Po ponad roku od ogłoszenia pandemii i rozpoczęcia pracy zdalnej na masową skalę, firmy nadal dostosowują się do nowych okoliczności. Należy oczekiwać, że w 2021 roku nastaną kolejne zmiany w środowiskach pracy czy korzystaniu z internetu. Analitycy Derek Manky oraz Aamir Lakhani z działającego w strukturach firmy Fortinet laboratorium FortiGuard Labs przedstawili informacje na temat ataków wykrywanych obecnie przez specjalistów ds. cyberbezpieczeństwa. Opowiedzieli też, czego w dziedzinie cyfrowych zagrożeń można spodziewać się w nadchodzącym roku.
W jaki sposób cyberprzestępcy skorzystali na wzroście popularności sprzedaży online w ostatnim roku? Z jakich metod korzystają, aby wykradać informacje dotyczące kart kredytowych?
Derek Manky: Ostatnie miesiące były wyjątkowe. Zamiast typowych sezonów wyprzedażowych, przez ostatni rok właściwie codziennie mieliśmy ?Cyber Monday?. Ten stan rzeczy do tej pory nie uległ zmianie, a sprzedaż online stale rośnie. Zauważyliśmy między innymi ataki na serwery, nastawione głównie na wykradanie informacji z koszyków w sklepach internetowych. W ten sposób cyberprzestępcy chcą zdobyć dane kart kredytowych. Jak już kiedyś wspominaliśmy, hasła praktycznie tracą popularność wśród hakerów, ale informacje o kartach wciąż mają się dobrze.
Aamir Lakhani: W 2020 roku zaczęliśmy zauważać wzrost liczby tzw. ataków e-skimmingowych. Przestępcy odwiedzają zaufane strony i ?przejmują? moduł koszyka na zakupy. Instalują własny kod i szukają luk w zabezpieczeniach, z których właściciel nie zdaje sobie sprawy. Działa to na podobnej zasadzie jak atak man-in-the-middle, w ramach którego pobierane są informacje o kartach kredytowych i wysyłane na prywatny serwer przestępcy. Później dane te masowo sprzedaje się lub wykorzystuje do przeprowadzania nielegalnych transakcji.
Cyberprzestępcy coraz częściej stosują skimmery Bluetooth do gromadzenia danych o kartach płatniczych. W jaki sposób unikają wykrycia?
Aamir Lakhani: Klasyczny skimmer to fałszywy czytnik kart kredytowych, montowany na standardowych czytnikach. Po włożeniu karty, skimmer zbiera informacje, które cyberprzestępcy wykorzystują później do wykonania jej kopii. Takie fałszywe czytniki instaluje się zwykle w bankomatach czy punktach sprzedaży na stacjach paliw. Dawniej przestępca musiał wrócić po takie urządzenie, aby pobrać z niego informacje. Natomiast teraz rzeczywiście popularność zyskują sprzedawane masowo w darknecie nowe rodzaje skimmerów, wyposażone w moduł Bluetooth. Wystarczy że przestępca zainstaluje skimmer na stacji paliw lub w innym miejscu. Później może podjechać z laptopem lub smartfonem, pobrać dane i oddalić się. Nie musi niczego dotykać, a ryzyko bycia złapanym na gorącym uczynku jest znacznie mniejsze. Pozwala to na dużą swobodę działania.
Derek Manky: To jest w zasadzie nowoczesna forma wardrivingu. Dawniej była to metoda wykorzystująca Wi-Fi jako wektor dostępu do sieci, aby w bierny sposób wyszukiwać dane do logowania i inne. Jednak w obecnej formie ryzyko dla cyberprzestępcy jest znacznie mniejsze, ponieważ proces trwa krócej. Kiedyś osoba siedząca przez dłuższy czas z laptopem w samochodzie przed budynkiem mogła wzbudzać wątpliwości. Ta nowa metoda pozwala na kradzież informacji w znacznie łatwiejszy, mniej podejrzany sposób.
W jaki sposób cyberprzestępcy mogą wykorzystać do swoich celów temat powstania szczepionki przeciwko COVID-19 oraz jej dystrybucji?
