روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ آیا واقعا از مقیاس حقیقیِ نشتی‌های داده خبر داریم؟ برای پی بردن به این موضوع، سال 2022 فهرستی درست کردیم از 700 شرکت در سراسر جهان فعال در صنایع مختلف صنعتی، مخابرات، مالی، خرده‌فروشی و غیره. بعد در دارک‌نت شروع کردیم به پیدا کردن جواب این سوال که می‌گوید «چقدر احتمال دارد شرکت‌ها نقض را تجربه کرده باشند؟». با ما همراه شوید.

هر سال اخباری می‌شنویم از نشتی‌های عظیم داده، بزرگ‌ترین نقض‌های داده و هک‌ها. برای مثال شاهد نقض داده Medibank، Optus ، توییتر و Uber و دستکاری Rockstar در سال 2022 بودیم و سال  2023 نیز نشتی داده در T-Mobile، MailChimp و  OpenAI را داشتیم. اما آیا واقعا از مقیاس حقیقی این جنس تهدیدها خبر داریم؟ برای پی بردن به این موضوع، سال 2022 فهرستی درست کردیم از 700 شرکت در سراسر جهان فعال در صنایع مختلف صنعتی، مخابرات، مالی، خرده‌فروشی و غیره. بعد در دارک‌نت شروع کردیم به این سوالِ «چقدر احتمال دارد شرکت‌ها نقض را تجربه کرده باشند؟» پاسخ دهیم. در جریان این تحقیق، متوجه شدیم پست‌های رایج حول فروش حساب‌ها، پایگاه‌های اطلاعاتی داخلی و اسناد به خطر افتاده، همراه با دسترسی زیرساخت‌های شرکتی می‌چرخند. گرچه دارک‌نت فروش انواع داده‌های مختلف را تسهیل می‌کند، به عنوان مثال، اطلاعات کارت بانکی، گواهینامه رانندگی و عکس های شناسایی و غیره، اما تمرکز ما در این مقاله بر روی سه تهدید فوق الذکر خواهد بود که به ویژه به شرکت‌ها ارتباط دارد. در نتیجه‌ی تحقیقات ما، متوجه شدیم که از 700 شرکت، 223 شرکت در Darknet در موضوعات مختلف مربوط به نقض داده‌ها ذکر شده است.

از نظر آماری، این یعنی هر شرکت سوم در پست های دارک‌وب مرتبط با فروش داده‌ها یا دسترسی‌ها ارجاع داده شده است، این درحالیست که از اخبار می دانیم حتی شرکت هایی با سطح بلوغ امنیت سایبری بالا هک شده‌اند. در ادامه مقاله، یک نمای کلی آماری ارائه می‌کنیم که شامل تمام پست‌های دارک‌وب در مورد فروش، خرید، یا توزیع رایگان حساب‌های در معرض خطر، داده‌های منشأ گرفته از نقض‌ها، و دسترسی‌های شرکتی از ژانویه 2022 تا نوامبر 2023 می‌شود. این تجزیه و تحلیل فراتر از دامنه شرکت‌های مشخص‌شده در تحقیق فوق است.

نقض داده

نقض داده‌ها اطلاعات محرمانه و حساس را افشا کرده و می‌تواند مشکلات بزرگی ایجاد کند. رایج‌ترین مثال پایگاه‌های اطلاعاتی و اسناد داخلی هستند، زیرا هر شرکتی با هر اندازه‌ای با داده‌های محرمانه که دارای قیمت است، کار می‌کند. این نشت می‌تواند بر خود شرکت، کارمندان و مشتریان تأثیر بگذارد. طبق گزارش Kaspersky DFI Portal، هر ماه حدود 1700 پست منحصربه‌فرد مربوط به فروش، توزیع یا خرید نقض داده ها در Darknet ظاهر می‌شود.

دسترسی‌های زیرساختی

یکی دیگر از انواع محبوب داده‌های فروخته شده در دارک نت، دسترسی های زیرساختی است. قبلاً تحقیق مستقلی در مورد این موضوع منتشر کردیم، بنابراین در اینجا فقط نکات اصلی را برجسته می‌کنیم. دلیل محبوبیت دسترسی به زیرساخت ساده است: حملات پیچیده تقریباً همیشه شامل چندین مرحله مانند شناسایی، دسترسی اولیه به زیرساخت، دسترسی به سیستم‌های هدف و/یا امتیازات، و اعمال مخرب واقعی (سرقت داده‌ها، تخریب یا رمزگذاری و غیره) می‌شوند. مراحل مختلف به تخصص‌های متفاوتی نیاز دارند، بنابراین مجرمان سایبری اغلب دارای تخصص هستند و کسی که به راحتی می‌تواند دسترسی داشته باشد ممکن است در توسعه حمله با مشکلاتی روبرو شود. در آن صورت، خرید دسترسی اولیه حمله را ساده می‌کند و برای مجرمان سایبری با تجربه مقرون به صرفه است.

برای کسب‌وکاری که می‌خواهد خطرات مربوط به فروش دسترسی به زیرساخت را کاهش دهد، اولین چالش این است که در مورد فروش اطلاعات کسب کند. تفاوت بزرگ این نوع داده در مقایسه با انواع دیگر این است که مجرمان سایبری ترجیح می‌دهند نام شرکت را در پیام ذکر نکنند تا دسترسی را از دست ندهند. حتی اگر کسی نامی را ذکر کند، جامعه همیشه آنجاست تا به همکاران غافل خود توصیه کند اطلاعات اضافی را به اشتراک نگذارند. در سال 2022، ما حدود 3000 پیشنهاد زیرساخت منحصر به فرد را پیدا کردیم. تا نوامبر 2023، بیش از 3100 پیشنهاد پیدا شده است. به طور معمول، دسترسی هک شده به زیرساخت های شرکتی شامل حساب‌های یک سرویس VPN شرکتی و برخی از سرورها یا میزبان‌ها در شبکه های داخلی می‌شود.

اکانت‌های دستکاری‌شده

دسته دیگری از داده ها وجود دارد که یک یافته واقعی برای دستیابی به دسترسی اولیه است – حساب‌های دستکاری‌شده. با توجه به منبع مبدأ، ما تمام حساب‌ها دستکاری‌شده را به سه دسته تقسیم می‌کنیم:

•         نشت های عمومی که آزادانه در جامعه مجرمان سایبری توزیع می‌شوند.
•         نشت‌هایی با دسترسی محدود که در انجمن‌های هکرها و چت‌های خصوصی فروخته می‌شوند. گاهی اوقات اینها فقط پایگاه داده‌های کوچکی هستند که حاوی اطلاعات تایید نشده هستند که حتی می‌توانند تولید شوند.
•         حساب‌های کاربران به خطر افتاده از گزارش‌های بدافزار منتشر شده در انجمن‌های دارک‌نت.چنین اعتبارنامه‌هایی به دلیل سرقت اطلاعاتی مانند REDLINE و VIDAR در دسترس قرار می‌گیرند که اکنون از طریق Malware-as-a-Service در جامعه مجرمان سایبری به راحتی قابل دسترسی هستند.

بنابراین، چقدر احتمال دارد که داده‌های سرقت شده شما در حال حاضر در دارک نت فروخته شود؟ و با آن چه باید کرد؟ در صورت نشتی، زمانی برای پشیمانی از کنترل های امنیتی محقق نشده یا عدم انجام آموزش امنیت اطلاعات وجود ندارد. شناسایی سریع تهدید و طرح پاسخ مناسب به رخداد سایبری می‌تواند وضعیت را خنثی کند یا حداقل آسیب را کاهش دهد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.