Hackerii nu iau vacanță. Protejaza-ți afacerea de sărbători.

Decembrie, luna cadourilor, este și luna atacurilor cibernetice (deși la cât sunt de numeroase, cam fiecare lună devine o lună a atacurilor cibernetice), întrucât acum este momentul în care lumea, de obicei, lasă garda jos. Se pregătește de sărbători, face cumpărături online și cheltuie mulți, mulți bani. Departamentele IT se pregătesc de vacanță, persoanele de decizie se gândesc la bradul de crăciun, la cadouri, la „cele cuvenite” și nu îi stă mai nimănui gândul la securitatea informației și a organizației. 

ENISA a publicat relativ de curând ultimul său raport privind amenințările de securitate cibernetică, urmărite în perioada Iunie 2023 – Iunie 2024 în Europa. Acest raport evidențiază creșterea complexității amenințărilor cibernetice care pun în pericol organizațiile, indiferent de dimensiune, verticală și locație. De la atacurile ransomware până la schemele de inginerie socială, raportul scoate în evidență domeniile critice de îngrijorare și oferă recomandări de măsuri tehnice și organizaționale pentru protecția împotriva acestor pericole omniprezente. Hai să aruncăm o privire asupra amenințărilor:  

Ransomware-ul și-a consolidat poziția ca una dintre cele mai răspândite și distructive amenințări cibernetice. Raportul subliniază natura în continuă evoluție a ransomware-ului, evidențiind impactul său asupra industriilor și complexitatea în creștere a metodologiilor utilizate. Acest tip de atac cibernetic, care blochează sau criptează fișierele critice ale unei organizații până la plata unei răscumpărări, a devenit din ce în ce mai sofisticat, atacatorii adoptând tehnici de extorcare multiple.

Campaniile moderne de ransomware au depășit simpla criptare a fișierelor. Una dintre tacticile comune este dublul șantaj, care implică atât blocarea fișierelor, cât și descărcarea datelor sensibile, pe care atacatorii amenință să le facă publice dacă cerințele lor nu sunt îndeplinite. Unele campanii merg mai departe cu triplul șantaj, exercitând presiuni nu doar asupra organizației vizate, ci și asupra clienților sau partenerilor acesteia pentru a obține plăți suplimentare. Spre deosebire de atacurile ransomware mai vechi, care erau în mare parte oportuniste, campaniile moderne sunt extrem de bine direcționate, concentrându-se pe organizații, sectoare sau active de mare valoare pentru a crește șansele de succes.

