De la programele timpurii care abia înregistrau ce tastezi până la rețelele complexe de azi, furtul de informații a evoluat în direcția rafinamentului și a invazivității. Cercetătorii Specops au examinat peste 90.000 de dump-uri de infostealer provenite din infectări active, însumând mai mult de 800 de milioane de rânduri de date la scară globală, pentru a înțelege ce extrag atacatorii și cum sunt valorificate datele furate.
Concluzia este simplă și îngrijorătoare: infostealerele nu mai scoateau doar nume de utilizator și parole, ci colectează cookie-uri de browser, istoricul de navigare și fișiere de sistem găsite pe mașinile compromise. Aceste seturi de date sunt agregate și vândute de brokerii de acces inițial, apoi refolosite în atacuri care vizează atât conturi personale, cât și resurse corporative. Astfel, o singură infectare își păstrează valoarea mult timp după compromitere, deoarece permite legarea datelor tehnice cu persoane reale, companii și modele comportamentale.
Cel mai mare pericol este că aceste dump-uri pot conecta conturi și comportamente deoparte cu o persoană reală. Informații precum numele de utilizator folosit pe mai multe servicii, username-ul Windows, fișiere din directoarele personale și sesiuni active facilitează identificarea rapidă a unei persoane, a angajatorului și chiar a rolului în organizație. Astfel, granița dintre identitatea personală și cea profesională se estompează: ceea ce începe pe un dispozitiv personal poate escalada rapid într-un risc la nivel de enterprise.
Datele acoperă servicii profesionale și legate de muncă, precum LinkedIn, GitHub, Microsoft Teams, Outlook și domenii corporative; LinkedIn, de unul singur, apare în aproape 900.000 de înregistrări, oferind o cale directă către nume reale, poziții și organizații. Platformele sociale ca YouTube sau Facebook apar frecvent și contribuie la validarea identității prin nume, fotografii și conexiuni sociale. În plus, există intrări legate de servicii sensibile, inclusiv organizații fiscale precum IRS sau Canada Revenue Agency, dar și platforme de conținut pentru adulți; accesul la astfel de servicii poate fi folosit pentru șantaj, iar dacă datele sunt asociate cu un angajat, consecințele pot fi grave pentru individ și companie.
Un aspect remarcat este că nici utilizatorii tehnici nu sunt scutiți: domenii precum Shodan sau mille.gov au apărut în dump-uri, demonstrând că competențele tehnice nu elimină riscul expunerii, în special dacă bunele practici de securitate folosite la muncă nu sunt urmate și acasă. Cauzele expunerii sunt deseori banale: instalarea de aplicații din surse neoficiale, reutilizarea parolelor între conturi personale și cele profesionale și încrederea în stocarea credentialelor în browser pentru confort. Datele și cardurile de plată salvate în browsere sunt extrem de valoroase pentru atacatori, oferind acces imediat la informații cu impact puternic când un sistem este compromis.
Odată colectate și puse în circulație, problema nu se limitează doar la prevenție; devine esențială neutralizarea rapidă a acestor informații înainte de a fi folosite pentru mișcări laterale, preluări de conturi sau atacuri cu ransomware. Dump-urile pot circula săptămâni sau luni înainte de a fi descoperite, astfel că apărarea eficientă trebuie să pornească de la ipoteza că unele credentiale sunt deja divulgate. Reutilizarea parolelor rămâne una dintre tehnicile preferate ale atacatorilor: credentialele furate de pe dispozitive personale sunt testate masiv pe medii corporative, servicii cloud și acces la distanță, având frecvent succes chiar dacă parolele respectă cerințe minime de complexitate. Reducerea reutilizării parolelor diminuează valoarea operațională a acestor dump-uri și scade fereastra în care pot fi exploatate.
Politicile de parole care încurajează fraze mai lungi, combinate cu aplicarea continuă a unor reguli, pot transforma parola dintr-o setare statică într-un instrument activ de reducere a riscului. În acest sens, Specops Password Policy efectuează scanări continue ale Active Directory, comparându-l cu o bază de date de peste 5, 4 miliarde de credentiale cunoscute ca compromise, astfel încât parolele deja expuse să fie blocate chiar dacă ar îndeplini formal cerințele de complexitate. În practică, asta înseamnă că o parolă compromisă nu poate fi setată sau refolosită în mediul corporativ, scăzând posibilitatea ca datele furate să fie convertite rapid în acces real.
Analiza indică faptul că impactul infostealerelor rezultă din combinația dintre tehnologie și comportamentul uman, nu dintr-un singur punct de eroare. O protecție eficientă necesită politici care să acopere atât infrastructura, cât și comportamentele utilizatorilor, plus monitorizare continuă pentru a bloca credentialele cunoscute ca compromise. Textul este sponsorizat și a fost redactat de Specops Software.
LinkedIn apare în aproape 900.000 de înregistrări în setul de date. Această expunere oferă o rută directă către nume, poziții și organizații, facilitând phishing direcționat și atacuri pe baza conturilor reutilizate. Specops Password Policy scanează continuu Active Directory comparându-l cu o bază de date de peste 5, 4 miliarde de credentiale compromise pentru a bloca parolele deja expuse și a reduce riscul reutilizării. Crezi că organizația ta ar profita de o scanare continuă a credentialelor?
Fii primul care comentează