Bu ayın başlarında, siber suç forumunun yöneticisi ihlal bir siber güvenlik firmasından bir ihtar mektubu aldı. Mesaj, Meksika’nın en büyük ikinci bankasının 10 milyon müşterisinden çalınan veriler için sitede yapılan bir açık artırmanın sahte haber olduğunu ve bankanın itibarını zedelediğini iddia etti. Yönetici, bu boş tehdide, çalınan bankacılık verilerini satın alarak ve herkesin indirmesi için foruma sızdırarak yanıt verdi.
3 Ağustos 2022’de “takma adı kullanan biri”Bütünsel-K1ller” adresinde yayınlandı, çalındığı iddia edilen verileri satan bir ileti dizisini ihlal etti Banorte Finans Grubu, toplam krediler açısından Meksika’nın en büyük ikinci finans kurumu. Holistic-K1ller, veritabanının tam adları, adresleri, telefon numaralarını, Meksika vergi kimliklerini (RFC), e-posta adreslerini ve 10 milyondan fazla vatandaşın bakiyelerini içerdiğini söyledi.
Holistic-K1ller’ın ihlal iddiasını uydurduğuna inanmak için hiçbir sebep yoktu. Bu kimlik, iki yıldan fazla bir süredir Breached ve selefi RaidForums’ta oldukça aktif ve çoğunlukla saldırıya uğramış Meksika kuruluşlarından veritabanları satıyor. Geçen ay, Meksikalı telefon şirketinin 36 milyon müşterisine ait müşteri bilgilerini sattılar. Telcel; Mart ayında, her bir vatandaşın önden ve bir özçekim fotoğrafıyla birlikte 33.000 Meksikalı kimlik resmi sattılar. Aynı ay, Meksika kredi platformunun 1,4 milyon müşterisine ilişkin verileri de sattılar. Yotepresto.
Ancak bu tarih ya görmezden gelindi ya da görmezden gelindi. Grup-IBSingapur merkezli siber güvenlik firması, görünüşe göre Banorte tarafından veri ihlaline yanıt vermek için işe alındı.
İhlal yöneticisinin Group-IB’den aldıkları bir mektup, “Grup-IB ekibi, Grupo Financiero Banorte’nin sızdırılmış veritabanlarını satın almak için sahte bir gönderi teklifi içeren bir kaynak keşfetti” diyor. “Banorte verilerini içeren bu gönderiyi kaldırmanızı rica ediyoruz. İşbirliğiniz ve bu acil konuya gösterdiğiniz ilgi için teşekkür ederiz.”
Breached’ın yöneticisi “ponponpuri“Bu yazarı Kasım 2021’de ABD Adalet Bakanlığı web sitesinde FBI’dan gelen güvenlik uyarılarını yanıltmak için kullanılan bariz bir güvenlik açığı konusunda uyaran kişi. 8 Ağustos’ta Breached’a yaptığı bir gönderide Pompompurin, Banorte veritabanını Hacker-K1ller’in satış dizisinden aldıklarını çünkü Group-IB’nin bu konuda şikayet eden e-postalar gönderdiğini söyledi.
Pompompurin, Dijital Binyıl Telif Hakkı Yasası kapsamındaki yasal yayından kaldırma taleplerine atıfta bulunarak, “Web sitesine karşı DMCA göndermeye de çalıştılar” diye yazdı. “Banorte’ye, artık sadece satılmak yerine sızdırılan veriler konusunda endişelenmeleri gerektiğini söyleyin.”
Banorte, yorum taleplerine yanıt vermedi. Grup-IB de yapmadı. Ama kısa bir yazılı açıklamada Twitter’da yakalandıBanorte, altyapılarıyla ilgili herhangi bir ihlal olmadığını ve satılan verilerin eski olduğunu söyledi.
Banorte, “Platformlarımız ve teknolojik altyapımız ihlal edilmedi” dedi. “Bahsedilen bilgiler yanlış ve güncel değil ve kullanıcılarımızı ve müşterilerimizi riske atmıyor.”
