Μόλις τους τελευταίους μήνες έχουν αναφερθεί επιβεβαιωμένες λίστες με παραβιασμένους κωδικούς πρόσβασης που κυκλοφορούσαν στο dark web και σε εγκληματικά φόρουμ, οι οποίες αυξήθηκαν από 800 εκατομμύρια σε 1,7 δισεκατομμύρια και έφτασαν ακόμη και τα 2,1 δισεκατομμύρια, κυρίως εξαιτίας της εκρηκτικής εξάπλωσης των επιθέσεων από infostealer malware.
Αλλά μια νέα έκθεση ξεπέρασε ακόμα και αυτά τα σοκαριστικά στατιστικά, αναλύοντας 19 δισεκατομμύρια τέτοιους κωδικούς που είναι διαθέσιμοι στο διαδίκτυο αυτή τη στιγμή, σε οποιονδήποτε χάκερ θελήσει να τους εκμεταλλευτεί.
Το συμπέρασμα είναι ότι πρέπει να αναλάβετε δράση τώρα, ώστε να μην πέσετε θύμα στην επιδημία των αυτόματων εργαλείων παραβίασης κωδικών.
Το πρόβλημα με τους 19 δισεκατομμύρια εκτεθειμένους κωδικούς
Φανταστείτε να έχετε πρόσβαση σε 19.030.305.929 κωδικούς πρόσβασης που παραβιάστηκαν μέσω διαρροών και επιθέσεων μέσα σε διάστημα μόλις 12 μηνών, από τον Απρίλιο του 2024 και να σχετίζονται με 200 περιστατικά ασφάλειας στον κυβερνοχώρο.
Φανταστείτε επίσης ότι περιλαμβάνονται μόνο πηγές στις οποίες υπήρχαν διαθέσιμες και οι σχετικές διευθύνσεις email μαζί με τον κωδικό. Και ξεχάστε τις συνήθεις λίστες όπως το RockYou – αυτές πλέον θεωρούνται αναποτελεσματικές από τους χάκερς. Αυτή η βάση δεδομένων περιλαμβάνει μόνο κωδικούς που έχουν δημοσιευθεί δημόσια σε εγκληματικά φόρουμ.
Μόλις αφομοιώσετε όλα αυτά, μπορείτε να κατανοήσετε το μέγεθος και τη σοβαρότητα αυτής της υπόθεσης, ειδικά για όσους έχουν εγκληματικές προθέσεις.
Η ανάλυση, που δημοσιεύτηκε στις 2 Μαΐου από την ερευνητική ομάδα του Cybernews, είναι αποκαλυπτική. Είναι τόσο εκτενής και ανησυχητική από άποψη ασφάλειας στον κυβερνοχώρο, που δύσκολα αποφασίζει κανείς από πού να ξεκινήσει. Ας αρχίσουμε λοιπόν από το βασικό: τεμπελιά και επαναχρησιμοποίηση κωδικών.
Από τα 19 δισεκατομμύρια εκτεθειμένα credentials, μόνο το 6% – ή 1.143.815.266 για τους ακριβείς – ήταν μοναδικοί κωδικοί πρόσβασης. Το υπόλοιπο 94% χρησιμοποιήθηκε ξανά σε πολλούς λογαριασμούς και υπηρεσίες, είτε από το ίδιο άτομο είτε από διαφορετικούς χρήστες. Και εκεί ακριβώς αρχίζει να «γυαλίζει το μάτι» των χάκερ, καθώς αντιλαμβάνονται το δυναμικό των λίστας αυτών των κωδικών.
Οι αδύναμοι κωδικοί διευκολύνουν τις επιθέσεις
Προσθέστε σε αυτό ότι το 42% των κωδικών ήταν πολύ μικροί, μόλις 8 έως 10 χαρακτήρες. Αυτό επιτρέπει ευκολότερες επιθέσεις brute force και credential stuffing. Και τα πράγματα γίνονται χειρότερα: το 27% των κωδικών αποτελούνταν μόνο από πεζά γράμματα και αριθμούς, χωρίς κανένα σύμβολο ή χρήση κεφαλαίων.
Αναλάβετε δράση τώρα για να μετριάσετε την απειλή
Σύμφωνα με τη Neringa Macijauskaitė, ερευνήτρια ασφάλειας πληροφοριών στο Cybernews, «το πρόβλημα με τους προεπιλεγμένους κωδικούς παραμένει ένα από τα πιο επίμονα και επικίνδυνα μοτίβα στα datasets παραβιασμένων διαπιστευτηρίων». Η ανάλυση αποκάλυψε 53 εκατομμύρια χρήσεις του «admin» και 56 εκατομμύρια του «password». Η αλλαγή αυτών είναι μια απλή αλλά πολύ αποτελεσματική κίνηση.
