Κυβερνοεπιθέσεις: Αυξάνεται το μέσο κόστος παραβίασης, αλλάζει ο τρόπος ασφάλισης

Οι κυβερνοεπιθέσεις δεν θα πρέπει να λογαριάζονται πια ως κάποια μεμονωμένα περιστατικά που απασχολούν λίγους. Η ραγδαία άνοδος της τεχνολογίας και η άρον άρον υιοθέτηση νέων εργαλείων – σύμφωνα με τις εκτιμήσεις κάποιων ειδικών, ιδιαίτερα εν μέσω πανδημίας – δημιουργεί πλέον πολύ σοβαρούς κινδύνους είτε όταν αναφερόμαστε σε προσωπικά δεδομένα είτε συστήματα μεγάλων οργανισμών και επιχειρήσεων.

Η διεθνής εμπειρία έχει καταγράψει σημαντικά περιστατικά που αποτέλεσαν χρήσιμα παραδείγματα για το μέλλον. Πίσω από πολλές επιθέσεις συναντάμε τον όρο social engineering (κοινωνική μηχανική), μια τακτική πίσω από μερικές από τις πιο διάσημες επιθέσεις.

Πρόκειται για μια μέθοδο που βασίζεται στην έρευνα και την πειθώ που είναι συνήθως στη ρίζα του spam, phishing, και spear phishing απατών, οι οποίες διαδίδονται μέσω ηλεκτρονικού ταχυδρομείου.

Ο σκοπός των επιθέσεων social engineering είναι να κερδίσει την εμπιστοσύνη του θύματος για να κλέψει δεδομένα και χρήματα. Τα περιστατικά Social engineering συχνά περιλαμβάνουν τη χρήση κακόβουλου λογισμικού, όπως ransomware και trojans.

Αυξήθηκε αισθητά το μέσο συνολικό κόστος παραβίασης

Από την άλλη πλευρά, σύμφωνα με τις τελευταίες εκτιμήσεις, η υιοθέτηση της απομακρυσμένης εργασίας και ο ψηφιακός μετασχηματισμός λόγω της πανδημίας του COVID-19 αύξησε το μέσο συνολικό κόστος περιστατικών παραβίασης, το οποίο έφτασε τα $4,24 εκατομμύρια.

Επίσης οι οργανισμοί που απασχολούσαν περισσότερο από το 50% του εργατικού δυναμικού τους εξ αποστάσεως χρειάστηκαν 58 ημέρες περισσότερο χρόνο για τον εντοπισμό και τον περιορισμό της παραβίασης (ΙΒΜ Cost of Data Breach Report 2021).

Με την εκρηκτική αύξηση των επιθέσεων ransomware, οι οποίες δεν περιορίζονται από γεωγραφικά όρια, και την  χρήση της τεχνητής νοημοσύνης και της μηχανικής μάθησης, οι επιθέσεις έχουν εξελιχθεί κάνοντας οποιαδήποτε εταιρεία δυνητικό θύμα τους, με αποτέλεσμα να αλλάξει ο τρόπος ανάληψης κινδύνου από τις ασφαλιστικές εταιρίες.

Η αλλαγή του τρόπου ανάληψης συνοδεύτηκε με μεγαλύτερο έλεγχο των τεχνικών και οργανωτικών μέτρωνκάθε εταιρείας για την αντιμετώπιση περιστατικών παραβίασης, με μείωση ορίων ασφαλιστικής κάλυψης, συνασφάλιση, αύξηση απαλλαγών και μεγάλες αυξήσεις ασφαλίστρων. Η αγορά της ασφάλισης πλέον έχει αλλάξει.

