18 sierpnia 2022
„Gangi porzucają tradycyjne formy przestępstw na rzecz nielegalnych działań w cyberprzestrzeni” – taki komunikat przeczytałem niedawno w komunikacie, który otrzymałem od ekspertów Cisco Talos. Jeśli do tej pory osoby czytające ten tekst próbowały jeszcze bagatelizować kwestię zagrożeń z cyberprzestrzeni (a wiem, że takie podejście jest niestety dość powszechne), teraz przyszedł czas na kubeł zimnej wody i szybkie wyrwanie z letargu. Problem nie dotyczy już tylko szczebla administracyjnego czy dużych korporacji. Dziś w Polsce praktycznie wszystkie firmy, a nawet indywidualni przedsiębiorcy każdego miesiąca muszą się mierzyć ze skutkami cyberataków. Teraz przyszedł czas na pozostałą grupę internautów. Cyberprzestępcy na celownik biorą już praktycznie każdego…
Zacznijmy od zestawienia kilku faktów z najnowszych raportów Cisco Talos oraz Check Point. Do tej pory specjaliści ds. cyberbezpieczeństwa skupiali się głównie na największych i najbardziej spektakularnych przypadkach ataków. Po części winę za taki stan rzeczy ponosiły media, które tematami związanymi z cyberbezpieczeństwem interesowały się jedynie, jeśli była to jakaś medialna „petarda”. Tymczasem statystyki jednoznacznie wskazują, że większość naruszeń bezpieczeństwa to stosunkowo drobne, mało wyrafinowane przestępstwa. Cyberprzestępcy wykorzystują brak uwagi użytkowników oraz wzrost popularności pracy zdalnej. Skala zjawiska jest jednak ogromna. Dlaczego? To proste – wbrew powszechnej opinii, aby zostać cyberprzestępcą wcale nie trzeba posiadać specjalistycznej wiedzy.
Z danych departamentu cyberbezpieczeństwa KPRM wynika, że w 2020 r. doszło do 388 incydentów bezpieczeństwa w administracji publicznej, a do sierpnia 2021 r. do kolejnych 287. Patrząc jednak na najnowsze statystyki, należy założyć, że mogło być ich jednak znacznie więcej. Sporo zależy od tego, jak szeroko zdefiniujemy samo pojęcie „incydentu”. Według danych Check Point z początku czerwca tego roku przeciętna polska firma atakowana była średnio 938 razy… w tygodniu! Te dane z pewnością dają do myślenia. A to jeszcze nie wszystko. W 2021 roku Internet Crime Complaint Center (IC3), wydział FBI zajmujący się analizą zgłoszeń naruszeń cyberbezpieczeństwa, otrzymał ponad 847 tysięcy zawiadomień. To praktycznie dwukrotny wzrost w porównaniu z 2019 r. – wówczas zgłoszonych było było ok. 467 tys. incydentów.
Eksperci Cisco Talos przekonują, że tak duży wzrost jest on ściśle związany z wybuchem pandemii i masowym przejściem na model pracy i nauki zdalnej, co ułatwiło zadanie osobom chcącym dokonywać przestępstw w przestrzeni cyfrowej. W tym miejscu warto podkreślić, że zgłaszane zdarzenia wiązały się ze średnią stratą rzędu ok. 8 tys. USD.
Allot, jeden z globalnych liderów w obszarze cyberbezpieczeństwa, zarejestrował i zablokował w Europie w pierwszym kwartale 2022 ponad 2.3 miliardy ataków na użytkowników indywidualnych, co stanowi wzrost o 618% w porównaniu do podobnego okresu rok wcześniej – wynika z raportu firmy „Cyber Threat Report Q1 2022”.
Cyberprzestępcą może zostać każdy?
