Noile rapoarte ale Europol și ale National Crime Agency (NCA) din Regatul Unit oferă detalii asupra modului în care se duce lupta împotriva criminalității informatice.

Agențiile de aplicare a legii rămân o parte integrantă a luptei împotriva adversarilor cibernetici agili și din ce în ce mai bine dotați cu resurse. Utilizatorii și business-urile, de asemenea, pot - și trebuie - să continue să își îmbunătățească apărarea, în timp ce companiile din domeniul securității cibernetice aduc un aport important prin cercetarea amenințărilor emergente și prin integrarea protecției adecvate împotriva acestora în produse. Într-adevăr, aceștia ar putea chiar să ajute organele abilitate să monitorizeze, să blocheze și să înfrângă grupările de criminalitate cibernetică și, în cele din urmă, să transmită mesajul că infracțiunile informatice sunt investigate și pedepsite.

5 tendințe în materie de criminalitate cibernetică de urmărit cu atenție

• Statele se aliază cu infractorii cibernetici

Activitatea sponsorizată de stat și criminalitatea informatică au fost ani de zile domenii destul de distincte. Prima activitate îngloba acțiuni de tip spionaj cibernetic și/sau atacuri distructive menite să promoveze scopuri geopolitice și militare. Iar cea de-a doua se concentra exclusiv pe activități menite să aducă beneficii financiare atacatorilor.

Îngrijorător este faptul că NCA (National Crime Agency) a semnalat o convergență din ce în ce mai mare între cele două activități. Iar aceasta se manifestă nu numai prin faptul că unii actori ai amenințărilor folosesc tehnici de criminalitate cibernetică pentru a sustrage bani pentru stat, sau prin faptul că unele guverne nu investighează activitățile ransomware și acțiunile unor grupări.

„În ultimul an, am început să vedem cum state ostile încep să folosească grupuri de crimă organizată - nu întotdeauna de aceeași naționalitate - drep mandatarii intențiilor lor”, avertizează directorul NCA, Graeme Biggar. „Este o evoluție pe care noi și colegii noștri din MI5 și din forțele CT (Counter-terrorism - antiterorism) o urmărim îndeaproape”.

Nu este prima dată când experții, inclusiv specialiștii ESET și HP, printre alții, au observat o legătură tot mai mare între crima organizată și instituții de stat. Într-adevăr, cu doar trei luni în urmă, cercetătorii ESET au relatat despre cazul interesant al grupării denumite Asylum Ambuscade, care se află la granița dintre criminalitate cibernetică și spionaj guvernamental.

Dar, dacă strategia devine mai răspândită, va face mai dificilă atribuirea breșelor de securitate, în timp ce, potențial, grupările infracționale vor dobândi un know-how mai sofisticat.

• Furtul datelor personale alimentează o epidemie în ceea ce privește frauda

În Regatul Unit, frauda reprezintă în prezent 40% din totalul infracțiunilor, în 2022  trei sferturi dintre adulți fiind vizați fie prin telefon, fie personal, fie online, potrivit NCA. Acest lucru provine în parte de la un flux continuu de date compromise prezente pe piețele dark web. Europol susține că datele sunt „marfa principală” a economiei criminalității cibernetice, acestea alimentând activitățile de extorcare (spre exemplu, ransomware), cele de inginerie socială (phishing, de exemplu) și multe altele.

Datele în sine vândute pe astfel de piețe sunt nu doar informații statice, cum ar fi detaliile cardurilor bancare, ci și compilații din mai multe seturi de date obținute de pe dispozitivul victimei, susține Europol. Lanțul de aprovizionare al criminalității cibernetice, plecând de la furtul inițial al datelor și până la activitățile de fraudă, poate implica mai mulți infractori cibernetici separați, de la cei care facilitează accesul inițial (initial access brokers - IAB) și oferă serviciile de hosting pentru datele compromise, până la vânzătorii de servicii de contracarare a soluțiilor anti-malware sau de criptare a datelor.

Această economie bazată pe servicii este uimitor de eficientă. Cu toate acestea, NCA susține că aceste servicii profesionale pot ajuta, de asemenea, și autoritățile în aplicarea legii, „oferind un set bogat de ținte care, atunci când este perturbat, are un impact disproporționat asupra ecosistemului infracțional”.

