Злочинці сидять в Інтернеті так само, як і ми з вами. Декому цікаво щось зламати, дехто хоче розбагатіти нечесним шляхом, а декому хочеться змінити світ. Одні з них — це “одинокі вовки”, інші об’єднуються в групи, ще інших таємно підтримують держави. Але незалежно від того, ким вони є насправді, завдяки тому, що в Інтернеті нема кордонів, ви так чи інакше потенційно можете зіштовхнутися з злочинцями.
Так само, як Інтернет породив багато нових бізнесів та бізнес-моделей, дозволивши існуючим на той час фірмам комунікувати та торгувати глобально, він породив і нові типи злочинності, яких до того часу не існувало, та дав можливість для трансформації та розквіту існуючих типів злочинності.
Змінювався Інтернет — а разом з ним змінювалася і кіберзлочинність, тому за останні 30 років багато речей встигли розвинутися і практично зникнути. Десять -двадцять років тому кіберзлочинність у більшості випадків була “кібервандалізмом” (сайти знищували просто заради того, щоб комусь щось довести). А зараз більшість злочинів в Інтернеті — економічно мотивована. Так само злочинність еволюціонувала від дій одиноких аматорів та груп “одного дня” до багатошарових структур, дії кожного з прошарків яких несуть реальну небезпеку. Ці групи мають різні цілі, засоби та “спеціалізацію” — і ми тут розповімо про них, щоб ви могли їх розпізнати.
Неорганізована злочинність
Досі основна маса кіберзлочинів є справою рук злочинців, які не входять до стійких угруповань. Їх можна порівняти з вуличними крадіями чи “гопниками”. Дійсно, вони – одинокі злочинці чи дуже невеликі групи. Звичайно це типові “скріпткідді” — такі люди в молоді роки навчаються хакерству як хобі і лише потім вони відкривають, що на цьому можна заробити гроші. Вони не дуже кваліфіковані та використовують безплатні або дуже дешеві засоби — принаймні на форумах у darknet таких програм та інших засобів багато.
Вони можуть купити якусь шпигунську програму для крадіжки даних чи орендувати ботнет на пару днів за кілька сотень доларів для розсилки спаму з вірусами чи шахрайськими пропозиціями. Коли з’явилося доступне ransomware (програми, що блокують комп’ютер і вимагають гроші за розблокування), такі кіберзлочинці вирішили, що це дуже прибуткове заняття. Вони купували такі програми у розробників та за інструкціями намагалися заразити якомога більше комп’ютерів, щоб їм перераховували гроші (часто у криптовалюті). А потім і самі, коли криптовалюти зростали в ціні, писали або купували віруси-майнери, які видобували криптовалюту за рахунок ресурсів зараженого комп’ютера.
Також справою рук представників неорганізованої злочинності є значна частина DDOS-атак, які у даному випадку робляться з метою вимагання грошей, або взагалі погрози вивести з ладу ваш сайт, якщо ви не заплатите злочинцям. Вони можуть бути недосконалими та “старомодними”, але за рахунок чисельності та ініціативності наносять велику шкоду. Індустрія кібербезпеки їх звичайно не випускає за межі масової небезпеки, тому для захисту від них достатньо базових знань — регулярно оновлювати антивіруси, змінювати паролі, користуватися фаєрволом, не натискати на посилання від невідомих осіб, встановлювати двофакторну авторизацію тощо.
Організована злочинність
Це групи із складною, розгалуженою структурою, де на нижчих рівнях (або в якості висококваліфікованих “найманців”) можуть служити і представники попередньої категорії злочинців. Такі угруповання можуть бути високоспеціалізованими — одні створюють шкідливі програми, другі — застосовують їх в кібератаках, треті — отримують за це гроші та намагаються їх відмивати. В центрі мережі звичайно стоїть один лідер, який координує атаки та веде переговори з іншими групами. Є групи, які можуть атакувати банки, юридичні компанії, торгові мережі, і їхні атаки є довгими та цілеспрямованими, на відміну від дещо хаотичних та коротких атак з боку “кріпткідді”.
