Hacker με το ψευδώνυμο «DuckyMummy» πουλάει προσβάσεις σε λογαριασμούς webmail της Ελληνικής Αστυνομίας στο Dark Web (Σκοτεινό Διαδίκτυο) και στην ιστοσελίδα breachforums.st. Η τιμή έχει οριστεί στα 200 $. Δυστυχώς, ενώ τα διαπιστευτήρια λογαριασμών ηλεκτρονικού ταχυδρομείου της Ελληνικής Αστυνομίας, μέσω των οποίων διαμοιράζονται καθημερινά χιλιάδες ευαίσθητες πληροφορίες Ελλήνων πολιτών είναι στο σφυρί, δεν ειναι γνωστό αν οι αρμόδιες αρχές έχουν αντιληφθεί την παραβίαση!
Τι συνέβη;
O hacker DuckyMummy, γνωστή προσωπικότητα στον υπόκοσμο του εγκλήματος στον κυβερνοχώρο, έχει βγάλει στο σφυρί διαπιστευτήρια πρόσβασης (username και κωδικούς πρόσβασης) στο σύστημα webmail της Ελληνικής Αστυνομίας. Το webmail της ΕΛ.ΑΣ είναι προσβάσιμο αποκλειστικά απο στελέχη της Ελληνικής Αστυνομίας καθώς είναι το σημείο επικοινωνίας με τους πολίτες που ζητούν οποιοδήποτε έγγραφο τους αφορά. Αυτή η μη εξουσιοδοτημένη πρόσβαση θα μπορούσε ενδεχομένως να εκθέσει ευαίσθητες επικοινωνίες, εσωτερικά έγγραφα και επιχειρησιακές λεπτομέρειες που είναι κρίσιμες για την ασφάλεια και τη λειτουργικότητα των Αρχών.
Ο hacker επιβεβαιώνει την επίθεση του, αναρτώντας screenshots με μερικά από τα κλεμμένα διαπιστευτήρια και τις προσβάσεις στα συστήματα της Ελληνικής αστυνομίας. Η είδηση μάλιστα έγινε γνωστή στο διαδικτύο μέσω της πλατφόρμας κοινωνικής δικτύωσης X (πρώην Twitter) με σκοπό να ενημερωθούν για την πώληση ενδιαφερόμενοι που μπορεί να μην έχουν πρόσβαση στο Dark Web.
Πρώτη αναφορά της κυβερνοεπίθεσης πραγματοποιήθηκε από τον λογαριασμό Dark Web Informer, ένα twitter προφίλ ερευνητών ασφαλείας στο κυβερνοχώρο που σκοπό έχουν τον εντοπισμό παράνομων δραστηριοτήτων στο σκοτεινό διαδίκτυο και στην συνέχεια την ενημέρωση του κοινού μέσω της πλατφόρμας Χ.
Επιπροσθέτως, η πλατφόρμα threat intelligence SOCRADAR, απέστειλε ενημερωτικό μήνυμα στους εγγεγραμμένους της στις 20 Μαίου 2024 (4 ημέρες πριν), με λεπτομέρειες για την επίθεση:
Η επίθεση σύμφωνα με τις αναρτήσεις στο Twitter, πρέπει να έχει πραγματοποιηθεί πριν 2-3 εβδομάδες, ενώ δεν αποσαφηνίζεται αν πρόκειται για διαρροή ενός και μόνο λογαριασμού webmail ή για περισσότερους. Επίσης, δεν είναι σαφές απο την ανάρτηση εαν ο hacker που διαφημίζει την πώληση των κωδικών πρόσβασης διαθέτει δικαιώματα διαχειριστή ή απλά διέρρευσαν κωδικοί απο προσωπικούς υπολογιστές στελεχών της ΕΛ.ΑΣ. Ο λογαριασμός που φαίνεται να έχει πρόσβαση ο επιτιθέμενος αναγράφει “ΜΕΤΑΝΑΣΤΕΥΤΙΚΕΣ ΡΟΕΣ” στο subject του κειμένου απο οτι μπορεί κανείς να αντιληφθεί, καθώς και λέξεις οπως “REPORT”.
Δείτε στο παρακάτω βίντεο περισσότερες πληροφορίες:
Πιθανοί κίνδυνοι από την παραβίαση λογαριασμών webmail της Ελληνικής Αστυνομίας
Έκθεση ευαίσθητων πληροφοριών: Η μη εξουσιοδοτημένη πρόσβαση στο ηλεκτρονικό ταχυδρομείο της αστυνομίας θα μπορούσε να οδηγήσει σε διαρροή εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων εν εξελίξει ερευνών, μυστικών επιχειρήσεων και προσωπικών στοιχείων αξιωματικών και πληροφοριοδοτών.
Κλοπή προσωπικών δεδομένων πολιτών: Με την πρόσβαση σε εσωτερικές επικοινωνίες, οι hackers θα μπορούσαν να διακόψουν τις αστυνομικές δραστηριότητες και να κλέψουν όλες τις επικοινωνίες για ευαίσθητα θέματα που μπορεί να έχουν πραγματοποιηθεί μεταξύ Αρχών και Ελλήνων πολιτών. Σημαντικό επίσης να αναφερθεί ότι οι hackers μέσω της πρόσβασης στα συστήματα μπορούν να κλέψουν και βάσεις δεομένων με προσωπικά στοιχεία όλου του έθνους (αριθμό ταυτότητας/διαβατηρίου, στοιχεία επικοινωνίας, διεύθυνσης κατοικίας)
Ανησυχίες για τη δημόσια ασφάλεια: Οι πληροφορίες σχετικά με τις στρατηγικές της αστυνομίας, τα προγράμματα περιπολίας και τα σχέδια αντιμετώπισης έκτακτης ανάγκης θα μπορούσαν να αξιοποιηθούν από εγκληματίες για να αποφύγουν τον εντοπισμό ή να σχεδιάσουν τρόπους διαφυγής, θέτοντας σε άμεση απειλή τη δημόσια ασφάλεια.
