Ραγδαίες οι κυβερνοεπιθέσεις σε ξεχασμένους ηλεκτρονικούς λογαριασμούς

Με το πέρασμα των χρόνων αρκετοί χρήστες του διαδικτύου φτιάχνουν όλο και περισσότερους λογαριασμούς με αποτέλεσμα οι παλιοί να μένουν ξεχασμένοι ή απλά να μην χρησιμοποιούνται πια.

Συγκεκριμένα το πρόβλημα με τους πολλούς ξεχασμένους λογαριασμούς είναι δεδομένο. Υπολογίζεται ότι ο μέσος άνθρωπος έχει γύρω στους 168 διαφορετικούς κωδικούς.

«Αυτοί οι ξεχασμένοι ή ανενεργοί λογαριασμοί μπορεί να γίνουν ‘πόρτες’ για χάκερς που θέλουν να κλέψουν τα προσωπικά δεδομένα σας ή τους επαγγελματικούς λογαριασμούς σας» εξηγεί ο Phil Muncaster από την παγκόσμια εταιρία λογισμικού ασφαλείας ESET. Γι’ αυτό είναι καλό να κάνουμε πού και πού ένα ξεκαθάρισμα, για να έχουμε το κεφάλι μας ήσυχο.

Γιατί οι ανενεργοί λογαριασμοί είναι επικίνδυνοι;

Υπάρχουν πολλοί λόγοι για τους οποίους μπορεί να έχετε ένα μεγάλο αριθμό ξεχασμένων ή ανενεργών λογαριασμών. Καθημερινά, πιθανά να βομβαρδίζεστε με ειδικές προσφορές και νέες ψηφιακές υπηρεσίες. Συχνά, ο μόνος τρόπος για να τις δοκιμάσετε είναι να δημιουργήσετε νέο λογαριασμό. «Όμως είμαστε άνθρωποι: ξεχνάμε, τα ενδιαφέροντά μας αλλάζουν, και πολλές φορές δε θυμόμαστε καν ποια passwords και usernames είχαμε βάλει για να συνδεθούμε» λέει ο Muncaster από την ESET.  Έτσι, εμείς προχωράμε και οι λογαριασμοί μένουν πίσω. Επιπλέον, είναι συχνά πιο δύσκολο να διαγράψει κανείς ένα λογαριασμό παρά να τον αφήσει απλώς ανενεργό.

Κι όμως, αυτό μπορεί να είναι λάθος. Σύμφωνα με τη Google, οι λογαριασμοί που παραμένουν ανενεργοί για μεγάλα χρονικά διαστήματα είναι πιο πιθανό να παραβιαστούν. Γιατί συχνά αυτοί οι λογαριασμοί έχουν παλιούς ή «ξαναχρησιμοποιημένους» κωδικούς, που μπορεί να έχουν ήδη κλαπεί σε παλιές επιθέσεις. Η εταιρεία σημειώνει επίσης ότι «οι εγκαταλελειμμένοι λογαριασμοί έχουν τουλάχιστον 10 φορές λιγότερες πιθανότητες να έχουν ενεργοποιημένο τον ‘έλεγχο ταυτότητας 2 παραγόντων’», κάτι που τους κάνει ακόμη πιο ευάλωτους.

Αυτοί οι λογαριασμοί μπορεί να γίνουν «μαγνήτης» για χάκερς, οι οποίοι ασχολούνται όλο και περισσότερο με την κατάληψη λογαριασμών (Account Takeover – ATO). Το πετυχαίνουν με διάφορους τρόπους, όπως:

• Κακόβουλο λογισμικό τύπου Infostealer, σχεδιασμένο να συλλέγει τα στοιχεία σύνδεσής σας. Σύμφωνα με μία έκθεση, πέρυσι κλάπηκαν 3,2 δισεκατομμύρια διαπιστευτήρια, τα περισσότερα (75%) μέσω infostealers.
• Παραβιάσεις δεδομένων μεγάλης κλίμακας, όπου οι χάκερ αποκτούν ολόκληρες βάσεις δεδομένων με ονόματα χρηστών και κωδικούς πρόσβασης από τρίτες εταιρείες στις οποίες μπορεί να έχετε εγγραφεί.
• Credential stuffing, μια τεχνική κατά την οποία οι χάκερ χρησιμοποιούν τα παραβιασμένα διαπιστευτήρια σε αυτοματοποιημένο λογισμικό, προσπαθώντας να αποκτήσουν πρόσβαση σε λογαριασμούς στους οποίους έχετε επαναχρησιμοποιήσει τον ίδιο (παραβιασμένο) κωδικό πρόσβασης.
• Τεχνικές brute-force, όπου χρησιμοποιείται η μέθοδος δοκιμής και σφάλματος για να μαντέψουν τους κωδικούς πρόσβασής σας.

