Czym się zajmą cyberprzestępcy w 2019 r.
Przestępczość cyfrowa to ogromna gałąź przemysłu czerpiącego z realnej, ludzkiej krzywdy. Zorganizowane grupy kryminalistów funkcjonują jak korporacje, zatrudniając hakerów do różnych zadań, świadcząc usługi np. dla zainteresowanych nielegalnym zyskiem. Polem realizacji cyberkryminalistów jest Internet i urządzenia elektroniczne, zaś furtką wejścia: aplikacje, z których korzystamy.
Nasi specjaliści z F5 Labs obserwujący zachowania grup przestępczych, w tym zachowania nietypowe i motywację do działań za marginesem legalności wskazują, że obok działań o charakterze wyzwaniowym - hakerstwo stało się nieformalną dyscypliną sportową - głównym motorem napędzającym cyberprzestępczość jest pobudka finansowa.
Niemniej, bez względu na motywację, hakerzy wybierają dziś ścieżki, które są najmniej obwarowane przeszkodami. Większość incydentów bezpieczeństwa zaczyna się od ataków aplikacyjnych lub ataków na tożsamość. W przypadku aplikacji najczęściej atakowane są te odpowiedzialne za komunikowanie i wymianę dokumentów (komunikatory, maile, aplikacje typu office).
Sytuacja nie zmieni się w nadchodzącym roku, ponieważ cele kryminalistów mogą zostać osiągnięte w najprostszy sposób właśnie poprzez ataki na aplikacje, które są chronione w organizacjach i przedsiębiorstwach w niewystarczający sposób.
Z naszych badań wynika, że większość firm nie ma nawet pewności, z ilu aplikacji korzysta.
Hakerzy będą także w nadchodzącym roku infekować otwarte biblioteki kodów. Wiele aplikacji dla biznesu buduje się lub rozwija, korzystając z gotowych kodów tam dostępnych. Używają ich także przedsiębiorstwa, a zasoby te mogą mieć wbudowane wrogie mechanizmy.
Jeszcze nie wszystkie aplikacje są budowane zgodnie z zasadą Security by Design, dlatego warto sprawdzać źródło pochodzenia składowych i aplikacji. Do cennych danych umożliwiających weryfikację zaliczamy imienne dane autora, czy dane procesów organizacyjnych.
Hakerzy będą w nadchodzącym roku cierpliwi. Dzięki automatyzacji, sztucznej inteligencji i machine learning pozostawiają część zadań przestępczych stworzonym przez siebie botom. Coraz częściej budują swoje kampanie na długofalowych celach. Oznacza to w dużym uproszczeniu, że jedno przedsiębiorstwo może być narażone na wielomiesięczny atak na różnych poziomach. Cele pośrednie to najczęściej dane dostępowe, jak nazwy serwerów, użytkowników, prywatne adresy sieciowe, adresy mailowe i inne.
Obligatoryjne wydają się regularne badania konfiguracji i zabezpieczanie firmowej sieci przeciwko wyciekom danych. Ryzykiem biznesowym staje się niewykrycie incydentu naruszenia danych - pozostaje furtką do dalszych działań dla przestępców.
Dlatego hakerzy sięgną po dane do sieci społecznościowych i kanałów firmowych. Zjawisko phishingu narasta i odpowiada za niemal połowę incydentów naruszenia danych. Pracownicy mogą nieświadomie zostawiać w mediach społecznościowych informacje dotyczące biznesu lub do niego kierujące (wystarczy, że wskazują na pewien zwyczaj), przydatne dla kryminalistów.
Metody phishingu są stale rozwijane
Przykładowo: podszywanie się pod znane korporacje, banki przybiera coraz bardziej wyrafinowane formy - wspomniane "kampanie hakerskie" są właśnie próbą pozyskiwania danych etapami.
Ponadto, nawet monitorując ruch trzeba mieć na uwadze, że przestępcy będą coraz częściej używać szyfrowania. Inspekcję warto więc prowadzić na odszyfrowanym ruchu, jeśli dotąd nie było podobnej praktyki.
Hakerzy będą odcinali kupony od naszego wygodnictwa. Coraz powszechniejsze urządzenia IoT - szeroko stosowane prywatnie i komercyjnie - są najpopularniejszym celem ataku. Przedmiotów IoT będzie coraz więcej, a jest już więcej niż ludzi. Są produkowane i rozwijane szybko. Rzadko kiedy ich produkcja przebiega z myślą o bezpieczeństwie: wysoka konkurencja sprawia, że liczy się tempo - także przetwarzania - czyli ostatecznie wygoda użytkownika.
Tymczasem najbardziej dotąd zainfekowane urządzenia IoT, to obok routerów Small Office i kamer cyfrowych, kamery IP oraz systemy telewizji przemysłowej. Połączone z siecią kamery w smartfonach są przecież użytkowane przez biznes - to furtka dla przestępców.
Niepokoją informacje o podatności na ataki infrastruktury, do której podłączone są urządzenia IoT: jest w takim samym stopniu nieodporna na ataki celujące w uwierzytelnianie, jak same urządzenia. Budowane przez cyberprzestępców Thingboty oparte na Internecie Rzeczy są coraz powszechniejsze, doskonalone, obserwujemy nietypowe zachowania ich wytwórców. Cyberprzestępcy skupiają okresowo wiele sił, przypuszczając wzmożone ataki, wykorzystując je do "uczenia", rozpoznania i specjalizacji.
Powstają nowe grupy przestępcze... lub te dotychczasowe przechodzą do nowych systemów. Porównując dane z ostatnich pięciu lat, w 2018 r. top 50 ataków pochodzi z nowych adresów IP, gdy w poprzednich latach mieliśmy do czynienia z powtarzalnymi adresami. Nowością są także ataki inicjowane z Iraku i z Iranu. IoT będzie w nadchodzącym roku pod lupą przestępców, a kwestie jego bezpieczeństwa ryzykiem - dla całego sektora i użytkowników.
Najpoważniejszymi zagrożeniami dla przedsiębiorstw w 2019 r. pozostaną kradzieże danych dostępowych, ataki DDoS oraz oszustwa sieciowe.
W celu ograniczenia ryzyka infekcji użytkownikom urządzeń IoT zaleca się:
- Instaluj aktualizacje dla oprogramowania układowego (firmware) w swoich urządzeniach,
- Zawsze zmieniaj domyślne hasła. (stosuj hasła zawierające zarówno, małe jak i wielkie litery, cyfry oraz symbole.
- Uruchom ponownie urządzenie, gdy tylko zauważysz, że zachowuje się dziwnie. To pomoże pozbyć się aktualnego szkodliwego oprogramowania, nie zmniejszy jednak ryzyka ponownej infekcji.
MZB