Deși câștigul financiar rămâne principalul motiv din spatele atacurilor ransomware, există și alte motivații. În unele cazuri, ransomware-ul este utilizat ca un instrument geopolitic, actorii sponsorizați de state desfășurând astfel de atacuri pentru a perturba operațiunile din țările rivale sau din industriile critice pentru securitatea națională. Alteori, ransomware-ul este folosit pentru a crea haos și perturbări, fiind adesea asociat cu agende ideologice sau cu grupuri de hacktiviști.
Tehnicile utilizate în atacurile ransomware au devenit din ce în ce mai avansate. Una dintre cele mai notabile evoluții este creșterea modelului Ransomware-as-a-Service (RaaS), prin care infractorii cibernetici calificați oferă kituri de ransomware preconfigurate actorilor mai puțin experimentați. Aceste kituri includ adesea asistență tehnică, actualizări și chiar gestionarea negocierilor, făcând atacurile ransomware accesibile unui număr mai mare de infractori. Multe campanii folosesc acum tehnici de tip Living Off the Land (LOTL), prin care atacatorii exploatează instrumentele legitime deja prezente în mediul victimei pentru a implementa ransomware, reducând riscul de detectare. De asemenea, utilizarea inteligenței artificiale a permis atacatorilor să automatizeze procese precum identificarea vulnerabilităților și crearea de email-uri de phishing convingătoare, sporind amploarea și viteza operațiunilor lor.
Ransomware-ul nu discriminează când vine vorba de țintele sale, afectând o gamă largă de industrii. Cu toate acestea, anumite sectoare sunt deosebit de vulnerabile, inclusiv sănătatea, finanțele, producția și infrastructura critică. Aceste industrii se bazează puternic pe operațiuni continue și gestionează adesea date sensibile sau personale, ceea ce le face ținte atractive pentru atacatori. Întreprinderile mici și mijlocii sunt, de asemenea, vizate frecvent, din cauza resurselor lor relativ limitate în domeniul securității cibernetice, care le fac mai ușor de exploatat.
Consecințele reale ale ransomware-ului sunt grave. Incidentele repetate și numeroasele scurgeri de date chiar din România au demonstrat capacitatea acestui atac de a provoca perturbări extinse, de la spitale incapabile să ofere îngrijiri esențiale până la instituții publice paralizate de atacuri care întrerup serviciile de bază. Chiar și companiile de producție au fost aduse la un punct mort, deoarece atacurile ransomware au întrerupt liniile de producție. Efectele acestor atacuri depășesc cu mult organizațiile vizate, afectând comunități și indivizi.
Combaterea ransomware-ului necesită o abordare proactivă și cuprinzătoare. Organizațiile trebuie să prioritizeze realizarea regulată de backup-uri pentru a se asigura că își pot recupera datele fără a plăti răscumpărări. Soluțiile robuste de protecție a endpoint-urilor sunt esențiale pentru detectarea și neutralizarea ransomware-ului înainte de a cauza daune, în timp ce segmentarea rețelelor poate ajuta la limitarea răspândirii unui atac. Educația angajaților joacă un rol critic, deoarece phishing-ul rămâne unul dintre cele mai comune puncte de intrare pentru ransomware. Asigurarea că angajații pot recunoaște email-urile și link-urile suspecte este un mecanism de apărare vital.
Menținerea sistemelor și software-urilor actualizate este o altă strategie cheie, deoarece ransomware-ul exploatează adesea vulnerabilitățile cunoscute. O gestionare eficientă a actualizărilor poate reduce semnificativ riscul de atac. Colaborarea cu comunitățile și agențiile de securitate cibernetică este la fel de importantă, oferind acces la informații despre amenințări care pot ajuta organizațiile să își întărească apărarea împotriva tendințelor emergente ale ransomware-ului. Dezvoltarea unui plan clar de răspuns la incidente ransomware asigură organizațiile că pot acționa rapid și decisiv pentru a minimiza perioadele de inactivitate și a atenua impactul unui atac.
Viitorul ransomware-ului este marcat de inovație și adaptare din partea atacatorilor. Grupurile de criminalitate cibernetică devin din ce în ce mai profesionalizate, iar accesibilitatea instrumentelor ransomware prin modele precum RaaS asigură că aceste amenințări vor continua să evolueze. 

Malware-ul, care include programe malițioase precum viruși, viermi și spyware, continuă să afecteze organizațiile la nivel global. Aceste atacuri pătrund adesea în sisteme prin email-uri de tip phishing, descărcări nesigure sau vulnerabilități neacoperite în software. Combaterea acestei amenințări necesită actualizări regulate ale software-ului, segmentarea rețelelor pentru a limita răspândirea malware-ului și implementarea sistemelor avansate de filtrare a email-urilor. Educația angajaților pentru recunoașterea atacurilor de tip phishing este esențială pentru reducerea riscurilor asociate cu malware-ul.
Nu insistăm aici fiindcă malware-ul este (sau ar trebui să fie) printre cele mai cunoscute căi de atac cibernetic.

Spre deosebire de atacurile cibernetice tradiționale care vizează vulnerabilitățile software sau hardware, ingineria socială exploatează factorul uman. Prin manipularea încrederii, a fricii sau a curiozității, atacatorii conving victimele să întreprindă acțiuni sau să divulge informații confidențiale pe care altfel nu le-ar oferi. Această tactică se bazează pe erorile umane, eludând apărarea tehnică pentru a obține acces neautorizat la sisteme, rețele sau date.
 

