εάν χρησιμοποιείτε την ίδια διεύθυνση ηλεκτρονικού ταχυδρομείου και τον ίδιο κωδικό πρόσβασης για τους ιστότοπους Α και Β και ο Α είναι hacked, οι απατεώνες θα προσπαθήσουν να χρησιμοποιήσουν τα κλεμμένα στοιχεία σύνδεσης για να αποκτήσουν πρόσβαση στον λογαριασμό σας στον ιστότοπο B.
"Αυτό που οι περισσότεροι άνθρωποι δεν συνειδητοποιούν είναι το φαινόμενο ντόμινο της ζημίας που μια ενιαία παραβίαση είναι ικανή να παράγει", δήλωσε ο Shape's CTO,, Shuman Ghosemajumder.
πηγή 20-7-18
https://www.theregister.co.uk/2018/07/20/credentials_login_slurp/
Μια τεχνική που ονομάζεται 'credential stuffing', χρησιμοποιούν χάκερ, για να παραβιάζουν τους λογαριασμούς.
οι καταναλωτές των online retailers (online λιανοπωλητές) χρειάζεται να αλλάζουν τακτικά τους κωδικούς πρόσβασης, για να αποφεύγουν την έκθεση τους, στους χάκερ, που προσπαθούν κακόβουλα, να αποκτήσουν πρόσβαση σε λογαριασμούς πελατών.
Οι ειδικοί ασφαλείας ανακάλυψαν ότι, το 90% των προσπαθειών σύνδεσης σε ιστότοπους ηλεκτρονικού εμπορίου, προέρχεται από εγκληματίες του κυβερνοχώρου, που προσπαθούν να αποκτήσουν πρόσβαση στις λεπτομέρειες λογαριασμού και πληρωμής των πελατών.
εκτός από το ηλεκτρονικό εμπόριο (91% της σύνδεσης), οι τράπεζες (58%), τα ξενοδοχεία (44%) και οι αεροπορικές εταιρείες (60%), είναι επίσης ιδιαίτερα στοχευμένες από τους χάκερ.
Δεν προκαλεί έκπληξη το γεγονός ότι οι απώλειες από την credential stuffing απάτη είναι υψηλές, και φθάνουν τα 6 δισεκατομμύρια δολάρια ετησίως μόνο στις ΗΠΑ, καθώς οι επιτιθέμενοι εκμεταλλεύονται την (account takeover) εξαγορά του λογαριασμού για να αγοράσουν αγαθά, να κάνουν πληρωμές εντός καταστήματος (in-store payments) ή να αγοράσουν κάρτες e-gift.
Οι προσωπικά αναγνωρίσιμες πληροφορίες [Personally Identifiable Information(PII)] που προκύπτουν από επιτυχείς επιθέσεις μπορούν επίσης να πωληθούν σε φόρουμ εγκληματιών.
Ένα πιο βαθύ ερώτημα είναι γιατί, οι εταιρείες δεν υιοθετούν καλύτερη ασφάλεια;
[Options here include mandatory use of multi-factor authentication (MFA), better detection of credential stuffing and more data sharing.]
Οι εγκληματίες του κυβερνοχώρου προσπαθούν να αποκτήσουν πρόσβαση σε έναν λογαριασμό του διαδικτύου, πλημμυρίζοντάς τον με emails και με κωδικούς πρόσβασης που διαρρέουν από προηγούμενες παραβιάσεις δεδομένων - μια πρακτική γνωστή ως'credential stuffing'.
Όσοι χρησιμοποιούν τον ίδιο συνδυασμό διευθύνσεων ηλεκτρονικού ταχυδρομείου και κωδικού πρόσβασης σε πολλές ηλεκτρονικές υπηρεσίες ενδέχεται να πέσουν θύματα αυτού του τύπου επίθεσης.
Ο τομέας του ηλεκτρονικού εμπορίου δαπανά περίπου 4,6 δισεκατομμύρια λίρες (6 δισεκατομμύρια δολάρια) ετησίως για τέτοιες πληρωμές απάτης, ενώ οι ξενοδοχειακές και αεροπορικές επιχειρήσεις υποφέρουν επίσης από ζημίες.
Η αμερικανική βιομηχανία (US consumer banking industry) αντιμετωπίζει ημερησίως απώλεια £ 38,4 εκατομμυρίων (50 εκατομμύρια δολάρια) από τέτοιες "credential stuffing" επιθέσεις, σύμφωνα με την εταιρεία Shape, που εδρεύει στην Καλιφόρνια, και διεξήγαγε την έρευνα.