Як показала одна з операцій Європолу влітку 2018 року, у злочинному угрупованні може бути кілька «відділів», у кожного з яких є своя спеціалізація. Одна група злочинців писала відомі шкідливі програми (Carbanac і Cobalt), друга розповсюджувала фішингові листи для співробітників банків, третя писала ботів для виведення коштів з банкоматів, четверта купувала на виведені гроші криптовалюту та переводила її у спеціально зареєстровані криптогаманці. Ця схема охоплювала 40 країн, а спричинена шкода складала близько 1 млрд. євро. Програми типу ransomware та майнери криптовалют також користуються популярністю у організованої кіберзлочинності. Прийняття нових протоколів захисту персональних даних (GDPR) ускладнило їхню “роботу”, але і може спричинити розвиток нових методів крадіжок даних.
Менш популярні, хоча й досі поширені — “кардерські” схеми. Загалом, вектор діяльності організованих груп зміщується в сторону криптовалют та спорідненого бізнесу, тоді як раніше об’єктами кіберзлочинців були банківські рахунки та інші традиційні фінансові інструменти. Звичайно, ви також можете стати жертвою їхньої діяльності, якщо працюєте в цій сфері. До речі, так само, як важко відрізнити ззовні організовану кіберзлочинність від неорганізованої, так же важко інколи провести кордон між організованою кіберзлочинністю і хакерами на службі у держав (nation-backed hackers), тому що вони часто використовують один і той самий арсенал методів.
Хактивісти
Це окремі особи чи групи, які присвячують свою діяльність якійсь одній темі чи групі тем у громадському чи політичному активізмі (наприклад, Anonymous). Вони не отримують прибутків, не крадуть гроші у тих, кого зламують — їм просто потрібно дістати якусь важливу інформацію для привернення уваги чи посилення суспільного тиску на когось, або на деякий час паралізувати чиюсь діяльність. Тому у них бувають зовсім різні об’єкти атаки — від електронної пошти топ-менеджера компанії і до сервера, на якому є база даних її співробітників, постачальників, клієнтів тощо.
Методи:
- Витік конфіденційної інформації
- Злом урядових сайтів
- Масові атаки на пропагандистські ресурси
Кібертерористичні організації
Щодо реальної загрози класичного кібертероризму, то її вважають дещо перебільшеною. Тому що на сьогоднішній день більшість терористичних організацій не є настільки просунутими навіть у плані комп’ютерної грамотності, а тим більше — в області кібербезпеки. Вони не мають ні кваліфікованого персоналу, ні інфраструктури, ні передових технологій. Скажімо, представники “Ісламської держави” щось з категорії malware могли купувати на “чорному ринку”, але користуватися програмами не змогли б. Релігійне підґрунтя більшості сучасних терористичних організацій не сприяє ні навчанню самих терористів, ні рекрутуванню туди більш-менш обізнаних фахівців, тому там рівень знань — значно нижчий, ніж у “скріпткідді”.
“Державні” хакери
Більшість інцидентів в Інтернеті — це справа рук злочинців, у яких є корисливі мотиви. Але останнім часом стали говорити і про «державних» хакерів, хоча вони в певних колах відомі давно — зокрема, 15 років тому вірусом Stuxnet, створеним за участі спецслужб США та Ізраїлю, була зупинена ядерна програма Ірану.
Багато в чому робота «державних» хакерів є кібершпигунством — вони здобувають секретні дані про військові проекти чи ситуацію в певній державі. Частиною здобутих даних далі користуються спецслужби, частину може отримувати зацікавлений бізнес. В той час, як військова розвідка не є чимось таким, що засуджують, промислове шпигунство — це річ, яка загалом не етична навіть щодо прямих конкурентів (зокрема, у США). Тому справедливі побоювання США стосовно китайських хакерів на державній службі, які небезпечні не стільки у військовій сфері, скільки в промисловості — зокрема в таких галузях, як електроніка, біотехнології, електроенергетика та аерокосмічна індустрія.
