Κυβερνοασφάλεια: Οι ειδικοί της Kaspersky κατά τη διάρκεια μιας ερευνάς με αφορμή έφεραν στο φως έναν τεράστιο όγκο κλεμμένων κωδικών πρόσβασης.
Ερευνώντας το dark web, και πιο συγκεκριμένα την αγορά παραβιασμένων στοιχείων σύνδεσης σε δημοφιλείς πλατφόρμες AI και gaming, οι ειδικοί σε θέματα κυβερνοασφάλειας διαπίστωσαν ότι:
Τα τελευταία τρία χρόνια, 34.000.000 προσωπικά στοιχεία χρηστών (username και κωδικοί πρόσβασης) στο Roblox παραβιάστηκαν από κακόβουλο λογισμικό και διέρρευσαν στο dark web.
Το 2023 ο αριθμός των κλεμμένων προσωπικών στοιχείων χρηστών του OpenAI αυξήθηκε κατά 33 φορές σε σύγκριση με το προηγούμενο έτος, καθώς 664.000 αρχεία με κωδικούς πρόσβασης, συμπεριλαμβανομένων εκείνων για το ChatGPT, αναρτήθηκαν στο dark web.
Τα εν λόγω στοιχεία κλάπηκαν με τη χρήση infostealers, ενός εξειδικευμένου κακόβουλου λογισμικού που έχει σχεδιαστεί για την κλοπή των προσωπικών δεδομένων του χρήστη, μολύνοντας ιδιωτικές αλλά και εταιρικές συσκευές μέσω phishing και άλλων μεθόδων.
Η εκμετάλλευση των κλεμμένων προσωπικών στοιχείων πρόσβασης καταλαμβάνει σημαντικό μέρος των αγοροπωλησιών στο dark web. Οι εγκληματίες του κυβερνοχώρου συνήθως ανταλλάσσουν λογαριασμούς από πληθώρα διαδικτυακών πλατφορμών ή υπηρεσιών. Αυτοί οι λογαριασμοί αρχικά παραβιάζονται μέσω κακόβουλων λογισμικών κλοπής δεδομένων. Στη συνέχεια τα δεδομένα αυτά δημοσιεύονται στο dark web με τη βοήθεια αρχείων καταγραφής infostealer, ενώ μπορούν να αξιοποιηθούν περαιτέρω ως κάτι πολύτιμο μεταξύ των εγκληματιών του κυβερνοχώρου.
Η Kaspersky διεξήγαγε έρευνα σχετικά με τις τάσεις σε αυτή την αγορά και παρέχει νέες πληροφορίες για το πώς οι επιχειρήσεις και οι ιδιώτες μπορούν να προστατευτούν από τις αντίστοιχες απειλές.
Οι κλοπές κωδικών πρόσβασης AI-υπηρεσιών αποτελούν σταθερή τάση
Οι κωδικοί πρόσβασης σε διάφορες εφαρμογές τεχνητής νοημοσύνης (επεξεργασία εικόνας, μετάφραση, σύνταξη κειμένου, chatbots και voice generators κ.α.) κινδυνεύουν ως αποτέλεσμα της αυξανόμενης χρήσης τους. Τα τελευταία τρία χρόνια, για παράδειγμα, περίπου 1.160.000 στοιχεία σύνδεσης υπεκλάπησαν από το Canva, μια διαδικτυακή εφαρμογή σχεδιασμού τεχνητής νοημοσύνης, με τη βοήθεια κακόβουλου λογισμικού.
Τα στοιχεία του Digital Footprint Intelligence της Kaspersky έδειξαν ότι τα προσωπικά δεδομένα αυτά εμφανίστηκαν σε φόρουμ στο dark web αλλά και σε κρυπτογραφημένα κανάλια στο Telegram. Παράλληλα, την ιδιά περίοδο, σε μια άλλη εφαρμογή συγγραφής, το Grammarly, κλάπηκαν περίπου 839.000 κωδικοί πρόσβασης χρηστών.
Παράλληλα, μεταξύ 2021 και 2023, το OpenAI, μία από τις δημοφιλέστερες εταιρείες τεχνητής νοημοσύνης, είδε να παραβιάζονται σχεδόν 688.000 στοιχεία σύνδεσης για τις εφαρμογές της εταιρείας (συμπεριλαμβανομένου του ChatGPT), ως αποτέλεσμα των δραστηριοτήτων infostealer και έπειτα δημοσιεύτηκαν στο dark web. Ειδικότερα, κατά το τελευταίο έτος ευρείας υιοθέτησης των chatbot, ο αριθμός των κωδικών πρόσβασης που διέρρευσαν αυξήθηκε κατά σχεδόν 33 φορές το 2023 σε σύγκριση με το προηγούμενο έτος, φθάνοντας περίπου τις 664.000.
