Jak działa umysł hakera? Celują w korporacje, ale ćwiczą na małych firmach
Nie trzeba umieć uderzać w klawiaturę z szybkością stenotypistki, nie jest wymagany również strój taktyczny w postaci rozciągniętej, poplamionej pizzą bluzy z kapturem. Dzisiaj ktoś, kto chce robić pieniądze na hakerce musi trzymać się właściwie tylko jednej zasady: mierzyć siły na zamiary.
Będąc właścicielem niewielkiego przedsiębiorstwa łatwo ulec złudnemu przeświadczeniu, że nigdy nie będziemy dla hakerów tak łakomym kąskiem, jak wielka korporacja, która przyparta do muru, zapłaci przysłowiowe miliony bitcoinów okupu za odblokowanie dostępu do wrażliwych danych.
W prawdziwym życiu nie zrezygnujemy jednak z instalacji alarmu w biurze, tłumacząc sobie: “Przecież nie jesteśmy wielką korporacją, na pewno nikt nie będzie chciał nas okraść”.
Do budynku może przecież wejść zarówno złodziej kierujący się chęcią zysku, jak i szpieg podburzony przez naszą konkurencję. Może się też zdarzyć, że młodociany włamywacz będzie chciał na nas przećwiczyć nowo nabyte umiejętności.
Twoja firma jako hakerskie przedszkole
“Script kiddies” - takim mianem określa się hakerów, którzy dopiero sprawdzają, czy cyberprzestępcza ścieżka kariery jest im pisana. “Atak” przeprowadzony przez “skryptującego dzieciucha” może nie będzie więc najbardziej błyskotliwym skokiem na cyber-kasę, ale dla małego przedsiębiorstwa może okazać się dość bolesny.
“Script kiddies” jeszcze nie do końca rozumieją zasady działania programów i skryptów, ale mają wystarczająco dużo samozaparcia, aby się uczyć. Bo jak zauważył jeden z użytkowników forum Reddit:
“Nie ma stron typu: hackingodpodstaw.com. Trzeba być kreatywnym, przyswajać sporo wiedzy pozornie niezwiązanej z tematem. Chodzi o to, żeby nauczyć korzystać z pewnych rozwiązań niezgodnie z ich przeznaczeniem” - napisał w wątku zatytułowanym: “Jak hakerzy uczą się hakować?”.
Trudno jednak oczekiwać, że kreatywnym poligonem doświadczalnym dla domorosłego hakera będą serwery Google. Bardziej prawdopodobne że zainteresuje się on mniejszą lokalną firmą. I wcale nie jest powiedziane, że będzie próbował sforsować jej zabezpieczenia drogą tradycyjną: bardzo prawdopodobne, że na “warsztat” weźmie pracownicze smartfony, które z reguły nie posiadają "tarczy" w postaci ochrony sieciowej czy innego rodzaju zabezpieczenia. Więcej o cyberatakach przeczytasz na www.firmawsmartfonie.pl.
“Zysk” z małych firm - mniejszy? Niekoniecznie
Ryzyko, że w drodze do pracy któryś z twoich pracowników otworzy maila z linkiem do strony phishingowej wynosi dokładnie 23 proc. - na tyle oszacowali je specjaliści z Fraud Watch International. To dużo, ale warto pamiętać, że hakerzy, mając w perspektywie spory zysk, starają się, aby platformy czy banery, na których umieszczają złośliwe oprogramowanie wyglądały jak najbardziej autentycznie.
Wbrew pozorom, początkujący haker nie musi posiadać nawet szczątkowej wiedzy na temat projektowania tego typu rozwiązań. “Praca” wielu z nich ogranicza się do wypożyczenia odpowiedniego sprzętu. Paczkę “exploitów” czyli programów wykorzystujących luki w oprogramowaniu można mieć już za 30 dolarów za dzień.
Podobnie łatwo, choć już nie tak tanio, można stać się posiadaczem spersonalizowanego programu typu malware czy ransomware. Ceny tego typu rozwiązań zaczynają się od kilku tysięcy dolarów.
Rodzaj oprogramowania zależy od strategii, jaką przyjmie haker: może działać “na ślepo” rozsyłając masowo phishingowe maile i liczyć, że w końcu ktoś kliknie w jego link, ale może też uważnie obserwować ciebie i twoich pracowników, aby na koniec wysłać mocno spersonalizowaną wiadomość do dokładnie wyselekcjonowanej osoby.
W ramach strategii, która nosi nazwę “spear phishing” haker może na przykład podszyć się pod ciebie - właściciela firmy. Przeglądał twoje wcześniejsze maile więc wie, że do swoich pracowników po imieniu oraz że zdarza ci się wysyłać do nich maile jeszcze przed rozpoczęciem pracy. Bywa też, że podsyłasz im linki do artykułów - tak dla inspiracji.
Kiedy więc Mariuszowi z księgowości, w drodze do pracy wyświetli się powiadomieni o mailu pod tytułem” Coś ciekawego” z linkiem, przypominającym odniesienie do strony branżowej, raczej nie zastanowi się dwa razy zanim w niego kliknie. Możesz chcieć go przecież przepytać.
Opłacalne jest życie hakera?
Nakłady pieniężne czy czasowe, jakie haker musi poświęcić, żeby “złowić” firmę mogą być, ale nagroda bywa ich warta. W internecie można znaleźć informacje o stawkach sięgających paruset tysięcy dolarów za dzień “pracy”.
Stawki, jakie wyświetlają się na ekranach komputerów zainfekowanych przez ransomware nie należą może do gigantycznych (najczęściej po kilkaset dolarów), ale biorąc pod uwagę, że taki komunikat może wyświetlić się na dziesiątkach komputerów, skumulowany zysk będzie spory - zwłaszcza jeśli haker pokusi się o ataki na małe firmy, które są z reguły bardziej skłonne do ulegania tego typu żądaniom.
Do portfeli hakerów wpadają również wynagrodzenia za zlecenia - to, że wielu z nich para się szpiegostwem korporacyjnym nie jest raczej zaskakujący. Lepiej nie doprowadzić jednak do sytuacji, w której o skali tego zjawiska przekonamy się samodzielnie. Cyber-przezorny powinien być nawet mikroprzedsiębiorca.
Artykuł powstał we współpracy Orange dla Firm. Wejdź na www.firmawsmartfonie.pl