Έλλειψη ενδυνάμωσης συστημάτων από τις αρμόδιες Αρχές
Παρά τη σοβαρότητα αυτής της παραβίασης, φαίνεται ότι η Ελληνική Αστυνομία και το Υπουργείο Προστασίας του Πολίτη δεν έχουν ακόμη εφαρμόσει επαρκή μέτρα ασφαλείας για τον μετριασμό της απειλής. Το webmail που απεικονίζει ο επιτιθέμενος, οι κωδικοί του οποιού διέρρευσαν πιθανόν δεν είχε ενεργοποιημένη υπηρεσία 2 Factor Authentication (διπλή πιστοποίηση). Όλες οι σύγχρονες webmail υπηρεσίες (Google,Microsoft κ.α) διαθέτουν δυνατοτητά ενεργοποίησης διπλής πιστοποίησης ώστε κατα την πρόσβαση να ζητείται λήψη κάποιου κωδικού με SMS, APP ή οτιδήποτε άλλο (όπως πραγματοποιείται κατα την διαδικασία συναλλαγών στις Ελληνικές Τράπεζες). Αυτή η τεχνική έλλειψη είναι ανησυχητική και υποδηλώνει ένα πιθανό κενό στην τρέχουσα ασφάλεια στον κυβερνοχώρο εντός της ΕΛ.ΑΣ. Οι πολίτες καλούνται να παραμείνουν σε εγρήγορση και να λάβουν προληπτικά μέτρα για την προστασία των δεδομένων τους, καθώς η πιθανότητα περαιτέρω παραβιάσεων παραμένει υψηλή.
Οι αρχές δεν έχουν δημοσιεύσει δελτίο τύπου αναφορικά με το περιστατικό για ενημέρωση των πολιτών και κυρίως αν η παραβίαση είχε αποτέλεσμα την διαρροή προσωπικών δεδομένων. Δεν είναι δυνατόν να γνωρίζουμε εάν έχουν ληφθεί ορατά μέτρα για την αντιμετώπιση της παραβίασης.
Αντίστοιχες παραβιάσεις ή πιθανά περιστατικά πρόσθετων παραβιάσεων που μπορεί να σχετίζονται με την παρούσα υπόθεση, υπογραμμίζουν την επείγουσα ανάγκη για ισχυρές τεχνικές λύσεις κυβερνοασφάλειας, ενδυνάμωση των υπαρχόντων πρωτοκόλλων, εκπαίδευση των στελεχών και γρήγορες επιτελικές δράσεις άμυνας έναντι των απειλών στον κυβερνοχώρο.
Steps προστασίας προς τους πολίτες
Δεδομένης της παραβίασης, οι πολίτες θα πρέπει να παραμείνουν σε επαγρύπνηση και να λάβουν μέτρα για την προστασία της δικής τους ψηφιακής ασφάλειας:
Να είστε ενήμεροι για τις απόπειρες ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά κλεμμένα δεδομένα για να δημιουργήσουν πειστικά μηνύματα ηλεκτρονικού ψαρέματος. Να είστε προσεκτικοί με τυχόν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου, ακόμα κι αν φαίνεται ότι προέρχονται από επίσημες πηγές.
Ασφαλείς προσωπικές πληροφορίες: Ενημερώνετε τακτικά τους κωδικούς πρόσβασης και χρησιμοποιείτε two-factor authentication για την προστασία των προσωπικών λογαριασμών από μη εξουσιοδοτημένη πρόσβαση.
Αναφέρετε ύποπτη δραστηριότητα: Εάν λαμβάνετε ασυνήθιστες επικοινωνίες που υποτίθεται ότι προέρχονται από την αστυνομία, επαληθεύστε την πηγή προτού απαντήσετε ή παρέχετε οποιαδήποτε πληροφορία.Επικοινωνήστε άμεσα με την ΕΛΑΣ για περισσότερες λεπτομέρειες.
Για περισσότερες ενημερώσεις σχετικά, μείνετε συντονισμένοι.
Update1-24/5/2024: Το forum στο οποίο είχε αναρτηθεί η εν λογω αγγελία breachforums.st ειναι εκτός λειτουργίας (πιθανόν μετα απο ενέργειες διωκτικών αρχών) και μη προσβάσιμο.
Πιθανολογούμε οτι η ιστοσελίδα “κατέβηκε” μετα απο την δημοσιοποίηση, έρευνα και άμεσες ενέργειες της Directorate of Cybercrime, που σε ανάλογα περιστατικά έχει δράσει εξαιρετικά γρήγορα, αποτελεσματικά και χωρίς “τυμπανοκρουσίες” για την προστασία προσωπικών δεδομένων του κοινωνικού συνόλου. Σε κάθε περίπτωση παραμένει το ερώτημα των πολιτών για ενημέρωση/δελτίο τύπου αναφορικά με τι είδους email διέρρευσαν, αν και κατα πόσο η επίθεση ήταν μεμονωμένη σε ελάχιστα mail επικοινωνίας καθώς και αν η πρόσβαση των hackers ήταν μόνο στο συγκεκριμένο σύστημα.
