Poprzedni rok kalendarzowy okazał się dla internetowych przestępców szczególnie zyskownym. Wg danych zebranych przez portal Statista największe straty w wyniku ataków hakerskich zaksięgowały firmy działające w sektorze finansowym – w sumie wyniosły one prawie 20 milionów dolarów. Na drugim i trzecim miejscu uplasowały się przedsiębiorstwa działające w sektorze energetycznym, usługowym, lotniczym i obronnym. Ich łączna strata wyniosła ponad 30 milionów dolarów. Poza podium znalazły się natomiast firmy technologiczne – najczęstszy obiekt ataku hakerów. Poniesione przez nie straty zamknęły się ostatecznie w 13 milionach 170 tysiącach dolarów. Co tak czy inaczej stanowi przerażający rezultat.

Czy 2018 będzie gorszy? Niestety, większość ekspertów twierdzi, że tak. A zmianom ulegną nie tylko kwoty skradzionych pieniędzy, ale też typy zastosowanych ataków. Czego powinniśmy obawiać się najbardziej? I czy możemy się zabezpieczyć? Przedstawiamy listę największych cyberzagrożeń 2018 roku.

1. Cryptojacking

Większość ekspertów jest zgodna: najpoważniejszym cyberzagrożeniem 2018 roku będzie niewątpliwie cryptojacking. Jest to efektem rosnącej popularności kryptowalut. W grudniu 2017 roku ich łączna kapitalizacja przekroczyła 600 miliardów dolarów amerykańskich – podczas gdy jeszcze we wrześniu wciąż mówiliśmy o „zaledwie” 60 miliardach. Jest to 1000% wzrostu w niecałe trzy miesiące. Nic dziwnego, że internetowi złodzieje postanowili zwrócić na nie swoją uwagę.

Na czym polega cryptojacking? W skrócie – jest to atak polegający na przejęciu naszego urządzenia i wykorzystaniu jego mocy obliczeniowej w celu „kopania” kryptowalut. Na naszym komputerze, laptopie, tablecie, a nawet telefonie instalowane jest złośliwe oprogramowanie kopiące. Oprogramowanie to może też działać z poziomu przeglądanej przez nas strony internetowej; kopanie następuje wówczas niejako „przy okazji” przeglądania serwisu. W konsekwencji mniejsza lub większa część naszych zasobów przekierowana zostaje na „kopanie” internetowych tokenów (np. Monero). W najlepszym przypadku skutkuje to dużym spadkiem wydajności; w najgorszym – całkowitym i nieodwracalnym zniszczeniem urządzenia.

Na czym polega „kopanie” kryptowalut? Obszerniej pisaliśmy o tym w felietonie Jak działa blockchain – technologia za Bitcoinem. Najprościej rzecz ujmując, „kopanie” kryptowalut to proces weryfikacji przeprowadzanych za ich pomocą transakcji; udział może wziąć w nim każdy, a osoby, które znacząco przyczynią się do usprawnienia całego procesu nagradzane są tokenami (tj. określoną ilością danej kryptowaluty). Większość zainteresowanych robi to z własnej woli; na rynku dostępne są zresztą superpotężne komputery przeznaczone specjalnie do tego zadania (tzw. „koparki kryptowalut”). Internetowi przestępcy wolą jednak wykorzystywać do tego celu cudzą moc obliczeniową. A jeżeli proces kopania może okazać się „obciążający” dla sprzętu wyposażonego w parędziesiąt kart graficznych – łatwo wyobrazić sobie, co zrobi z telefonem.

Najgorsze w cryptojackingu jest jednak to, że trudno jest się przed nim zabezpieczyć. Na atak narażone są nawet osoby przykładające na co dzień dużą wagę do swojego bezpieczeństwa. Hakerzy atakują bowiem popularne strony internetowe, tak aby potem, za ich pośrednictwem, instalować złośliwe oprogramowanie na sprzęcie elektronicznym odwiedzających. Efektem są setki tysięcy zainfekowanych telefonów i tabletów, a także dziesiątki tysięcy komputerów i laptopów, zarówno osobistych, jak i firmowych.

