Zobacz, ile kosztuje twój numer telefonu i adres mailowy

W 2014 roku wykryto prawie 43 mln "incydentów bezpieczeństwa", w wyniku których z rzekomo bezpiecznych systemów informatycznych banków i innych organizacji wyciekły bazy danych z informacjami na temat dziesiątek milionów osób. Oczywiście, nie wszystkie trafiły na czołówki serwisów informacyjnych. Kradzieże danych wrażliwych klientów instytucji lub użytkowników serwisów internetowych znalazły się jednak wśród najpoważniejszych naruszeń bezpieczeństwa w 2014 roku.

"Już w pierwszym kwartale 2014 roku, wyszły na jaw dane wrażliwe prawie połowy mieszkańców Korei Południowej. Nieco później ofiarą cyberprzestępców padł amerykański operator telekomunikacyjny. Nie przyznał się jednak do skali wycieku. Wiadomo natomiast, że sprawa była poważna. W drugiej połowie 2014 roku cyberprzestępcy zaatakowali natomiast jeden z największych amerykańskich banków, wykradając dane prawie 65 proc. wszystkich zarejestrowanych w USA gospodarstw domowych. Te trzy przykłady to tylko medialny szczyt góry lodowej. Nadużycia tego typu, na mniejszą skalę zdarzają się codziennie" - wyjaśnia Paweł Dawidek, dyrektor ds. technicznych w Wheel Systems.

"Paradoksalnie, osoby, których dane zostały wykradzione, zwykle nie dostrzegają powagi sytuacji. Nie zdają sobie bowiem sprawy z tego, że także one mogłyby stać się celem takiego ataku. Nie wiedzą, czym dla przestępców są ich dane i jak mieliby oni skorzystać na ich pozyskaniu" - dodaje.

Ile jesteś wart na czarnym rynku?

Bardzo często nawet w przypadku potwierdzonego wycieku danych z systemu informatycznego instytucji, w której dana osoba ma zarejestrowane konto, bagatelizuje ona zdarzenie, ponieważ nie doświadcza żadnej fizycznej straty.

"Choć w ręce cyberprzestępców dostały się takie informacje, jak dane logowania do serwisu, adres zamieszkania, e-mail czy numer telefonu, dominuje przeświadczenie, że nikomu nie będzie się chciało korzystać z wykradzionych danych. Tym bardziej, że najprawdopodobniej w identycznej sytuacji znajdują się tysiące osób" - tłumaczy Paweł Dawidek.

"Ryzyko, że przestępcy zajmą się akurat mną, jest znikome - tak myślą poszkodowani. Poniekąd jest to wniosek słuszny. O ile atak nie był celowany, włamywacze nie będą zawracać sobie głowy pojedynczymi ofiarami. Jeśli nie powiedzie się próba wymuszenia okupu od organizacji, jak np. miało to miejsce w przypadku Plus Banku, bazy trafią na czarny rynek. Za jego pośrednictwem przejdą w ręce profesjonalnych grup zajmujących się wykorzystaniem tego typu materiałów. Dla nich każdy adres e-mail jest coś wart" - mówi z przekonaniem.

Być może włamywaczy rzeczywiście nie interesują pojedyncze osoby, ale już pakiety danych osobowych mają dla nich konkretną wartość, liczoną w pieniądzach. Na amerykańskim czarnym rynku kompletny pakiet danych - składający się z imienia, nazwiska, adresu zamieszkania, numeru karty kredytowej wraz z datami jej wydania i ważności, nazwiska panieńskiego matki, oraz numeru ubezpieczenia społecznego - wycenia się na około 4-5 dolarów za sztukę.

Do rzadkości należy jednak sprzedaż detaliczna. Zwykle pakiety przechodzą z rąk do rąk, w tysiącach. W takich ilościach są bowiem wykradane z instytucji, którym użytkownicy wcześniej powierzyli swoje dane. Przykładowo, pakiet 1000 adresów e-mail kosztować może 10 dolarów. Identyczny zestaw numerów kart kredytowych bez dat i kodu autoryzującego to już 20 dolarów.

Obrót paczkami z danymi to jednak niejedyny cel cyberprzestępców. Przy obecnej popularności Facebooka czy Twittera można także sporo zarobić przejmując konta użytkowników mediów społecznościowych. Szacuje się, że za około 110 dolarów można sprzedać 100 tysięcy polubień na FB. Fani lub obserwujący to już jednak koszt od 2 do około 12 dolarów za jedyne 1000 osób.