Οι συνέπειες των ανενεργών λογαριασμών

Εάν ένας εισβολέας αποκτήσει πρόσβαση στον λογαριασμό σας, θα μπορούσε να τον αξιοποιήσει με διάφορους επιζήμιους τρόπους:

• Αποστολή ανεπιθύμητων μηνυμάτων και επιθέσεις phishing: Ο εισβολέας μπορεί να χρησιμοποιήσει τον λογαριασμό (π.χ. email ή κοινωνικά δίκτυα, ακόμη κι αν είναι ανενεργός) για να στείλει spam ή πειστικά phishing μηνύματα στις επαφές σας. Αυτά τα μηνύματα μπορεί να αποσκοπούν στην απόσπαση ευαίσθητων πληροφοριών ή στην παραπλάνηση των παραληπτών ώστε να εγκαταστήσουν κακόβουλο λογισμικό.
• Αναζήτηση προσωπικών πληροφοριών: Ο εισβολέας μπορεί να εξετάσει τον λογαριασμό για αποθηκευμένες προσωπικές πληροφορίες ή στοιχεία πληρωμών. Αυτά μπορούν να αξιοποιηθούν για απάτη ταυτότητας ή για την αποστολή παραπλανητικών μηνυμάτων που προσποιούνται τον πάροχο της υπηρεσίας, ώστε να αποσπάσουν περισσότερες πληροφορίες. Αν υπάρχουν ενεργές αποθηκευμένες κάρτες, μπορούν να χρησιμοποιηθούν για  συναλλαγές.
• Πώληση του λογαριασμού στο dark web: Εάν ο λογαριασμός σας έχει κάποια αξία –για παράδειγμα, εάν πρόκειται για λογαριασμό επιβράβευσης ή εξαργύρωσης μιλίων– μπορεί να πουληθεί σε εγκληματίες στον σκοτεινό ιστό.
• Κλοπή χρημάτων: Σε περίπτωση που ο λογαριασμός αφορά πορτοφόλι κρυπτονομισμάτων ή ξεχασμένο τραπεζικό λογαριασμό, ο εισβολέας μπορεί να αδειάσει τα διαθέσιμα χρήματα. Στο Ηνωμένο Βασίλειο, εκτιμάται ότι υπάρχουν έως και 82 δισεκατομμύρια λίρες σε αδρανείς λογαριασμούς.

Οι ανενεργοί εταιρικοί λογαριασμοί αποτελούν επίσης ελκυστικό στόχο, καθώς μπορούν να προσφέρουν στους κυβερνοεγκληματίες εύκολη πρόσβαση σε ευαίσθητα εταιρικά δεδομένα και συστήματα. Οι κυβερνοεγκληματίες μπορούν να κλέψουν και να πουλήσουν αυτά τα δεδομένα ή να τα κρατήσουν για να ζητήσουν λύτρα. Για παράδειγμα:

• Η επίθεση ransomware στην εταιρεία Colonial Pipeline το 2021 ξεκίνησε από έναν ανενεργό λογαριασμό VPN που είχε παραβιαστεί. Αυτό το περιστατικό προκάλεσε σημαντική έλλειψη καυσίμων σε όλη την ανατολική ακτή των ΗΠΑ.
• Μια επίθεση ransomware το 2020 στο Δήμο Hackney του Λονδίνου προήλθε εν μέρει από έναν ανασφαλή κωδικό πρόσβασης σε έναν ανενεργό λογαριασμό συνδεδεμένο με τους διακομιστές του δήμου.