Printre tehnicile comune se numără phishing-ul, prin care atacatorii creează email-uri sau mesaje convingătoare pentru a păcăli destinatarii să acceseze linkuri malițioase sau să furnizeze date de autentificare. Variantele precum spear-phishing-ul (vizând indivizi sau organizații specifice), smishing-ul (prin SMS) și vishing-ul (prin apeluri telefonice) sunt, de asemenea, tot mai răspândite. Manipularea pe rețelele sociale este o altă metodă din ce în ce mai folosită.
Atacurile de inginerie socială reușesc pentru că exploatează aspecte fundamentale ale psihologiei umane. Adesea, acestea invocă emoții precum frica, urgența sau curiozitatea pentru a întuneca judecata. De exemplu, un email care pretinde a fi de la o bancă și solicită verificarea urgentă a contului poate determina chiar și o persoană precaută să acționeze impulsiv. De asemenea, atacatorii folosesc autoritatea sau familiaritatea pentru a manipula victimele, pretinzându-se colegi de încredere sau profesioniști IT.

Digitalizarea tot mai extinsă a comunicațiilor și creșterea muncii la distanță au amplificat și mai mult raza de acțiune a campaniilor de inginerie socială. Angajații interacționează mai des cu comunicări potențial malițioase prin email, platforme de chat sau dispozitive mobile, facilitând identificarea punctelor de acces de către atacatori.

Tacticile de inginerie socială au devenit mai sofisticate, adesea integrând tehnologia pentru a-și spori eficiența. Atacatorii folosesc acum instrumente bazate pe inteligență artificială pentru a crea email-uri de phishing extrem de personalizate, care imită comunicări legitime, îngreunând detectarea prin măsuri de securitate tradiționale. Business Email Compromise (BEC) este o altă tactică proeminentă, prin care atacatorii accesează sau falsifică conturile de email ale directorilor sau angajaților pentru a manipula tranzacții financiare interne sau accesul la date.

Tendințele recente arată, de asemenea, o dependență tot mai mare de atacurile multi-canal, în care adversarii folosesc o combinație de email-uri, apeluri telefonice și rețele sociale pentru a câștiga credibilitate și a exercita presiuni asupra victimelor. De exemplu, un atacator poate trimite inițial un email de phishing, urmat de un apel telefonic care pretinde a fi de la suportul IT, confirmând acțiunea și sporind șansele de succes.

Consecințele atacurilor de inginerie socială pot fi devastatoare. Atacurile reușite duc adesea la breșe de date, pierderi financiare și perturbări operaționale. De exemplu, datele de autentificare ale unui angajat, obținute prin phishing, pot permite atacatorilor accesul la sisteme sensibile, permițând descărcarea datelor confidențiale sau injectarea de malware. În unele cazuri, atacatorii folosesc ingineria socială pentru a eluda securitatea fizică, obținând acces neautorizat la facilități.

Incidentele care implică ingineria socială au demonstrat potențialul acesteia de a submina chiar și măsurile de securitate robuste. Succesul acestor atacuri depinde adesea nu de vulnerabilități tehnice, ci de erori umane, subliniind importanța abordării acestui aspect al securității cibernetice.

Combaterea ingineriei sociale necesită o abordare holistică, care să combine tehnologia, instruirea și politicile adecvate. Organizațiile trebuie să prioritizeze conștientizarea și educația angajaților, asigurându-se că aceștia pot recunoaște și răspunde în mod corespunzător la amenințările potențiale. Sesiunile regulate de instruire, inclusiv exerciții simulate de phishing, ajută angajații să dezvolte abilități pentru identificarea comunicărilor suspecte și evitarea capcanelor.

Implementarea autentificării multi-factor (MFA) este o altă măsură esențială, adăugând un strat suplimentar de securitate chiar și în cazul compromiterii credențialelor de acces. 

Viitorul ingineriei sociale va fi probabil marcat de utilizarea tehnologiilor avansate care vor face campaniile și mai convingătoare și mai greu de detectat. Utilizarea inteligenței artificiale generative permite atacatorilor să creeze videoclipuri deepfake sau înregistrări audio extrem de realiste, care pot imita persoane de încredere. Pe măsură ce aceste instrumente devin mai accesibile, amploarea și sofisticarea campaniilor de inginerie socială vor crește.

În același timp, organizațiile trebuie să își adapteze apărarea pentru a ține pasul cu aceste amenințări în evoluție. Monitorizarea proactivă a canalelor de comunicare, investiția în instrumente avansate de detectare a amenințărilor și cultivarea unei culturi a vigilenței în rândul angajaților vor fi critice pentru atenuarea impactului ingineriei sociale.