Przez wiele lat wokół środowiska hakerskiego narosło wiele mitów. Panowało również przekonanie, że cyberprzestępczość wiąże się z posiadaniem konkretnych umiejętności i wiedzy technicznej oraz profesjonalnego sprzętu. Sytuacja diametralnie uległa jednak zmianie. Dziś technologia nie stanowi już przeszkody i w zasadzie każdy użytkownik smartfona może stać się cyberprzestępcą. Dodatkową przynętą jest dynamiczny rozwój kryptowalut i możliwość zacierania za sobą cyfrowego śladu jak magnes przyciąga przestępców, którzy wcześniej niewiele mieli wspólnego z IT i branżą komputerową. Dziś często nawet zwykli kieszonkowcy czy podrzędni włamywacze w czasie swoich „akcji” posługują się technologicznymi gadżetami, które jeszcze kilka lat temu mogłyby zawstydzić samego Jamesa Bonda.
Współczesny przestępca często nie musi nawet wychodzić na ulicę, żeby dość szybko się wzbogacić, a co najważniejsze niemal do zera zminimalizować ryzyko wpadki.
Analizując dane z nowojorskiej policji specjaliści z Cisco Talos przekonują na przykład, że uliczne gangi porzucają tradycyjne formy łamania prawa na rzecz nielegalnych działań w cyberprzestrzeni. Odchodzą od narkotyków i dokonują oszustw online.
W latach 90. XX wieku głośno było o spektakularnych atakach hakerów, którzy w wyniku swoich działań kradli oszałamiające sumy pieniędzy. Dziś trendy dość radykalnie się zmieniły. Cyberprzestępcy znacznie częściej niż spektakularny „skok na bank” wybierają metodę „małych kroczków”. Z ich punktu widzenia znacznie bardziej opłacalne jest przeprowadzenie kilku lub nawet kilkudziesięciu ataków i celowanie w mniejsze kwoty niż jedna spektakularna akcja, która wiąże się ze znacznie większym ryzykiem.
„Z perspektywy cyberprzestępcy o wiele łatwiej i bezpieczniej jest wykorzystać skradzioną kartę kredytową i np. kupić kartę podarunkową o wartości 500 USD w dużym, sieciowym sklepie niż prać skradzione 10 000 USD w podobny sposób” – czytamy w raporcie Cisco Talos.
Współcześni cyberprzestępcy w przeciwieństwie do najsłynniejszych hackerów chcących chwalić się swoimi osiągnięciami, znacznie częściej wolą zniknąć w tłumie i nie wzbudzać zainteresowania swoją osobą.
Warto mieć jednak świadomość, że środowisko cyberprzestępców cały czas ewoluuje. Nieustannie obserwują oni zmieniające się trendy i szukają nowych metod prowadzenia swojej „działalności”
Dowodem na to, jak szybko cyberprzestępcy dostosowują się do nowych warunków jest chociażby pandemia COVID-19. Właśnie wtedy znacząco wzrosły próby oszustw związanych z phishingiem i wszelkiego rodzaju wyłudzeniami (m.in. świadczeń pomocowych i różnego rodzaju zasiłków). Warto dodać, że w większości przypadków cyberataki te nie wymagały praktycznie żadnej specjalistycznej wiedzy z zakresu nowych technologii.
Współczesny cyberarsenał – czyli, co nam grozi?
Jakie są obecnie najpopularniejsze narzędzia wykorzystywane przez cyberprzestępców. Nieco więcej światła na usiłujących pozostać w cieniu cyberprzestępców i ich metody działania rzuca raport „Cyber Threat Report Q1 2022” firmy Allot.
Próby zainfekowania telefonów i komputerów trojanami komputerowymi oraz oprogramowaniem adware były w pierwszym kwartale 2022 roku najczęstszymi formami cyberataków w Europie. Stanowiły one ponad 90% wszystkich działań podejmowanych przez cyberprzestępców. Allot, jeden z globalnych liderów w obszarze cyberbezpieczeństwa, zarejestrował i zablokował w tym czasie ponad 2.3 miliardy ataków na użytkowników indywidualnych, co stanowi wzrost o 618% w porównaniu do podobnego okresu rok wcześniej – wynika z treści raportu.
1. Uwaga na konia trojańskiego
Na szczycie listy z najczęściej wykorzystywanymi przez cyberprzestępców narzędziami są obecnie trojany komputerowe. Ataki z ich wykorzystaniem stanowiły aż 62 proc. wszystkich zablokowanych prób infekcji komputerów i telefonów. Trojan podszywa się pod aplikacje używane przez użytkownika, a po zainstalowaniu pobiera na komputer lub telefon niepożądane elementy, które mogą wyrządzić poważne szkody.