• Victimele sunt adesea atacate de mai multe ori

Modul în care funcționează în prezent criminalitatea informatică nu înseamnă, din păcate, că organizațiile care tocmai au suferit o breșă de securitate, pot răsufla ușurate crezând că nu vor mai fi atacate și cu altă ocazie. Atacurile repetate asupra aceleași ținte se întâmplă pentru că hackerii care obțin inițial datele de acces în cadrul unei companii, mai apoi, le pot vinde mai multor grupări infracționale, deoarece în lumea underground nu există niciun acord de exclusivitate contractual. Acest lucru înseamnă că aceleași date compromise de conectare în conturile corporative ar putea fi puse la dispoziția mai multor actori de amenințări, adaugă Europol.

De asemenea, escrocii își perfecționează tehnicile și în ceea ce privește maximizarea profitului obținut de la victime. Cei care activează în domeniul investițiilor pot contacta victimele după ce le-au sustras banii, dar de data aceasta pretinzând că sunt avocați sau polițiști. Pozând drept oficiali de încredere, ei vor oferi ajutor victimei, contra cost.

• Phishing-ul rămâne uimitor de eficient

Phishing-ul a fost un vector de amenințare ce s-a menținut în topul preferințelor infractorilor cibernetici timp de mulți ani și continuă să fie calea aleasă pentru a obține date de conectare și informații personale, precum și pentru a infecta dispozitivele cu programe malware. Acesta rămâne popular și eficient deoarece oamenii sunt în continuare cea mai slabă verigă din lanțul de securitate, susține Europol. Alături de atacurile de tip forță brută asupra protocolului RDP (Remote Desktop Protocol) și de exploatarea erorilor VPN, e-mailurile de phishing încărcate cu malware reprezintă cea mai frecventă modalitate de a obține accesul inițial la rețelele corporative, se afirmă în raport.

Din păcate, nu există prea multe semne că atacatorii vor alege alte tactici, nu cât timp phishing-ul rămâne atât de eficient. Utilizarea pe scară largă a kiturilor de phishing contribuie atât la automatizarea, cât și la scăderea nivelului de dificultate pentru infractorii cibernetici novici sau pentru cei mai puțin capabili din punct de vedere tehnic. Europol avertizează, de asemenea, că instrumentele de inteligență artificială generativă sunt deja utilizate pentru a crea videoclipuri deepfake și pentru a redacta mesaje de phishing și mai eficiente și cu aspect mai realist.

• Comportamentul infracțional este din ce în ce mai comun în rândul tinerilor

Site-urile dark web au fost dintotdeauna un loc în care se comercializează nu doar date furate și instrumente de hacking, ci și cunoștințe. Potrivit Europol, acest lucru persistă și în prezent, utilizatorii căutând și primind recomandări despre cum să evite detectarea și cum să-și eficientizeze atacurile. Tutorialele, sesiunile de Q&A și manualele de instrucțiuni disponibile pe piața neagră oferă asistență în ceea ce privește campaniile de fraudă, spălarea de bani, exploatarea sexuală a copiilor, phishing, malware și multe altele.

Poate și mai îngrijorător este faptul că site-urile dark web și forumurile obscure - unele dintre ele funcționând la vedere - sunt, de asemenea, folosite pentru a atrage noi recruți, potrivit Europol. Tinerii sunt deosebit de expuși: un raport din 2022, citat de Europol, susține că 69% dintre tinerii europeni au comis cel puțin o formă de criminalitate cibernetică sau de hărțuire cibernetică ori și-au asumat o serie de riscuri în mediul online, fiind implicați inclusiv în operațiuni de spălare de bani și piraterie digitală.

În cele din urmă, aplicarea legii este doar o componentă a întregului tablou. Este nevoie ca și alte părți ale societății să își aducă contribuția în ceea ce privește lupta împotriva criminalității informatice. De asemenea, la nivelul întregii societăți, este necesar să devenim mai buni în a lucra împreună, așa cum o fac, de altfel, și grupările infracționale.