Breșele și scurgerile de date au devenit o preocupare semnificativă, pe măsură ce infractorii cibernetici încearcă să exploateze informațiile sensibile. Breșele de date implică atacuri intenționate pentru furtul de informații confidențiale, în timp ce scurgerile de date apar adesea din cauza configurărilor greșite sau a erorilor umane. Organizațiile trebuie să cripteze datele sensibile, să impună controale stricte de acces și să își auditeze regulat sistemele pentru a detecta vulnerabilitățile. Instrumentele avansate de analiză și monitorizare pot detecta și răspunde la modele de acces suspecte care ar putea indica o breșă.

Inteligența artificială (IA) și machine learning (ML) au devenit instrumente puternice în mâinile infractorilor cibernetici. Aceste tehnologii permit atacatorilor să își extindă operațiunile, să automatizeze sarcini repetitive și să lanseze campanii extrem de bine direcționate. Instrumente precum FraudGPT și alte modele de limbaj sunt utilizate pentru a crea email-uri de phishing convingătoare, a genera scripturi malițioase și a orchestra escrocherii cu o precizie remarcabilă. În plus, IA le permite atacatorilor să identifice vulnerabilități în timp real, exploatând rapid slăbiciunile înainte ca acestea să fie remediate. Pe lângă infractorii cibernetici, actorii sponsorizati de stat experimentează utilizarea IA pentru spionaj și campanii de dezinformare, creând videoclipuri deepfake, înregistrări audio și știri false care pot manipula percepția publică.
O altă tendință nouă este utilizarea platformelor și serviciilor legitime în scopuri malițioase, o tehnică denumită Living Off Trusted Sites (LOTS). Atacatorii exploatează platforme populare precum GitHub, Slack, Google Drive și OneDrive pentru a stoca malware, a comunica cu sistemele compromise sau a descărca ilegal date. Aceste activități se amestecă perfect cu traficul legitim, făcându-le mai greu de detectat și contracarat. LOTS reprezintă o provocare semnificativă pentru măsurile de securitate tradiționale, deoarece folosește servicii de încredere pentru a facilita acțiuni malițioase.
Atacatorii adoptă, de asemenea, tehnici avansate de evaziune pentru a eluda sistemele sofisticate de securitate. Living Off the Land (LOTL), unde atacatorii folosesc instrumentele deja prezente în mediul țintei, rămâne o strategie populară. Prin utilizarea software-urilor legitime și a instrumentelor administrative precum PowerShell, atacatorii își reduc amprenta digitală, complicând detectarea. Alte metode de evaziune includ inserarea de programe malițioase în fișiere de încredere, criptarea activităților malițioase, lăsând puține urme.
Complexitatea în creștere a atacurilor asupra lanțului de aprovizionare reprezintă un alt risc semnificativ. Aceste atacuri vizează vulnerabilitățile din partea furnizorilor terți, a dependențelor software sau a mecanismelor de actualizare pentru a infiltra organizațiile furnizorilor. Incidentele recente au evidențiat cum atacatorii introduc backdoor-uri în proiecte open-source sau compromit infrastructurile de actualizare a software-ului pentru a livra cod malițios. Aceste atacuri, planificate cu meticulozitate, reflectă profesionalizarea atacatorilor, adesea susținuți de resurse extins e și expertiză avansată.
Atacurile bazate pe identitate și exploatarea serviciilor cloud sunt, de asemenea, în creștere. Atacatorii se concentrează tot mai mult pe compromiterea credențialelor de acces ale utilizatorilor prin metode precum phishing, atacuri brute force și password spraying. Tacticile de inginerie socială joacă un rol esențial, atacatorii pozând drept contacte de încredere pe platforme precum Microsoft Teams sau LinkedIn. În același timp, mediile cloud și API-urile sunt ținte frecvente, deoarece atacatorii exploatează configurările greșite și vulnerabilitățile pentru a accesa date sensibile sau pentru a executa acțiuni malițioase.
Proliferarea dispozitivelor mobile și a ecosistemelor Internet of Things (IoT) a deschis noi căi pentru atacatori. Troienii bancari pentru mobil devin din ce în ce mai răspândiți, vizând tranzacțiile financiare și datele personale. Dispozitivele IoT, adesea slab securizate, sunt compromise pentru utilizarea în botnet-uri sau alte operațiuni malițioase. Aceste evoluții evidențiază suprafața tot mai extinsă a atacurilor pe care organizațiile trebuie să o protejeze.
Breșele de date rămân o provocare persistentă, atacatorii concentrându-se pe date corporative și personale sensibile. Tacticile de șantaj evoluează, infractorii cibernetici exploatând cerințele de raportare reglementară pentru a exercita presiuni asupra victimelor să plătească răscumpărări. Teama de repercusiuni legale sau de deteriorarea reputației determină adesea organizațiile să răspundă rapid cerințelor acestora.

