駭客浪潮讓公民成為攻擊目標
Posted: Tue Dec 03, 2024 6:53 am
詐騙企圖:對西班牙網路安全來說,五月是個糟糕的一個月。幾天之內,桑坦德銀行、西班牙電信、Iberdrola、DGT 和康普頓斯大學都成為網路攻擊的受害者或正在調查涉嫌安全漏洞的情況。除此之外,還有一項國際資料外洩事件也可能影響西班牙客戶:Ticketmaster 遭受的損失包括其票務平台在全球超過 5 億用戶的紀錄。
所有這些攻擊都是為了竊取儲存在其係統中的公民的個人資料。桑坦德銀行(Banco Santander)或伊比德羅拉銀行(Iberdrola)等公司試圖淡化這些洩露事件的嚴重性,聲稱被盜資訊中只有“聯絡資料”,“沒有密碼或財務資訊”。然而,網路安全專家拒絕了這種冷靜的呼籲,並記住這些盜竊行為將受影響的公民置於目標之中。
「他們可能沒有我的銀行詳細信息,但他們有我的身份證件,他們知道我屬於桑坦德銀行,或者我在 Telefónica 註冊,或者我是 Iberdrola 客戶。這樣,他們就已經擁有足夠的數據來發起超級針對性的騙局,他們會冒充這些公司來欺騙你。
「我們必須記住,這不再是由一個人敲碎 法屬圭亞那 電子郵件清單 100000 聯絡人資訊 石頭並手工準備電子郵件來完成的,」專家繼續說道:「這種類型的數據現在可以放入人工智慧系統中,為您準備網絡釣魚,就好像它是他們讓它完美且個性化。這就是為什麼它如此危險。現在我們需要警告的是,一場史無前例的詐騙活動即將到來。
一些最成功的數位詐欺活動,尤其是針對普通公民的活動,並不是基於使用電腦暴力破解其設備的防禦。相反,他們試圖讓受害者為他們開門。他們可以透過一條個人資訊來實現這一點,例如知道他們的目標是父親或母親,或者他們的銀行是什麼。
每個人都是脆弱的
在這一策略中,網路犯罪分子添加了一個甚至可以摧毀最堅固防禦的伎倆:緊迫感。本週,網路安全專家 Marc Rivero(西班牙惡意軟體和威脅研究領域的領先專家之一)向 Securiters 播客講述了他如何差點成為網路釣魚的受害者。 「我收到一條『DGT 警報』訊息:您有一筆未付的罰款,價值 35 歐元,該金額將在 24 小時內翻倍。你現在必須付錢。
「客觀事實是我正在等待繳納罰款。他在開會時發現了我。我做得超級快,我很忙...... ”,裡韋羅總結道,他聲稱他點擊了欺詐鏈接並填寫了網絡犯罪分子要求他支付所謂罰款的字段,直到他意識到自己無法識別身份他自己拿著證書:“天哪,我已經這樣做了 15 年,我差點就陷入了網絡釣魚…… ”
專家的警告強調,儘管在數位通訊中保持著批判精神,但詐騙者可以利用任何分心的時刻和運氣,例如未付罰款(或落入他們手中的個人資料)的事實可能會結束在網路詐騙中。
供應商
本週一些受到網路攻擊影響的公司為自己找了藉口,聲稱這些攻擊沒有影響他們的系統,反而影響了他們供應商的系統。 Telefónica 和 Iberdrola 都指出,竊盜行為來自第三方公司,他們已將包含客戶資訊的資料庫轉移給這些公司進行管理。
對專家來說,這種情況的重點是這些大公司將資料庫委託給安全措施較不可靠的公司。 「第三家公司必須採用與收集資料的公司相同的協議,如果發生洩露,雙方都應承擔責任,」拉斐爾·洛佩斯在談到西班牙資料保護局可能的罰款時問道(AEPD)。
「當有處罰時,讓他們都付錢。這是大公司站出來向所有分包商提出最高要求的唯一途徑。營運影響很小。
「如果必須制裁的機構做得晚而且做得不好,我們將永遠不會停止看到這種類型的違規行為,」他總結道。
根據歐盟《一般資料保護規範》 ,隱私權監管機構可處以最高 2,000 萬歐元或公司年營業額4 %的罰款,以較高者為準。然而,西班牙機構從未接近這些個人資訊洩露數字。其最高制裁是針對Google(2022 年制裁 1000 萬歐元),原因是谷歌對被遺忘權的管理。第二個是針對沃達豐(2021 年為 800 萬),因為其對商業通訊的發送缺乏控制。
AEDP 因資料外洩而徵收的最大一筆罰款正是針對Iberdrola 及其子公司i-DE Redes Eléctricas Inteligentes(第一次罰款300 萬歐元,第二次罰款350 萬歐元),此前該公司電力公司在2022年遭受了另一次嚴重網路攻擊。
