Inżynieria społeczna, czyli najważniejszy element cyberataku

- Nie ma czegoś takiego jak jeden, uniwersalny schemat prowadzenia śledztwa w sprawie cyberataku. Nie ma, bo nie ma dwóch identycznych sytuacji. Oczywiście podobnie jest i w przypadku przestępstw konwencjonalnych ale jednak w przypadku tych popełnionych w sieci naprawdę trudno przewidzieć i sposób samego ataku, i to, w jakim celu został przeprowadzony ale także przez kogo. W efekcie każde śledztwo trzeba prowadzić w sposób zindywidualizowany - opowiada młodszy inspektor Marcin Golizda-Bliziński, szef nowou tworzonego Wydziału do Walki z Cyberprzestępczością w Komendzie Głównej Policji. W każdym wojewódzkim biurze kryminalnym działają podobne wydziały, w każdym pracuje już od 10 do 20 specjalistów od cyberataków.

Wydział w Komendzie Głównej powstał, bo skala cyberzagrożeń jest już tak duża, że konieczne było skoordynowanie prac w tym zakresie. Jak duże jest to zjawisko widać choćby z danych zespołu CERT (Computer Emergency Response Team) działającego przy Naukowej i Akademickiej Sieci Komputerowej. 200000000, czyli 200 milionów - tyle zgłoszeń trafiło w 2015 roku do tego zespołu zajmującego się badaniem i rozwiązywaniem cybernetycznych problemów w firmach i administracji publicznej. To był rekordowy wynik. Nie tylko pod względem liczby zgłoszeń, ale także dlatego, że po raz kolejny przybyło tych najpoważniejszych incydentów, których nie dało się "obsłużyć" automatycznie, ale trzeba było specjalnie zaangażować ludzi. W 2015 roku było takich sytuacji aż 1456, czyli o niemal 200 więcej niż rok wcześniej.

PwC wylicza, że liczba aktów cyberagresji wzrosła w stosunku do minionego roku o niemal 40 proc. Co więcej, inny CERT, działający przy Agencji Bezpieczeństwa Wewnętrznego, odpowiadający za bezpieczeństwo instytucji publicznych, zarejestrował w 2015 roku 8,9 tys. incydentów związanych z atakami na administrację publiczną. Dla porównania podobnych ataków w 2014 roku było 4,7 tys., a w 2013 - 5,7 tys.

Ale wyzwaniem dla śledczych jest nie tylko skala zagrożenia. Nie mniejszy problem to coraz bardziej wysublimowane metody, jakich używają cyberprzestępcy.

- Tak naprawdę rodzaj ataku możemy najlepiej zdiagnozować po jego skutkach - mówi nam naczelnik wydziału ds. walki z cyberprzestępczością Komendy Wojewódzkiej we Wrocławiu Ryszard Piotrowski. - Często niestety dopiero wtedy, gdy widzimy, jakie szkody wyrządził, wiemy, z jakiego rodzaju atakiem mieliśmy do czynienia, ale także często, że w ogóle do takiego incydentu doszło - dodaje Piotrowski i opowiada, że obecnie największą plagą są ataki wykorzystujące złośliwy malware. - Malware, czyli oprogramowanie, które instaluje się na zaatakowanym sprzęcie. Zaczyna się od tego, że użytkownik pobierze zainfekowany specjalnie wprowadzonym oprogramowaniem załącznik w e-mailu. Lub wprowadzi na swój sprzęt podobny malware przy okazji pobierania jakichś plików z sieci, np. służących do złamania zabezpieczeń w grach, czy korzystając ze stron internetowych z pirackimi treściami. Do tej infekcji naprawdę może dojść przypadkowo, bo przestępcy tak konstruują te pliki, by nas oszukać i przekonać do samodzielnego zarażenia sprzętu - tłumaczy policjant.

Zazwyczaj samo zainfekowanie na początku nie daje żadnych nadzwyczajnych objawów. - Ale złośliwy kod już działa, zaczyna po cichu pracować i szyfruje dane jakie znajdują się na zarażonym sprzęcie. Te związane z grafiką w plikach JPG, związane z dokumentacją w DOC czy w PDF. Czasem wystarczy już kilka godzin, by przejął kontrolę nad większością zawartości sprzętu, i wtedy pojawia się nagle komunikat: właścicielu zapłać, bo inaczej nie odzyskasz zawartości komputera - dodaje naczelnik Piotrowski.

Takie cyberszantaże są niestety coraz popularniejszą metodą stosowaną przez przestępców. Co więcej, poddani im użytkownicy w obawie przed utratą danych, często bardzo cennych, płacą. - I tym samym nie tylko pozwalają przestępcy na osiągnięcie celu, ale także zaciemniają rzeczywisty obraz skali tych ataków. Niestety o ogromnej ich części się nie dowiadujemy - podkreśla Piotrowski.

Ataki typu ransomware (od and. ransome - okup) są dziś już prawdziwą epidemią, i to epidemią globalną. Według FBI skumulowane przychody przestępców z takiej działalności sięgnęły aż 209 mln dol. w pierwszym kwartale 2016 roku. Co więcej, powstał wokół nich prawdziwy biznesowy ekosystem, a eksperci mówią wręcz o trendzie tzw. ransomware-as-a-service, czyli hakerskich usług związanych z e-okupami. W tym systemie twórca złośliwego oprogramowania rekrutuje swoich partnerów, którzy dystrybuują oprogramowanie w zamian za udział w zyskach. Taka taktyka pozwala na szersze rozpowszechnienie malware i generowanie wyższych zysków.

Obok ransomware wciąż spore żniwo zbiera też phishing, czyli oszustwa polegające na podszywaniu się zarówno pod samych użytkowników, jak i pod instytucje. - Taka metoda może wystąpić w postaci e-maila od kuriera, instytucji publicznej czy kancelarii prawnej, do którego jest dołączony zainfekowany załącznik. Zdarzają się fałszywe, udające prawdziwe, strony np. banków, które wykradają dane do logowania na konta. Czasem chodzi o kradzież tożsamości użytkownika. Kompilacji metod jest wiele i - co ważne - cały czas ewoluują. Przestępcy doskonalą metody, szczególnie te socjotechniczne. Szukają kolejnych sposobów na przechytrzenie nie tyle nawet samego sprzętu i oprogramowania ochronnego, co po prostu ludzi - tłumaczy Golizda-Bliziński. - Bo to my, interfejsy białkowe, jesteśmy zawsze najsłabszym ogniwem w cyberbezpieczeństwie - tłumaczy policjant.

@RY1@i02/2016/187/i02.2016.187.00000070a.801.jpg@RY2@

@RY1@i02/2016/187/i02.2016.187.00000070a.802.jpg@RY2@

@RY1@i02/2016/187/i02.2016.187.00000070a.803.jpg@RY2@