Τι μπορείτε να κάνετε για να μετριάσετε τον κίνδυνο;

Αρκετοί πάροχοι υπηρεσιών διαγράφουν πλέον αυτόματα τους ανενεργούς λογαριασμούς μετά από ένα ορισμένο χρονικό διάστημα, προκειμένου να ελευθερώσουν υπολογιστικούς πόρους, να μειώσουν το κόστος και να ενισχύσουν την ασφάλεια των πελατών τους. Μεταξύ αυτών των παρόχων περιλαμβάνονται οι Google, Microsoft και X.

Ωστόσο, όταν πρόκειται για την ψηφιακή σας ασφάλεια, είναι πάντα προτιμότερο να είστε προετοιμασμένοι, προειδοποιεί ο Muncaster από την ESET. Λάβετε υπόψη τα εξής:

• Ελέγχετε περιοδικά και διαγράφετε τυχόν ανενεργούς λογαριασμούς. Ένας καλός τρόπος για να τους εντοπίσετε είναι να αναζητήσετε στο φάκελο εισερχομένων του ηλεκτρονικού σας ταχυδρομείου λέξεις-κλειδιά όπως: «Καλώς ήρθατε», «Επαλήθευση λογαριασμού», «Δωρεάν δοκιμή», «Σας ευχαριστούμε για την εγγραφή σας», «Επικύρωση λογαριασμού».
• Ελέγξτε τον διαχειριστή κωδικών πρόσβασης ή τη λίστα αποθηκευμένων κωδικών στον browser σας και διαγράψτε όσους σχετίζονται με ανενεργούς λογαριασμούς – ή ενημερώστε τον κωδικό πρόσβασης εάν έχει επισημανθεί ως μη ασφαλής ή έχει παραβιαστεί.
• Εξετάστε τις πολιτικές διαγραφής του παρόχου κάθε λογαριασμού ώστε να βεβαιωθείτε ότι όλα τα προσωπικά και οικονομικά σας δεδομένα θα διαγραφούν οριστικά σε περίπτωση που κλείσετε τον λογαριασμό.
• Σκεφτείτε καλά πριν δημιουργήσετε νέους λογαριασμούς. Αξίζει πραγματικά να προχωρήσετε στην εγγραφή; Έχετε ανάγκη τη συγκεκριμένη υπηρεσία;

Για τους λογαριασμούς που επιθυμείτε να διατηρήσετε, εκτός από την ενημέρωση του κωδικού πρόσβασης με ένα ισχυρό και μοναδικό διαπιστευτήριο που αποθηκεύεται σε ένα πρόγραμμα διαχείρισης κωδικών, λάβετε υπόψη και τα εξής:

• Ενεργοποιήστε την επαλήθευση δύο παραγόντων (2FA), ώστε ακόμα κι αν κάποιος αποκτήσει τον κωδικό πρόσβασής σας, να μην μπορεί να παραβιάσει τον λογαριασμό σας.
• Αποφύγετε τη σύνδεση σε ευαίσθητους λογαριασμούς μέσω δημόσιων δικτύων Wi-Fi, εκτός αν χρησιμοποιείτε VPN. Οι κυβερνοεγκληματίες μπορούν να υποκλέψουν τις δραστηριότητές σας και να κλέψουν τα στοιχεία σύνδεσής σας.
• Να είσαστε προσεκτικοί με μηνύματα phishing που επιχειρούν να σας ξεγελάσουν ώστε να αποκαλύψετε τα στοιχεία σύνδεσής σας ή να κατεβάσετε κακόβουλο λογισμικό (π.χ. infostealers). Μην κάνετε ποτέ κλικ σε συνδέσμους που περιέχονται σε ανεπιθύμητα μηνύματα και να είστε καχύποπτοι απέναντι σε πιεστικές τακτικές, όπως απειλές για οφειλές ή διαγραφή λογαριασμού.

Πράγματι, είναι πολύ πιθανό να έχετε δεκάδες ανενεργούς λογαριασμούς διάσπαρτους στο διαδίκτυο. Αξίζει να αφιερώνετε λίγα λεπτά μία φορά τον χρόνο για να τους εντοπίζετε και να τους διαγράφετε. Έτσι, θα συμβάλλετε στην ενίσχυση της ψηφιακής σας ασφάλειας.