Προσωπικά δεδομένα στο στόχαστρο χάκερς

Οι υπεύθυνοι κυβερνοασφάλειας μεγάλων οργανισμών εκτιμούν πλέον ότι μεγάλο μέρος των προσωπικών δεδομένων των εργαζομένων τους βρίσκεται ήδη εκτεθειμένο στο διαδίκτυο. Η εξέλιξη αυτή δημιουργεί ένα ολοένα πιο επικίνδυνο περιβάλλον, καθώς οι κυβερνοεγκληματίες μπορούν να αξιοποιήσουν τα στοιχεία αυτά για να διεισδύσουν σε εταιρικά συστήματα και να προκαλέσουν ζημιές εκατομμυρίων ευρώ.

Νέα έκθεση αναδεικνύει ότι η βασική πηγή πληροφόρησης για τους χάκερς δεν είναι πλέον αποκλειστικά το dark web. Αντιθέτως, οι νόμιμες ιστοσελίδες μεσιτείας δεδομένων, οι οποίες συλλέγουν, οργανώνουν και μεταπωλούν δημόσια διαθέσιμες πληροφορίες σε επιχειρήσεις, έχουν μετατραπεί σε κρίσιμο εργαλείο για όσους σχεδιάζουν επιθέσεις κοινωνικής μηχανικής.

Οι επιτιθέμενοι χρησιμοποιούν όλο και συχνότερα τέτοια δεδομένα για να εμφανιστούν ως εργαζόμενοι, συνεργάτες ή πρόσωπα εμπιστοσύνης. Με αυτόν τον τρόπο εξαπατούν τμήματα τεχνικής υποστήριξης ή υπαλλήλους εταιρειών, αποκτούν πρόσβαση σε κρίσιμα συστήματα και ανοίγουν τον δρόμο για επιθέσεις ransomware ή άλλες μορφές ψηφιακής εκβίασης.

Οι επιθέσεις κοινωνικής μηχανικής στο επίκεντρο

Η συγκεκριμένη μέθοδος έχει ήδη συνδεθεί με σοβαρά περιστατικά στον επιχειρηματικό κόσμο. Στην επίθεση κατά της Jaguar Land Rover, η οποία προκάλεσε ζημιές δισεκατομμυρίων στα ετήσια έσοδα της βρετανικής αυτοκινητοβιομηχανίας, οι δράστες φέρονται να αξιοποίησαν τεχνικές εξαπάτησης που βασίζονταν σε πληροφορίες για εργαζομένους και εσωτερικές διαδικασίες.

Ανάλογη εικόνα καταγράφηκε και στην περίπτωση της Marks & Spencer, με την εταιρεία να παραδέχεται ότι οι επιτιθέμενοι κατάφεραν να αποκτήσουν πρόσβαση προσποιούμενοι εργαζόμενο. Η υπόθεση ανέδειξε με ωμό τρόπο πόσο ευάλωτες μπορούν να γίνουν ακόμη και μεγάλες επιχειρήσεις όταν τα προσωπικά στοιχεία του προσωπικού τους είναι εύκολα προσβάσιμα.

Το 2025, αντίστοιχες επιθέσεις σε αμερικανικές αεροπορικές εταιρείες οδήγησαν το FBI στην έκδοση προειδοποίησης εθνικής ασφάλειας. Οι χάκερς χρησιμοποιούσαν ταυτότητες εργαζομένων για να εξαπατήσουν help desk και τμήματα τεχνικής υποστήριξης, δημιουργώντας απειλή που δεν περιοριζόταν σε μεμονωμένες εταιρείες, αλλά άγγιζε συνολικά την αεροπορική βιομηχανία των Ηνωμένων Πολιτειών.

Παρόμοιες επιθέσεις έχουν πλήξει στο παρελθόν και εταιρείες υψηλού προφίλ, όπως η MGM και το Caesars Palace στο Λας Βέγκας, αποδεικνύοντας ότι η κοινωνική μηχανική έχει εξελιχθεί σε έναν από τους πιο αποτελεσματικούς τρόπους παράκαμψης ακόμη και ακριβών συστημάτων κυβερνοάμυνας.

Έρευνα της εταιρείας Optery, στην οποία συμμετείχαν περισσότεροι από 420 επικεφαλής κυβερνοασφάλειας, δείχνει το μέγεθος του προβλήματος. Μόλις το 4% των ερωτηθέντων δήλωσε βέβαιο ότι τα προσωπικά δεδομένα του προσωπικού τους, όπως διευθύνσεις κατοικίας, προσωπικά τηλέφωνα και στοιχεία συγγενών, δεν είναι διαθέσιμα στο διαδίκτυο.

