כל מה שאנחנו יודעים על מתקפת הסייבר על אנדסה ואנרגיה XXI

האחרון מתקפת סייבר נגד אנדסה וספקית האנרגיה המפוקחת שלה, Energía XXI עובדה זו עוררה חששות בנוגע להגנה על מידע אישי במגזר האנרגיה. החברה הכירה ב- גישה לא מורשית לפלטפורמה המסחרית שלה שחשפה מידע רגיש של מיליוני משתמשים בספרד.

על פי הצהרות החברה לנפגעים, האירוע איפשר לתוקף חילוץ נתונים הקשורים לחוזי חשמל וגזכולל פרטי קשר, מסמכי זהות ופרטי בנק. למרות שאספקת החשמל והגז לא נפגעה, היקף ההפרצה הופך אותה אחת הפרקים העדינים ביותר בשנים האחרונות במגזר האנרגיה האירופי.

כיצד התרחשה ההתקפה על פלטפורמת אנדסה

חברת החשמל הסבירה כי גורם זדוני הצליח להתגבר על אמצעי האבטחה שיושמו בפלטפורמה המסחרית שלהם ובגישה מאגרי מידע המכילים מידע על לקוחות הן מאנדסה אנרגיה (שוק חופשי) והן מאנרגיה XXI (שוק מוסדר). על פי הדיווחים, התקרית התרחשה בסוף דצמבר ו זה נחשף כאשר פרטים על השוד לכאורה החלו להסתובב בפורומים של הרשת האפלה..

אנדסה מתאר את מה שקרה כ- "גישה בלתי מורשית ולא לגיטימית" מלבד המערכות המסחריות שלה. בהתבסס על ניתוח פנימי ראשוני, החברה מסיקה שהפורץ הייתה גישה ויכולה הייתה לחמוק בלוקים שונים של מידע הקשורים לחוזי אנרגיה, למרות שהיא טוענת ש- פרטי התחברות המשתמשים נשארו בטוחים.

מתקפת הסייבר, על פי מקורות בחברה, התרחשה למרות אמצעי האבטחה שכבר יושמו ואילץ בדיקה יסודית של נהלים טכניים וארגונייםבמקביל, נפתחה חקירה פנימית בשיתוף פעולה עם ספקי הטכנולוגיה שלה כדי לשחזר בפירוט כיצד התרחשה הפריצה.

בעוד שחקירה זו נמשכת, אנדסה מדגישה כי השירותים המסחריים שלהם ממשיכים לפעול כרגיללמרות שגישה מסוימת של משתמשים נחסמה כאמצעי בלימה, העדיפות בימים הראשונים הייתה לזהות את הלקוחות שנפגעו ולהודיע ​​להם ישירות על מה שקרה.

אילו נתונים נפגעו במתקפת הסייבר

פרטי התקשורת של החברה שהתוקף הצליח לגשת אליהם מידע אישי בסיסי ומידע ליצירת קשר (שם, שם משפחה, מספרי טלפון, כתובות דואר וכתובות דוא"ל), וכן מידע הקשור לחוזי אספקת חשמל וגז.

המידע שעלול להיות דלוף כולל גם מסמכי זהות כגון DNI (מסמך זהות לאומי) ובמקרים מסוימים, ה- קודי IBAN של חשבונות בנק הקשורים לתשלומי חשבונות. כלומר, לא רק נתונים אדמיניסטרטיביים או מסחריים, אלא גם מידע פיננסי רגיש במיוחד.

יתר על כן, מקורות שונים והדלפות שפורסמו בפורומים ייעודיים מצביעים על כך שהנתונים שנחשפו יכללו מידע אנרגיה וטכני מידע מפורט, כגון CUPS (מזהה נקודת אספקה ​​ייחודי), היסטוריית חיוב, חוזי חשמל וגז פעילים, אירועים שתועדו או מידע רגולטורי המקושר לפרופילי לקוחות מסוימים.