Derek Manky: W tym roku zaczęliśmy zauważać ataki phishingowe w formie informacji dających złudną nadzieję na dostęp do tanich szczepionek. Z drugiej strony cyberprzestępcy atakują instytucje ochrony zdrowia, oferując sprzedaż nieistniejących szczepionek w hurtowej ilości. Podobna sytuacja miała miejsce w minionym roku, ale wtedy dotyczyła środków ochrony indywidualnej, kiedy pandemia utrudniła do nich dostęp. Możemy spodziewać się, że w najbliższym czasie takich ataków będzie więcej.
Aamir Lakhani: W czasie pandemii cyberprzestępcy wykorzystują ludzkie emocje, które zmieniają się wraz z nowymi informacjami pojawiającymi się w mediach. Obecnie szczepionka na COVID-19 wciąż jest trudnodostępna, również dla pracowników służby medycznej i szpitali. Przestępcy korzystają ze sprawdzonych metod, aby wpłynąć na swoje ofiary. Wysyłają np. wiadomości o treści ?Twoja grupa otrzyma szczepionkę dopiero w wakacje, ale możesz ominąć kolejkę?. Ludzie klikają w takie wiadomości, aby zarezerwować dla siebie miejsce, a potem okazuje się, że e-mail był fałszywy i padli ofiarą kradzieży danych.
Jakie są najnowsze zagrożenia związane z dostępem do infrastruktury na brzegu sieci i przeglądarkami?
Derek Manky: Kod złośliwego oprogramowania tworzony jest tak, aby był jeszcze bardziej elastyczny i skuteczniejszy. Pojedyncza kampania malware?owa jest w stanie objąć zasięgiem różne rodzaje urządzeń i platform. Dla przykładu, rodzina złośliwego oprogramowania o nazwie Adrozek skutecznie zainfekowała liczne przeglądarki i aplikacje, a obsługująca ją infrastruktura jest bardzo rozległa ? cyberprzestępcy kontrolują za jej pomocą setki tysięcy domen. Oprogramowanie to infekuje przeglądarkę, aby wyświetlała zmanipulowane wyniki wyszukiwania. Gdy uda mu się zainstalować niebezpieczną wtyczkę DLL, pojawia się duży problem. Tymczasem wiele osób nie zdaje sobie sprawy, że prawie wszystkie podłączone do internetu urządzenia również posiadają przeglądarki.
Aamir Lakhani: Przeglądarkę można znaleźć na niemal każdym urządzeniu. Nawet jeśli nie jest obecna w postaci aplikacji, w której użytkownik wpisuje adres witryny, to przeglądarka jest potrzebna do odbierania różnego rodzaju komunikatów. Cyberprzestępcy wykorzystują jej kod wbudowany w urządzenia. Niektórzy użytkownicy z góry zakładają, że przeglądarki są z zasady bezpieczne, bo jest to dość często aktualizowana aplikacja. Jednak w rzeczywistości stanowią one nowy obszar ataku na sieć ? nie trzeba koniecznie szukać w nich luk, wystarczy poszukać w mechanizmach zapewniających działanie przeglądarki, takich jak przetwarzanie wyników wyszukiwania, wyświetlanie reklam lub innych procesach, które dają szansę na skuteczny atak. Dzięki botnetom przestępcy tworzą sieci, które mogą atakować szeroką gamę maszyn z systemami Windows, macOS i Linux, wszystkie urządzenia podłączone do internetu, także IoT i tak dalej.
Jakie trendy dotyczące cyberzagrożeń wyróżnią się w nowym roku?
Derek Manky: Wciąż będziemy obserwować wspomniane wyżej sytuacje. Ewentualne zniesienie lockdownu z pewnością przyniesie zagrożenia, których nie doświadczyliśmy w poprzednim roku, ale które być może były zauważane w latach wcześniejszych ? teraz tylko pojawią się w nowych odmianach. Ataki phishingowe będą wykorzystywać aktualne tematy, jak podróże czy promocje w restauracjach.
Aamir Lakhani: W drugiej połowie roku z pewnością nastąpi nasilenie ataków związanych z podróżowaniem. Wszyscy będą chcieli wyjść z domu. Pojawią się np. maile ze specjalnymi zniżkami na przeloty, hotele i pakiety wakacyjne. Wzrośnie liczba oszustw, ponieważ ludzie zaczną działać pochopnie ? widać to zresztą już teraz.