Od kilku ostatnich dni wielu użytkowników poczty internetowej odnajduje w swoich skrzynkach odbiorczych wiadomości, które mogą ich zaniepokoić. Nadawcy oznajmiają, że dany adres znalazł się wśród grupy kontaktów ujawnionych podczas cyberprzestępczego ataku na firmę Epsilon, dostawcę marketingowych baz danych. Wydarzenie to może być największym wyciekiem danych w historii.
Wśród przedsiębiorstw, które stały się ofiarami cyberataku, są między innymi: Hilton, American Express, BestBuy, Borders, Capital One, Citibank, Disney, The Home Shopping Network, JP Morgan Chase, Marriott Rewards, Ritz Carlton, TiVo, US Bank, Verizon i Visa.
Pierwszego kwietnia firma Epsilon wystosowała oficjalne oświadczenie, dodatkowo wysłano powiadomienia drogą mailową. W każdym powiadomieniu mailowym oraz w oficjalnym oświadczeniu firma zapewnia, że zostały pozyskane (czyli de facto skradzione) jedynie imiona, nazwiska i adresy e-mail oraz że inne dane, na przykład finansowe, są bezpieczne. Niestety, takie zapewnienie wprowadza w błąd i powoduje, że klienci nie są wystarczająco świadomi ryzyka.
Cyberprzestępcy znają nie tylko imiona i nazwiska oraz adresy mailowe klientów. Wiedzą także, gdzie te osoby robią zakupy, gdzie mają konta bankowe, w jakich hotelach bywają – a to nie jedyne zdobyte przez złodziei informacje. Jeśli dany klient otrzyma powiadomienie mailowe od wielu firm i instytucji to powinien mieć świadomość tego, że cyberprzestępcy mają do dyspozycji jego profil konsumencki.
Wraz z wyciekiem danych znacznie wzrosło ryzyko związane z atakami typu spear-phishing (phishing ze ściśle określoną grupą docelową). Dlatego klienci poszkodowanych firm powinni być wyjątkowo czujni kiedy otrzymują drogą mailową prośby o podanie danych osobowych.
Phishing nie jest jedyną przestępczą działalnością ułatwioną dzięki temu wyciekowi danych. Cyberprzestępcy dysponują kopalnią informacji – dlatego stworzenie wiarygodnych maili zawierających złośliwy kod jest dla nich dużo prostsze. Może wydawać się, że dana wiadomość pochodzi od znanej nam organizacji lub sklepu, w którym robimy zakupy. Tymczasem mail jest skonstruowany tak, by skłonić nas do kliknięcia na link. W złożonej rzeczywistości cyberprzestępczości internetowej jesteśmy bardzo często jedno kliknięcie od niebezpieczeństwa – oprócz tego pierwszego działania nie jest potrzeba żadna inna aktywność użytkownika. Jeśli przestępcy mogą zająć nasze komputery, a dysponują już naszymi danymi osobowymi, mogą wyrządzić nam wiele szkód.
Jak się ustrzec ataku?
– Należy zwracać szczególną uwagę na maile otrzymywane w najbliższych miesiącach, a może nawet latach
– Dane osobowe można podawać na stronie internetowej jedynie w przypadku, gdy korzysta się z własnej zakładki lub wpisuje się własnoręcznie adres strony (klikanie w linki zawarte w mailach jest niebezpieczne)
– Przed podaniem danych osobowych należy upewnić się, że połączenie jest zabezpieczone przez certyfikat SSL, a strona zaczyna się od “https://“. Jeśli połączenie nie jest szyfrowane nie powinno się ujawniać danych
– Przed podaniem jakichkolwiek szczegółów należy uważnie przeczytać zgodę na przetwarzanie danych osobowych. Jeśli cokolwiek wzbudza podejrzenia, należy ponownie przemyśleć decyzję o podpisaniu zgody
– Wszystkie firmy składujące lub przesyłające dane osobowe powinny zastosować szyfrowanie. W ten sposób pokazują, że dbają o dobro swoich klientów.
—-
Źródło: Trend Micro
Wpis z archiwalnej wersji. Przepraszamy za ewentualne zmiany.
Ta lektura to prawdziwy intelektualny przysmak.