Η δυναμική των διαπιστευτηρίων από τους λογαριασμούς των υπηρεσιών OpenAI που παραβιάστηκαν το 2021-2023 και διέρρευσαν στο dark web
«Οι εν λόγω παραβιάσεις προέρχονται από λογισμικό infostealer, μια εξειδικευμένη μορφή κακόβουλου λογισμικού που έχει σχεδιαστεί για την κλοπή των προσωπικών στοιχείων των χρηστών ή άλλες κακόβουλες δραστηριότητες. Τόσο οι ιδιωτικές όσο και οι εταιρικές συσκευές μπορούν να μολυνθούν από infostealers μέσω phishing emails ή δημόσιων ιστοσελίδων με κακόβουλο περιεχόμενο αλλά και με διαφόρους άλλους τρόπους», αναφέρει η Yuliya Novikova, επικεφαλής του Digital Footprint Intelligence της Kaspersky.
Πέρα από τον όγκο των παραβιασμένων λογαριασμών που αναφέρονται παραπάνω, η αγοροπωλησία προσωπικών στοιχείων στο dark web μπορεί να αναλυθεί και από τη σκοπιά της ζήτησης. Εξετάζοντας δηλαδή τον αριθμό των αναρτήσεων στις οποίες οι κακόβουλοι χρήστες προσφέρουν ή διατίθενται να αγοράσουν αρχεία infostealer που περιέχουν αυτά τα δεδομένα. Η ζήτηση για λογαριασμούς ChatGPT μεταξύ των κυβερνοεγκληματιών κορυφώθηκε τον Μάρτιο του 2023, μετά την κυκλοφορία της τέταρτης έκδοσης του δημοφιλούς chatbot. Έκτοτε, έχει σταθεροποιηθεί στο ίδιο επίπεδο με άλλες υπηρεσίες τεχνητής νοημοσύνης. «Αυτό υποδηλώνει ότι η ζήτηση για λογαριασμούς ChatGPT θα παραμείνει σταθερή. Η σημασία των ισχυρών λύσεων για την προστασία από επιθέσεις infostealer και άλλο κακόβουλο λογισμικό αυξάνεται τόσο για τους ιδιώτες όσο και για τις εταιρείες.
Για παράδειγμα, η εφαρμογή της Κaspersky παρακολουθεί τους παραβιασμένους λογαριασμούς στο dark web και ειδοποιεί τις εταιρείες σε περίπτωση που έχουν παραβιαστεί», εξήγησε η εμπειρογνώμονας της Κaspersky, Yuliya Novikova
Η δυναμική των δημοσιεύσεων στο dark web που πωλούν ή αγοράζουν λογαριασμούς από τρεις δημοφιλείς υπηρεσίες τεχνητής νοημοσύνης, 2022-2023.
Το Roblox σημειώνει ρεκόρ παραβιασμένων κωδικών πρόσβασης, αποτελώντας απειλή για τα παιδιά
Μεταξύ 2021 και 2023 σχεδόν 34.000.000 κωδικοί πρόσβασης στο Roblox παραβιάστηκαν και δημοσιεύτηκαν στο dark web, μετατρέποντας το παιχνίδι σε έναν εύκολο στόχο, μέσω infostealing λογισμικού. Είναι ενδεικτικό πως στο συγκεκριμένο παιχνίδι ο αριθμός των λογαριασμών που απειλείται αυξάνεται σταδιακά κάθε χρόνο: τα τελευταία τρία χρόνια, ο αριθμός αυτός αυξήθηκε κατά 231%, από περίπου 4.700.000 το 2021 σε 15.500.000 το 2023. Σε γενικές γραμμές, ο μέσος αριθμός των λογαριασμών που έχουν παραβιαστεί μεταξύ 11 άλλων τυχαίων δημοφιλών πλατφορμών ή παιχνιδιών – Twitch, Electronic Arts, Sony PlayStation και Steam για παράδειγμα – έχει αυξηθεί κατά 112% από το 2021.
