Cyberataki i malware – rodzaje i metody działania przestępców

Zapewnienie bezpieczeństwa systemom i sieci wewnętrznej to jedno z istotnych wyzwań, jakie stoi przed firmami w najbliższych latach. Jakie sposoby wybierają hakerzy, aby dostać się i włamać do sieci wewnętrznej firmy? Oto najczęstsze rodzaje cybernetycznych ataków.

Ataki cybernetycznych przestępców dotyczą różnych sfer: od systemów infrastruktury wewnętrznej po witryny firmowe. Najczęściej ofiarami padają instytucje związane ze służbą zdrowia, finansowe, rządowe i firmy prywatne.
Wg raportu Small Business Trends 43% cyberataków jest wymierzonych w małe firmy, które stosunkowo najmniej inwestują w systemy zabezpieczeń. Coraz częściej też do przeprowadzenia ataków przestępcy wykorzystują urządzenia IoT. Od 2017 roku liczba ataków przeprowadzonych z wykorzystywaniem urządzeń IoT wzrosła aż o 600%. W 2019 r. ataki osiągnęły 2,9 miliarda przypadków.
Jeszcze w 2017 roku, tylko co 40 sekund jedna z firm na świecie ulegała atakom ransomware, a w 2019 roku czas spadł do 14 sekund, by w 2021 dojść do poziomu – 11 sekund. To bez wątpienia liczby, obok których trudno przejść obojętnie.

Techniki cybernetycznych przestępców

Phishing

Zdecydowana większość ataków cyberprzestępców rozpoczyna się od tzw. phishingu. Phishing to próba wyłudzenia informacji osobistych lub firmowych za pomocą różnego rodzaju metod socjotechnicznych. Ataki phishingowe to jedne z najstarszych form hakerstwa. Istniały od samego początku istnienia internetu. Na początku lat 90. polegały na wyłudzaniu informacji związanych z kartami kredytowymi i hasłami. Obecnie phishing przybiera różne, niekiedy bardzo wysublimowane formy.

Do najpopularniejszych rodzajów phishingu należy:

• E-mail phishing zwany również jako “deception phishing”. Hakerzy rozsyłają do użytkowników e-maile, podszywając się pod znaną markę (najczęściej bank). Cel? Skłonić odbiorcę do kliknięcia linku znajdującego się w wiadomości. Użytkownik przekierowany jest do fałszywej witryny, której zadaniem jest kradzież danych uwierzytelniających lub instalacja złośliwego oprogramowania czy kodu.
• Phishing HTTPS. Protokół uznawany za bezpieczny coraz częściej stosowany jest przez hakerów w linkach wiadomości e-mail przekierowujących do fałszywych witryn.
• Spear phishing. Rodzaj e-mail phishingu, który ma charakter indywidualny i osobisty. Zazwyczaj tego typu wiadomość e-mail zawiera personalne dane i skierowana jest do konkretnej osoby z organizacji czy firmy. Pracownik uznaje tą wiadomość wewnętrzną, w której zostaje zobligowany do wykonania określonych działań. Odmianą spear phishingu jest whaling/CEO fraud, w którym haker podszywa się pod dyrektora generalnego czy prezesa firmy, zmuszając pracowników do wykonania określonych działań
• Visihing przeprowadzany jest telefonicznie. Atakujący dzwoni pod numer ofiary i poprzez wywołanie presji wymusza na nim podanie wrażliwych danych osobistych, np. użytkownik odbiera telefon z banku, w którym zostaje poinformowany o włamaniu na konta osobiste. Fałszywy pracownik banku prosi go o podanie hasła do logowania lub ID użytkownika. Innymi rodzajami tego ataku są: smishing, gdzie tego typu tego informacje wysyłane są SMS-em lub wiadomością w social mediach (angler phishing).
• Pharming to groźna odmiana phishingu, która jest niekiedy bardzo trudna do namierzenia przez użytkownika. W tym przypadku odwiedzający przekierowywani są na spreparowaną stronę, która jest bardzo podobna do oryginału.
• Evil twin. W tym przypadku atak phishingowy wykorzystuje fałszywy hotspot Wi-Fi, do wychwycenia danych podczas przesyłania.

Jak widać, ataki phishingowe mogą przybierać różne formy, a czasami są bardzo trudne do wykrycia.