החברה מתעקשת, עם זאת, כי הסיסמאות לגישה לאזורים הפרטיים מ-Endesa Energía ו-Energía XXI לא הושפעו בגלל התקרית. משמעות הדבר היא שבאופן עקרוני, לתוקפים לא יהיו המפתחות הדרושים לגישה ישירה לחשבונות המקוונים של הלקוחות, למרות שיש להם מספיק נתונים כדי לנסות להונות אותם באמצעות הונאה מותאמת אישית.

חלק מלקוחות החברה לשעבר גם התחיל לקבל התראות תוך התראה על חשיפה פוטנציאלית של הנתונים שלהם, דבר המצביע על כך שההפרה משפיעה על רישומים היסטוריים ולא רק על חוזים פעילים כעת.

גרסת ההאקר: מעל 1 טרה-בייט ועד 20 מיליון רשומות

בעוד שאנדסה מנתח את היקף האירוע המדויק, פושע הסייבר שלקח אחריות על המתקפה, מכנה את עצמו "ספרד" ברשת האפלההוא הציע את גרסתו לאירועים בפורומים ייעודיים. לפי דבריו, הוא הצליח לגשת למערכות החברה המדוברות. קצת יותר משעתיים ולחלץ מסד נתונים בפורמט .sql שגודלו גדול מ-1 טרה-בייט.

בפורומים אלה, ספרד טוענת כי השיגה נתונים מ כ-20 מיליון אישנתון שיעלה בהרבה על כעשרה מיליון הלקוחות שיש ל-Endesa Energía ו-Energía XXI בספרד. כדי להוכיח שזה לא בלוף, התוקף אף פרסם מדגם של כ-1.000 רשומות עם נתוני לקוחות אמיתיים ומאומתים.

פושע הסייבר עצמו יצר קשר עם כלי תקשורת המתמחים באבטחת סייבר. מתן מידע ספציפי מעיתונאים שהיו להם חוזים עם אנדסה כדי לתמוך באותנטיות של ההדלפה. כלי תקשורת אלה אישרו כי הנתונים שסופקו תאמו חוזי אספקה ​​מקומיים עדכניים יחסית.

ספרד מבטיחה כי, נכון לעכשיו, לא מכר את מסד הנתונים לצדדים שלישייםלמרות שהוא מודה שקיבל הצעות של עד 250.000 דולר עבור כמחצית מהמידע הגנוב, הוא טוען בהודעותיו שהוא מעדיף לנהל משא ומתן ישירות עם חברת החשמל לפני סגירת עסקאות עם גורמים מעוניינים אחרים.

בחלק מהשיחות הללו, ההאקר מבקר את החברה על חוסר תגובתה, וקובע כי "הם לא יצרו איתי קשר; לא אכפת להם מהלקוחות שלהם." ומאיימים לשחרר מידע נוסף אם לא יקבלו תגובה. אנדסה, מצידה, שומרת על עמדה פומבית זהירה ומגבילה את עצמה לאישור התקרית, מבלי להגיב על טענות התוקף.

סחיטה אפשרית ומשא ומתן עם החברה

ברגע שנחשפה פרצת האבטחה, התרחיש התפתח ל... ניסיון להפעיל לחץ על החברהפושע הסייבר טוען ששלח מיילים למספר כתובות תאגידיות של אנדסה בניסיון ליזום משא ומתן, במה שדומה ל... טקטיקת סחיטה ללא כופר שנקבע בתחילה.

כפי שספרד עצמו הסביר לכמה כלי תקשורת, כוונתו תהיה להסכים עם אנדסה על סכום כספי ומועד אחרון בתמורה לאי מכירה או הפצה של מסד הנתונים הגנוב. נכון לעכשיו, הוא טוען שלא חשף בפומבי נתון ספציפי וממתין לתגובה מחברת האנרגיה.

בינתיים, התוקף מתעקש שאם לא יצליח להגיע להסכם כלשהו, ​​הוא ייאלץ... לקבל הצעות מצדדים שלישיים אשר גילו עניין ברכישת הנתונים. אסטרטגיה זו משתלבת בדפוס נפוץ יותר ויותר בפשעי סייבר, שבו גניבת נתונים אישיים וכספיים משמשת כמנוף להפעלת לחץ על חברות גדולות.