Але далеко не всі “державні” хакери крадуть дані про промисловість — були зафіксовані і спроби порушити системи захисту на атомних електростанціях та інших об’єктах критичної інфраструктури. Дехто і видобуває гроші таким чином (як спецслужби КНДР, використовуючи ransomware) і шкодить бізнесу (як та ж сама КНДР вивела з ладу більшість комп’ютерів у Sony Pictures).
А дехто маскується під “невідомих хактивістів”, викладаючи у відкритий доступ приватну інформацію з метою на щось вплинути (як російські спецслужби впливали на результати виборів у США, публікуючи переписки керівництва Демократичної партії). Нарешті, вони можуть вчинити і диверсію (наприклад, захопивши управління шлюзами на дамбі і т.д.). Тому діяльність “державних” хакерів досить різноманітна та небезпечна — і від них захиститися дуже важко. Але мінімізувати шкоду від них можна, шифруючи дані та розбиваючи єдину мережу на підприємстві на кілька підмереж.
Методи атак:
- DDoS-атаки – перевантаження серверів для виведення їх з ладу.
- Кібершпигунство – крадіжка секретних державних або корпоративних даних.
- Атаки на критичну інфраструктуру – енергосистеми, водопостачання, банки.
Інсайдери
А що, якщо ворог не ззовні, а всередині фірми? Не всі злочинці знаходяться ззовні — вони можуть працювати поруч з вами і мати повний доступ до всіх секретів, знати про “діри” в захисті, про те, як обходити всі обмеження. Конфіденційні документи часто зберігаються на незахищених дисках і слабкий контроль за правами доступу часто означає, що незадоволений чимось чи просто продажний співробітник з широкими правами доступу становить велику загрозу для фірми.
Інколи головну роль грають навіть не гроші, а шантаж співробітника злочинцями — якщо ти нам не будеш надавати інформацію з роботи, ми опублікуємо твоє “домашнє порно”. Тому розвідслужби регулярно попереджають свої держави про пастки, розставлені на співробітників посольств, а тих, хто має доступ до конфіденційної інформації, регулярно перевіряють. Зокрема, це стосується ІТ-персоналу.
Невизначеність кордонів
В реальності це все ще складніше — все накладається одне на одне. І інструменти, і люди, які ними користуються. Члени організованих угруповань можуть користуватися програмним забезпеченням «державних» хакерів, а «державні» хакери попутно можуть викрадати гроші з банків держави, проти якої йде спецоперація. А якщо інструментарій один раз виклали в мережу, то ним починає користуватися вся спільнота, від професіоналів високого рівня до “скріпткідді”. Все це піднімає ціну кібербезпеки для бізнесу — як і в випадку інших злочинів, подолання наслідків зламів обходиться значно дорожче, ніж їхнє попередження чи навіть те, що злодії можуть вкрасти (а якщо порівняти ціну виконання таких дій із ціною подолання наслідків, то тут різниця, як мінімум, у два порядки).
Тому за дослідженнями IBM Security та Ponemon Institute, середня ціна навіть порівняно невеликого витоку інформації (від 2500 до 100 тис облікових записів) складає 3,87 млн дол, а великі витоки обходяться як мінімум у 40 млн дол. Зміни у законодавстві ще більше збільшують ціну витоку інформації — скажімо, за новими європейськими стандартами захисту персональних даних (GDPR), за кожен випадок витоку передбачений штраф (незалежно від причин). Тому, за підрахунками компанії Gartner, світові витрати на кібербезпеку цього року сягнуть 114 млрд дол, а наступного року — зростуть до 124 млрд дол(через управління ризиками та підвищену увагу до захисту персональних даних). Кіберзлочинці також не стоятимуть осторонь, а будуть тільки вдосконалювати свої навички. На боротьбу з кіберзлочинністю, так чи інакше, доведеться витрачатися — але краще на попередження злочинів, ніж на ліквідацію наслідків.