對於 DGT 或康普頓斯大學等公共機構,隱私監管機構甚至無法對其進行經濟罰款。西班牙法律規定,對公共實體的任何制裁都不得構成此類制裁,而必須仍然是「警告」。
所有這些攻擊都是為了竊取儲存在其係統中的公民的個人資料。桑坦德銀行(Banco Santander)或伊比德羅拉銀行(Iberdrola)等公司試圖淡化這些洩露事件的嚴重性,聲稱被盜資訊中只有“聯絡資料”,“沒有密碼或財務資訊”。然而,網路安全專家拒絕了這種冷靜的呼籲,並記住這些盜竊行為將受影響的公民置於目標之中。
「他們可能沒有我的銀行詳細信息,但他們有我的身份證件,他們知道我屬於桑坦德銀行,或者我在 Telefónica 註冊,或者我是 Iberdrola 客戶。這樣,他們就已經擁有足夠的數據來發起超級針對性的騙局,他們會冒充這些公司來欺騙你。
「我們必須記住,這不再是由一個人敲碎 法屬圭亞那 電子郵件清單 100000 聯絡人資訊 石頭並手工準備電子郵件來完成的,」專家繼續說道:「這種類型的數據現在可以放入人工智慧系統中,為您準備網絡釣魚,就好像它是他們讓它完美且個性化。這就是為什麼它如此危險。現在我們需要警告的是,一場史無前例的詐騙活動即將到來。
一些最成功的數位詐欺活動,尤其是針對普通公民的活動,並不是基於使用電腦暴力破解其設備的防禦。相反,他們試圖讓受害者為他們開門。他們可以透過一條個人資訊來實現這一點,例如知道他們的目標是父親或母親,或者他們的銀行是什麼。
每個人都是脆弱的
在這一策略中,網路犯罪分子添加了一個甚至可以摧毀最堅固防禦的伎倆:緊迫感。本週,網路安全專家 Marc Rivero(西班牙惡意軟體和威脅研究領域的領先專家之一)向 Securiters 播客講述了他如何差點成為網路釣魚的受害者。 「我收到一條『DGT 警報』訊息:您有一筆未付的罰款,價值 35 歐元,該金額將在 24 小時內翻倍。你現在必須付錢。
「客觀事實是我正在等待繳納罰款。他在開會時發現了我。我做得超級快,我很忙...... ”,裡韋羅總結道,他聲稱他點擊了欺詐鏈接並填寫了網絡犯罪分子要求他支付所謂罰款的字段,直到他意識到自己無法識別身份他自己拿著證書:“天哪,我已經這樣做了 15 年,我差點就陷入了網絡釣魚…… ”
專家的警告強調,儘管在數位通訊中保持著批判精神,但詐騙者可以利用任何分心的時刻和運氣,例如未付罰款(或落入他們手中的個人資料)的事實可能會結束在網路詐騙中。
供應商
本週一些受到網路攻擊影響的公司為自己找了藉口,聲稱這些攻擊沒有影響他們的系統,反而影響了他們供應商的系統。 Telefónica 和 Iberdrola 都指出,竊盜行為來自第三方公司,他們已將包含客戶資訊的資料庫轉移給這些公司進行管理。
對專家來說,這種情況的重點是這些大公司將資料庫委託給安全措施較不可靠的公司。 「第三家公司必須採用與收集資料的公司相同的協議,如果發生洩露,雙方都應承擔責任,」拉斐爾·洛佩斯在談到西班牙資料保護局可能的罰款時問道(AEPD)。
「當有處罰時,讓他們都付錢。這是大公司站出來向所有分包商提出最高要求的唯一途徑。營運影響很小。
「如果必須制裁的機構做得晚而且做得不好,我們將永遠不會停止看到這種類型的違規行為,」他總結道。
根據歐盟《一般資料保護規範》 ,隱私權監管機構可處以最高 2,000 萬歐元或公司年營業額4 %的罰款,以較高者為準。然而,西班牙機構從未接近這些個人資訊洩露數字。其最高制裁是針對Google(2022 年制裁 1000 萬歐元),原因是谷歌對被遺忘權的管理。第二個是針對沃達豐(2021 年為 800 萬),因為其對商業通訊的發送缺乏控制。
AEDP 因資料外洩而徵收的最大一筆罰款正是針對Iberdrola 及其子公司i-DE Redes Eléctricas Inteligentes(第一次罰款300 萬歐元,第二次罰款350 萬歐元),此前該公司電力公司在2022年遭受了另一次嚴重網路攻擊。
對於 DGT 或康普頓斯大學等公共機構,隱私監管機構甚至無法對其進行經濟罰款。西班牙法律規定,對公共實體的任何制裁都不得構成此類制裁,而必須仍然是「警告」。