מנקודת מבט משפטית ורגולטורית, כל תשלום כופר או הסכמים סמויים זה פותח בפנינו תרחיש אתי ומשפטי מורכב.לכן, חברות בדרך כלל נמנעות מלהגיב על פניות מסוג זה. במקרה זה, אנדסה פשוט חזרה על כך שהיא משתפת פעולה עם הרשויות הרלוונטיות וכי העדיפות שלה היא להגן על לקוחותיה.

בינתיים, כוחות הביטחון החלו לעקוב אחר פעילות התוקף ברשת האפלה הרשויות כבר אוספות ראיות כדי לזהותו. מקורות מסוימים מצביעים על כך שהתקיפה אולי מקורה בספרד, אם כי עדיין אין אישור רשמי לגבי זהותו האמיתית של ספרד.

תגובה רשמית של אנדסה ופעולות שננקטו על ידי הרשויות

לאחר מספר ימים של ספקולציות ופוסטים בפורומים מחתרתיים, אנדסה החלה לשלוח מיילים ללקוחות שעשויים להיות מושפעים תוך הסבר מה קרה והצעת המלצות הגנה בסיסיות. בהודעות אלו, החברה מודה בגישה הלא מורשית ומפרטת בקצרה את סוג הנתונים שנפגעו.

החברה טוענת כי מיד עם גילוי האירוע, הפעיל את פרוטוקולי האבטחה הפנימיים שלוהחברה חסמה את פרטי הגישה שנפגעו ויישמה אמצעים טכניים כדי לבלום את המתקפה, להגביל את השפעותיה ולנסות למנוע הישנות של אירוע דומה. בין היתר, היא מבצעת ניטור מיוחד של הגישה למערכות שלה כדי לזהות כל התנהגות חריגה.

בהתאם לתקנות הגנת המידע האירופיות, אנדסה דיווחה על הדליפה ל- הסוכנות הספרדית להגנה על נתונים (AEPD) וגם ל המכון הלאומי לאבטחת סייבר (INCIBE)כוחות הביטחון של המדינה וחיל הביטחון קיבלו גם הם הודעה ופתחו בהליכים לחקירת האירועים.

החברה מתעקשת שהיא פועלת עם "שקיפות" ושיתוף פעולה עם הרשויותוזכרו שחובת ההודעה חלה הן על הרגולטורים והן על המשתמשים עצמם, אשר מקבלים הודעה בשלבים ככל שמתברר היקף הדליפה הספציפי.

איגודי צרכנים כמו Facua ביקשו מה-AEPD לפתוח בחקירה יסודית מטרת החקירה היא לקבוע האם לחברת החשמל היו אמצעי אבטחה נאותים והאם ניהול הפרצות מתבצע בהתאם לתקנות. הדגש הוא, בין היתר, על מהירות התגובה, ההגנה המוקדמת על המערכות והאמצעים שיינקטו בעתיד כדי למזער סיכונים.

סיכונים אמיתיים ללקוחות: גניבת זהות והונאה

למרות שאנדסה טוענת בהצהרותיה שהיא סבורה "לא סביר" שהאירוע יגרום לנזק בסיכון גבוה בנוגע לזכויותיהם וחירויותיהם של לקוחות, מומחי אבטחת סייבר מזהירים כי חשיפת מידע מסוג זה פותחת דלת לתרחישי הונאה רבים.

עם מידע כגון שם מלא, מספר תעודת זהות, כתובת ו-IBAN, פושעי סייבר יכולים להתחזות למישהו אחר. של הקורבנות במידה גבוהה של סבירות. זה מאפשר להם, למשל, לנסות לרכוש מוצרים פיננסיים בשמם, לשנות פרטי קשר בשירותים מסוימים, או ליזום תביעות והליכים מנהליים תוך העמדת פנים שהם הבעלים החוקיים.

