Finski osumljenec izsiljevanja psihoterapije aretiran v Franciji

Oktobra 2022 smo vas prosili, da predstavljajte si, da ste obtičali v naslednji grozni situaciji:

Predstavljajte si, da ste govorili s psihoterapevtom, za kar ste mislili, da je popolnoma zaupanja vreden, vendar je bila vsebina vaših sej shranjena za prihodnost, skupaj z natančnimi osebnimi identifikacijskimi podatki, kot je vaša edinstvena nacionalna identifikacijska številka, in morda vključno z dodatnimi informacijami, kot je npr. opombe o vašem odnosu z družino ...

… in potem, kot da to ne bi bilo dovolj slabo, si predstavljajte, da so bile besede, za katere sploh niste pričakovali, da jih boste vnesli in shranili, kaj šele za nedoločen čas, dostopne prek interneta, domnevno »zaščitene« z nekaj več kot privzeto geslo, ki vsakomur omogoča dostop do vsega.

Žal za desettisoče zaupljivih pacientov zdaj že bankrotiranega Psihoterapevtski center Vastaamo, to se je res zgodilo.

Postaja slabše

Še huje, kibernetski kriminalec je našel pot v slabo zavarovan sistem in ukradel vse te ultra-osebne podatke.

Še huje, podjetje, odgovorno za varovanje teh podatkov, se je odločilo, da bo o vdoru molčalo, pri čemer se je izvršni direktor podjetja očitno odločil, da se lahko izogne ​​skrivanju kršitve pred oblastmi, dokler ne povzroči nobene javno vidne škode.

Toda kršitve ni bilo več mogoče zanikati, potem ko je podjetje prejelo izsiljevalsko zahtevo za 450,000 evrov (takrat približno 0.5 milijona dolarjev).

Konec koncev, kot poročali v Helsinki Timesu konec leta 2022 v članku z naslovom Tožilci: Vastaamova informacijska varnost je bila v popolnem kaosu, zdaj že nekdanji generalni direktor je bil osebno obtožen kršitev varstva podatkov, čeprav je bilo podjetje samo žrtev kibernetskega kriminala.

Najhuje pa je bilo to, da ko je podjetje samo zavrnilo plačilo izsiljevalskega denarja (kar, kot smo poudarili lani, ne bi prineslo veliko koristi glede na to, da so bili podatki že ukradeni), je izsiljevalec svojo pozornost usmeril neposredno na pacienti podjetja.

Brian Krebs, novinar za kibernetsko varnost, je izsiljeval bolnike v višini 200 evrov poročanje leta 2022, da je povpraševanje poskočilo na 500 €, če začetna »pristojbina« ni bila plačana v 24 urah, čemur je sledila objava osebnih podatkov 48 ur po tem.

Heker je grozil, da bo izdal ne samo informacije, ki bi drugim goljufom pomagale pri kraji identitete, vključno s kontaktnimi podatki in osebnimi podatki, temveč tudi shranjene prepise pogovorov bolnikov, ki smo jih omenili na vrhu tega članka.

Finske oblasti izdano oktobra 2022 izdal nalog za prijetje osumljenega hekerja, pri čemer je navedeno, da:

Policisti so ugotovili, da osumljeni trenutno prebiva v tujini. Zaradi tega so ga v odsotnosti odredili pripor. Zoper osumljenca je bil izdan evropski nalog za prijetje. Na podlagi tega naloga ga lahko aretirajo v tujini. Po tem bo policija zahtevala njegovo predajo Finski. Zoper osumljenca, ki je finski državljan in je star okoli 25 let, bodo izdali tudi Interpolovo obvestilo.

Pojavil se je Europolovi najbolj iskani ubežniki seznam na 2022-11-03, obtožen osmih kaznivih dejanj: hudega vloma v računalnik, poskusa hudega izsiljevanja, hudega razširjanja podatkov, ki kršijo osebno zasebnost, izsiljevanja, poskusa izsiljevanja, vloma v računalnik, prestrezanja sporočil in ponarejanja dokazov:

Osumljenec prijet

No, Finci so pravkar sporočili, da je osumljenec aretirali v Franciji, kjer je bil zaprt, medtem ko poteka postopek njegove izročitve Finski.

Brian Krebs, ki je znan po kopanju po zgodovini razvpitih hekerjev in osumljencev vdiranja, je objavil poročilo, v katerem navaja niz prejšnje kibernetske zločine za katere je bil obsojen Kivimäki, očitno vključno z napadi zavrnitve storitve pod zastavo Odred kuščarjev, kraja izvorne kode podjetja Adobe, uporaba ukradenih kreditnih kartic in drugo.

Po Krebsovih besedah ​​je bil osumljenec obsojen "orkestriranja več kot 50,000 kibernetskih kaznivih dejanj", vendar se je izognil s pogojno kaznijo in majhno denarno kaznijo, saj je bil v času te kriminalne dejavnosti mlajši od 18 let.

Potem ko se je izognil zaporni kazni, pravi Krebs, se je hekerska skupina Lizard Squad na Twitterju odkrito pohvalila: »Vsi ljudje, ki so rekli, da bomo gnili v zaporu, nočejo razumeti tega, kar govorimo od začetka, mi imajo brezplačne vstopnice.”

Če bo njegova izročitev iz Francije v tem primeru odobrena in bo obsojen, si ne moremo predstavljati posledic, ki bi bile tokrat tako zelo "brezplačne", zdaj je star 25 let.

Kaj storiti?

• Vadite, kaj boste storili, če boste sami utrpeli kršitev. Ne pripravljate se na neuspeh, če to storite, vendar se ne pripravljate, če tega ne storite. Naučite se, kakšne so vaše obveznosti poročanja, in vadite, kaj bi rekli tistim, ki jih je kršitev prizadela. Kot nakazuje ta primer, bi takojšnje razkritje vsaj preprečilo, da bi več deset tisoč ranljivih ljudi izvedelo za kršitev zaradi izsiljevalskih zahtev neposredno njim in njihovim družinam.
• Razmislite o vložitvi osebne prijave, če ste ujeti v kršitev. To pomaga regulatorjem in organom pregona pri zbiranju dokazov; pomaga določiti ustrezno stopnjo odziva (če nihče ne reče ničesar, potem je težko prepričati sodišče, da je bila storjena resnična škoda); in pomaga oblastem zahtevati višje standarde kibernetske varnosti v prihodnosti.

---

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://nakedsecurity.sophos.com/2023/02/06/finnish-psychotherapy-extortion-suspect-arrested-in-france/