DARK WEB · 6 MIN. LÆSNING

Danske data handles dagligt på dark web og Telegram

Vores dark web-overvågning fandt tusindvis af kanaler hvor danske login-oplysninger, fakturaer og kundedata handles dagligt. Her er hvad vi så.

I marts gennemgik vores dark web-overvågning de kanaler hvor stjålne data bliver handlet. Vi ledte efter danske spor: firmadomæner, NemID- og MitID-relateret materiale, fakturaer, kundelister. Resultatet var større end vi havde regnet med. Tusindvis af aktive grupper, hvor danske data skiftede hænder som en helt almindelig vare.

Kort svar: Stjålne danske data handles dagligt i lukkede Telegram-grupper og på dark web-markeder. Login-oplysninger, fakturaer og kundedata sælges for få dollars stykket. Den vigtigste beskyttelse er totrinsgodkendelse, overvågning af om jeres domæne dukker op i lækager, og hurtig udskiftning af kompromitterede adgangskoder.

Hvad vi så i kanalerne

Handlen foregår ikke i en mørk krog langt væk. Den foregår i chatgrupper der ligner enhver anden gruppe, bare med stjålne data i stedet for kattebilleder. Sælgere lægger prøver op. Købere betaler i krypto. Alt sammen automatiseret med bots der leverer varen sekunder efter betaling.

Det meste stammer fra såkaldt stealer-malware, der inficerer en medarbejders computer og sender alle gemte logins videre. En enkelt inficeret privat-pc kan lække firmaets VPN-adgang, Microsoft 365-login og bankportal på én gang.

Hvorfor rammer det danske virksomheder?

Fordi danske virksomheder betaler. Vi har høj digitalisering, gode betalingssystemer og en kultur hvor man stoler på en mail fra chefen. Det gør os til et attraktivt marked. Og fordi data er friske: jo nyere et login er, jo mere er det værd, fordi adgangskoden sandsynligvis stadig virker.

Under 48 t
Det tager ofte under to døgn fra en medarbejders login bliver stjålet, til det er testet og solgt videre til nogen der vil bruge det mod jer.

Hvad betyder det for jer?

Det betyder at I skal gå ud fra at nogle af jeres logins allerede ligger derude. Ikke som skræmmekampagne, men som realistisk udgangspunkt. Spørgsmålet er ikke om data lækker, men om I opdager det inden nogen bruger det.

Data lækker hele tiden. Forskellen er om I opdager det først.

Hvad skal I gøre?

  1. Slå totrinsgodkendelse til overalt. Et stjålet password er værdiløst hvis der også kræves en kode fra telefonen. Brug helst phishing-resistent login som passkeys.
  2. Overvåg om jeres domæne dukker op i lækager. Så ved I det inden de kriminelle bruger det, og kan nå at skifte adgangskoder.
  3. Sørg for EDR på alle enheder. Det er stealer-malware der fodrer kanalerne. Stop infektionen, og kilden tørrer ud.
  4. Lav en fast procedure for kompromitterede konti. Hvem gør hvad, og hvor hurtigt, når en advarsel kommer ind.

Hvad vi gør hos os

I BestSecurity.IO overvåger vi løbende om jeres domæne og medarbejder-logins optræder i lækager, og samler det med jeres øvrige sikkerhedsstatus ét sted. I får besked når noget dukker op, og en konkret anbefaling til hvad I gør ved det. Det er forskellen på at opdage en lækage selv og at læse om den i pressen.

Ofte stillede spørgsmål

Handles danske data virkelig på Telegram?

Ja. Lukkede Telegram-grupper og dark web-markeder er det primære sted hvor stjålne login-oplysninger, fakturaer og kundedata sælges. Handlen er automatiseret og foregår dagligt.

Hvordan ender vores data der?

Oftest via stealer-malware på en medarbejders enhed, der sender alle gemte adgangskoder videre, eller via store datalæk hos tjenester I bruger.

Hvad koster stjålne logins?

Fra få dollars for et enkelt login op til flere hundrede dollars for adgang til en virksomheds netværk. Friske, fungerende logins er mest værd.

Hvordan opdager vi om vores data er lækket?

Med dark web-overvågning der scanner kanaler og lækager for jeres domæne og logins, så I får besked inden de bliver brugt.

HAR I SPØRGSMÅL?

Vi tager gerne en uforpligtende snak.