Atak hakerów na Epsilon

Przeczytaj także: Kradzież danych: $171 mln kary

Lista poszkodowanych firm jest już długa, ale zdaje się cały czas powiększać. Wsród przedsiębiorstw, które stały się ofiarami cyberataku, są między innymi: Hilton, American Express, BestBuy, Borders, Capital One, Citibank, Disney, The Home Shopping Network, JP Morgan Chase, Marriott Rewards, Ritz Carlton, TiVo, US Bank, Verizon i Visa.

Pierwszego kwietnia firma Epsilon wystosowała oficjalne oświadczenie, dodatkowo wysłano powiadomienia drogą mailową. Oprócz tego nie zostały ujawnione inne szczegóły dotyczące tego, w jaki sposób cyberprzestępcy uzyskali dostęp do danych.

Epsilon oświadczył, że nieautoryzowany dostęp zyskano do danych jedynie 2% klientów firmy, przy czym są to klienci, na rzecz których Epsilon świadczy usługi pocztowe. Lektura listy ujawnionych dotychczas poszkodowanych przedsiębiorstw może skłonić do zastanowienia się, czy cyberprzestępcy zdołali bez stresu przeszukać całą bazę danych i wyciągnąć jedynie to, co uważają za najbardziej wartościowe.

W każdym powiadomieniu mailowym oraz w oficjalnym oświadczeniu Epsilon zapewnia, że zostały „pozyskane” (czyli de facto skradzione) „jedynie” imiona, nazwiska i adresy e-mail oraz że inne dane, na przykład finansowe, są bezpieczne. Niestety, takie zapewnienie wprowadza w błąd i powoduje, że klienci nie są wystarczająco świadomi ryzyka.

Cyberprzestępcy znają nie tylko imiona i nazwiska oraz adresy mailowe klientów. Wiedzą także, gdzie te osoby robią zakupy, gdzie mają konta bankowe, w jakich hotelach bywają – a to nie jedyne zdobyte przez złodziei informacje. Jeśli dany klient otrzyma powiadomienie mailowe od wielu firm i instytucji to powinien mieć świadomość tego, że cyberprzestępcy mają do dyspozycji jego profil konsumencki.

Wraz z wyciekiem danych znacznie wzrosło ryzyko związane z atakami typu spear-phishing (phishing ze ściśle określoną grupą docelową). Dlatego klienci poszkodowanych firm powinni być wyjątkowo czujni kiedy otrzymują drogą mailową prośby o podanie danych osobowych.

Phishing nie jest jedyną przestępczą działalnością ułatwioną dzięki temu wyciekowi danych. Cyberprzestępcy dysponują kopalnią informacji - dlatego stworzenie wiarygodnych maili zawierających złośliwy kod jest dla nich dużo prostsze. Może wydawać się, że dana wiadomość pochodzi od znanej nam organizacji lub sklepu, w którym robimy zakupy. Tymczasem mail jest skonstruowany tak, by skłonić nas do kliknięcia na link.

W złożonej rzeczywistości cyberprzestępczości internetowej jesteśmy bardzo często jedno kliknięcie od niebezpieczeństwa – oprócz tego pierwszego działania nie jest potrzeba żadna inna aktywność użytkownika. Jeśli przestępcy mogą zająć nasze komputery, a dysponują już naszymi danymi osobowymi, mogą wyrządzić nam wiele szkód.

Trend Micro radzi:

• Należy zwracać szczególną uwagę na maile otrzymywane w najbliższych miesiącach, a może nawet latach
• Dane osobowe można podawać na stronie internetowej jedynie w przypadku, gdy korzysta się z własnej zakładki lub wpisuje się własnoręcznie adres strony (klikanie w linki zawarte w mailach jest niebezpieczne)
• Przed podaniem danych osobowych należy upewnić się, że połączenie jest zabezpieczone przez certyfikat SSL, a strona zaczyna się od “https://“. Jeśli połączenie nie jest szyfrowane nie powinno się ujawniać danych
• Przed podaniem jakichkolwiek szczegółów należy uważnie przeczytać zgodę na przetwarzanie danych osobowych. Jeśli cokolwiek wzbudza podejrzenia, należy ponownie przemyśleć decyzję o podpisaniu zgody
• Wszystkie firmy składujące lub przesyłające dane osobowe powinny zastosować szyfrowanie. W ten sposób pokazują, że dbają o dobro swoich klientów.