 

2. Nowe, groźniejsze malware, w szczególności ransomware

Dla wielu przedsiębiorców, zarówno tych małych, jak i tych dużych, ataki typu ransomware okazały się największą zmorą poprzedniego roku. Szacuje się, że poniesione w ich wyniku straty przekroczyły w 2017 nieprawdopodobny próg 5 miliardów dolarów; dla porównania – w 2016 było to „tylko” 350 milionów. Liczby te, naturalnie, mogą być większe, i to nawet o połowę. Nie wszyscy przedsiębiorcy chcą bowiem ogłaszać światu, że padli ofiarą takiego ataku. Dla wielu mogłoby oznaczać to koniec działalności (klienci i partnerzy biznesowi nie darzą raczej nadmiernym zaufaniem przedsiębiorców, którzy nie zabezpieczają przechowywanych przez siebie danych).

Ataki ransomware polegają na zdalnej (?)instalacji na sprzęcie elektronicznym ofiary oprogramowania szyfrującego; następnie wszystkie znajdujące się na nim dane zostają zaszyfrowane. Na ekranie wyświetla się żądanie okupu wraz z krótką instrukcją dotyczącą jego przekazania – najczęściej jest to przelew środków w jednej z kilku popularnych kryptowalut (co zapewnia hakerom anonimowość). Do tego dochodzi groźba całkowitego i nieodwracalnego usunięcia zaszyfrowanych informacji w wypadku, gdybyśmy nie zapłacili okupu. W zamian za przelew atakujący obiecują nam przesłanie klucza niezbędnego do odszyfrowania danych. Wiele osób płaci – szczególnie często są to zaś przedsiębiorcy, którzy zapomnieli o regularnym backupie (bądź też w ogóle nie robią kopii zapasowych). W większości wypadków nie daje to wiele – hakerzy nie wysyłają ofiarom żadnego klucza, a zaszyfrowane przez ransomware dane zostają bezpowrotnie utracone.

Coraz niższy próg wejścia w nielegalną internetową aktywność połączony z relatywnie niską świadomością większości przedsiębiorców sprzyja powstawaniu nowych programów do wymuszania okupów. Wiedzę niezbędną do przeprowadzenia ataku znaleźć można w parę minut. Dzięki narzędziom wspomagającym programowanie i dużej dostępności istniejącego już złośliwego oprogramowania wprowadzenie tej wiedzy w życie może nastąpić w parę-, może paręnaście godzin. Wszystko to znacznie zwiększa ryzyko – i spędza sen z powiek niejednemu przedsiębiorcy.

Oczywiście straty finansowe to tylko część problemu. W wielu przypadkach najbardziej dotkliwą konsekwencją ataku ransomware jest utrata firmowych danych. Jeżeli dysponujemy kopią zapasową – nasze szczęście. Gorzej, jeżeli jej nie robiliśmy. Znane są historie przedsiębiorstw, które straciły w ten sposób efekty swojej wielomiesięcznej pracy. Konsekwencją często okazywało się bankructwo. W skrajnych wypadkach dochodziły do tego dodatkowe kary, finansowe i nie tylko, za niewywiązanie się z umowy. Przy opiewających na wiele milionów dolarów kontraktach odpowiedzialność za należyte zabezpieczenie danych zawsze leży po stronie wykonawcy; na braku należytych zabezpieczeń tracą więc wszyscy oprócz hakerów, ale najbardziej – ich bezpośrednie ofiary.

3. Ataki na systemy IoT

W ostatnich latach mogliśmy zaobserwować znaczący wzrost liczby ataków na urządzenia podłączone do Sieci – i nie chodzi tu jedynie o telefony komórkowe czy tablety. Przedmiotem ataków często padały sieci energetyczne, inteligentne domy, samochody, a nawet zegarki oraz… protezy. Osoby atakujące nierzadko nie były zresztą przypadkowymi hakerami czy internetowymi złodziejami; coraz częściej są to hakerzy na usługach wrogiego (lub nieprzyjaźnie nastawionego) państwa czy organizacji.

Idealnym przykładem takiego ataku jest operacja przeprowadzona przez rosyjskich hakerów w grudniu 2015 roku. Jej celem padła sieć energetyczna zasilająca większą część Kijowa. Dokładnie o północy czasu lokalnego w noc z 23 na 24 grudnia większość świateł w mieście zgasła; ćwierć miliona obywateli Ukrainy zostało zupełnie odciętych od prądu. Sytuacja szybko zdobyła zainteresowanie dziennikarzy z całego świata – obecnie stanowi zaś przestrogę zarówno dla rządów, jak i niepowiązanych z nimi organizacji, w tym również biznesów.

