Tariamas iždo įsilaužimas: nutekinta 60 GB duomenų ir trečiųjų šalių pasiūlymai

  • „Qilin“ teigia turinti 60 GB ir 238 799 failus su AEAT priskirtais duomenimis, paskelbtus tamsiajame internete.
  • AEAT pranešė, kad šis atvejis yra panašus į 2024 m. atvejį ir paveiktų valdymo įmonę, o ne jos sistemas.
  • Išpirkos nereikalaujama: duomenys būtų buvę parduoti, o 16 dokumentų būtų buvę pavyzdžiai.
  • Pagrindinės rekomendacijos: Būkite itin atsargūs dėl sukčiavimo atakų ir patikrinkite visus Iždo ministerijos pranešimus.
Carlos Martínez

5 minučių

„WhatsApp“ paskyros vagystė-1

Kibernetinio saugumo tinkluose ir forumuose vėl kilo triukšmas apie įtariamas įsilaužimas į Mokesčių agentūros duomenisGrupė „Qilin“ teigia gavusi 60 GB informacijos, kuri, anot jos versijos, priklauso Iždo departamentui ir jau cirkuliuoja tamsiojo interneto erdvėse.

Įspėjimas atėjo iš specializuotos paskyros „Hackmanac on X“, kuri skleidė medžiagos egzistavimą ir Qilin priskiriamą autorystę, nors nepateikė patikrinamų techninių duomenų dėl duomenų apimties ar tikslios kilmės. Leidinyje cituojami 238 799 failai ir nedidelės imties platinimas.

Kas žinoma apie įvykį

Remiantis ekrano kopijomis ir X paskelbtomis žinutėmis, Qilin būtų paskelbęs pasiūlymą tamsiojo interneto forume su „60 GB informacijos ir 238 799 failai“, kartu su 16 pavyzdinių dokumentų, pagrindžiančių jos teiginį. Tamsusis internetas, pasiekiamas per specialią programinę įrangą ir tinklus, leidžia lengvai veikti anonimiškai ir apsunkina šių mainų atsekamumą.

Svarbus niuansas yra tas, kad, skirtingai nei kiti išpirkos reikalaujančių programų epizodai, gelbėjimo planas nebuvo svarstomas adresuota Ispanijos vyriausybei arba AEAT. Tariama duomenų bazė būtų buvusi parduodama, o tai atitinka monetizacijos modelius, kai užpuolikai keičiasi informacija sukčiavimo, sukčiavimo ar tapatybės vagystės kampanijoms.

Institucinis atsakas ir požymiai, rodantys trečiąją šalį

Italų paauglys pramogaudamas įsilaužia į laivybos maršrutus Viduržemio jūroje

Mokesčių agentūros šaltiniai laikraščiui „El Debate“ teigė, kad, atlikus pirminę analizę, šis epizodas yra panašus į tą, kuris įvyko 2024 m. pabaigoje, ir kad... „būtų paveikęs valdymo įmonę“, atjungiant incidentą nuo AEAT sistemų. Jei tai būtų patvirtinta, susidurtume su pažeidimu tiekėjo ar tarpininko, tvarkančio klientų ir MVĮ mokesčių duomenis, įmonėje.

Tuo pačiu metu keli X analitikai ir naudotojai atkreipė dėmesį, kad „Qilin“ paskelbti pavyzdžiai atrodo atitinka apskaitos arba konsultavimo įmonęViename iš virusinių pranešimų netgi buvo nurodyta, kad bendrovės svetainė reaguoja tik per HTTP (be šifravimo) – tai blogos praktikos, kuri gali palengvinti įsilaužimus ar duomenų išgavimą, jei atsiranda kitų trūkumų, rodiklis.

Kas yra Qilin ir kaip jie veikia?

„Qilin“ yra grupuotė, turinti istoriją kibernetinių nusikaltimų ekosistemoje, kuriai jie priskiria išpirkos išpirkos kampanijos ir duomenų pardavimasŠiuo atveju viešai aprašytas modelis neapima derybų dėl išpirkos su AEAT, o tiesioginės tariamo grobio rinkodaros uždaruose forumuose – vis dažnesnė taktika, kai užpuolikai siekia greito likvidumo arba maksimalios vertės su keliais pirkėjais.

