Dacă ai acces la internet, ești constant o țintă a atacurilor cibernetice. Nu e o exagerare, e o realitate din lumea actuală. Prima dată când cineva din industria securității cibernetice mi-a spus asta, am crezut că o face ca să nu-mi știrbească din vigilență. Am profitat de ocazie acum să aflu ce se întâmplă cu adevărat.
De acum până la finalul anului iau miturile și le demontez cu speranța că te voi ajuta să înțelegi un pic mai bine securitatea cibernetică, hackerii și vulnerabilitățile din dispozitivele care au ajuns indispensabile în viețile noastre. Nu sunt expert în securitate cibernetică, tocmai de aceea mă vor ajuta de fiecare dată doi oameni de la Bitdefender care știu mult mai multe despre acest subiect: Liviu Arsene, specialist în amenințări informatice, și Bogdan Botezatu, director de cercetare în amenințări informatice.
Dacă vrei să te uiți la ceva mai interesant, și mai realist, decât ultimul serial de pe Netflix îți recomand harta Bitdefender cu amenințări monitorizate în timp real. E fascinant să vezi, prezentat într-un mod destul de simplu, ce se întâmplă în orice secundă online. Sigur, nu-i o imagine holistică asupra domeniului, dar îți arată fie și doar parțial că ești constant în mijlocul unei furtuni.
Nu vreau să te sperii sau să fugi de internet direct în munți, ci vreau să abordez frontal un mit: infractorii informatici nu au de ce să te țintească, pentru că nu ești o persoană importantă. Și ai dreptate. Nici eu, nici tu nu suntem foarte interesanți pentru atacatori. Nu suntem șefi de companii imense, nu suntem inventatori sau lideri politici. Dar atacurile cibernetice sunt, de multe ori, "oarbe" când vine vorba de importanța fiecăruia. Sigur, sunt și atacuri țintite către țări sau persoane importante, dar cele mai multe, cele care generează considerabil de mulți bani, nu se uită la statutul social.
Liviu Arsene a rezumat perfect situația: "Oricât de neimportant te crezi, ești monetizabil". Asta înseamnă că dacă exiști și într-o mică măsură pe internet tot poți fi folosit de către cineva ca să facă bani. Și nu neapărat tu, pe persoană fizică, ci mai ales computerul tău, dacă de la tine nu poate obține un hacker ceva bani.
“Indiferent dacă ești o persoană publică sau nu, dacă ești important sau nu, ești monetizabil din numeroase puncte de vedere. Cel mai simplu e să-ți folosească resursele tale de procesare și să mineze monede digitale, ca Bitcoin. În industrie, atacatorii din categoria asta se numesc cryptojackers”, a explicat Liviu.
"Un alt scenariu în care poți fi vizat e să-ți preia controlul asupra conturilor de pe rețelele sociale. Aici riscul e că îți poate fi afectată imaginea sau, mai rău, atacatorii pot folosi contul tău real, și altele similare, ca să distribuie fake news sau amenințări informatice către prietenii tăi. Altfel spus, devii tu vector de atac pentru ceilalți și imaginea ți-e compromisă pe mai multe paliere".
Situația devine și mai gravă când vorbim de ransomware. Acest tip de amenințare nu se "uită" deloc la cine ești, în general. Oricum există mari șanse să dai bani ca să treci cu bine peste.
"Tu poți spune că nu ai informații personale extraordinar de complexe, că nu interesează pe nimeni pozele mele cu familia. Da, nu interesează pe nimeni, dar pe tine chiar te interesează să le vezi, să le ai și, mai ales, să nu le pierzi”, a adăugat Liviu. “Așa că scenariul e destul de simplu. Îți instalează ransomware și, dacă n-ai o copie de rezervă, riști sau ești pasibil de daune financiare de până la câteva mii de euro dacă vrei să le recuperezi. Nu recomandă nimeni să plătești recompensa, ca să nu fie încurajat un comportament de tipul acesta, dar asta nu înseamnă că nu poți deveni o victimă sau nu poți avea de suferit dacă nu ești o persoană publică."
Legat de această amenințare, Bogdan Botezatu a pus problema perfect: "Ransomware e o amenințare care lovește orbește. Nu se uită la cât de important ești. Catalizatorul e același: o mie de dolari e o mie de dolari".
Tehnica prin care ești lăsat fără bani și nu ține cont de cât de important ești
Sunt numeroase niveluri la care atacatorii cibernetici pot acționa, iar fiecare dintre ei - sau fiecare grupare - are un scop diferit. În rândul specialiștilor în securitate cibernetică există un consens: oricine este monetizabil. Fie că vorbim de date personale blocate pentru răscumpărare sau folosite în crearea de identități false, fie că vorbim de transferuri de bani din contul tău bancar,
odată ce sunt obținute datele de internet banking.
Liviu a atras atenția asupra unei probleme chiar și mai mare: ingineria socială. E aceeași problemă pe care am prezentat-o când am vorbit de platforme mobile: că ești pe Android sau iPhone, nu contează. Orice platformă e vulnerabilă, pentru că noi, ca utilizatori, suntem veriga slabă.
"Ce trebuie reținut e că ingineria socială e o sursă de bani pentru atacatori și nu necesită cunoștințe tehnice. Nu trebuie să fii un programator desăvârșit, nu trebuie să fii hackerul clasic, așa cum e portretizat de Hollywood. Trebuie doar să ai abilități de comunicare, verbală sau în scris, prin care să-ți convingi victima să facă diverse lucruri", a explicat Liviu. "Prin mail îi poți cere victimei să vireze bani sau să transfere bani într-un cont".
Pentru utilizatori asta e o fraudă clasică. În cazul companiilor se numește BEC (Business Email Compromise) în care atacatorii se dau CEO sau VP ai companiei respective și contactează departamente cheie, cum ar fi cel financiar. Trimit o factură falsă și cer o virare rapidă de bani. Urgența e o cheie a exploatării aici, ca victima să nu aibă timp să se gândească, să cerceteze. Mecanismul e similar și când vine vorba de convins prin apel telefon sau prin aplicații de mesagerie.
În cazul ingineriei sociale Liviu mi-a prezentat un exemplu excelent care îmbină această practică veche cu tehnologie nouă. Atacatorii au folosit un algoritm de inteligență artificială ca să plaseze un apel telefonic și să susțină conversația cu o voce falsă.
"Atacatorii au simulat vocea unui CEO al unei companii cu sediul din Germania. Mostrele de voce le-au obținut de la diverse conferințe și evenimente la care acel CEO a vorbit. Au sunat apoi șeful de filială din Marea Britanie și prin telefonul l-au spus să facă un transfer de urgență în contul unui comerciant din altă țară pentru o factură care trebuia plătită la timp, că altfel comerciantul amenința că va înceta prestarea serviciilor. Și au stat în telefon până a transferat suma", a detaliat Liviu.
În industrie, tehnica se numește vishing (voice phishing). Structura e aceeași: atacul debutează cu un apel telefonic. În cadrul acestuia, atacatorul pretinde că reprezintă o anumită companie sau autoritate. Pentru a da veridicitate apelului, atacatorii folosesc date despre victimă care sunt de obicei disponibile online (nume, prenume, adresă de mail etc.). În momentul în care posibila victimă crede că acel apel este real, șansele de a oferi telefonic date sensibile (personale sau bancare) cresc exponențial.
Scenariul în care poți ajunge fără să știi
Bogdan a scos în evidență un scenariu prin care atacatorii nu vor neapărat bani direct de la tine, ci prin intermediul tău. Așa cum Liviu atrăgea atenția că poți deveni vector de atac, că sunt obținute datele de la conturile tale online, Bogdan a menționat că și computerul tău e o resursă. Ba chiar una foarte importantă.
"Poate tu nu ești important și n-are ce să-ți fure. Dar dacă îți ia accesul la calculatorul tău, accesul acela e foarte important pentru atacatorii informaticii. Pot pune un server web pe PC și livrează pagini de phishing pentru alte victime. Totodată, pot transforma computerul tău în loc de stocare pentru datele altor victime. Nu în ultimul rând, îți pot folosi resursele ca să mineze Bitcoin sau să atace organizații cu IP-ul tău. Te trezești cu poliția la ușă care îți zice că ataci nasa.gov și tu nici nu știai. Tocmai de aceea faptul că îți protejezi calculatorul e o chestiune care te scutește de foarte mult efort", a explicat Bogdan.
El a povestit și de cazul unui profesor din Finlanda. Poliția l-a luat la interogatoriu direct din timpul cursului și principala întrebare era de ce face parte dintr-o rețea imensă de pornografie infantilă. În acest caz, el chiar era o victimă. "Profesorul nu înțelegea nimic din ce se întâmplă. Realitatea era că PC-ul lui era folosit pentru unul dintre cele mai mari site-uri de pedofilie din lume. Anchetatorii și-au dat seama că laptopul lui a fost compromis și utilizat ilegal, dar până la acea decizie omul și-a dat demisia, iar cariera lui s-a terminat", a adăugat Bogdan. "E doar un exemplu de cum reputația poate avea de suferit, chiar dacă tu crezi că nu ai nimic important pe computer".
N-aș vrea să crezi că internetul e un Vest Sălbatic și că n-ai ce face decât să renunți la el. Încă oferă o mulțime de beneficii. Ce e important de reținut e că nu te poți crede invincibil online. Peisajul amenințărilor informatice s-a schimbat radical în ultimul deceniu și așa am ajuns în punctul în care orice om, orice dispozitiv, poate deveni, la un moment dat, o resursă în circuitul atacatorilor.
Articol susținut de Bitdefender
6
3
