ספקית הטלפון הנייד האמריקאי T-Mobile עשתה בדיוק הודה בפריצה, בתיק המכונה 8-K שהוגש לרשות ניירות ערך (SEC) אתמול, 2023-01-19.
השמיים טופס 8-K מתואר על ידי ה-SEC עצמו כ "החברות 'הדוח הנוכחי' חייבות להגיש […] כדי להכריז על אירועים גדולים שבעלי המניות צריכים לדעת עליהם."
אירועים מרכזיים אלו כוללים נושאים כגון פשיטת רגל או כינוס נכסים (סעיף 1.03), הפרות בטיחות במכרות (פריט 1.04), שינויים בקוד האתי של ארגונים (פריט 5.05), וקטגוריית תכלית, המשמשת בדרך כלל לדיווח על בעיות הקשורות ל-IT , מדובב בפשטות אירועים אחרים (פריט 8.01).
האירוע הנוסף של T-Mobile מתואר באופן הבא:
ב-5 בינואר 2023, T-Mobile US […] זיהתה ששחקן גרוע משיג נתונים דרך ממשק תכנות יישומים אחד ("API") ללא אישור. התחלנו מייד בחקירה עם מומחי אבטחת סייבר חיצוניים ותוך יום לאחר שנודע לנו על הפעילות הזדונית, הצלחנו לאתר את מקור הפעילות הזדונית ולהפסיק אותה. החקירה שלנו עדיין נמשכת, אך נראה שהפעילות הזדונית מוכלת במלואה בשלב זה.
באנגלית פשוטה: הנוכלים מצאו דרך פנימה מבחוץ, באמצעות חיבורים מבוססי אינטרנט פשוטים, שאפשרה להם לאחזר פרטי לקוחות פרטיים ללא צורך בשם משתמש או סיסמה.
T-Mobile מציינת תחילה את סוג הנתונים שלדעתה תוקפים לא get, הכוללת פרטי כרטיס תשלום, מספרי ביטוח לאומי (SSN), מספרי מס, מזהים אישיים אחרים כגון רישיונות נהיגה או תעודות זהות שהונפקו על ידי הממשלה, סיסמאות וקודים אישיים, ומידע פיננסי כגון פרטי חשבון בנק.
אלה החדשות הטובות.
החדשות הרעות הן שהנוכלים כנראה נכנסו לדרך חזרה ב-2022-11-25 (למרבה האירוניה, כפי שזה קורה, יום שישי השחור, למחרת חג ההודיה בארה"ב) ולא נעלם בידיים ריקות.
הרבה זמן לביזה
לתוקפים, כך נראה, היה מספיק זמן לחלץ ולהסתלק לפחות עם כמה נתונים אישיים עבור כ-37 מיליון משתמשים, כולל לקוחות בתשלום מראש (תשלום לפי דרכו) ולקוחות בתשלום מאוחר (בפיגור), כולל שם, כתובת לחיוב, דואר אלקטרוני, מספר טלפון, תאריך לידה, מספר חשבון T-Mobile ומידע כגון מספר השורות בחשבון ותכונות התוכנית.
באופן מוזר, T-Mobile מתארת באופן רשמי את מצב העניינים הזה במילים:
[T]אין כרגע עדות לכך שהשחקן הרע הצליח לפרוץ או לסכן את המערכות שלנו או הרשת שלנו.
ייתכן שהלקוחות המושפעים (ואולי הרגולטורים הרלוונטיים) לא יסכימו ש-37 מיליון רשומות לקוחות גנובות, בעיקר כולל מקום מגוריכם ונתוני הלידה שלכם...
...ניתן להניף הצידה לא כהפרה ולא כפשרה.
T-Mobile, כפי שאתם אולי זוכרים, שילמה סכום עתק $ 500 מיליון בשנת 2022 כדי להסדיר הפרה שנגרמה לה בשנת 2021, למרות שהנתונים שנגנבו באותו אירוע אכן כללו מידע כגון SSNs ופרטי רישיון נהיגה.
מידע אישי מסוג זה מעניק בדרך כלל לפושעי רשת סיכוי גדול יותר לחלץ גניבות זהות חמורות, כמו נטילת הלוואות על שמך או התחזות לך לחתום על חוזה אחר, מאשר אם יש להם "רק" את פרטי הקשר שלך ואת תאריך לידה.