סיכון ברור נוסף הוא שימוש מסיבי במידע עבור קמפיינים של פישינג וספאםתוקפים יכולים לשלוח מיילים, הודעות SMS או לבצע שיחות טלפון תוך התחזות לאנדסה, בנקים או חברות אחרות, כולל נתוני לקוחות אמיתיים, כדי לזכות באמונם ולשכנע אותם לספק מידע נוסף או לבצע תשלומים דחופים.

חברת האבטחה ESET מתעקשת ש... הסכנה לא נגמרת ביום הדיווח על הפרצההמידע המתקבל במתקפה כזו יכול לשמש לשימוש חוזר במשך חודשים או אפילו שנים, בשילוב עם נתונים אחרים שנגנבו באירועים קודמים כדי לבנות הונאות מתוחכמות יותר ויותר וקשה יותר לגילוי. כדי להבין את ההשלכות הטכניות של זיהום נרחב, כדאי לבחון מה קורה אם מכונה נפגעה באופן עמוק: מה קורה אם המחשב שלי נגוע בתוכנה זדונית?.

זו הסיבה שרשויות ומומחים מדגישים את החשיבות של לשמור על גישה ערנית בטווח הבינוני והארוךעל ידי סקירה תקופתית של תנועות בנקאיות, הודעות חריגות וכל תקשורת שנראית אפילו במעט חשודה, גם אם חלף זמן מה מאז האירוע המקורי.

המלצות לנפגעי ההתקפה על אנדסה

ארגונים מתמחים וחברות אבטחת סייבר הפיצו בעצמם סדרה של אמצעים מעשיים למזעור ההשפעה של סוג זה של פרצה בקרב משתמשים. הצעד הראשון הוא להיזהר מכל תקשורת בלתי צפויה המתייחסת לאירוע או לנתונים אישיים וכספיים.

אם אתם מקבלים מיילים, הודעות טקסט או שיחות שנראות כאילו הן מאנדסה, בנק או גוף אחר, וכוללות קישורים, קבצים מצורפים או בקשות נתונים דחופותההמלצה היא לא ללחוץ על קישורים או לספק מידע כלשהו, ​​ובמקרה של ספק, לפנות ישירות לחברה דרך הערוצים הרשמיים שלה. עדיף להקדיש מספר דקות לאימות אמיתות ההודעה מאשר להסתכן בהונאה. במקרים אלה, כדאי לדעת כיצד לחסום מקורות זדוניים: איך לחסום אתר אינטרנט.

למרות שאנדסה מתעקשת שהסיסמאות של לקוחותיה הם לא נפגעו בתקיפה הזומומחים ממליצים לנצל הזדמנות זו כדי לחדש סיסמאות גישה לשירותים חשובים, ובמידת האפשר להפעיל מערכות עבור אימות דו-שלבישכבת אבטחה נוספת זו מקשה הרבה יותר על תוקף לקבל גישה לחשבון, גם אם הוא מצליח להשיג את הסיסמה.

מומלץ גם בודקים לעתים קרובות חשבונות בנק ושירותים פיננסיים אחרים המקושרים לנתונים שדלפו, כדי לאתר עסקאות לא מורשות או חיובים חריגים. אם אתם חושדים שמידע נמסר לרמאי פוטנציאלי, מומלץ להודיע ​​מיד לבנק ולהגיש תלונה במשטרה.

שירותים בחינם כגון האם נצמדתי הם מאפשרים לך לבדוק אם כתובת דוא"ל או נתונים אחרים הופיעו בדליפות נתונים ידועות. למרות שהם אינם מציעים הגנה מוחלטת, הם עוזרים לך לקבל הבנה ברורה יותר של החשיפה שלך ולקבל החלטות מושכלות לגבי שינויי סיסמה ואמצעי מניעה אחרים.

קווי סיוע וערוצים רשמיים זמינים

כדי לפתור ספקות ולתעל אירועים הקשורים למתקפת הסייבר, אנדסה אפשרה קווי טלפון ייעודיים לסיועלקוחות אנדסה אנרג'יה יכולים להתקשר למספר החינמי 800 760 366, בעוד שלמשתמשי Energía XXI יש את 800 760 250 לבקש מידע או לדווח על כל אנומליות שהם מזהים.