Warto wspomnieć również o aferze związanej z wyciekiem amerykańsko-izralskiego oprogramowania Stuxnet, mającego pierwotnie za zadanie zniszczenie irańskich instalacji jądrowych, którym w pewnym momencie zainfekowana była większość komputerów domowych na świecie. Sytuacje takie jak te pokazują, że scenariusze znane nam z filmu „Szklana pułapka 4.0” (tj. „ataki firesale”) nie należą już do sfery science-fiction, ale stają się rzeczywistością. I jest się po nich czego obawiać.

Ale internetowe ataki wymierzone w bezpieczeństwo innych państw nie są jedynym zagrożeniem. Do złamania zabezpieczeń w systemach z rodzaju Intelligent Home wystarczy obecnie chwila; podobnie jest z samochodami (choć tutaj najczęściej złodzieje posługują się bardziej tradycyjną techniką polegającą na przechwyceniu sygnału).

W wyniku ataków cierpią również konta bankowe. Najpoważniejsze konsekwencje mają tak zwane kradzieże tożsamości. Umożliwiają one atakującym skuteczne podszywanie się pod naszą osobę. Budzimy się rano i odkrywamy, że na nasze nazwisko (lub, co gorsza, naszą firmę) zaciągnięto wielomilionowy kredyt, a nasza własność została zlicytowana. Brzmi nierealnie? Istnieją osoby, które mają to za sobą. Część z nich straciła ogromne pieniądze.

 

4. Ataki na instytucje państwowe i publiczne

Jak dobrze zabezpieczone są dane w placówkach edukacyjnych, do których uczęszczają nasze dzieci? Z jakich zabezpieczeń korzystają nasze przychodnie i szpitale? A co z pozostałymi instytucjami, takimi jak chociażby sądy? Czy ich systemy rzeczywiście są tak odporne na ataki, jak byśmy sobie tego życzyli?

Odpowiedź brzmi: nie. Kradzież danych uczniów zapisanych do typowej państwowej placówki edukacyjnej to w zasadzie nic trudnego. Podobnie jest z uczelniami. Placówki te najczęściej korzystają z przestarzałych, niedoinwestowanych, wdrażanych lata temu systemów informatycznych; wykorzystywane przez ich pracowników komputery to sprzęt sprzed paru lat, często ze starszą, nieaktualną już wersją systemu Windows i zupełnie nieskuteczną atrapą antywirusa. I choć zatrudniani przez nie informatycy dwoją się i troją, by załatać wszystkie luki, to przechowywane na szkolnych i uczelnianych dyskach dane ciężko uznać za bezpieczne.

Nie inaczej jest z przychodniami, szpitalami, urzędami itp.

Kradzieże danych z systemów tych instytucji nie należą do nowości. Tym bardziej dziwi powszechna bierność w tej kwestii – a nie ogranicza się ona bynajmniej do Polski. Wydawać by się mogło, że mówimy o placówkach, o których bezpieczeństwo powinno się zadbać w pierwszej kolejności. Tymczasem w 2018 będą one równie bezbronne co w 2017, 2016 czy 2015. W świetle zupełnie nowych zagrożeń – nie wróży to raczej niczego dobrego.

5. Ataki z użyciem uczenia maszynowego i sztucznej inteligencji

Technologii związanych z uczeniem maszynowym i sztuczną inteligencją używać można nie tylko do szczytnych celów; swoje zastosowanie znajdują również w przygotowywaniu cyberataków, i to praktycznie każdego rodzaju, od phishingu po DDOS. Coraz częściej wskazuje się też na rosnącą dostępność tego rodzaju rozwiązań: do tej pory, w przeciwieństwie do całej reszty, nie były one szeroko dostępne, a próg wejścia w nie był dla większości stosunkowo wysoki. Jak będzie w 2018 – trudno powiedzieć, ale można przypuszczać, że rozwiązania tego rodzaju przestaną być domeną rządów i sponsorowanych przez nich grup, a staną się narzędziem w rękach wszystkich, w tym najzwyklejszych cyberprzestępców.