Cyberprzestępczość to też biznes. Włamywacze zainteresowani są więc praktycznie wszystkim, co da się spieniężyć. Zaliczają się do tego także konta w grach MMO. Co lepsze wyceniane są 15 dolarów za pakiet. W czarnorynkowych cennikach znajdują się jednak także dostępy do serwisów internetowych. Prawie każdy współczesny wyposażony jest już bowiem w API, pozwalające na zalogowanie się do panelu administracyjnego przez internet. Takie ułatwienie dla admina to także otwarta droga dla włamywaczy. Czarnorynkowy koszt wykupienia dostępu do panelu waha się już od 1 dolara za małe serwisy, do nawet 1000 dolarów w przypadku tych większych.

Dysponując odpowiednimi danymi logowania albo innym ustanowionym kanałem dostępu, nabywca może ingerować w kod strony. W ten sposób może np. zagnieździć w niej odpowiednie skrypty, przekierowując ruch pod inne adresy lub wykorzystać witrynę w innych celach. Możliwości jest wiele - od zgrania bazy danych użytkowników, po skorzystanie z niej jako z jednego z wielu ogniw bardziej skomplikowanego cyberataku na inny obiekt.

Nowa generacja włamań?

Coraz częstszą metodą wykradania danych jest wykorzystanie przez włamywaczy trendu outsourcingu usług. Zlecając zadanie zdalnemu konsultantowi firma zamawiająca usługę przyznaje mu bowiem uprawnienia otwierające dostęp do firmowego systemu informatycznego w zakresie niezbędnym do wykonania pracy. Póki jednak zamawiający nie dysponuje narzędziami weryfikującymi jego pracę, musi wierzyć, że zleceniobiorca ma dobre intencje i wykona zadanie w sposób należyty.

Niekiedy jednak zdalni konsultanci nadużywają zaufania zleceniodawców, wykorzystując otrzymane uprawnienia w celu ukrycia popełnionych błędów, wyprowadzania danych lub wyrządzenia szkód. Przykładów takich nadużyć nie trzeba daleko szukać. Były powodem kilku najgłośniejszych wycieków w 2014 roku.

"Kiedyś bezpieczeństwo informatyczne przedsiębiorstw nieodmiennie kojarzyło się z zagrożeniem zewnętrznym, przed którym broni się przy użyciu rozwiązań typu firewall, IDS/IPS, antivirus, czy antimalware. Obecnie w coraz większym stopniu w grę wchodzą zagrożenia wewnętrzne - uważa Paweł Dawidek z Wheel Systems. - Ryzyko pojawia się wszędzie tam, gdzie udostępniany jest zdalny kanał do firmowych, urzędowych czy bankowych sieci informatycznych, np. w ramach outsourcingu usług. Jest to forma ataku, na odparcie której instytucje nadal nie są gotowe".

Włamaniu "z wewnątrz" mógłby zapobiec inteligentny system monitorowania sesji zdalnych - wspierający administratorów w zarządzaniu zasobami, automatycznie reagujący na podejrzane sytuacje, a w przypadku powodzenia ataku dający poszkodowanemu przedsiębiorstwu materiał dowodowy obciążający nieuczciwych podwykonawców.

Takim systemem jest np. samowystarczalne urządzenie FUDO 2.0, porównywalne jedynie z posiadaniem stałego podglądu zawartości monitora użytkownika zdalnego. Pozwala to w łatwy sposób ustalić, kto i kiedy pobrał dany plik czy usunął z serwera jakiś dokument lub korespondencję. Narzędzie nagrywa sesje w formacie wideo i proaktywnie reaguje na podejrzane zachowania zdalnych konsultantów. Umożliwia też chwilowe zablokowanie sesji danego użytkownika lub całkowite zerwanie połączenia i odebranie mu praw dostępu.

Jedną z kluczowych właściwości dobrego systemu monitorowania sesji zdalnych, takiego jak FUDO 2.0, jest też jego funkcja odstraszająca. Cyberprzestępcy działają bowiem zgodnie z prawami ekonomii - starają się maksymalizować zysk, inwestując przy tym minimum wysiłku. Zwiększone ryzyko wykrycia, za sprawą działania inteligentnego systemu monitoringu, obniża opłacalność całego przedsięwzięcia. Tym samym oddalając widmo potencjalnego włamania.