Όλα τα παραπάνω θα κυριαρχήσουν στην ατζέντα του Cyber Insurance & Incident Response Conference 2021 με θέμα Ransomware Ready, το οποίο θα διεξαχθεί στις 11 Νοεμβρίου 2021 σε μια ψηφιακή παραγωγή με την τεχνολογία LiveOn, από το καινοτόμο 3D εκθεσιακό και συνεδριακό της κέντρο, το LiveOn Expo Complex

Μεγάλα περιστατικά

Αναλυτικά όπως καταγράφονται στο σχετικό Οδηγό Ασφάλισης Cyber της ΕΑΕΕ, οι περιπτώσεις Social engineering που αναφέρονται παρακάτω δίνουν μια ιδέα για το πώς λειτουργούν αυτές οι επιθέσεις και πόσο δαπανηρές μπορούν να γίνουν για τις εταιρείες, τους ανθρώπους και τις κυβερνήσεις.

Shark Tank, 2020

Τηλεοπτική δικαστής εξαπατήθηκε για σχεδόν 400.000 δολάρια. Ένας κυβερνοεγκληματίας μιμήθηκε την βοηθό της και έστειλε ένα email στον λογιστή της ζητώντας μια πληρωμή που σχετίζεται με επενδύσεις σε ακίνητα. Χρησιμοποίησε μια διεύθυνση ηλεκτρονικού ταχυδρομείου παρόμοια με τη νόμιμη. Η απάτη ανακαλύφθηκε μόνο αφού ο λογιστής έστειλε ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη σωστή διεύθυνση του βοηθού ζητώντας λεπτομέρειες για τη συναλλαγή.

Toyota, 2019

Η Toyota Boshoku Corporation, προμηθευτής εξαρτημάτων αυτοκινήτων, έπεσε θύμα μιας επίθεσης social engineering το 2019. Τα χρήματα που χάθηκαν ανέρχονται σε 37 εκατομμύρια δολάρια. Χρησιμοποιώντας την πειθώ, οι επιτιθέμενοι έπεισαν ένα στέλεχος του οικονομικό τμήματος να αλλάξει τις πληροφορίες του τραπεζικού λογαριασμού του παραλήπτη σε ένα έμβασμα.

Cabarrus County, 2018

Λόγω του social engineering και της απάτης bec (business email compromise), η κομητεία Cabarrus, στις Ηνωμένες Πολιτείες, υπέστη απώλεια 1,7 εκατομμυρίων δολαρίων ΗΠΑ το 2018. Χρησιμοποιώντας κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου, οι χάκερ παριστάναν τους προμηθευτές της κομητείας και ζήτησαν πληρωμές σε νέο τραπεζικό λογαριασμό. Στα μηνύματα ηλεκτρονικού ταχυδρομείου, οι απατεώνες παρουσίασαν προφανώς νόμιμη τεκμηρίωση.

Ethereum Classic, 2017

Αρκετοί άνθρωποι έχασαν χιλιάδες δολάρια σε κρυπτονόμισμα μετά από την επίθεση χάκερ στην ιστοσελίδα Ethereum Classic, το 2017. Χρησιμοποιώντας social engineering , οι χάκερ μιμήθηκαν τον ιδιοκτήτη του Ethereum Classic, απέκτησαν πρόσβαση στο domain και, στη συνέχεια, ανακατεύθυναν το domain στον δικό τους διακομιστή. Οι εγκληματίες εξήγαγαν το κρυπτονόμισμα Ethereum από τα θύματα αφού εισαγάγανε έναν κωδικό (code injection) στον ιστότοπο που τους επέτρεπε να βλέπουν ιδιωτικά κλειδιά που χρησιμοποιούνται για συναλλαγές.

Democratic Party, 2016

Στις προεδρικές εκλογές των Ηνωμένων Πολιτειών το 2016 οι επιθέσεις spear phishing οδήγησαν στη διαρροή μηνυμάτων ηλεκτρονικού ταχυδρομείου και πληροφοριών από το Δημοκρατικό Κόμμα. Οι χάκερ δημιούργησαν ένα ψεύτικο μήνυμα ηλεκτρονικού ταχυδρομείου από το Gmail, καλώντας τους χρήστες, μέσω ενός συνδέσμου, να αλλάξουν τους κωδικούς πρόσβασής τους λόγω ασυνήθιστης δραστηριότητας. Στη συνέχεια, οι απατεώνες είχαν πρόσβαση σε εκατοντάδες μηνύματα ηλεκτρονικού ταχυδρομείου που περιείχαν ευαίσθητες πληροφορίες σχετικά με την εκστρατεία Κλίντον.