בהודעות שנשלחו, החברה מבקשת מהמשתמשים שימו לב במיוחד לכל תקשורת חשודה בימים הקרובים ולדווח באופן מיידי אם הם מקבלים הודעות או שיחות שיוצרות חוסר אמון, בין אם דרך טלפונים אלה ובין אם על ידי פנייה לכוחות הביטחון.

בנוסף לערוצים של Endesa עצמה, אזרחים יכולים להשתמש גם שירות סיוע של המכון הלאומי לאבטחת סייבר, הכולל את מספר הטלפון החינמי 017 ואת מספר הוואטסאפ 900 116 117 לפתרון שאלות הקשורות לאבטחה דיגיטלית, הונאה מקוונת והגנת מידע.

משאבים אלה מיועדים ליחידים, עסקים ואנשי מקצוע, ומאפשרים לקבל הדרכה מקצועית על הצעדים שיש לנקוט אם אתם חושדים שהייתם קורבן להונאה או אם אתם רוצים לחזק את אבטחת החשבונות והמכשירים שלכם לאחר פרצת נתונים.

גורמי אכיפת החוק ממליצים לדווח על כל ניסיון הונאה הקשור לאירוע זה. להגיש תלונה רשמית למשטרה או למשמר האזרחימתן מיילים, הודעות או צילומי מסך שיכולים לשמש כראיה בחקירה עתידית.

מתקפה נוספת בגל אירועי הסייבר נגד חברות גדולות

מקרה אנדסה מוסיף ל... מגמה גוברת של מתקפות סייבר נגד חברות גדולות בספרד ובאירופה, במיוחד במגזרים אסטרטגיים כמו אנרגיה, תחבורה, פיננסים ותקשורת. בחודשים האחרונים, חברות כמו Iberdrola, Iberia, Repsol או Banco Santander גם הם סבלו אירועים שפגעו בנתונים של מיליוני לקוחות.

סוג זה של התקפה משקף כיצד קבוצות פשע עברו מהתמקדות במטרות פיננסיות בלבד ל... התמקדות בתשתיות קריטיות ובתאגידים רב לאומייםכאשר ערך המידע הגנוב והיכולת להפעיל לחץ על חברות גדולים בהרבה. המטרה אינה עוד רק להשיג רווח מיידי, אלא לרכוש נתונים שניתן לנצל לאורך זמן.

ברמה האירופית, הרשויות מקדמות תקנות מחמירות יותר מזה שנים, כגון תקנת הגנת המידע הכללית (GDPR) או הנחיית NIS2 בנושא אבטחת סייבר, המחייבת חברות לשפר את מערכות ההגנה שלהן ולדווח במהירות על כל אירוע רלוונטי.

הדליפה שסבלה מאנדסה מדגישה שלמרות ההתקדמות הרגולטורית הזו, נותר פער משמעותי בין הדרישות התיאורטיות למציאות של תשתיות טכנולוגיות רבות. מורכבותן של מערכות מדור קודם, הקישוריות עם ספקים רבים והערך ההולך וגדל של נתונים הופכים חברות אלו למטרה אטרקטיבית מאוד.

עבור משתמשים, תרחיש זה אומר שזה בסיסי לשלב אמון בספקי שירותים עם גישה פרואקטיבית של הגנה עצמיתלימוד זיהוי סימני אזהרה ויישום הנחיות בסיסיות להיגיינה דיגיטלית, כגון ניהול סיסמאות נכון או אימות של תקשורת רגישה.

מתקפת הסייבר על אנדסה ו-Energía XXI מראה עד כמה פריצה לפלטפורמה המסחרית של חברת חשמל גדולה יכולה... חשיפת המידע האישי והפיננסי של מיליוני אנשים ולהוביל לניסיונות סחיטה, גניבת זהות והתקפות פישינג. בעוד הרשויות חוקרות והחברה מחזקת את מערכותיה, ההגנה הטובה ביותר עבור הלקוחות היא להישאר מעודכנים, לנקוט משנה זהירות עם כל הודעה חשודה, ולהסתמך על ערוצים רשמיים והמלצות של מומחי אבטחת סייבר.