Aud des acest text, de peste 20 de ani, din păcate. Trăim însă vremuri în care trebuie să conștientizăm că fiecare dintre noi reprezintă o țintă pentru diverși atacatori. Faptul că lucrăm într-o firmă mică sau firmă mare nu contează, întrucât prin intermediul unei firme mici se poate ajunge la clientul unui client al unui client al unui client, firmă mare. Sau pur și simplu una dintre firmele din lanțul de aprovizionare va plăti atacatorilor sumele cerute pentru a nu-și pierde datele. Sau datele de acces ale noastre pot fi scoase la vânzare pe Dark Web.

Mă șochează și astăzi să văd cum angajați din diverse corporații ies la masă la food court sau la restaurant, cu badge-urile la vedere, discutând liber despre proiecte confidențiale, erori de securitate, informații strict secrete etc. Trebuie cu toții să înțelegem că la masă în oraș nu suntem în sala de ședințe! Și fix acolo lovesc atacatorii.
Zâmbesc când văd oameni lucrând la laptop-uri, din cafenele chic, stând la geam pentru a avea o poziție instagramabilă. Telefoanele cu camere cu zoom 100x pot să monitorizeze conturile și parolele băgate, precum și informațiile confidențiale afișate pe ecrane. Cafenelele sunt un fel de gift shop pentru hackeri, la cât de eficient își expun oamenii datele personale acolo.
Faptul că tu crezi despre tine că ești puțin important te face ținta ideală, fiindcă vei lăsa garda jos. Ești prea puțin important, de ce să fii precaut? Fiindcă informațiile la care ai acces costă mult și se vând bine pe dark web. Credențiale, fișiere confidențiale, propuneri de vânzări, răspunsuri la licitații – toate se vând foarte bine. Trebuie doar să le dai cumva – și aici vin hackerii cu tehnologia sau cu ingineria socială. 
Trebuie să ne protejăm și să fim cât mai precauți, fiecare dintre noi. Fiindcă reprezentăm ținte și „stăm” între hackeri și bani. 
 

Dacă nu v-ați prins din acest text lung, efectiv toate datele – personale și non-personale – trebuie protejate cât mai bine. Nu este destul să luați măsuri tehnice și organizaționale pe hârtie, ele trebuie testate, implementate, iar testate și monitorizate continuu. Nu este destul să ai o procedură frumoasă de Data Breach Management sau de Incident Response Management sau un plan frumos de Business Continuity dacă acestea nu sunt testate periodic. Fiindcă la un moment dat, statistic vorbind, CEVA se va întâmpla. Veți trece fiecare dintre voi, cititorii, printr-un data breach. Așa spune statistica, deci nu este destul să previi, trebuie să fii pregătit pentru momentul în care acel CEVA se va întâmpla. 

Din experiență vă spun că s-ar putea ca în cazul unui data breach să primiți amenzi mici – la nivel de mii de EUR să zicem. Însă efectele sunt dezastruoase – toată lumea află, pierzi clienți, pierzi partener. O firmă de servicii software, care avusese un data breach simplu, la fiecare pitch/ request for proposal (RFP), request for information (RFI) în care a intrat, a primit întrebarea „ați avut un data breach în ultimii cinci ani?”. Vă las să ghiciți cam ce s-a întâmplat în fiecare caz...  

Da, atacurile cibernetice de securitate sunt foarte dese și vin cu costuri foarte mari, întinse pe mult timp. Se pierd bani, oportunități, oameni. Trebuie să mergem, totuși, înainte și să ne protejăm cât mai bine.