Δύο πρώην στελέχη της Epsilon Data Management LLC (Epsilon) κρίθηκαν ένοχοι για την πώληση δεδομένων εκατομμυρίων Αμερικανών σε κυβερνοεγκληματίες που πραγματοποιούσαν απάτες μέσω email.
Σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ (DOJ), οι δύο άνδρες, Robert Reger και David Lytle, κατηγορούνται για συνωμοσία και απάτες μέσω email, αφού παρείχαν στοχευμένες λίστες καταναλωτών σε απατεώνες, για πάνω από μια δεκαετία.
Πώς λειτουργούσε η κακόβουλη επιχείρηση;
Αρχικά, η Epsilon Data Management LLC είναι μια data brokerage και marketing εταιρεία που ειδικεύεται στη συλλογή, ανάλυση και πώληση δεδομένων καταναλωτών σε επιχειρήσεις για σκοπούς μάρκετινγκ.
Τα δύο πρώην στελέχη της Epsilon, Robert Reger και David Lytle, είχαν πρόσβαση σε λίστες με δεδομένα εκατομμυρίων πελατών, λόγω της θέσης τους στην εταιρεία. Αυτές οι λίστες περιελάμβαναν στοιχεία, όπως ονόματα, διευθύνσεις κατοικίας, διευθύνσεις email, ηλικία, προτιμήσεις καταναλωτών και ιστορικό αγορών. Τα δύο στελέχη πουλούσαν αυτές τις λίστες σε κυβερνοεγκληματίες που τις χρησιμοποιούσαν για απάτες με κακόβουλα email.
Δείτε επίσης: ΗΠΑ: Καταδικάζεται άνδρας για ξέπλυμα εσόδων από απάτες με email
Τα phishing email υπόσχονταν μεγάλα έπαθλα, πλούτο και γενικά θέλγητρα που ξεγέλασαν τους ανθρώπους να στείλουν χρήματα στους απατεώνες.
Το Υπουργείο Δικαιοσύνης των ΗΠΑ λέει ότι τα στελέχη της Epsilon μοιράστηκαν αυτές τις κρίσιμες πληροφορίες, γνωρίζοντας ότι θα χρησιμοποιηθούν για εξαπάτηση ανθρώπων. Όλο αυτό συνέβαινε για τουλάχιστον 10 χρόνια, με αποτέλεσμα εκατοντάδες χιλιάδες Αμερικανοί να χάσουν μεγάλα χρηματικά ποσά, στα πλαίσια στοχευμένων απατών email.
Τα δύο στελέχη καταδικάστηκαν
Αν και η Epsilon ως εταιρεία δεν συμμετείχε άμεσα στο σχέδιο, είχε συνέπειες. Η εταιρεία κλήθηκε να πληρώσει 150 εκατομμύρια δολάρια σε ποινές, εκ των οποίων τα 122 εκατομμύρια δολάρια διατέθηκαν για αποζημίωση 200.000 θυμάτων.
Προηγουμένως, τρεις υπάλληλοι της Epsilon και ο πρώην Αντιπρόεδρος της εταιρείας παραδέχθηκαν την ενοχή τους για συμμετοχή στο σχέδιο.
Οι μαρτυρίες τους και οι μαρτυρίες πρώην και νυν υπαλλήλων έπαιξαν καθοριστικό ρόλο στην καταδίκη των Reger και Lytle, οι οποίοι δεν παραδέχθηκαν την ενοχή τους.
Δείτε επίσης: ΗΠΑ: Συλλήψεις δύο ατόμων για ξέπλυμα εσόδων από pig butchering απάτες
Τα δύο πρώην στελέχη αντιμετωπίζουν μέγιστη ποινή φυλάκισης 20 ετών για κάθε κατηγορία απάτης, η οποία θα αποφασιστεί στις 30 Σεπτεμβρίου 2024 από το Περιφερειακό Δικαστήριο των ΗΠΑ για την Περιφέρεια του Κολοράντο.
Ενώ στις περισσότερες περιπτώσεις, ακούμε για περιστατικά παραβίασης από τρίτους, εδώ βλέπουμε ότι δύο ανώτερα στελέχη εταιρείας βοήθησαν κυβερνοεγκληματίες να πραγματοποιήσουν επιθέσεις. Αυτό σημαίνει ότι οι εταιρείες πρέπει να είναι πολύ προσεκτικές και να δίνουν έμφαση και στις εσωτερικές απειλές (insiders).
Είναι επιτακτική ανάγκη για τους οργανισμούς να υπολογίζουν τους insiders στη συνολική στρατηγική προστασίας δεδομένων τους. Ένα αποτελεσματικό σύστημα ανίχνευσης εσωτερικών απειλών θα πρέπει να συνδυάζει πολλά εργαλεία τα οποία θα παρακολουθούν τη συμπεριφορά των υπαλλήλων.
Οι οργανισμοί θα πρέπει να δώσουν έμφαση στους εσωτερικούς κινδύνους και να εφαρμόζουν την προσέγγιση zero trust καθώς αναπτύσσουν τα cybersecurity προγράμματά τους.
Δείτε επίσης: Κινεζικό κύκλωμα με e-shop εξαπάτησε πάνω από 800.000 άτομα
Το Zero-trust είναι ένα πλαίσιο ασφαλείας που απαιτεί αυστηρή επαλήθευση ταυτότητας για όλους τους χρήστες, τις συσκευές και τα δίκτυα που είναι συνδεδεμένα στα συστήματα ενός οργανισμού. Αυτή η προσέγγιση προϋποθέτει ότι κανένας χρήστης ή συσκευή δεν μπορεί να είναι αξιόπιστος, είτε βρίσκεται εντός είτε εκτός του δικτύου. Επιβάλλει, επίσης, την αρχή του ελάχιστου προνομίου, όπου οι χρήστες έχουν μόνο την απαραίτητη πρόσβαση για την εκτέλεση των εργασιακών τους καθηκόντων.
Πηγή: www.bleepingcomputer.com
