Definicja cyberprzestępcy jest prosta: to osoba, która wykorzystuje swoją wiedzę, umiejętności i narzędzia do popełniania przestępstw w cyberprzestrzeni. Mogą to być członkowie zorganizowanych grup przestępczych wyspecjalizowanych w cyberprzestępczości, „wolni strzelcy”, osoby niezadowolone z działań firm lub instytucji, a także komputerowi geekowie, którzy zeszli na złą drogę. Szczególnie niebezpieczną grupę cyberprzestępców stanowią osoby powiązane ze służbami państwowymi i wojskiem. Dysponują oni bowiem dostępem do znacznych zasobów i mogą czuć się bezkarnie w obrębie własnego kraju.

 

Cyberprzestępcami mogą kierować różne motywy, m.in.:

 

• ekonomiczne,


• polityczne,


• ideologiczne,


• religijne,


• chęć sprawdzenia się,


• zemsta,


• żart,


• służba państwu.

 

Wbrew pozorom cyberprzestępcy wykorzystują nie tylko wiedzę informatyczną. Choć stwierdzenie, że najsłabszym elementem każdego systemu jest człowiek, wydaje się banałem, w kontekście cyberprzestępczości jest w pełni uzasadnione. Nieetyczni hakerzy wykazują się szeroką znajomością ludzkich zachowań i psychologii, dzięki której przeprowadzają złożone ataki socjotechniczne.

 

Cyberatak na dużą organizację może wymagać zaangażowania znacznej ilości różnych zasobów, które mogą być poza zasięgiem jednego hakera – cyberprzestępcy działają więc często w grupach. Najbardziej znane z nich to m.in. APT28, REvil czy Conti. Część grup hakerskich ma powiązania z wywiadami takich państw, jak Rosja, Chiny i Korea Północna, a ich ofiarami padają przedsiębiorstwa z najróżniejszych branż, nie tylko te krytycznie ważne dla funkcjonowania państwa.

   

Z raportu „Cyberportret polskiego biznesu” opracowanego przez firmy ESET i DAGMA Bezpieczeństwo IT wynika, że w ciągu ostatnich 5 lat aż 88% krajowych przedsiębiorstw było celem cyberataku lub ucierpiało z powodu wycieku danych. Z tego samego raportu wynika, że najczęstszą formą ataku zgłaszaną przez pracowników są wiadomości z podejrzanego źródła, które nie zostały odfiltrowane jako SPAM, które stanowią aż 47% wszystkich incydentów.

 

41% zgłoszeń dotyczy z kolei telefonów z zagranicznych i nietypowych lokalizacji, a 32% alertów z oprogramowania antywirusowego. Eksperci ds. cyberbezpieczeństwa wskazują ataki phishingowe jako zagrożenie, z którym spotykają się najczęściej – w ciągu roku aż 34% z nich zetknęło się z phishingiem. Na drugim miejscu plasują się ataki na sieć Wi-Fi, z którymi styczność miało 22% specjalistów, a na trzecim - ex aequo ataki z wykorzystaniem trojanów i ataki na aplikacje internetowe, zgłoszone przez 19% specjalistów.

 

Oprócz wspomnianych cyberzagrożeń firmy narażone są także na ataki ransomware, DDoS czy spoofing tożsamości. Warto zauważyć, że tradycyjne formy ataków wciąż są częstsze od tych wymierzonych w usługi chmurowe, chociaż coraz więcej firm decyduje się na przeniesienie tam swoich zasobów. Tylko co dziesiąty ekspert miał styczność z takimi działaniami cyberprzestępców.

   

Według raportu „CrowdStrike 2024 Global Threat Report” w 2023 roku, aż 75% cyberataków miało charakter malware-free, co oznacza, że do ich przeprowadzenia cyberprzestępcy nie wykorzystali złośliwego oprogramowania.

 

Do takich narzędzi cyberprzestępców zaliczają się m.in.:

 

• socjotechnika,


• Living-off-the-Land,


• ukradzione dane uwierzytelniające,


• Cross-Site-Scripting,


• wykorzystywanie istniejących luk w zabezpieczeniach.

 

Chcąc przeprowadzić skuteczny atak wymierzony w firmę, cyberprzestępcy muszą najpierw zgromadzić potrzebne informacje i na ich podstawie wybrać optymalną metodę oraz narzędzia.

   

Cyberprzestępcy zwykle nie wybierają swoich ofiar przypadkowo. Obierając na cel ataku zasoby przedsiębiorstwa, nieetyczni hakerzy przez dłuższy czas obserwują organizację i jej pracowników, szukając luk i słabych punktów. Dlatego tak ważne jest nieustanne doskonalenie cyberzabezpieczeń i korzystanie ze wsparcia specjalistów działających w ramach Security Operations Center.

