menu
tygodnik internetowy
ISSN 2544-5839
zamknij
MediaHisttory Podcast

10.05.2021 Prawo w mediach

Ekonomia cyberprzestępców. Jak utrudnić życie hakerom

Carlos Asuncion, dyrektor ds. Inżynierii rozwiązań, Shape Security w F5

Każdy biznes kieruje się w swoich działaniach analizą kosztów i potencjalnych korzyści. Tak samo działają internetowi oszuści. Głównym motywatorem ich działań jest zysk. Na ich rachunek zysków i strat wpływają dwa kluczowe czynniki: koszt operacji i zmieniający się krajobraz cyberbezpieczeństwa.
Ekonomia cyberprzestępców. Jak utrudnić życie hakeromfot. ar130405/CC0/Pixabay

Należy zauważyć, że koszty działań kryminalnych szybko spadają. W uproszczeniu oznacza to, że ​​hakerzy mają dziś możliwość wydać jedynie kilkaset dolarów na zorganizowanie ataków, które mogą przynieść wielomilionowe zyski.

W rezultacie zauważamy, że upychanie poświadczeń[1] – nazw użytkowników i haseł – staje się coraz częściej stosowaną metodą oszustw internetowych. Ostatnie badania F5 Labs i Shape Security potwierdziły niedawno, że incydenty związane z wyciekiem poświadczeń niemal podwoiły się w latach 2016-2020.

Wspomniana metoda polega na tym, że ​​hakerzy uzyskują nazwy użytkownika i hasła po bardzo niskich kosztach (a czasami za darmo) z łatwo dostępnych źródeł. Następnie używają niestandardowego lub powszechnie dostępnego oprogramowania – gotowego, aby zautomatyzować proces logowania na milionach kont użytkowników w setkach witryn internetowych. Robią to wiedząc, że czyjeś hasło do Facebooka może np. powtórzyć się jako login konta dostawcy usług internetowych, a nawet do konta bankowego. Generowany przez nich ruch jest dystrybuowany globalnie, co pozwala uniknąć podejrzeń dotyczących jego źródła. Poza tym, dokonując kolejnej, niewielkiej inwestycji hakerzy mogą również pokonać podstawowe, zautomatyzowane mechanizmy obronne, takie jak np. testy CAPTCHA, wykorzystując wtyczki lub zewnętrzne usługi ich rozwiązywania.


W Shape Security szacujemy, że koszt 100 tysięcy prób przejęcia konta wynosi jedynie około 200 dolarów, włącznie z niezbędnym oprogramowaniem, serwerami proxy i kosztem zakupu skradzionych danych uwierzytelniających. Wskaźniki skuteczności takich ataków zwykle wahają się od 0,2 do 2%. Przejęte konta są następnie sprzedawane na różnych forach i rynkach cyberprzestępczych w cenie od 2 do 150 dolarów, co oznacza zwrot z inwestycji wielkości od 100 do 150 000%, a czasem nawet więcej. W sumie daje to zwrot środków w wysokości od 200 do nawet ponad 300 000 dolarów.

Niestety, wiele organizacji nadal koncentruje się na odpieraniu ataków botów za pomocą adresu IP lub blokowania ciągu User-Agent, co szybko staje się nieefektywną grą w kotka i myszkę. Zamiast tego należy położyć nacisk na wyeliminowanie tego, co stanowi dla hakerów wartość, czyli ułatwień dla atakujących cyfrowe zasoby organizacji.

Zaporowy koszt dla atakujących biznes

Dla firm oznacza to ulepszenie ich obrony do tego stopnia, żeby jej ​​pokonanie przez hakerów było zbyt kosztowne. Włamywacz zawsze skorzysta z otwartego okna, zamiast inwestować w drogie narzędzia do otwierania zamków w solidnych drzwiach. Ta zasada działa także w przypadku zasobów wirtualnych.

Najlepszą metodą jest zastosowanie zestawu środków, które zmuszą oszustów do kosztowniejszych działań. Jeśli będzie się to zdarzać wystarczająco często, analiza koszty vs korzyści nie będzie dla nich wystarczająco intratna, ponieważ konieczne wydatki ostatecznie przeważą nad potencjalnym zwrotem.

