ESET: Κρούει τον κώδωνα του κινδύνου για τους ξεχασμένους λογαριασμούς - Εύκολη «λεία» για κυβερνοεπιθέσεις

«Αυτοί οι ξεχασμένοι ή ανενεργοί λογαριασμοί μπορεί να γίνουν "πόρτες" για χάκερς που θέλουν να κλέψουν τα προσωπικά δεδομένα σας ή τους επαγγελματικούς λογαριασμούς σας», εξηγεί ο Phil Muncaster από την ESET.

Γιατί οι ανενεργοί λογαριασμοί είναι επικίνδυνοι;

Υπάρχουν πολλοί λόγοι για τους οποίους μπορεί να έχετε ένα μεγάλο αριθμό ξεχασμένων ή ανενεργών λογαριασμών. Καθημερινά, πιθανά να βομβαρδίζεστε με ειδικές προσφορές και νέες ψηφιακές υπηρεσίες. Συχνά, ο μόνος τρόπος για να τις δοκιμάσετε είναι να δημιουργήσετε νέο λογαριασμό. «Όμως είμαστε άνθρωποι: ξεχνάμε, τα ενδιαφέροντά μας αλλάζουν, και πολλές φορές δε θυμόμαστε καν ποια passwords και usernames είχαμε βάλει για να συνδεθούμε» λέει ο Muncaster από την ESET. Έτσι, εμείς προχωράμε και οι λογαριασμοί μένουν πίσω. Επιπλέον, είναι συχνά πιο δύσκολο να διαγράψει κανείς ένα λογαριασμό παρά να τον αφήσει απλώς ανενεργό.

Κι όμως, αυτό μπορεί να είναι λάθος. Σύμφωνα με τη Google, οι λογαριασμοί που παραμένουν ανενεργοί για μεγάλα χρονικά διαστήματα είναι πιο πιθανό να παραβιαστούν. Γιατί συχνά αυτοί οι λογαριασμοί έχουν παλιούς ή «ξαναχρησιμοποιημένους» κωδικούς, που μπορεί να έχουν ήδη κλαπεί σε παλιές επιθέσεις. Η εταιρεία σημειώνει επίσης ότι «οι εγκαταλελειμμένοι λογαριασμοί έχουν τουλάχιστον 10 φορές λιγότερες πιθανότητες να έχουν ενεργοποιημένο τον ‘έλεγχο ταυτότητας 2 παραγόντων’», κάτι που τους κάνει ακόμη πιο ευάλωτους.

Αυτοί οι λογαριασμοί μπορεί να γίνουν «μαγνήτης» για χάκερς, οι οποίοι ασχολούνται όλο και περισσότερο με την κατάληψη λογαριασμών (Account Takeover – ATO). Το πετυχαίνουν με διάφορους τρόπους, όπως:

• Κακόβουλο λογισμικό τύπου Infostealer, σχεδιασμένο να συλλέγει τα στοιχεία σύνδεσής σας. Σύμφωνα με μία έκθεση, πέρυσι κλάπηκαν 3,2 δισεκατομμύρια διαπιστευτήρια, τα περισσότερα (75%) μέσω infostealers.

• Παραβιάσεις δεδομένων μεγάλης κλίμακας, όπου οι χάκερ αποκτούν ολόκληρες βάσεις δεδομένων με ονόματα χρηστών και κωδικούς πρόσβασης από τρίτες εταιρείες στις οποίες μπορεί να έχετε εγγραφεί.

• Credential stuffing, μια τεχνική κατά την οποία οι χάκερ χρησιμοποιούν τα παραβιασμένα διαπιστευτήρια σε αυτοματοποιημένο λογισμικό, προσπαθώντας να αποκτήσουν πρόσβαση σε λογαριασμούς στους οποίους έχετε επαναχρησιμοποιήσει τον ίδιο (παραβιασμένο) κωδικό πρόσβασης.

• Τεχνικές brute-force, όπου χρησιμοποιείται η μέθοδος δοκιμής και σφάλματος για να μαντέψουν τους κωδικούς πρόσβασής σας.

Οι συνέπειες των ανενεργών λογαριασμών

Εάν ένας εισβολέας αποκτήσει πρόσβαση στον λογαριασμό σας, θα μπορούσε να τον αξιοποιήσει με διάφορους επιζήμιους τρόπους:

• Αποστολή ανεπιθύμητων μηνυμάτων και επιθέσεις phishing: Ο εισβολέας μπορεί να χρησιμοποιήσει τον λογαριασμό (π.χ. email ή κοινωνικά δίκτυα, ακόμη κι αν είναι ανενεργός) για να στείλει spam ή πειστικά phishing μηνύματα στις επαφές σας. Αυτά τα μηνύματα μπορεί να αποσκοπούν στην απόσπαση ευαίσθητων πληροφοριών ή στην παραπλάνηση των παραληπτών ώστε να εγκαταστήσουν κακόβουλο λογισμικό.

• Αναζήτηση προσωπικών πληροφοριών: Ο εισβολέας μπορεί να εξετάσει τον λογαριασμό για αποθηκευμένες προσωπικές πληροφορίες ή στοιχεία πληρωμών. Αυτά μπορούν να αξιοποιηθούν για απάτη ταυτότητας ή για την αποστολή παραπλανητικών μηνυμάτων που προσποιούνται τον πάροχο της υπηρεσίας, ώστε να αποσπάσουν περισσότερες πληροφορίες. Αν υπάρχουν ενεργές αποθηκευμένες κάρτες, μπορούν να χρησιμοποιηθούν για συναλλαγές.

• Πώληση του λογαριασμού στο dark web: Εάν ο λογαριασμός σας έχει κάποια αξία –για παράδειγμα, εάν πρόκειται για λογαριασμό επιβράβευσης ή εξαργύρωσης μιλίων– μπορεί να πουληθεί σε εγκληματίες στον σκοτεινό ιστό.