Bu ifade yüzde 100 doğru olabilir. Yine de, bunun nasıl olduğuna dair daha iyi bir örnek düşünmek zor. olumsuzluk ihlal yanıtı yapmak için. Banorte’nin bu olayı bir boş hamburger olarak görmezden gelmesi şaşırtıcı: Banorte sızıntısındaki banka bakiyesi bilgilerinin artık güncel olmadığı neredeyse kesin olsa da, bilgilerin geri kalanının (vergi kimlikleri, telefon numaraları, e-posta adresleri) elde edilmesi daha zordur. değiştirmek.
“Topluluğumuzdan bir bilgisayar korsanı forum operatörüne durdurma ve vazgeçme mektubu göndermenin iyi bir fikir olduğunu düşünen bir kişi var mı?” diye sordu Ohad Zaidenbergkurucusu CTI Ligi, COVID-19 ile ilgili dolandırıcılıklarla mücadeleye yardımcı olmak için 2020’de ortaya çıkan gönüllü bir acil müdahale topluluğu. “Kim yapar? Yardım etmek yerine örgütü tepeden tırnağa ittiler.”
Kurt SeifriedBT direktörü CloudSecurityAlliancebenzer şekilde Banorte ihlaline verilen yanıtla şaşkına döndü.
“Veriler gerçek değilse….banka bir durma ve vazgeçmenin listelemenin kaldırılmasıyla sonuçlanacağını mı düşündü?” Seifried merak Twitter’dan. “Yani, ihlal verilerini satmak genellikle iftira veya iftiradan daha kötü bir suç değil mi? Düşünce süreçleri nasıldı?”
Büyük bir banka bir ihlalden şüphelendiğinde daha tipik bir yanıt, bilginin geçerli olup olmadığını ve onu piyasadan çıkarmanın ne kadara mal olabileceğini belirlemek için bir aracı aracılığıyla satıcıya özel olarak yaklaşmaktır. Siber suçluların çalıntı verileri yalnızca bir tarafa satma iddialarını haklı çıkarmalarını beklemek tuhaf görünse de, satılan çalıntı öğeleri envanterden çıkarmak, günümüzde neredeyse tüm siber suçlu pazarlarının oldukça temel bir işlevidir (belki de çalıntı kimlik trafiği yapan siteler dışında). veri).
En azından, bir veri satıcısıyla pazarlık yapmak veya basitçe ilişki kurmak, mağdur kuruluşa iddiayı araştırmak ve ideal olarak, çalınan veriler çevrimiçi hale gelmeden önce etkilenen tarafları bir ihlalden haberdar etmek için ek zaman ve ipuçları alabilir.
Yeraltındaki siber suçlarda satışa sunulan çok sayıda saldırıya uğramış veri tabanının, yalnızca bilgili hırsızların küçük bir alt kümesi, verilerdeki düşük asılı meyvelerin tümünü hasat ettikten sonra satıldığı doğrudur – örneğin, kripto para birimine erişim birden çok web sitesinde geri dönüştürülen hesaplar veya kullanıcı kimlik bilgileri. Ve siber suçluların sözlerinden dönmeleri ve daha önce sattıkları bilgileri yeniden satmaları veya sızdırmaları kesinlikle duyulmamış bir şey değil.
Ancak bir veri güvenliği olayına müdahale etme sıkıntısı çeken şirketler, rakiplerini hafife aldıklarında veya yasal veya diğer tehditlerle siber dolandırıcıların gözünü korkutmaya çalıştıklarında kendilerine ve müşterilerine hiçbir iyilik yapmıyorlar. Bu tür tepkiler, yeraltındaki siber suçların nasıl işlediğine dair tehlikeli bir saflık sergilerken, dahil olan herkes için riskleri gereksiz yere yükseltmek dışında genellikle hiçbir şey sağlamaz.