W 2913 roku, David Bianco zaproponował klasyfikację stopnia trudności ataku w koncepcji Piramidy Bólu. Sprawdza się ona w przypadku credential stuffing i możliwych, skutecznych w łagodzeniu takich ataków metod. Angażowanie sił ochrony tylko w obszarze adresów IP i ciągów User-Agent znajdujących się na dole piramidy jest daremne. Znacznie efektywniej jest skoncentrować wysiłki na wyższych stopniach „piramidy bólu” i niwelować siłę narzędzi oszustów oraz ich taktyk, technik i procedur (TTP). Innymi słowy, nieustannie utrudniać działania przeciwnikowi i zmuszać go do szukania tańszych celów gdzie indziej.

Aby skutecznie przeprowadzić podobną obronę, należy sprawdzić, ile faktycznie kosztuje atakowanie naszych usług internetowych i mobilnych. Jeśli nie znamy tych kosztów, trudno estymować, jakie rodzaje utrudnień i blokad będą w rachunku zysk-koszt wystarczające do obrony przed atakami. Na bazie posiadanej już wiedzy można przystąpić do wprowadzania skutecznych działań – rekomendujemy trzy kroki jak niżej.

  • Na początek warto zająć się słabymi punktami przeprowadzając audyt ekspozycji sieci, aby usunąć wszystkie najprostsze dla przestępców ścieżki. Stworzy to minimalną barierę, którą napastnicy będą musieli pokonać. Dla przykładu: przeanalizowanie strony uwierzytelniania aplikacji webowych pozwoli upewnić się, że nie dostarcza ona cennych informacji zwrotnych, które mogą być wykorzystane przez oszustów. Strony resetowania hasła będą tutaj typowym przykładem. Komunikat „przepraszamy, to konto nie istnieje, spróbuj ponownie” w rzeczywistości pomaga przestępcom. Informuje ich, które konta są w naszej witrynie ciągle ważne, a które nie, Poprawia to dokładność i wydajność wszystkich kolejnych ataków polegających na wypychaniu poświadczeń. Odpowiedź, która utrudniłaby działanie hakerom brzmiałaby: „Otrzymaliśmy Twoją prośbę o zresetowanie hasła. Otrzymasz od nas wiadomość e-mail umożliwiającą zresetowanie hasła”.
  • W kolejnym kroku warto przeprowadzić testy penetracyjne w aplikacjach internetowych i mobilnych organizacji, aby zrozumieć, jaki jest stopień trudności dokonania wyłomu przez oszustów. W tym procesie należy posiłkować się faktycznymi danymi, a nie przeczuciami. Pomoże to zbudować zestaw narzędzi obronnych, które odzwierciedlają realne i prawdopodobne próby pokonania zastosowanych środków bezpieczeństwa.
  • Trzecim krokiem będzie regularne aktualizowanie i ulepszanie mechanizmów cyberochrony, aby dotrzymać kroku stale ewoluującemu ryzyku. Warto pamiętać, że pole ataku jest dynamiczne. Narzędzia, którymi dysponują przestępcy są udoskonalane każdego dnia. Etap ten może obejmować usługi analityków bezpieczeństwa (wewnętrznych lub kontraktowych) i nałożenie na nich obowiązków „Red Hat”. To pozwoli im być na bieżąco z najnowszymi wektorami ataków i narzędzi omawianych na cyberprzestępczych forach dark web i innych. Równie skutecznym rozwiązaniem mogą być programy Bug Bounties pozwalające wewnątrz organizacji zidentyfikować luki w kontroli lub nowe sposoby obejścia istniejących mechanizmów kontrolnych, zanim oszuści będą mogli je znaleźć i wykorzystać.

Warto pamiętać, że upychanie poświadczeń jest dla kryminalistów tanie i łatwe, więc stanowi duży zwrot z inwestycji przestępczych. Dzięki nim hakerzy regularnie zarabiają miliony. Nie warto im tego ułatwiać.

Udostępnij znajomym:

dodaj na Facebook prześlij przez Messenger dodaj na Twitter dodaj na LinkedIn

PRZERWA NA REKLAMĘ
Czytaj prasę w PDF

Najnowsze w dziale Prawo w mediach:

Prawo w marketingu. Nowe regulacje dla branży

Agnieszka Gilewska
W 2025 roku branża marketingowa staje przed wyzwaniem dostosowania strategii do coraz bardziej rygorystycznych regulacji dotyczących ochrony prywatności użytkowników, transparentności i wykorzystania sztucznej inteligencji. Jak się przygotować?

