Při posledním brouzdání po „naší sajtě“ jsem byl upozorněn, že jsme pro vás už dlouho nezveřejnili nějaký užitečný článek. Dovolte mi proto, abych se tentokrát s vámi podělil o jeden článek z oblasti počítačové bezpečnosti, který by mohl na vás v kontextu webu o Radio ГA / ГA působit jaksi „mimo mísu“. Nevadí, přesto to zkusím, a i když třeba nemluvíte jazykem mého kmene, pokusím se jednoduchým způsobem vás vést k zamyšlení nad faktem, jak hodnotné můžete mít své digitální jmění, jak a o co všechno můžete z něho přijít, zejména pokud si nebudete dávat náležitého „majzla“.
Do digitálního majetku a digitálního dědictví se například počítá:
Jelikož tato oblast je velice široká a jak vidno i velice rozmanitá, zaměřím se na tu první z nich, tedy na oblast emailových účtů. Ostatně, události popsané v mnohých našich předchozích příspěvcích dokazují, že díky funkci „vrchního pošťáka“ bych měl mít s nimi největší zkušenosti.
Jak vyplývá z článku na „BLEEPINGCOMPUTER.COM“, na dark webu existují automatizované e-shopy, které nabízejí firemní e-mailové účty zhruba za 2 americké babky za kus. Tyto e-shopy stále častěji prodávají odcizené firemní e-mailové adresy, aby uspokojily rostoucí poptávku hackerů, kteří je využívají pro kompromitaci obchodních e-mailů a k phishingovým útokům nebo k získání počátečního přístupu k sítím.
Mezi nejaktivnější webmailové e-shopy patří „Xleet“ a „Lufix“, které o sobě prohlašují, že nabízejí přístup k více než 100 000 ukradeným firemním e-mailovým účtům s cenami mezi 2 a 30 dolary, v závislosti na reputaci organizace.
Tyto účty byly obvykle ukradeny pomocí prolomení hesla (přes generátor hesel), vyzrazením přihlašovacích údajů, prostřednictvím phishingu nebo nákupem od jiných kyberzločinců.
Prodeje přístupů k firemním e-mailům údajně zůstaly v oblasti kybernetické kriminality v posledních několika letech stabilní, přičemž se na hackerských fórech prodávají kompromitované e-mailové účty jako jakési „balíčky“ („combo“), přičemž je koncová cena stanovena za „balíček“ jako celek.
Na obrázku níže je vidno případ, kdy v nedávno sledovaném případu nabídl prodejce vyděračského viru („ransomwaru“) s názvem „Everest“ údajný přístup k e-mailovým účtům letecké výrobní společnosti za 15 000 dolarů.
Hromadné i jednotlivé nabídky zahrnují zdlouhavý proces vyjednávání s prodejcem a riziko aktuálnosti nabízených dat tak vzrůstá, včetně poptávky.
Právě toto vyvolalo potřebu vzniku automatizovaných webmailových obchodů, jako jsou „Xleet“, „Odin“, „Xmina“ a „Lufix“, které umožňují kyberzločincům snadno zakoupit přístup k e-mailovým účtům přesně podle jejich výběru. V podstatě takový běžný e-shop.
Celý prodej probíhá jednoduše elektronickou komunikací přes klávesnici počítače a platba se realizuje kvůli nedohledání v digitální měně.
Na obrázku níže je vidno, že obchod probíhá i pomocí okamžitého ověření přístupu k nabízenému e-mailu, případně přes zobrazení snímku obrazovky z napadené schránky účtu nešťastníka. Prostě za své peníze hacker nekupuje zajíce v pytli.
Prodejce je identifikován pokaždé pouze jako „prodejce“ s číslem. To rudé tlačítko „Check“ (kontrola) prostě nemá chybu.
Nejatraktivnějšími nabídkami na těchto e-shopech jsou pochopitelně účty Office 365, které tvoří téměř polovinu všech uvedených webmailů. Následují poskytovatelé mailového hostingu jako „cPanel“, „GoDaddy“ a „Ionos“.
Prodejci v těchto obchodech nepoužívají své přezdívky, ale skrývají se za jmény generované systémem, který jim přiděluje čísla. Obchod „Odin“ nabízí další podrobnosti o prodejcích, jako je počet prodaných položek, celkové prodeje a hodnocení uživatelů.
Prostě si může přijít i k nějaké té "slevičce". Nechybí ani průměrné hodnocení („Average Rating“) a tak je možné si vybírat mezi prodejci s tou „nejlepší“ reputací.
Jak to říkal tehdy #MV(„Mgr. Prasátko“) při přelíčení?
„Dneska už téměř nikdo nepoužívá ten vámi spravovaný systém. Všichni používají Office 365 a je to ten nejmodernější.“
Jak kdysi říkal #RC („Remotely Controlled“) - prostě jsem byl „legacy“.
Obchody “Odin” a “Xleet” také specifikují, jak byly e-mailové přístupy získány, přičemž tyto způsoby dělí do kategorií - „hacknuté“, „cracknuté“, „protokolované“ nebo „nově vytvořené“. Většina (98 %) v „Xleet“ je však buď „hacknutá“ nebo „cracknutá“.
„Protokolované“ jsou e-mailové přihlašovací údaje odcizené škodlivým malwarem (škodlivým softwarem), který krade tyto informace při přihlašování do systému a bez vědomí napadeného, zatímco „vytvořené“ jsou nové e-mailové účty, které narušitelé sítě vytvořili v napadené firmě pomocí kompromitovaných administrátorských účtů.
K posledně jmenované kategorii si dovolím pouze malou poznámku – tento typ kompromitace globálního administrátorského účtu byl použit zde onoho slavného říjnového dne (nezaměňovat prosím s „Velkou říjnovou revolucí“) léta páně 2019 hackerskou skupinou #STRONTIUM, řízenou ruskou GRU.
Pro zapomětlivé nebo pro nové zde na návštěvě odkazuji na článek „OMG, WTF a ty ostatní“ zde .
Vzestup těchto trhů, jak píšou v této specializované publikaci, si vynucuje pravidelná změny (resetování) hesel pro všechny služby a platformy, aby byly potenciálně kompromitované přihlašovací údaje pro tyto kriminální individua k ničemu. Taky použití silných (delších) hesel a školení uživatelů k identifikaci phishingových e-mailů má pomáhat výrazně snížit tyto hrozby.
Při čtení těchto základních bezpečnostních doporučení si vzpomínám na závěrečnou řeč dvojice spravedlivých #JH(„Dr. Hustá“) a #MV(„Mgr. Prasátko“), kteří tehdy čerstvě v roli IT specialistů na počítačovou bezpečnost, do které se sami pasovali při čtení mého rozsudku, zde toto kruciální doporučení vyhodnotili jako nedostatečné.
Že u toho paní soudkyně hodnou chvíli nazývala „phishing“ slovem „bušing“ dodnes kouzlí na mé tváři křečovité pousmání.
I když nejspíš kompromitované účty Radio ГA / ГA neskončily na žádném z oněch proslavených e-shopů, vedli tyto události zde k posílení počítačové bezpečnosti a k vnitřním rozsáhlým organizačním změnám (což je určitě velice pozitivní), které semleli na začátku mně, a protože jsem se následně hodně cukal - i pány s tou správnou barvou pasů #RC(„Remotely Controlled“) a #JS(„Joints Smoker“).
Tehdy v říjnu netekly peníze. Byla v tom jen a pouze politika.