Do czego można wykorzystać uczenie maszynowe i sztuczną inteligencję? Choć odpowiedź „do wszystkiego” wydawać się może naciągana i banalna, to, niestety, jest prawdziwa. Na chwilę obecną do najpopularniejszych zastosowań należą te związane z identyfikacją potencjalnego celu ataku i wyszukiwaniem luk w zabezpieczeniach. To, co człowiekowi zajmuje dni – jeśli nie tygodnie, a nawet miesiące – sztuczna inteligencja załatwi w godzinę. A choć potrzebna do tego moc obliczeniowa nadal stanowi pewną zaporę, to prawdziwe pytanie brzmi: „Na jak długo?”.

6. Rozwój usług CaaS

Crime-as-a-Service (przestępstwo jako usługa) to odpowiedź cyberprzestępców na Software-as-a-Service (oprogramowanie jako usługa). Choć wynajęcie internetowego przestępcy nigdy nie należało do szczególnie trudnych, to obecnie stało się jeszcze łatwiejsze. Analitycy przewidują, że w 2018 roku „rynek” ten stanie się jeszcze większy – i jeszcze bardziej dostępny, również za pośrednictwem specjalnie przygotowanych do tego celu „platform wymiany”. Swój udział w jego rozwoju ma również rosnąca popularność wspomnianych wcześniej kryptowalut – idealnego środka płatności.

Co oznacza to dla przedsiębiorców, rządów, a także zwykłych użytkowników? Połączenie wzrostu wartości informacji z obniżką kosztów jej (nielegalnego) pozyskania nie wróży na pewno niczego dobrego. Dobre wieści są takie, że fakt, iż cyberprzestępcy „wypożyczają” swoje usługi za pośrednictwem internetowych platform i marketplace’ów czyni ich znacznie bardziej podatnymi na inwigilację, a co za tym idzie – zdemaskowanie. Jeżeli amerykańscy policjanci i służby specjalne były w stanie „rozbroić” Silk Road, to kto wie, być może z czasem „rozbroją” też część takich platform.

7. Fake newsy

Fake newsy wydają się na pozór zupełnie niegroźne. Ot, informacja – jak trudna może być jej weryfikacja? W praktyce jednak okazuje się, że większość z nas w ogóle nie weryfikuje przekazywanych nam przez media informacji u źródeł; co więcej: nie wiemy nawet, u jakich źródeł moglibyśmy je sprawdzać. O potędze fake newsów przekonaliśmy się zresztą w 2017; miały one wpływ na wszystko – od wyborów prezydenckich, poprzez kurs giełdowy spółek, na życiu prywatnym ludzi skończywszy. A choć większość szanujących się outletów medialnych i najpopularniejsze platformy społecznościowe zgodnie wypowiedziały im wojnę, to trudno dać wiarę w skuteczność tych działań, nie przekonawszy się o niej na własne oczy. Na to zaś, póki co, musimy jeszcze, jak widać, poczekać; fake newsy trafiają do mediów codziennie.

Czy fake newsy mogą zaszkodzić przedsiębiorcom? Poprawnie zadane pytanie powinno brzmieć raczej: „Czy jakiekolwiek nieprawdziwe informacje mogą *nie być* dla przedsiębiorcy szkodliwe?”. Sukces firmy nierzadko zależy od poprawności docierających do niej informacji. Współczesne narzędzia umożliwiają przerażająco precyzyjne targetowanie fake newsów; dotarcie z nimi do decydentów kierujących interesującą nas organizacją nie nastręcza już dzisiaj większego problemu. Dezinformacja od zawsze stanowiła broń w świecie biznesu i polityki; obecnie jest zaś groźniejsza niż kiedykolwiek dotychczas.

Zainteresowanym fake newsami polecamy TEDTalk Stephanie Busari:

 

Podsumowanie

Jakiś czas temu – w poradniku Jak zadbać o bezpieczeństwo notebooka? 11 rozwiązań dla profesjonalistów – pisaliśmy o najczęściej stosowanych rodzajach zabezpieczeń, zarówno sprzętowych, jak i programowych. Czy jednak któreś z nich będą w stanie uchronić nas przed zagrożeniami czającymi się za rogiem?

Z całą pewnością nie warto kusić losu. Lepiej zapobiegać niż leczyć. Choć nie ma systemów niemożliwych do złamania – niektóre kuszą bardziej niż inne ;- )