Ubiquiti Networks, 2015

Η Ubiquiti Networks, κατασκευαστής τεχνολογίας για δικτύωση, έχασε σχεδόν 40 εκατομμύρια το 2015, μετά από μια επίθεση ηλεκτρονικού “ψαρέματος”. Πιστεύεται ότι ένας λογαριασμός ηλεκτρονικού ταχυδρομείου υπαλλήλου έχει παραβιαστεί στο Χονγκ Κονγκ. Στη συνέχεια, οι χάκερ χρησιμοποίησαν την τεχνική της απομίμησης για να ζητήσουν δόλιες πληρωμές, οι οποίες έγιναν από το λογιστικό τμήμα.

Sony Pictures, 2014

Μετά από έρευνα, το FBI επεσήμανε ότι η κυβερνοεπίθεση στη Sony Pictures, το 2014, ήταν ευθύνη της κυβέρνησης της Βόρειας Κορέας. Χιλιάδες αρχεία, συμπεριλαμβανομένων επιχειρηματικών συμφωνιών, οικονομικών εγγράφων και πληροφοριών των εργαζομένων, κλάπηκαν. H Sony Pictures ήταν στόχος από χάκερ για να αντιγράψουν πληροφορίες από πιστωτικές και χρεωστικές κάρτες των πελατών.

Target, 2013

Ως αποτέλεσμα της παραβίασης δεδομένων της target, το 2013, οι χάκερ απέκτησαν πρόσβαση σε πληροφορίες πληρωμής 40 εκατομμυρίων πελατών. Μέσω ηλεκτρονικού “ψαρέματος”, οι εγκληματίες εγκατέστησαν ένα κακόβουλο λογισμικό σε μια συνεργαζόμενη εταιρεία της Target, το οποίο τους επέτρεψε να έχουν πρόσβαση στο δίκτυο του δεύτερου μεγαλύτερου καταστήματος λιανικής πώλησης πολυκαταστημάτων στις Ηνωμένες Πολιτείες. Στη συνέχεια, οι χάκερ εγκατέστησαν ένα άλλο κακόβουλο λογισμικό στο σύστημα της Target και μπόρεσα να κλέψουν πληροφορίες για πιστωτικές κάρτες.

South Carolina Department of Revenue, 2012

Οι χάκερ έκλεψαν εκατομμύρια αριθμούς κοινωνικής ασφάλισης και χιλιάδες πληροφορίες πιστωτικών και χρεωστικών καρτών από το Τμήμα Εσόδων της Νότιας Καρολίνας, το 2012. Οι υπάλληλοι έπεσαν θύματα σε αυτή την απάτη ηλεκτρονικού “ψαρέματος”, μοιράζοντας ονόματα χρηστών και κωδικούς πρόσβασής. Μετά από αυτό, με τα διαπιστευτήρια στα χέρια, οι χάκερ απέκτησαν πρόσβαση στο δίκτυο της κρατικής υπηρεσίας.

RSA, 2011

Η RSA, μια εταιρεία ασφαλείας, εκτιμάται ότι έχει δαπανήσει περίπου 66 εκατομμύρια δολάρια λόγω της παραβίασης δεδομένων της, το 2011. Η επίθεση ξεκίνησε με ένα έγγραφο του Excel, το οποίο στάλθηκε σε μια μικρή ομάδα υπαλλήλων μέσω ηλεκτρονικού ταχυδρομείου. Το θέμα ηλεκτρονικού ταχυδρομείου είχε τίτλο “Σχέδιο Προσλήψεων”. Το συνημμένο περιείχε ένα κακόβουλο αρχείο που άνοιξε μια κερκόπορτα για τους χάκερ

Leave a Reply

Your email address will not be published. Required fields are marked *

*