Sniffing

Atak sniffing najczęściej zdarza się w sieciach lokalnych >> (LAN), w których komputery łączą się z routerem >> poprzez switch lub hub.
W tym typie ataku haker, który ma uprawnienia administratora, ustawia kartę sieciową w tryb promiscuous (nasłuchiwania). W ten sposób może monitorować i nielegalnie przechwytywać i dekodować dane, które przechodzą przez sieć. Korzystając z techniki sniffingu hakerzy mogą przejąć m.in.

• wiadomości mailowe;
• hasła;
• ruch związany z serwerami DNS;
• dane do ustawień routera.

Skimming

Skimming to rodzaj ataku, który przede wszystkim dotyczy metod przechwytywania i kradzieży osobistych informacji płatniczych posiadaczy kart. Zazwyczaj polega na nielegalnym skopiowaniu danych na karcie magnetycznej w celu uzyskania duplikatu karty, który będzie działał jak karta prawdziwa. Najbardziej powszechnym rodzajem skimmingu jest skimming bankomatowy. W takim przypadku w bankomacie instalowane jest specjalne oprogramowanie, za pomocą którego haker może pozyskiwać dane z paska magnetycznego kart i kody PIN.

Mail bombing

Mail bombing to specyficzny rodzaj ataku na pocztę e-mail. Polega on dosłownie na “bombardowaniu” skrzynki odbiorczej niechcianymi mailami spamerskimi. Ostatecznym celem jest przeciążenie serwera pocztowego i wyłączenie go z użytku. Mail bombing zazwyczaj nie występuje jako pojedynczy atak, a raczej służy do odwrócenia uwagi od poważniejszych działania hakera.

Golden Ticket

Groźny typ ataku, który wykorzystuje lukę w systemach Microsoftu. Haker przejmuje najwyższe uprawnienia tzw. Enterprise Admin, które dają mu nieograniczony dostęp do całego systemu firmy. Więcej na temat tego ataku przeczytasz w artykule Golden Ticket game over dla firm.

Ataki DoS, DDoS i DRDoS

Grupa włamań cybernetycznych, których celem jest uniemożliwienie działania usługi sieciowej czy systemu komputerowego. To bardzo popularny rodzaj ataków, których główną zaletą jest to, że są przede wszystkim stosunkowo łatwe do wykonania i tanie.
Polegają w dużej mierze na przeciążeniu systemu danymi i plikami w ten sposób, aby system nie mógł przyjąć kolejnych danych i został zablokowany. W bardziej zaawansowanej odmianie, czyli DDoS (ang. distributed denial of service) wykorzystywane są komputery użytkowników (zombi). Zainfekowane komputery wysyłają do serwisu ofiary podane przez hakera komendy, dane, które mają na celu blokadę jego działania. DDos jest trudniejszy zlokalizowania, ponieważ realizowanych jest przez szereg komputerów. Trudno jest ustalić główne źródło ataku.
DRDoS (ang. distributed reflection denial of service) to rozbudowana wersja tej techniki, która łączy DoS i DDoS — zwana jest atakiem odbicia.
Podczas ataku haker generuje specjalne pakiety SYN z fałszywym adresem źródłowym (adresem ofiary). Następnie wysyła dużą ilość tych pakietów do sieci. Zainfekowane komputery, do których zostały zaadresowane pakiety, odbijają pakiety SYN/ACK, które kierowane są na adres pochodzący z fałszywego nagłówka. W efekcie ofiara jest zasypywana olbrzymią liczbą pakietów, pochodzących z wielu hostów.

„Man in the middle” (MITM)

Rodzaj ataku hakerskiego, którego głównym elementem jest podsłuch. Przestępca podsłuchuje komunikację między dwoma celami (osobami, systemami lub osobą i systemem) i modyfikuje przesyłane dane, podszywając się pod jeden lub więcej podmiotów zaangażowanych w powiązanie komunikacyjne. Atakujący pełni w tym ataku funkcję pośrednika, który nawiązuje niezależne połączenia z ofiarami i przekazuje między nimi wiadomości, tak aby uwierzyły, że rozmawiają ze sobą bezpośrednio przez prywatne połączenie.

Cross – site scripting (XSS)

Atak, w którym celem jest kod witryny internetowej wykonywany przez przeglądarkę internetową użytkownika, a nie po stronie serwera strony. Skrypt (zazwyczaj JScript) wyświetlany Użytkownikowi doprowadza do wykonania przez nich określonej w akcji. Złośliwy skrypt może uzyskać dostęp do wszelkich plików cookie, tokenów, sesji lub innych poufnych informacji przechowywanych przez przeglądarkę i używanych z tą witryną.