מה לעשות?
אין הרבה טעם להציע שלקוחות T-Mobile נוקטים בזהירות רבה מהרגיל כאשר מנסים לזהות אימיילים לא אמינים כמו הונאות דיוג שנראה כאילו "יודעים" שהם משתמשי T-Mobile.
אחרי הכל, הרמאים לא צריכים לדעת באיזו חברת טלפונים סלולריים אתה נמצא כדי לנחש שאתה כנראה משתמש באחד מהספקים הגדולים, וממילא לעשות לך פישינג.
במילים פשוטות, אם יש אמצעי זהירות חדשים נגד דיוג שאתה מחליט לנקוט במיוחד בגלל הפרה זו, אנו שמחים לשמוע זאת...
...אבל אמצעי הזהירות האלה הם התנהגויות שאתה יכול לאמץ בכל מקרה.
לכן, נחזור על העצות הרגילות שלנו, שכדאי לעקוב אחריהן בין אם אתה לקוח של T-Mobile ובין אם לא:
- אל תלחץ על קישורים "מועילים" באימיילים או בהודעות אחרות. למד מראש כיצד לנווט אל דפי הכניסה הרשמיים של כל השירותים המקוונים שבהם אתה משתמש. (כן, זה כולל רשתות חברתיות!) אם אתה כבר יודע את כתובת האתר הנכונה לשימוש, לעולם אינך צריך להסתמך על קישורים שאולי סופקו על ידי רמאים, בין אם במיילים, הודעות טקסט או שיחות קוליות.
- תחשוב לפני שאתה לוחץ. לא תמיד קל לזהות קישורי הונאה, לא מעט מכיוון שאפילו שירותים לגיטימיים משתמשים לעתים קרובות בעשרות שמות אתרים שונים. אבל לפחות כמה, אם לא הרבה, הונאות כוללות את סוג הטעויות שחברה אמיתית בדרך כלל לא תעשה. כפי שאנו מציעים בנקודה 1 לעיל, נסה להימנע מללחוץ כלל, אך אם כן, אל תמהר. הדבר היחיד שגרוע יותר מכך שנפלה להונאה הוא להבין לאחר מכן שאם רק היית לוקח כמה שניות נוספות לעצור ולחשוב, היית מזהה את הבגידה בקלות.
- דווח על הודעות דוא"ל חשודות לצוות ה-IT של העבודה שלך. גם אם אתה עסק קטן, ודא שכל הצוות שלך יודע היכן להגיש דוגמאות דוא"ל בוגדניות או לדווח על שיחות טלפון חשודות (לדוגמה, תוכל להגדיר כתובת דוא"ל לכל החברה כגון
cybersec911@example.com
). נוכלים ממעטים לשלוח דוא"ל דיוג אחד בלבד לעובד אחד, והם רק לעתים רחוקות מוותרים אם הניסיון הראשון שלהם נכשל. ככל שמישהו ירים את האזעקה מוקדם יותר, כך תוכל להזהיר את כולם מהר יותר.
חסר לך זמן או מומחיות לטפל בתגובה לאיומי אבטחת סייבר? חוששים שאבטחת סייבר תסיח את דעתך מכל שאר הדברים שאתה צריך לעשות? לא בטוחים איך להגיב לדיווחי אבטחה מעובדים שבאמת רוצים לעזור?
