Nedbank rapporterar ett dataöverträdelse som kan ha påverkat 1,7 miljoner kunder
I början av februari fick IT-experter som arbetade för Nedbank, en av Sydafrikas ”fyra stora” affärsbanker, veta att en del av deras kunder kan ha drabbats av ett dataintrång. Inom en vecka hade de granskat händelsen noggrant, och Mike Brown, Nedbanks VD, gick med på att diskutera attacken i en intervju med CNBC Africa. Vid ett tillfälle sa han att Nedbank-kunderna inte behöver göra något annorlunda. Men vad fick honom att säga det? Och är det så bra råd?
Ett överträdelse hos ett direktmarknadsföringsföretag påverkar 1,7 miljoner Nedbank-kunder
En av de första saker som Nedbank-kunder måste veta är att det inte finns något som tyder på att deras banks IT-säkerhet har äventyrats. Överträdelsen inträffade hos en tredjepartsleverantör, Computer Facility Ltd., som Nedbank anlitade för att kontakta kunder via e-post och SMS. Tekniska detaljer kring attackens art är praktiskt taget obefintliga, men vi fick veta att hackare på en gång fick tillgång till vissa servrar som tillhörde Computer Facility och innehöll Nedbank-användarnas personliga information. Enligt MyBroadband.co.za riskerades ID-nummer, telefonnummer och fysiska adresser och e-postadresser för 1,7 miljoner Nedbank-kunder.
Genom att se på saker, varken Nedbank eller Computer Facility vet om någon av dessa uppgifter faktiskt stulits, men av en mängd försiktighet behandlar banken dem som komprometterade. Potentiellt påverkade konton har inkluderats i en bedrägeribas, och Nedbanks anställda kommer att hålla ett noggrant öga på dem för att säkerställa att all misstänkt verksamhet hanteras snabbt och effektivt.
I sin intervju var Nedbanks vd fast vid att bankkontonummer, lösenord eller PIN-koder inte påverkades av överträdelsen. Därför tycks han tro att Nedbank-kunder inte behöver göra något ovanligt för att skydda sig. Det finns dock ett eller två problem med detta.
Nedbank-kunder får inte underskatta överträdelsen
Den potentiellt komprometterade informationen från Computer Facility räcker inte för att låta hackare stjäla Nedbank-kundernas bankkonton, och Mike Brown sade upprepade gånger att så länge människor inte lämnar känslig information som PIN-koder, lösenord och bankkontonummer, deras pengar borde vara säker. Så mycket är sant, men genom att säga att Nedbank-kunder inte behöver göra "något annorlunda" antar Brown att människor i allmänhet är vaksamma nog och inte kan luras att ge bort sina inloggningsuppgifter. Det stora antalet användare som blir offer för sociala tekniska attacker varje dag visar att detta inte riktigt är fallet.
Även om det har funnits i decennier nu fortsätter phishing att vara ett av de mest effektiva sätten att samla in inloggningsuppgifter. Ju mer trovärdiga e-postmeddelanden, desto större är chansen att lyckas och tack vare överträdelsen på Computer Facility kan meddelandena som Nedbank-kunderna får vara ganska övertygande.
Om de tar hand om uppgifterna kan skurkarna skapa phishing-e-postmeddelanden som adresserar målet med namn, och de kan få meddelandena att se ut som om de kommer från banken. Samtidigt öppnar förekomsten av telefonnummer och fysiska adresser vägen för andra bedrägerier.
Med andra ord, tack vare brottet vid Computer Facility, kan Nedbank-kunder falla i byte mot ett brett spektrum av attacker, av vilka några kan vara extremt sofistikerade. Mot bakgrund av detta var Mike Browns beslut att berätta för sina klienter att göra allt de normalt gör inte så bra. Berörda kunder måste vara medvetna om de potentiella farorna och bör närma sig dagliga uppgifter med mycket extra försiktighet.