SQL Injection

SQL injection zwany również jako SQLI wykorzystuje błędy języków skryptowych do przekazywania danych od użytkownika bezpośrednio do bazy.
Polega na umieszczeniu złośliwego kodu w instrukcjach SQL za pośrednictwem danych wejściowych na stronie internetowej.
W wyniku tego typu ataku haker może mieć dostęp do dowolnych danych zawartych w bazie danych np. wrażliwych danych firmy, list użytkowników lub prywatnych danych klientów. Ma również możliwość modyfikacji i usunięcia danych z bazy.

Atak brute force

Brute force zwany również brute force cracking to nie tyle rodzaj ataku, a raczej metoda kryptograficzna. Bardzo często widzimy ją w filmach akcji. W brute force hakerzy operują specjalnym oprogramowaniem, który ma na celu sprawdzenie różnych kombinacji kodów w celu uzyskania dostępu do systemu.

Cryptojacking

Cryptojacking (zwany również „złośliwym wydobywaniem kryptowalut”) to rodzaj cyberprzestępczości, w którym przestępca potajemnie wykorzystuje moc obliczeniową urządzeń ofiar (komputerów, smartfonów, tabletów itp.) do generowania kryptowaluty. Programy tego typu zostały specjalnie zaprojektowane do wydobywania pieniędzy elektronicznej. W większości przypadków są praktycznie niewidoczne dla użytkownika. Objawiają się m.in. przeciążeniem komputera, zwolnieniem jego działania.

Rodzaje złośliwego oprogramowania

Malware

(skrót od ang. malicious software — złośliwe oprogramowanie)
To najczęściej plik lub kod, który ma na celu kradzież danych, uszkodzenie lub zniszczenia komputerów i systemów komputerowych. Malware to termin ogólny, w którego skład wchodzą różne rodzaje złośliwego oprogramowania takie jak wirusy, robaki, trojany, oprogramowanie szpiegujące, oprogramowanie reklamowe i oprogramowanie ransomware.

Ransomware

Rodzaj złośliwego oprogramowania, który blokuje lub znacznie ogranicza użytkownikom dostęp do ich systemu. Tego typu program zazwyczaj ma na celu wyłudzenie okupu. Na komputerze pojawia się alert z informacją o blokadzie wraz informacją o formie przekazania okupu i ultimatum. To częste oprogramowanie, które stosowane jest w atakach Golden ticket

Adware

Rodzaje złośliwego oprogramowania, które instaluje się na komputerach, a także urządzeniach mobilnych i wyświetla niechciane reklamy. Adware bywa bardzo uciążliwym atakiem. Ma zazwyczaj formę wyskakujących okienek z reklamami, które pojawiają się z różnych stron ekranu. Mocno przeszkadzają w korzystaniu z Internetu i czytaniu witryn internetowych.

Spyware Keylogger

Keylogger to bardzo niebezpieczna i stosunkowo trudna do wykrycia forma oprogramowania szpiegującego, które instaluje się na komputerze użytkownika. Rejestratory klawiszy przechwytują każde naciśnięcie klawisza (np. hasła, num kart kredowanych przeglądania strony). Dane wysyłane są do zdalnych serwerów, gdzie mogą zostać zinterpretowane i wykorzystane przez cyberprzestępców.

ScareWare

Scareware to złośliwe oprogramowanie, które najczęściej ma formę wyskakujących okienek informujących o rzekomym zawirusowaniu komputera. Informuje o wykryciu wirusa lub innego problemu na urządzeniu i nakazuje użytkownikowi przejście do fałszywej strony internetowej, pobranie lub oprogramowania w celu rozwiązania problemu. Po przejściu lub kliknięciu linka komputer użytkownika zostaje zainfekowany złośliwymi plikami, kodem kodu lub programem.

Jak widać potencjalnych sposobów na zainfekowanie firmowego komputera czy dostanie się do sieci przedsiębiorstwa jest bardzo wiele. Z tego powodu tak istotne jest wdrożenie w organizacji odpowiednich zabezpieczeń, których elementami są między innymi MDM >>, kontrola dostępu do sieci>> czy uwierzytelnienie wieloskładnikowe – MFA. >>

Zastanawiasz się nad zminimalizowaniem ryzyka ze strony ataków cybernetycznych?

Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl po bezpłatną konsultację w zakresie cyberbezpieczeństwa.