Autorzy raportu ostrzegają, że w ciągu ostatniego kwartału zaobserwowano szczególny wzrost liczby trojanów bankowych. Chodzi o złośliwe oprogramowanie zaprojektowane w celu uzyskania dostępu do informacji z systemu bankowości internetowej, takich jak dane logowania.
Poza tym doszło do rekordowego wzrostu ataków z wykorzystaniem trojanów bitcoinowych, które były popularne w 2017 roku, ale potem ich wykorzystanie regularnie spadało. Tymczasem liczba zablokowanych ataków z wykorzystaniem trojanów bitcoinowych wzrosła o 600%. Co szczególnie istotne, zagrożenia z nimi związane nie obejmują jedynie złośliwego oprogramowania, które po zainstalowaniu wykorzystuje zasoby komputera użytkowników, aby kopać kryptowalutę.
Szczególnie groźny jest fakt, że cyberprzestępcy korzystają z arsenału trojanów, które specjaliści do spraw cyberpezbieczeństwa uznawali za skutecznie wyeliminowane.
Analitycy firmy Allot wymieniają kilka najgroźniejszych typów trojanów, które nadal sieją spustoszenie wśród niczego nieświadomych użytkowników. Są tą:
Beating Bian – ten typ trojana został po raz pierwszy wykryty w 2019 roku, ale potem nie notowano wielu prób ataków z jego wykorzystaniem. Od listopada 2021 roku nastąpiła tutaj zmiana i wygląda na to, że to złośliwe oprogramowanie ponownie stało się bardzo popularne wśród cyberprzestępców. Beating Bian jest trudny do wykrycia, bo nie komunikuje się z serwerem, a dane uwierzytelniające użytkowników zdobywa nagrywając ekran ich urządzenia. Nagranie jest potem pobierane przez przestępców w dogodnym dla nich momencie.
Coper – ten trojan bankowy został po raz pierwszy zidentyfikowany w Kolumbii, ale rozprzestrzenił się na inne części Ameryki Łacińskiej, a także został zidentyfikowany w Europie. Coper rozprzestrzenia się podszywając się pod oficjalną aplikację instytucji finansowej Bancolombia, używając podobnej ikonografii i marki. Po uruchomieniu aplikacji urządzenie jest infekowane, a po przyznaniu uprawnień aplikacja może przejąć kontrolę nad wiadomościami, zainstalować keylogger i wiele więcej.
Emotet – według EUROPOLu jest to najniebezpieczniejszy złośliwy program na świecie, który może zablokować komputer i telefon, a potem zażądać okupu. Podobno miał on zostać wyeliminowany już na początku stycznia 2021 roku. Wygląda jednak na to, że obecnie mamy nawrót ataków z wykorzystaniem tego wirusa.
2. Sezon na łowy – czyli phishing nie traci na popularności
Z raportu „Cyber Threat Report Q1 2022” wynika, że w Europie aż o 37 proc. wzrosła liczba ataków phishingowych. W pierwszym kwartale tego roku zostały one zablokowane 64 miliony razy w porównaniu z 47 milionami rok wcześniej.
Jak się okazuje, cyberprzestępcy dość często wykorzystują potencjał drzemiący w phisingu oraz dość wysokie zainteresowanie rynkami kryptowalut. Tworzą strony udające giełdy kryptowalut i za ich pomocą infekują komputery użytkowników innymi rodzajami złośliwego oprogramowania.
3. Reklama dźwignią handlu – czyli adware odcina kupony
Od lat niezwykle popularnym wśród cyberprzestępców narzędziem jest adware, oprogramowanie służące do wyświetlania niechcianych reklam. Ataki wykorzystujące te narzędzia stanowiły w pierwszym kwartale 2022 r. aż 36 proc. wszystkich zablokowanych prób infekcji urządzeń użytkowników.