למידע נוסף בנושא Sophos Managed Detection and Response:
ציד, איתור ותגובה של איומים 24/7 ▶
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/01/20/t-mobile-admits-to-37000000-customer-records-stolen-by-bad-actor/
- 000
- 1
- 2021
- 2022
- 2023
- a
- יכול
- אודות
- מֵעַל
- מוּחלָט
- חֶשְׁבּוֹן
- פעילות
- כתובת
- לְאַמֵץ
- לקדם
- עצה
- לאחר
- אזעקה
- תעשיות
- כְּבָר
- למרות
- תמיד
- ו
- להכריז
- בקשה
- מחבר
- אישור
- המכונית
- בחזרה
- רקע תמונה
- רע
- בנק
- חשבון בנק
- פְּשִׁיטַת רֶגֶל
- כי
- לפני
- התנהגויות
- חיוב
- גבול
- תַחתִית
- הפרה
- עסקים
- שיחות
- כרטיס
- אשר
- קטגוריה
- מרכז
- סיכוי
- שינויים
- קוד
- צֶבַע
- עמלה
- בדרך כלל
- חברות
- חברה
- פשרה
- חיבורי
- צור קשר
- חוזה
- יכול
- לכסות
- כיום
- לקוח
- לקוחות
- עברייני אינטרנט
- אבטחת סייבר
- נתונים
- תַאֲרִיך
- יְוֹם
- מְתוּאָר
- פרטים
- איתור
- DID
- אחר
- לְהַצִיג
- לא
- עשרות
- נהיגה
- דיבוב
- בקלות
- אמייל
- מיילים
- עובד
- עובדים
- אנגלית
- מספיק
- אתיקה
- אֲפִילוּ
- אירוע
- אירועים
- כולם
- עדות
- דוגמה
- חליפין
- מומחיות
- מומחים
- חיצוני
- נוסף
- תמצית
- נכשל
- נפילה
- תכונות
- מעטים
- שלח
- תיוק
- כספי
- ראשון
- הבא
- כדלקמן
- מצא
- החל מ-
- לגמרי
- בדרך כלל
- לקבל
- מקבל
- לתת
- נותן
- Go
- טוב
- יותר
- קורה
- שמח
- גובה
- לעזור
- לרחף
- איך
- איך
- HTTPS
- ציד
- מזוהה
- זהות
- in
- תקרית
- לכלול
- כולל
- כולל
- מידע
- מִמְשָׁק
- חקירה
- באופן אירוני
- בעיות
- IT
- עצמו
- יָנוּאָר
- רק אחד
- נִלהָב
- לדעת
- ידוע
- לִלמוֹד
- למידה
- רישיון
- רישוי
- קווים
- קישורים
- לחיות
- הלוואות
- גדול
- לעשות
- הצליח
- רב
- שולים
- max-width
- הודעות
- יכול
- מִילִיוֹן
- טעויות
- סלולרי
- טלפון סלולרי
- יותר
- שם
- שמות
- נווט
- צורך
- צורך
- לא זה ולא זה
- רשת
- חדש
- חדשות
- נוֹרמָלִי
- בייחוד
- מספר
- מספרים
- להשיג
- רשמי
- רשמית
- ONE
- מתמשך
- באינטרנט
- להזמין
- אחר
- בחוץ
- נפרע
- סיסמה
- סיסמאות
- פול
- תשלום
- כרטיס תשלום
- אוּלַי
- אישי
- מידע אישי
- phish
- דיוג
- הונאות פישינג
- טלפון
- שיחות טלפון
- סיכות
- מישור
- תכנית
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- עמדה
- הודעות
- שולם מראש
- פְּרָטִי
- כנראה
- תכנות
- ספק
- ספקים
- מושך
- גם
- מעלה
- רשום
- רגולטורים
- רלוונטי
- לזכור
- לחזור על
- לדווח
- דווח
- דוחות לדוגמא
- להגיב
- תגובה
- בְּטִיחוּת
- הונאה
- רמאים
- הונאות
- ה-SEC
- שניות
- ניירות ערך
- לניירות הערך
- אבטחה
- נראה
- רציני
- שירותים
- סט
- בעלי המניות
- צריך
- סִימָן
- פָּשׁוּט
- בפשטות
- יחיד
- קטן
- עסקים קטנים
- חֶברָתִי
- מוצק
- כמה
- מישהו
- מָקוֹר
- במיוחד
- מסחרי
- סגל
- מדינה
- הברית
- עוד
- גָנוּב
- עצור
- להגיש
- הוגש
- כזה
- שסופק
- חשוד
- SVG
- מערכות
- T-Mobile
- לקחת
- נטילת
- מס
- נבחרת
- הודיה
- השמיים
- המקור
- גניבות
- שֶׁלָהֶם
- דבר
- דברים
- חושב
- איום
- דרך
- זמן
- ל
- חלק עליון
- עקבות
- מַעֲבָר
- שָׁקוּף
- בדרך כלל
- כתובת האתר
- us
- להשתמש
- משתמשים
- הפרות
- קול
- המבוסס על האינטרנט
- אתר
- אם
- אשר
- מי
- יצטרך
- בתוך
- לְלֹא
- מילים
- תיק עבודות
- מודאג
- ראוי
- אתה
- זפירנט