Η δυναμική των λογαριασμών στο Roblox που παραβιάστηκαν μεταξύ 2021-2023. Source: Kaspersky Digital Footprint Intelligence
«Πίσω από τόσο μεγάλο όγκο παραβιάσεων προσωπικών στοιχείων στο Roblox κρύβεται το γεγονός πως τα παιδιά αποτελούν εύκολο στόχο, καθώς αυτές οι ηλικίες ομάδες είναι πιο εκτεθειμένες σε διαφόρους τρόπους χειραγώγησης. Για παράδειγμα, οι εγκληματίες του κυβερνοχώρου έχουν τη δυνατότητα να προσθέτουν infostealers σε αρχεία που περιέχουν cheat codes, εξαπατώντας τους νεαρούς ηλικιακά gamers. Σε ορισμένες περιπτώσεις, είναι δύσκολο κάποιος να διακρίνει την απάτη, καθώς οι σύνδεσμοι λήψης, που περιέχουν το κακόβουλο λογισμικό, αναρτώνται σε δημοφιλείς πλατφόρμες κοινωνικής δικτύωσης όπως το YouTube. Ως αποτέλεσμα, ένας σημαντικός αριθμός παραβιασμένων λογαριασμών έχει προκύψει από ένα παιχνίδι που απευθύνεται σε παιδιά», εξηγεί η Yuliya Novikova.
Παρότι υπάρχουν πολλές τέτοιες περιπτώσεις στο παιχνίδι Roblox, αυτό δεν αποτελεί τη βασική στόχευση των εγκληματιών. Άλλοι λογαριασμοί ίσως είναι πιο ελκυστικοί: για παράδειγμα, οι δημοσιεύσεις στο dark web οι οποίες εμπορεύονται λογαριασμούς στην πλατφόρμα Steam έφτασαν τις 10.000 μεταξύ 2021 και 2023, ενώ οι διαφημίσεις που σχετίζονται με κλεμμένους λογαριασμούς στο Roblox παρέμειναν κάτω από 150.
«Οι εγκληματίες στοχεύουν σε λογαριασμούς παιχνιδιών για να αποκτήσουν πρόσβαση σε τραπεζικούς λογαριασμούς ή και σε νομίσματα και διάφορα αντικείμενα εντός του παιχνιδιού. Οι λογαριασμοί στο Steam φαίνεται να είναι πιο ελκυστικοί για τους εγκληματίες του κυβερνοχώρου, καθώς υπάρχει η δυνατότητα να βρεθούν μεγάλα χρηματικά ποσά στον εκάστοτε λογαριασμό. Ωστόσο, στο παιχνίδι Roblox οι κακόβουλοι χρήστες κλέβουν το εικονικό νόμισμα Robux, ενώ ταυτόχρονα προχωρούν στην κλοπή εικονικών αντικειμένων εντός του παιχνιδιού, ή για την απόκτηση πρόσβασης σε λογαριασμούς premium που επιτρέπουν τη μεταφορά αντικειμένων σε άλλους λογαριασμούς. Παρότι είναι σημαντικό οι χρήστες να μην εφησυχάζονται, ταυτόχρονα οι διαχειριστές της εκάστοτε πλατφόρμας οφείλουν να ενισχύσουν την ασφάλεια, εντοπίζοντας και αποκλείοντας αμέσως τους παραβιασμένους λογαριασμούς μέσω εξειδικευμένων υπηρεσιών», προσθέτει η ειδικός Novikova.
Οδηγίες για το… άθραυστο password:
- Όσο μεγαλύτερος και με πολλούς χαρακτήρες, τόσο το καλύτερο: θα πρέπει να αποτελείται από τουλάχιστον 14-16 χαρακτήρες μεταξύ των οποίων θα πρέπει να είναι διαφορετικά γράμματα, συνδυάζοντας κεφαλαία και πεζά, σύμβολα και αριθμοί. Ωστόσο, έχει σημειωθεί ότι απλά αυξάνοντας τον κωδικό πρόσβασης σε έως και 18 χαρακτήρες μαζί, μπορεί να κατασκευαστεί ένα εντελώς άθραυστο κλειδί. Αυτή η πεποίθηση βασίζεται στον αριθμό των προσπαθειών που απαιτεί η πρακτική brute-force, όπου ο συνολικός αριθμός συνδυασμών είναι ίσος με τον αριθμό των χαρακτήρων πολλαπλασιασμένο με το μήκος τους.