Warto mieć świadomość, że konsekwencje zainfekowania oprogramowaniem adware to nie tylko wyświetlanie irytujących reklam. Adware często jest jedynie przynętą, dzięki której użytkownicy nakłaniani są do pobrania znacznie groźniejszego złośliwego oprogramowania.
W minionym kwartale nieco zmalała liczba ataków z wykorzystaniem strony Omnatuor.com, która jest automatycznie otwierana w przeglądarkach zainfekowanych specjalnym wirusem i wyświetla fałszywe komunikaty o błędach. Ich celem jest zachęcenie do zasubskrybowania powiadomień. Okazują się one potem niechcianymi reklamami stron dla dorosłych, serwisów z grami hazardowymi, a także fałszywych uaktualnień różnego rodzaju oprogramowania. Zwiększyło się za to wykorzystanie adware’a Fybian, który atakuje telefony z systemem Android przez gry, a potem wyświetla niechciane reklamy.
Co robić, kiedy staniemy się ofiarą cyberataku? Kluczowe jest jak najszybsze zgłoszenie incydentu odpowiednim służbom. Czas odkrywa tu istotną rolę, zwłaszcza jeśli chodzi o incydent związany z bezpieczeństwem finansowym.
Gdzie zgłaszać cyberprzestępstwa?
Policja – jest formacją,w ramach której działają specjalne jednostki do zwalczania cyberprzestępczości. W strukturach policji funkcjonuje również zespół POL-CERT. Przy Komendzie Głównej Policji działa natomiast Biuro do walki z Cyberprzestępczością, które realizuje zadania związane z tworzeniem warunków do efektywnego wykrywania sprawców przestępstw popełnionych przy użyciu nowoczesnych technologii teleinformatycznych.
CERT.GOV.PL – to działający w ramach struktur ABW Departament Bezpieczeństwa Teleinformatycznego i Rządowy Zespół Reagowania na Incydenty Komputerowe
CERT.PL – to działający w ramach NASK zespół CERT.POLSKA, który pełni rolę krajowego CERT/CSIRT.
NC Cyber – powołane w lipcu 2016 r. w ramach NASK, Narodowe Centrum Cyberbezpieczeństwa. Centrum operacyjne NC Cyber funkcjonuje w trybie 24/7 przez 365 dni w roku. NC Cyber oparte jest na kilku filarach: operacyjnym, analitycznym, badawczo-rozwojowym, szkoleniowym oraz obszarze polityk i standardów.
Epilog – zamiast zakończenia
„Jak byś się poczuł, gdyby okazało się, że twój sąsiad, a zarazem przyjaciel, od lat po kryjomu podgląda cię w twoim domu, dotąd uznawanym przez ciebie za bezpieczny azyl? Na dodatek za pomocą urządzeń, których nigdy nie podejrzewałbyś o możliwości szpiegowania? Zdarza się to coraz częściej, choć stanowi pogwałcenie naszej wolności i poczucia bezpieczeństwa. To brak należnego nam szacunku. Jedyna metoda, by się im przeciwstawić, to wzmocnienie cyberbezpieczeństwa, którego podstawą jest edukacja na temat ochrony prywatności w codziennym życiu”. – stwierdza Steve Wozniak, współzałożyciel Apple Inc.
Trudno się z nim nie zgodzić – zwłaszcza, że tu nie chodzi już tylko o kwestię prawa do prywatności. W sytuacji, w której każdy może stać się cybeprzestępcą, jeszcze bardziej aktualne wydaje się powtarzane przeze mnie od lat stwierdzenie, że „wszyscy jesteśmy cyberżołnierzami”. W tej nierównej walce będziemy mieć jakiekolwiek szanse tylko wtedy, gdy na poważnie podejdziemy do cyberbezpieczeństwa.
dr Piotr Łuczuk
Medioznawca, ekspert ds. cyberbezpieczeństwa UKSW oraz Instytutu Staszica.
Adiunkt w Katedrze Komunikacji Społecznej, Public Relations i Nowych Mediów Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Autor pierwszej w Polsce książki o cyberwojnie: „Cyberwojna. Wojna bez amunicji?”.Redaktor naczelny serwisu FilaryBiznesu.pl.