Οι εγκληματίες χρησιμοποιούν ονόματα χρηστών και κωδικούς πρόσβασης που έχουν κλαπεί σε προηγούμενες "online hacks" και πουλήθηκαν στον σκοτεινό ιστό, για να προσπαθήσουν να αποκτήσουν πρόσβαση στους online λογαριασμούς.
Αυτή η τεχνική που είναι γνωστή ως «credential stuffing» μπορεί να είναι επιτυχής, με εξαιρετικό ποσοστό απόδοσης (μέχρι και πάνω από το 3% ), ισχυρίζονται οι ερευνητές.
Οι χάκερ μπορούν να αποκτήσουν τα "breached credentials", όπως τα ονόματα χρηστών και τους κωδικούς πρόσβασης, στο Dark Web - συχνά δωρεάν.
Οι περισσότεροι άνθρωποι ξαναχρησιμοποιούν τα ίδια credentials για πολλούς λογαριασμούς που διατηρούν ηλεκτρονικά, πράγμα που σημαίνει ότι όταν παραβιάζεται ένας λογαριασμός, οι άλλοι μπορεί επίσης να είναι ευάλωτοι.
Η καλύτερη άμυνα εναντίον αυτού του τύπου επίθεσης είναι να χρησιμοποιούμε έναν μοναδικό κωδικό πρόσβασης για κάθε τοποθεσία στην οποία έχουμε λογαριασμό.
Μπορούμε επίσης να ελέγξουμε αν παραβιάστηκαν οι λογαριασμοί μας χρησιμοποιώντας τον ιστότοπο I Have Been Pwned .
(Shape was co-founded ex-Pentagon employees and security contractors).
Σύμφωνα με την έκθεση της Shape, μπορεί να χρειαστούν έως και 15 μήνες για να ανακαλυφθεί μια εισβολή. Προσθέτει ότι ενώ η ασφάλεια στον κυβερνοχώρο μπορεί να βελτιώνεται, το σύνολο των παραβιάσεων παραμένει σταθερό από το 2016.
πηγή 19-7-18
http://www.dailymail.co.uk/sciencetech/article-5969783/Un-brie-lievable-Hackers-account-90-login-attempts-online-retailers.html
έγκλημα στον κυβερνοχώρο
Με τα εργαλεία hacking που είναι διαθέσιμα στο σκοτεινό Web μόνο για μερικές εκατοντάδες δολάρια, η on line επιχείρηση αντιμετωπίζει περισσότερες απειλές από ποτέ.
"Το μόνο που χρειάζεται o σημερινός εγκληματίας στον κυβερνοχώρο, είναι μερικές εκατοντάδες δολάρια και έναν υπολογιστή " λέει ο Simon Campbell-Young, MD της Credence Security.
η σκοτεινή αγορά είναι γεμάτη με εργαλεία και υπηρεσίες που μπορούν να χρησιμοποιηθούν για να διαπράξουν διάφορες επιθέσεις στον κυβερνοχώρο.
Οι κλοπές πιστωτικών καρτών και προσωπικών δεδομένων, τα επεξεργασμένα προφίλ κοινωνικών μέσων, ακόμη και τα διαβατήρια από ξένες χώρες είναι ελεύθερα διαθέσιμα στο εμπόριο, επιτρέποντας σε οποιονδήποτε να ξεκινήσει μια επίθεση στον κυβερνοχώρο.
Οι ηγέτες της ασφάλειας ανησυχούν για την κατασκοπεία στον κυβερνοχώρο και τις κρατικές επιθέσεις, αλλά ένας πολύ πραγματικός κίνδυνος προέρχεται από το έγκλημα που ως επιχείρηση παροχής υπηρεσιών, πουλάει τέτοια εργαλεία σε οποιονδήποτε
πηγή
https://www.itweb.co.za/content/lwrKxq3JbDmMmg1o
συνεργασία της EUROPOL με την Αστυνομία Κύπρου
επίσκεψη της Διευθύντριας της EUROPOL Catherine De Bolle στην Κύπρο, στις 27 Ιουλίου.
Σύμφωνα με ανακοίνωση της Αστυνομίας, η συνεργασία EUROPOL – Αστυνομίας Κύπρου καλύπτει ένα ευρύ φάσμα αντιμετώπισης διασυνοριακών απειλών όπως η τρομοκρατία, το διασυνοριακό έγκλημα, η διακίνηση ναρκωτικών, η νομιμοποίηση εσόδων από εγκληματικές δραστηριότητες, η οργανωμένη απάτη και η παράνομη διακίνηση ανθρώπων. Περιλαμβάνει επίσης νέους κινδύνους και απειλές όπως το έγκλημα στον κυβερνοχώρο και η εμπορία ανθρώπων.
Πηγή:
ΚΥΠΕ
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου