne tik įsilaužus į socialinių tinklų paskyras, bet ir išsiaiškinus telefono numerį ir žmogaus vardą. Tokiu būdu į telefoną lygiai taip pat gali būti siunčiamos melagingos žinutės su masinančiais pasiūlymais ir nepatikimomis nuorodomis.
Anot V. Kaziukonio, žmonės po truputį pradeda suprasti el. pašto ir slaptažodžių saugumo svarbą, bet vis dar nežino, kad ir kita asmeninė informacija programišiams gali būti taip pat naudinga.
Jei nutekinama itin jautri asmeninė informacija, kaip pavyzdžiui, vartotojo kredito reitingas, ūgis ar batų dydis, ji padeda programišiams sukurti konkrečiam žmogui skirtas ir pritaikytas atakas.
„Nutekėjus banko klientų kreditų reitingams, aukštą kredito reitingą turintys žmonės gali gauti, pavyzdžiui, su „sveikais“ finansiniais įpročiais susijusius pasiūlymus – investavimo galimybes, asmeninių finansų programėlių reklamą. O žemą reitingą turintys – masinančius greitųjų kreditų ar lengvo uždarbio pasiūlymus. Tokiais atvejais žmonės apgaule linkę patikėti lengviau, nes ji atspindi natūralius jų įpročius ir pomėgius, todėl neatrodo įtartina“, – aiškina V. Kaziukonis.
„Surfshark“ yra Lietuvoje įkurta pasaulinė privatumo apsaugos sprendimų kompanija. 2021 m. „Cybersecurity Excellence“ apdovanojimuose „Surfshark“ laimėjo aukso medalį ir pelnė novatoriškiausios metų saugos tarnybos titulą. Kompanijos kuriamas virtualus privatus tinklas „Surfshark VPN“ yra tarp trijų didžiausių pasaulyje ir vienas iš nedaugelio, kurį pripažįsta nepriklausomi saugumo ekspertai.
Rašyti komentarą