Jei informacija gaunama iš trečiosios šalies, susijusios su mokesčių ir darbo sritimi, įvedimo vektorius gali būti pažeistas naudojant pažeistus prisijungimo duomenis. paslaugų be šifravimo atskleidimas, konfigūracijos klaidos arba netaisyti pažeidžiamumai. Be nepriklausomos ekspertizės tikslios pažeidimo vietos dar negalima nustatyti.

Naujausias precedentas: Trinity byla

2024 m. pabaigoje buvo pranešta apie dar vieną įtariamą didžiulį išpuolį: „Trinity“ grupė teigė pavogusi 560 GB konfidencialių duomenų ir pareikalavo 38 mln. dolerių, grasindama atskleisti informaciją. Tuomet AEAT nurodė, kad jos paslaugos veikia įprastai, ir po preliminaraus tyrimo buvo padaryta išvada, kad nukentėjusi šalis buvo privati ​​įmonė, veikianti mokesčių ir darbo konsultavimo srityje, o ne pati Agentūra.

Šis precedentas sustiprina hipotezę, kad tarpininkai ir tiekėjai Mokesčių institucijos tapo vertingu užpuolikų taikiniu, nes jose sutelkiama neskelbtina informacija iš daugelio klientų, tačiau ne visada taikomos tokios pačios saugumo standartų kaip viešosiose įstaigose.

Rizika piliečiams ir rekomendacijos

Jei dalis nutekėjusios informacijos būtų autentiška ir pakartotinai panaudota, labiausiai tikėtinas poveikis būtų įsilaužimo bandymų padidėjimas. sukčiavimas ir sukčiavimas Taikymasis į mokesčių mokėtojus. Nusikaltėliai dažnai apsimetinėja Iždo pranešimais, kad apgautų aukas ir iš jų gautų prisijungimo duomenis, banko duomenis arba atliktų neautorizuotus mokėjimus.

  • Būkite atsargūs gaudami tekstines žinutes, el. laiškus ar skambučius, kuriais prašoma skubios informacijos, neatidėliotinų mokėjimų ar failų diegimo.
  • Patikrinkite siuntėjus ir domenus; prie Elektroninio biuro prisijunkite įvesdami oficialų URL adresą naršyklėje.
  • Nespauskite sutrumpintų nuorodų ar netikėtų priedų; patikrinkite laiko žymas ir elektroninius parašus.
  • Jei įmanoma, įjunkite dviejų veiksnių mokėjimą („Cl@ve“, bankininkystė) ir periodiškai peržiūrėkite operacijas bei pranešimus.
  • Jei įtariate sukčiavimą, išsaugokite įrodymus ir praneškite apie tai; kreipkitės į INCIBE ir teisėsaugos institucijas.

Kas dar reikia išsiaiškinti

Dar reikia patikrinti pagrindinius dalykus: tikrąją bylų kilmę, paskelbtų pavyzdžių autentiškumas, paveiktų asmenų ir įmonių apimtį, incidento laiko juostą ir įsilaužimo vektorių. Taip pat dar reikia nustatyti, ar subjektas, nurodytas kaip galimas šaltinis, imsis viešų veiksmų ir praneš duomenų subjektams, kaip reikalaujama pagal įstatymus.

Šiuo metu dalys labiau dera tarpusavyje ribota darbo vieta valdymo ar paslaugų įmonėje Tai tiesiogiai kenkia AEAT sistemoms. Esant didelei sukčiavimo bandymų rizikai, patartina būti itin atsargiems bendraujant naudojant „Hacienda“ prekės ženklą ir laikytis gerosios skaitmeninės praktikos, kol vyksta tyrimai.

„Google“ paieškų įsilaužimas į iždą
Susijęs straipsnis:
Treasury Hack iš tikrųjų buvo paprasta „Google“ paieška

Sekite mus „Google“ naujienose