Αποτελούν τη λιγότερο ορατή, αλλά μία από τις πλέον επικίνδυνες απειλές στον σύγχρονο κυβερνοχώρο. Ο λόγος για τους ανενεργούς λογαριασμούς. Είτε πρόκειται για παλιά προφίλ και δοκιμαστικές εγγραφές, είτε για συνδρομές σε ξεχασμένες υπηρεσίες ή e-shops, που κάποτε χρησιμοποιήθηκαν και σήμερα έχουν εγκαταλειφθεί, αυτοί οι λογαριασμοί μπορεί να λειτουργούν σαν κερκόπορτα για εγκληματικές ψηφιακές επιθέσεις.

Σύμφωνα με την Google, οι ανενεργοί λογαριασμοί είναι έως και 10 φορές λιγότερο πιθανό να έχουν ενεργοποιημένη τη λειτουργία ελέγχου ταυτότητας δύο παραγόντων (2FA). Παράλληλα, πολλοί χρησιμοποιούν για αυτούς παλιούς ή επαναχρησιμοποιημένους κωδικούς, αυξάνοντας δραματικά τις πιθανότητες παραβίασης.

Ανενεργοί λογαριασμοί, ξεχασμένοι κωδικοί και απενεργοποιημένα προφίλ γίνονται η αχίλλειος πτέρνα της ψηφιακής ασφάλειας

Είναι χαρακτηριστικό ότι, μόνο πέρυσι, σύμφωνα με έκθεση για την κυβερνοασφάλεια, 3,2 δισεκατομμύρια credentials (στοιχεία σύνδεσης) εκλάπησαν - τα περισσότερα μέσω κακόβουλων προγραμμάτων τύπου infostealers. Η εγκατάλειψη τέτοιων λογαριασμών δεν σημαίνει διαγραφή.

Αντιθέτως, αυτοί παραμένουν προσβάσιμοι, ενίοτε αποθηκεύουν ακόμα δεδομένα ή ενεργές κάρτες, ενώ μπορούν να αποτελέσουν εργαλεία για επιθέσεις phishing, για απάτη ταυτότητας ή ακόμα και για ξέπλυμα χρημάτων.

Στο Ηνωμένο Βασίλειο, εκτιμάται ότι υπάρχουν έως και 82 δισεκατομμύρια λίρες σε αδρανείς λογαριασμούς - στόχοι πρώτης γραμμής για κυβερνοεγκληματίες. Όπως εξηγεί ο Phil Muncaster από την ESET, “οι λογαριασμοί αυτοί γίνονται πόρτες προς τα πιο ευάλωτα σημεία του ψηφιακού μας προφίλ - προσωπικά δεδομένα, οικονομικές πληροφορίες, εταιρική πρόσβαση”.

Κίνδυνοι

Επιθέσεις τύπου credential stuffing, τεχνικές brute-force και μαζικές διαρροές από τρίτους παρόχους είναι μερικές μόνο από τις μεθόδους, που χρησιμοποιούν οι επιτιθέμενοι.

Ο κίνδυνος δεν περιορίζεται στους ιδιώτες. Εταιρικοί ανενεργοί λογαριασμοί έχουν ήδη αποδειχθεί μοιραίοι. Η επίθεση ransomware στην Colonial Pipeline το 2021 - που παρέλυσε την τροφοδοσία καυσίμων στις ΗΠΑ - ξεκίνησε από έναν ξεχασμένο VPN λογαριασμό. Παρόμοια, ο Δήμος Hackney του Λονδίνου υπέστη σοβαρή κυβερνοεπίθεση από ανενεργό προφίλ με ευάλωτο κωδικό.

Τι μπορεί να κάνει ένας χρήστης;

Στην ερώτηση “τι μπορεί να κάνει ένας χρήστης;” οι ειδικοί απαντούν, πρώτα απ’ όλα, συνειδητοποίηση, καθώς πολλοί χρήστες δεν γνωρίζουν ότι έχουν δεκάδες ανοιχτούς λογαριασμούς σε βάθος ετών. Έπειτα, τακτικός έλεγχος μέσω email, password manager ή browser: αναζητήστε λέξεις, όπως “Καλώς ήρθατε”, “Επαλήθευση”, “Δωρεάν δοκιμή” για να εντοπίσετε ξεχασμένες εγγραφές.

Η διαγραφή ή τουλάχιστον η αλλαγή κωδικού σε λογαριασμούς, που δεν χρησιμοποιείτε πια, είναι επιβεβλημένη. Αν αποφασίσετε να κρατήσετε κάποιους, βεβαιωθείτε ότι έχουν μοναδικό, ισχυρό κωδικό, προστατεύονται με 2FA και δεν είναι συνδεδεμένοι με δημόσια Wi-Fi χωρίς VPN. Επίσης, να γνωρίζετε τις πολιτικές του παρόχου για τη διαγραφή των δεδομένων σας.

Όπως τονίζει η ESET, ο ψηφιακός καθαρισμός δεν είναι πολυτέλεια, αλλά απαραίτητο μέτρο πρόληψης, καθώς οι λογαριασμοί που ξεχνάμε, ενδέχεται να μας θυμηθούν - με τον χειρότερο τρόπο.