Τα στοιχεία περιλαμβάνονται στην έκθεση Optery 2026 Enterprise Social Engineering Survey Report, η οποία δημοσιεύθηκε αυτόν τον μήνα. Σύμφωνα με τα ευρήματα, το 96% των συμμετεχόντων ανέφερε αύξηση των επιθέσεων κοινωνικής μηχανικής τον τελευταίο χρόνο, ενώ περισσότεροι από τους μισούς δήλωσαν ότι οι επιθέσεις αυτές ασκούν σημαντική πίεση στα αμυντικά τους συστήματα.

Οι data brokers ως νέα δεξαμενή κινδύνου

Περίπου τα τρία τέταρτα των επικεφαλής ασφαλείας ανέφεραν ότι έχουν ήδη καταγραφεί παραβιάσεις που συνδέονται με τέτοιες επιθέσεις. Οι βασικοί στόχοι είναι οι εργαζόμενοι στην πληροφορική, σε ποσοστό 80%, ενώ ακολουθούν τα ανώτερα στελέχη με 42% και το προσωπικό των help desk με 33%.

Η έκθεση επισημαίνει ότι οι επιτιθέμενοι μπορούν πλέον να αποκτήσουν με ευκολία κρίσιμες πληροφορίες για τα πρόσωπα που στοχοποιούν. Διευθύνσεις κατοικίας, τηλέφωνα, email, διαρρεύσαντα διαπιστευτήρια και επαγγελματικοί ρόλοι συγκροτούν ένα πλήρες προφίλ, το οποίο μπορεί να χρησιμοποιηθεί για πειστικές απόπειρες εξαπάτησης.

Το 98% των συμμετεχόντων στην έρευνα θεωρεί ότι οι ιστοσελίδες μεσιτείας δεδομένων και αναζήτησης προσώπων αποτελούν πλέον τη σημαντικότερη πηγή τέτοιων πληροφοριών, ξεπερνώντας τόσο τα κοινωνικά δίκτυα όσο και το dark web. Πρόκειται για μια κρίσιμη μετατόπιση στο πεδίο της κυβερνοασφάλειας, καθώς νόμιμες πλατφόρμες δεδομένων μετατρέπονται σε δεξαμενή πληροφοριών για παράνομες επιχειρήσεις.

Πάνω από τα τρία τέταρτα των ερωτηθέντων, ποσοστό 77%, δήλωσαν ότι τα προσωπικά δεδομένα των εργαζομένων τους είναι πολύ ή αρκετά εκτεθειμένα σε τέτοιες πλατφόρμες. Μόλις το 3,6% απάντησε ότι δεν θεωρεί πως υπάρχει αντίστοιχη έκθεση.

Ο ιδρυτής και διευθύνων σύμβουλος της Optery, Lawrence Gentilello, σημείωσε ότι τα τελευταία χρόνια έχουν καταγραφεί επανειλημμένα περιστατικά στα οποία κακόβουλοι παράγοντες αξιοποίησαν εμπορικές βάσεις δεδομένων για να χαρτογραφήσουν οργανισμούς και να στοχοποιήσουν πρόσωπα-κλειδιά.

Όπως ανέφερε, διαρροές επικοινωνιών ομάδων ransomware, έρευνες περιστατικών και κυβερνητικές προειδοποιήσεις δείχνουν ότι οι επιτιθέμενοι χρησιμοποιούν υπηρεσίες συγκέντρωσης δεδομένων για να αναγνωρίσουν τη δομή μιας εταιρείας, να εντοπίσουν κρίσιμους υπαλλήλους και να συγκεντρώσουν πληροφορίες που κάνουν τις επιθέσεις τους πιο πειστικές.

Στην έκθεση γίνεται αναφορά σε ομάδες όπως οι Black Basta και Scattered Spider, καθώς και στην καμπάνια 0ktapus, κατά την οποία χάκερς αξιοποίησαν δεδομένα από εμπορικές πηγές για να στοχοποιήσουν περισσότερους από 130 οργανισμούς και να υποκλέψουν περίπου 10.000 διαπιστευτήρια.

Ορισμένες εγκληματικές ομάδες αγοράζουν απευθείας πρόσβαση σε τέτοιες υπηρεσίες, ενώ άλλες μεταπωλούν τα δεδομένα ως εργαλεία αναζήτησης. Με αυτόν τον τρόπο, τα δημόσια διαθέσιμα προσωπικά προφίλ μετατρέπονται σε πρώτη ύλη για επιθέσεις κοινωνικής μηχανικής, αποδεικνύοντας ότι η προστασία των εταιρικών συστημάτων δεν μπορεί πλέον να περιορίζεται μόνο στα firewalls και στα τεχνικά φίλτρα ασφαλείας.