• Κλοπή χρημάτων: Σε περίπτωση που ο λογαριασμός αφορά πορτοφόλι κρυπτονομισμάτων ή ξεχασμένο τραπεζικό λογαριασμό, ο εισβολέας μπορεί να αδειάσει τα διαθέσιμα χρήματα. Στο Ηνωμένο Βασίλειο, εκτιμάται ότι υπάρχουν έως και 82 δισεκατομμύρια λίρες σε αδρανείς λογαριασμούς.

Οι ανενεργοί εταιρικοί λογαριασμοί αποτελούν επίσης ελκυστικό στόχο, καθώς μπορούν να προσφέρουν στους κυβερνοεγκληματίες εύκολη πρόσβαση σε ευαίσθητα εταιρικά δεδομένα και συστήματα. Οι κυβερνοεγκληματίες μπορούν να κλέψουν και να πουλήσουν αυτά τα δεδομένα ή να τα κρατήσουν για να ζητήσουν λύτρα. Για παράδειγμα:

• Η επίθεση ransomware στην εταιρεία Colonial Pipeline το 2021 ξεκίνησε από έναν ανενεργό λογαριασμό VPN που είχε παραβιαστεί. Αυτό το περιστατικό προκάλεσε σημαντική έλλειψη καυσίμων σε όλη την ανατολική ακτή των ΗΠΑ.

• Μια επίθεση ransomware το 2020 στο Δήμο Hackney του Λονδίνου προήλθε εν μέρει από έναν ανασφαλή κωδικό πρόσβασης σε έναν ανενεργό λογαριασμό συνδεδεμένο με τους διακομιστές του δήμου.

Τι μπορούμε να κάνουμε για να μετριάσουμε τον κίνδυνο;

Αρκετοί πάροχοι υπηρεσιών διαγράφουν πλέον αυτόματα τους ανενεργούς λογαριασμούς μετά από ένα ορισμένο χρονικό διάστημα, προκειμένου να ελευθερώσουν υπολογιστικούς πόρους, να μειώσουν το κόστος και να ενισχύσουν την ασφάλεια των πελατών τους. Μεταξύ αυτών των παρόχων περιλαμβάνονται οι Google, Microsoft και X.

Ωστόσο, όταν πρόκειται για την ψηφιακή ασφάλεια, είναι πάντα προτιμότερο να είναι κανείς προετοιμασμένος, προειδοποιεί ο Muncaster από την ESET.

Είναι σημαντικό να ληφθούν υπόψιν τα εξής:

• Πρέπει να ελέγχονται και να διαγράφονται τυχόν ανενεργοί λογαριασμοί. Ένας καλός τρόπος για να τους εντοπίσετε είναι να αναζητήσουμε στον φάκελο εισερχομένων του ηλεκτρονικού σας ταχυδρομείου λέξεις-κλειδιά όπως: «Καλώς ήρθατε», «Επαλήθευση λογαριασμού», «Δωρεάν δοκιμή», «Σας ευχαριστούμε για την εγγραφή σας», «Επικύρωση λογαριασμού».

• Πρέπει να γίνεται έλεγχος του διαχειριστή κωδικών πρόσβασης ή τη λίστα αποθηκευμένων κωδικών στον browser σας και διαγράψτε όσους σχετίζονται με ανενεργούς λογαριασμούς – ή να ενημερώνεται ο κωδικός πρόσβασης εάν έχει επισημανθεί ως μη ασφαλής ή έχει παραβιαστεί.

• Χρειάζεται να εξετάζονται οι πολιτικές διαγραφής του παρόχου κάθε λογαριασμού ώστε να βεβαιωνόμαστε ότι όλα τα προσωπικά και οικονομικά μας δεδομένα θα διαγραφούν οριστικά σε περίπτωση που κλείσουμε τον λογαριασμό.

• Καλό είναι να σκεφτούμε πριν δημιουργήσουμε νέους λογαριασμούς αν αξίζει πραγματικά να προχωρήσουμε στην εγγραφή και αν έχουμε ανάγκη τη συγκεκριμένη υπηρεσία.

Για τους λογαριασμούς που επιθυμούμε να διατηρήσουμε, εκτός από την ενημέρωση του κωδικού πρόσβασης με ένα ισχυρό και μοναδικό διαπιστευτήριο που αποθηκεύεται σε ένα πρόγραμμα διαχείρισης κωδικών, χρειάζεται να λάβουμε υπόψη και τα εξής:

• Την ενεργοποίηση της επαλήθευσης δύο παραγόντων (2FA), ώστε ακόμα κι αν κάποιος αποκτήσει τον κωδικό πρόσβασής μας, να μην μπορεί να παραβιάσει τον λογαριασμό μας.

• Την αποφυγή σύνδεσης σε ευαίσθητους λογαριασμούς μέσω δημόσιων δικτύων Wi-Fi, εκτός αν γίνεται χρήση VPN. Οι κυβερνοεγκληματίες μπορούν να υποκλέψουν τις δραστηριότητές μας και να κλέψουν τα στοιχεία σύνδεσής μας.

• Προσοχή με μηνύματα phishing που επιχειρούν να μας ξεγελάσουν ώστε να αποκαλύψουμε τα στοιχεία σύνδεσής μας ή να κατεβάσουμε κακόβουλο λογισμικό (π.χ. infostealers). Δεν πρέπει ποτέ να κάνουμε κλικ σε συνδέσμους που περιέχονται σε ανεπιθύμητα μηνύματα και πρέπει να είμαστε καχύποπτοι απέναντι σε πιεστικές τακτικές, όπως απειλές για οφειλές ή διαγραφή λογαριασμού.