- Εύκολο να θυμάστε, περίπλοκο να μαντέψετε: θα πρέπει να είναι ένας συνδυασμός που γνωρίζει μόνο ο χρήστης, επομένως συνιστάται να μην χρησιμοποιείτε προσωπικά στοιχεία όπως ημερομηνίες επετείων ή γενεθλίων ή ονόματα μελών της οικογένειας, καθώς αυτά είναι πιθανόν ευκολότερο να γίνουν αντιληπτά. Ένας απλός τρόπος για να δημιουργήσετε κωδικούς πρόσβασης που μπορεί να θυμάται ο καθένας είναι να δημιουργήσετε πλήρεις προτάσεις, είτε χρησιμοποιώντας κοινά είτε παράλογα σενάρια, όπως για παράδειγμα «meryhadalittlelamb», ή το ακόμα ασφαλέστερο ισοδύναμό του με διαφορετικούς χαρακτήρες «#M3ryHad@L1ttleL4m8».
- Μοναδικός και ανεπανάληπτος: δημιουργήστε έναν νέο κωδικό κάθε φορά που απαιτείται πρόσβαση σε μια υπηρεσία και αποφύγετε τη χρήση του ίδιου κωδικού πρόσβασης για διαφορετικές πλατφόρμες και εφαρμογές. Αυτό διασφαλίζει ότι σε περίπτωση παραβίασης ενός κωδικού πρόσβασης, η ζημιά θα είναι ελάχιστη και θα διορθωθεί πιο εύκολα και γρήγορα. Σύμφωνα με έρευνα της Google, τουλάχιστον το 65% των ερωτηθέντων επαναχρησιμοποιούν τους κωδικούς πρόσβασής τους σε πολλούς λογαριασμούς και web υπηρεσίες, γεγονός που αυξάνει τις πιθανότητες παραβίασης πολλαπλών πλατφορμών ή εφαρμογών.
- Πάντα ιδιωτικός: μια προϋπόθεση που μπορεί να φαίνεται βασική αλλά είναι σημαντικό να θυμάστε. Ένας κωδικός πρόσβασης δεν πρέπει να μοιράζεται με κανέναν και συνιστάται ιδιαίτερα να μην τον γράφετε οπουδήποτε κοντά στον υπολογιστή ή ακόμα και σε ένα αρχείο σε αυτόν. Για αυτήν την εργασία, μπορείτε να χρησιμοποιήσετε εργαλεία όπως διαχειριστές κωδικών πρόσβασης, οι οποίοι κάνουν την ίδια δουλειά, αλλά με πιο ασφαλή τρόπο.
- Η πραγματική ασφάλεια απέχει μόλις «δύο βήματα»: εκτός από έναν ισχυρό και ασφαλή κωδικό πρόσβασης, η χρήση ελέγχου ταυτότητας δύο παραγόντων (2FA) είναι μια σημαντική βελτίωση της ασφάλειας. Με αυτόν τον τρόπο, κάθε φορά που ένας εισβολέας ή ένα μη εξουσιοδοτημένο άτομο θέλει να αποκτήσει πρόσβαση στον λογαριασμό κάποιου άλλου, ο κάτοχος του λογαριασμού θα λαμβάνει μια ειδοποίηση στο κινητό του τηλέφωνο για να παραχωρήσει πρόσβαση ή όχι.
- Αλλάξτε τον ανά διαστήματα: μερικές φορές, ακόμη και μετά την τήρηση όλων αυτών των πρακτικών, συμβαίνουν περιστατικά πέρα από τις δυνατότητές μας, όπως διαρροές βάσεων δεδομένων της εταιρείας. Επομένως, συνιστάται να ελέγχετε περιοδικά εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου έχει πέσει θύμα ευπάθειας από τρίτο μέρος, καθώς και να προσπαθείτε να εντοπίσετε τους λογαριασμούς που ενδέχεται να έχουν παραβιαστεί. Για να γίνει αυτό, υπάρχουν εργαλεία δημόσιας πρόσβασης, όπως ο ιστότοπος Have I Been Pwned, τα οποία προσπαθούν να συγκεντρώσουν βασικές πληροφορίες σχετικά με αυτές τις διαρροές, προκειμένου να προσφέρουν υποστήριξη και βοήθεια στους χρήστες. Ομοίως, ακόμη και αν δεν έχουν παραβιαστεί, συνιστάται πάντα να ενημερώνετε τους κωδικούς πρόσβασης κάθε λίγους μήνες.