Zatrucie SEO. Hakerzy wykorzystują wyszukiwarki do ataków na firmy

Piotr Rozmiarek
Wyszukiwarki pomagają nam szybko znaleźć informacje, ale mogą być również wykorzystywane przez cyberprzestępców. Zatruwanie SEO to taktyka, w której atakujący manipulują rankingami wyszukiwarek, aby umieścić szkodliwe witryny na szczycie wyników wyszukiwania.

Phishing w branży kryptowalut. Fałszywe rekrutacje kradną dane

Piotr Rozmiarek
Badacze zajmujący się bezpieczeństwem wykryli kampanię socjotechniczną, wymierzoną w osoby poszukujące pracy w branży Web3. Atak ma na celu zorganizowanie fałszywych rozmów kwalifikacyjnych za pośrednictwem aplikacji do spotkań, która instaluje złośliwe oprogramowanie kradnące informacje.

Podobne artykuły:

Reforma prawa autorskiego. Komentarz do decyzji Europarlamentu

Centrum Cyfrowe
Wszystko dla posiadaczy praw, a co dla użytkowników? Parlament Europejski przegłosował zmiany w prawie autorskim. Nowa dyrektywa miała dostosować prawo do sposobu, w jaki korzystamy z internetu. Wygląda jednak na to, że to internet będzie musiał dostosować się do dyrektywy - ostrzegają eksperci fundacji Centrum Cyfrowe i podsumowują zmiany.

Pandora Gate. Największa afera na polskim YouTube

PSMM
Sylwester Wardęga wstrząsnął polskim YouTubem. Wszystko za sprawą publikacji filmu będącego wynikiem śledztwa w sprawie niewłaściwych zachowań internetowych twórców wobec niepełnoletnich. Film bije rekordy popularności.

Dziennikarski Kodeks Obyczajowy

Konferencja Mediów Polskich
9 maja 2002 roku uczestnicy Konferencji Mediów Polskich podpisali w siedzibie Polskiego Radia w Warszawie zbiór zasad etycznych, których powinni przestrzegać dziennikarze prasy, radia i telewizji.

RODO w mediach. Przepisy utrudniły planowanie i realizację kampanii

BARD
Większość polskich portali informacyjnych i sklepów internetowych postawiła na pozyskiwanie zgody w praktyce tak zaprojektowanej, że trudno byłoby jej nie udzielić

więcej w dziale: Prawo w mediach

dołącz do nas

Facebook LinkedIn X Twitter TikTok Instagram Threads Youtube Google News Blue Sky Social RSS

Reporterzy.info - internetowy magazyn medioznawczy. Świat komunikacji od kuchni. Media, dziennikarstwo, PR i marketing. Dane, raporty, analizy, porady. Historia i rynek, prawo, fotografia, oferty pracy.


praca w mediach

Wydawca, redaktor
praca stacjonarna i online Dziennikarz, reporter
oferty mediów lokalnych, regionalnych i ogólnopolskich Grafik, Social Media, SEO, reklama
Warszawa • Białystok • Bydgoszcz • Gdańsk • Katowice • Kielce • Kraków • Lublin • Łódź • Olsztyn • Opole • Poznań • Rzeszów • Szczecin • Toruń • Wrocław • Zielona Góra • Praca zdalna Więcej

reklama

Drones. For PRO. On discount



Sklep reportera

Sklep reportera

Niedrogie laptopy, notebooki i netbooki
Niedrogie laptopy, notebooki i netbooki
do pisania
Cyfrowe lustrzanki i aparaty kompaktowe
Cyfrowe lustrzanki i aparaty kompaktowe
dla fotoreportera
Książki i e-booki o mediach
Książki i e-booki o mediach
do czytania
Drony wideo i latające kamery
Drony wideo i latające kamery
dla pilota
Gimbale do stabilizacji wideo
Gimbale do stabilizacji wideo
dla operatora
Oprogramowanie i aplikacje
Oprogramowanie i aplikacje
dla twórców
więcej produktów

zarabiaj

Zarabiaj przez internet

więcej ofert
gazety w PDF i epub

Czytaj gazety w PDF i EPUB

Okładka Fakt
Fakt
Okładka Kuchnia
Kuchnia
Okładka Parkiet
Parkiet
Okładka Press
Press
Okładka Przegląd Sportowy
Przegląd Sportowy
Okładka Puls Biznesu
Puls Biznesu
więcej e-gazet

Reporterzy.info

Dla głodnych wiedzy

Nasze serwisy

Współpraca


© Dwornik.pl Bartłomiej Dwornik 2oo1-2o25