ΑρχικήsecurityDraftKings: Χάθηκαν 300.000 δολάρια από credential stuffing

DraftKings: Χάθηκαν 300.000 δολάρια από credential stuffing

Η DraftKings δήλωσε ότι θα επιστρέψει τα χρήματα στους πελάτες που επηρεάστηκαν από μια επίθεση credential stuffing που οδήγησε σε απώλειες έως και 300.000 δολάρια.

Δείτε επίσης: North Face: 200.000 λογαριασμοί παραβιάστηκαν μέσω credential stuffing

DraftKings

Εν μέσω αναφορών για προβλήματα λογαριασμών πελατών, η DraftKings εξέδωσε δήλωση νωρίς το πρωί της Δευτέρας.

Όλοι οι λογαριασμοί που υπέστησαν παραβίαση είχαν ένα κοινό χαρακτηριστικό: οι επιτιθέμενοι κατέθεσαν 5 δολάρια, άλλαξαν τον κωδικό πρόσβασης, ενεργοποίησαν τον έλεγχο ταυτότητας δύο παραγόντων σε διαφορετικό αριθμό τηλεφώνου και στη συνέχεια απέσυραν όσο το δυνατόν περισσότερα χρήματα από τους συνδεδεμένους τραπεζικούς λογαριασμούς των θυμάτων.

Αρκετά θύματα χρησιμοποίησαν τα μέσα κοινωνικής δικτύωσης για να εκτονώσουν την απογοήτευσή τους, αφού είδαν τους επιτιθέμενους να αποσύρουν συνεχώς χρήματα από τους τραπεζικούς τους λογαριασμούς, ενώ δεν μπορούσαν να έρθουν σε επαφή με κανέναν στην DraftKings.

Περισσότερες από 12 ώρες μετά το γεγονός, ο Πρόεδρος και συνιδρυτής της DraftKings, Paul Liberman, αποκάλυψε ότι “πιστεύουμε προς το παρόν ότι οι πληροφορίες σύνδεσης αυτών των πελατών παραβιάστηκαν σε άλλους ιστότοπους και στη συνέχεια χρησιμοποιήθηκαν για να αποκτήσουν πρόσβαση στους λογαριασμούς τους στην DraftKings, όπου χρησιμοποίησαν τις ίδιες πληροφορίες σύνδεσης“.

Δείτε ακόμα: FBI: Οικιακά proxies αξιοποιούνται σε credential stuffing επιθέσεις

Η εταιρεία ενημέρωσε τους πελάτες να μην χρησιμοποιούν ποτέ τον ίδιο κωδικό πρόσβασης για διαφορετικές διαδικτυακές υπηρεσίες και να μην μοιράζονται ποτέ τα διαπιστευτήριά τους με πλατφόρμες που δεν παρέχονται από την DraftKings, συμπεριλαμβανομένων συσκευών παρακολούθησης στοιχημάτων και εφαρμογών.

credential stuffing

Εάν είστε πελάτης της DraftKings και δεν έχετε πληγεί από αυτή την εκστρατεία απόκρυψης διαπιστευτηρίων, ενεργοποιήστε αμέσως το 2FA για το λογαριασμό σας. Θα πρέπει επίσης να αφαιρέσετε τυχόν τραπεζικά στοιχεία ή να αποσυνδέσετε τους τραπεζικούς σας λογαριασμούς για να μπλοκάρετε τα δόλια αιτήματα ανάληψης.

Στις επιθέσεις credential stuffing, οι χάκερς χρησιμοποιούν κλεμμένους συνδυασμούς ονόματος και κωδικού πρόσβασης για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών σε διάφορους ιστότοπους και υπηρεσίες. Αυτό γίνεται με τη χρήση αυτοματοποιημένων bots που δοκιμάζουν επανειλημμένα διαφορετικούς συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης μέχρι να βρουν μια αντιστοιχία, οπότε και αποκτούν πρόσβαση στο λογαριασμό. 

Ο στόχος των χάκερ είναι να καταλάβουν όσο το δυνατόν περισσότερους λογαριασμούς για να κλέψουν προσωπικές πληροφορίες και οικονομικά δεδομένα που μπορούν αργότερα να πουληθούν στο dark web ή σε φόρουμ χάκερ.

Δείτε επίσης: General Motors (GM): Credential stuffing επίθεση εξέθεσε δεδομένα πελατών

Με τις κλεμμένες πληροφορίες, θα μπορούσαν να διαπραχθούν μελλοντικές απάτες κλοπής ταυτότητας, όπως μη εξουσιοδοτημένες αγορές ή -όπως συνέβη στη περίπτωση της DraftKings- μεταφορά χρημάτων από συνδεδεμένους τραπεζικούς λογαριασμούς σε λογαριασμούς που ελέγχονται από τον επιτιθέμενο.

Όπως προειδοποιεί το FBI, οι επιθέσεις αυξάνονται σε όγκο λόγω των εύκολα προσβάσιμων καταλόγων διαρροής διαπιστευτηρίων και των αυτοματοποιημένων εργαλείων.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS