Ile twoje dane kosztują na czarnym rynku?
W 2014 roku wykryto prawie 43 mln „incydentów bezpieczeństwa”. W ich wyniku wyciekły dane wrażliwe prawie połowy mieszkańców Korei Południowej, klientów amerykańskiego operatora telekomunikacyjnego (który nie przyznał się do skali wycieku) czy dane z 65 proc. amerykańskich gospodarstw domowych – to ostatnie to efekt ataku na jeden z największych tamtejszych banków. A to tylko „czubek góry lodowej” biznesu, w którym chodliwym towarem są nasze dane osobowe.
Te trzy przykłady to tylko medialny szczyt góry lodowej. Nadużycia tego typu, na mniejszą skalę zdarzają się codziennie – mówi Paweł Dawidek, Dyrektor ds. technicznych w Wheel Systems – Paradoksalnie, osoby, których dane zostały wykradzione, zwykle nie dostrzegają powagi sytuacji. Nie zdają sobie bowiem sprawy z tego, że także one mogłyby stać się celem takiego ataku. Nie wiedzą, czym dla przestępców są ich dane i jak mieliby oni skorzystać na ich pozyskaniu.
Ile jesteś wart na czarnym rynku?
Bardzo często, nawet w przypadku potwierdzonego wycieku danych z systemu informatycznego instytucji, w której dana osoba ma zarejestrowane konto, prędzej czy później bagatelizuje ona zdarzenie, ponieważ nie doświadcza żadnej fizycznej straty. To może być zgubne, ponieważ prędzej czy później dane przejdą w ręce profesjonalnych grup, zajmujących się wykorzystaniem tego typu materiałów, a dla nich każdy adres e-mail jest coś wart.
Być może włamywaczy rzeczywiście nie interesują pojedyncze osoby, ale już pakiety danych osobowych mają dla nich konkretną wartość, liczoną w pieniądzach. Na amerykańskim czarnym rynku kompletną paczkę danych – składającą się z imienia, nazwiska, adresu, numeru karty kredytowej wraz z datami jej wydania i ważności, nazwiska panieńskiego matki, oraz numeru ubezpieczenia społecznego – wycenia się na około 4-5 dolarów za sztukę.
Obrót paczkami z danymi to jednak nie jedyny cel cyberprzestępców. Przy obecnej popularności Facebooka, czy Twittera można także sporo zarobić przejmując konta użytkowników mediów społecznościowych. Szacuje się, że za około 110 dolarów można sprzedać 100 tysięcy polubień na FB. Fani lub obserwujący, to już jednak koszt od 2 do około 12 dolarów za jedyne 1000 osób.
Cyberprzestępczość to też biznes. Włamywacze zainteresowani są więc praktycznie wszystkim, co da się spieniężyć. Do tego grona zaliczają się także konta w grach MMO. Co lepsze można sprzedać nawet za 15 dolarów za pakiet.
Dysponując odpowiednimi danymi logowania albo innym ustanowionym kanałem dostępu, nabywca może ingerować w kod strony. W ten sposób może zagnieździć w niej odpowiednie skrypty, przekierowując ruch pod inne adresy lub wykorzystać witrynę w innych celach. Możliwości jest wiele – od zgrania bazy danych użytkowników po skorzystanie z niej jako z jednego z wielu ogniw bardziej skomplikowanego cyberataku na inny obiekt.
Nowa generacja włamań?
Coraz częstszą metodą wykradania danych jest wykorzystanie przez włamywaczy trendu outsourcingu usług. Zlecając zadanie zdalnemu konsultantowi, firma zamawiająca usługę przyznaje mu bowiem uprawnienia, otwierające dostęp do firmowego systemu informatycznego w zakresie niezbędnym do wykonania pracy.
Póki jednak zamawiający nie dysponuje narzędziami weryfikującymi jego pracę, musi wierzyć, że zleceniobiorca ma dobre intencje i wykona zadanie w sposób należyty. Niekiedy jednak zdalni konsultanci nadużywają zaufania zleceniodawców, wykorzystując otrzymane uprawnienia w celu ukrycia popełnionych błędów, wyprowadzania danych lub wyrządzenia szkód.
Przykładów takich nadużyć nie trzeba daleko szukać. Były powodem kilku najgłośniejszych wycieków w 2014 roku.
Kiedyś bezpieczeństwo informatyczne przedsiębiorstw nieodmiennie kojarzyło się z zagrożeniem zewnętrznym, przed którym broni się przy użyciu rozwiązań typu firewall, IDS/IPS, anti-virus, czy anti-malware. Obecnie, w coraz większym stopniu w grę wchodzą zagrożenia wewnętrzne ryzyko pojawia się wszędzie tam, gdzie udostępniany jest zdalny kanał do firmowych, urzędowych, czy bankowych sieci informatycznych, np. w ramach outsourcingu usług.
Jest to forma ataku, na odparcie której instytucje nadal nie są gotowe.