«Οι επιτιθέμενοι τα στοχεύουν κατά προτεραιότητα, καθιστώντας αυτούς τους κωδικούς τους λιγότερο ασφαλείς από όλους», ανέφερε η Macijauskaitė.
Μια άλλη βασική σύσταση είναι να μην επαναχρησιμοποιείτε ποτέ κωδικούς πρόσβασης. «Αν χρησιμοποιείτε τον ίδιο κωδικό σε πολλές πλατφόρμες, μια παραβίαση σε ένα σύστημα μπορεί να επηρεάσει την ασφάλεια όλων των άλλων λογαριασμών σας», προειδοποίησε. Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν κοινά μοτίβα κωδικών και να παρακάμψουν ακόμη και προηγμένα μέτρα ασφάλειας.
«Οι επιτιθέμενοι συλλέγουν συνεχώς τις πιο πρόσφατες λίστες credentials από διαρροές, infostealer malware και σπασμένα hashes που δημοσιεύονται δημόσια», κατέληξε η Macijauskaitė.
«Αυτά τα φρέσκα δεδομένα οδηγούν σε κύματα απόλυτα στοχευμένων επιθέσεων, που συχνά παρακάμπτουν τα παραδοσιακά συστήματα ασφαλείας».
Ανοιχτή επιστολή προς τη βιομηχανία κυβερνοασφάλειας – Σταματήστε το πρόβλημα των κλεμμένων κωδικών
Ο Paul Walsh, CEO της MetaCert και συνιδρυτής της πρωτοβουλίας Mobile Web του W3C, γνωρίζει καλά το πρόβλημα της κακόβουλης επικοινωνίας. Συμμετείχε στη δημιουργία διαδικτυακών προτύπων για την προστασία από τέτοιου είδους επιθέσεις. Σε συνομιλία του, αποκάλυψε ότι η τελευταία εθνική δοκιμή SMS phishing που πραγματοποιήθηκε τον Μάρτιο από τη MetaCert με συνεργασία παρόχων όπως οι AT&T, Verizon, T-Mobile και Boost Mobile, είχε τα αναμενόμενα απογοητευτικά αποτελέσματα.
«Κάθε phishing μήνυμα παραδόθηκε κανονικά», είπε ο Walsh. «Κανένα δεν μπλοκαρίστηκε, δεν επισημάνθηκε ούτε τροποποιήθηκε». Αυτό είναι ανησυχητικό, καθώς σύμφωνα με την ProofPoint, το 2024 οι περισσότερες πλατφόρμες phishing στρέφονται πλέον κατά προτεραιότητα σε κινητές συσκευές, αφήνοντας το email δεύτερο.
Δεδομένου ότι οι επιθέσεις phishing αποτελούν την αφετηρία για τις περισσότερες κυβερνοεπιθέσεις, η επίλυση του προβλήματος θα μπορούσε να μειώσει δραματικά το φαινόμενο των παραβιασμένων κωδικών.
Ο Walsh έχει πλέον συντάξει μια ανοιχτή επιστολή προς τη βιομηχανία κυβερνοασφάλειας αναρωτώμενος γιατί το πρόβλημα του SMS phishing δεν έχει ήδη λυθεί. «Η βιομηχανία διαθέτει πληθώρα ειδικών στην ασφάλεια email, την προστασία τερματικών και την άμυνα δικτύων», εξηγεί. «Αλλά στο θέμα της υποδομής και ασφάλειας SMS υπάρχει μια εμφανής έλλειψη εξειδίκευσης».
Η επιστολή του είναι μια έκκληση προς τους παρόχους ασφάλειας, που έχτισαν πολυδισεκατομμυριές επιχειρήσεις αντιμετωπίζοντας phishing στο email και τα εταιρικά δίκτυα. «Το πιο αξιόπιστο μέσο επικοινωνίας στον πλανήτη – το SMS – παραμένει ένας ανοιχτός, απροστάτευτος στόχος», καταλήγει ο Walsh.
«Οι εγκληματίες έχουν ήδη προσαρμοστεί πλήρως, αλλά η βιομηχανία αποτυγχάνει να ανταποκριθεί».
Εάν αυτό δεν αλλάξει άμεσα, με πλήρη κινητοποίηση της βιομηχανίας κυβερνοασφάλειας, θα συνεχίσουν να αναφέρονται παραβιάσεις κωδικών για πολύ καιρό ακόμη, όπως ήδη άλλωστε αναλύει και αναφέρει ο Davey Winder.
VIA: FoxReport.gr