 

Do pozyskiwania informacji cyberprzestępcy wykorzystują OSINT, czyli biały wywiad. Polega on na zdobywaniu informacji z otwartych źródeł, co jest zresztą procedurą zgodną z prawem. Informacje pozyskiwane są m.in. z:

 

• mediów społecznościowych,


• stron internetowych firm (także ich wersji archiwalnych),


• rejestrów publicznych i państwowych baz danych, np. KRS, CEIDG czy CEPiK,


• wpisów na forach i portalach internetowych,


• obserwacji,


• od znajomych i sąsiadów.

 

Informacje pozyskiwane przez cyberprzestępców z otwartych źródeł to:

 

• Struktura organizacyjna przedsiębiorstwa – pozwala cyberprzestępcom wytypować potencjalne ofiary ataków, np. dyrektorów lub osoby mogące posiadać dostępy uprzywilejowane ze względu na pełnioną funkcję.


• Dane pracowników – ułatwiają dostosowanie ataku do rozpoznanych słabych punktów ofiary, np. poprzez stworzenie spersonalizowanej narracji.


• Dane kontaktowe – publiczne adresy e-mail czy numery telefonów mogą stać się celem phishingu.


• Szczegóły techniczne infrastruktury IT – informacje o używanych serwerach, oprogramowaniu czy konfiguracjach pozwalają cyberprzestępcom znaleźć i wykorzystać luki w zabezpieczeniach.


• Szczegóły łańcuchów dostaw – wiedza o tym, z jakimi partnerami współpracuje organizacja, ułatwia przeprowadzenie ataku wymierzonego w łańcuch wartości i ominięcie głównych zabezpieczeń.


• Dane o politykach bezpieczeństwa i procedurach – ułatwiają wykrycie słabych punktów i dostosowanie formy ataku do charakteru i zakresu zabezpieczeń organizacji.


• Przeszłe naruszenia bezpieczeństwa – analiza ataków z przeszłości może być źródłem cennych informacji o zabezpieczeniach firmy i sposobach zarządzania cyberbezpieczeństwem.

 

Chcąc pozyskać powyższe informacje, cyberprzestępcy sięgają po najróżniejsze źródła. Jednym z nich są wspomniane media społecznościowe, jak Facebook czy Instagram, na którym można znaleźć wiele prywatnych informacji o osobach zatrudnionych w danej organizacji. Firmy i pracownicy chętnie dzielą się informacjami także na portalu LinkedIn. Wiele przydanych z punktu widzenia cyberprzestępców danych znajduje się na firmowych stronach i blogach, np. w postaci case study lub informacji o wdrożeniu nowych rozwiązań.

 

Cyberprzestępcy śledzą aktywność pracowników na forach internetowych, grupach dyskusyjnych i portalach branżowych. Można powiedzieć, że czym bardziej dokładnie został wykonany rekonesans, tym skuteczniejsze i łatwiejsze możliwe jest przeprowadzenie samego ataku.

 

W sieci można zebrać takie dane o pracownikach, jak:

 

• wiek,


• płeć,


• zainteresowania,


• status społeczny,


• stan cywilny,


• rodzina,


• adres zamieszkania,


• pracodawca,


• wykonywany zawód / stanowisko,


• telefon i e-mail,


• wyznanie,


• orientacja seksualna,


• członkostwo w organizacjach.

 

Cyberprzestępcy nie muszą jednak ograniczać się do działań w internecie. Chcąc zdobyć informacje o swoich ofiarach, mogą zdecydować się na obserwację, a nawet wypytywanie sąsiadów lub znajomych ofiary pod wymyślonym, wiarygodnym pretekstem.

 

Cennym źródłem informacji o firmach są natomiast ogólnodostępne raporty, wpisy w publicznych rejestrach i państwowych bazach danych, takich jak KRS i CEIDG, a także notatki prasowe. Dane dotyczące stron internetowych można w łatwy sposób pozyskać z bazy WHOIS czy narzędzia BuildWith. Korzystając z Wayback Machine, można z kolei sprawdzić, jakie dane znajdowały się na historycznych wersjach firmowych witryn.

 

Exploity

 

Exploit to fragment kodu lub program, który wykorzystuje błędy i luki w zabezpieczeniach oprogramowania albo systemu operacyjnego. Cyberprzestępcy korzystają m.in. z exploitów zero-day czy XSS, żeby uzyskać nieautoryzowany dostęp do zasobów organizacji lub zainfekować firmowe urządzenia złośliwym oprogramowaniem.

 

Botnety

 

Botnet to grupa urządzeń zainfekowanych złośliwym oprogramowaniem. Cyberprzestępcy mogą wciągnąć firmowe urządzenia do takiej sieci, a następnie wykorzystywać je do innych ataków albo użyć, przygotowanego wcześniej botnetu, przeciwko organizacji, np. w ataku DDoS. Użytkownicy często nie zdają sobie sprawy z tego, że ich komputery są częścią botnetu, jeśli firma nie prowadzi monitoringu aktywności sieciowej.

 

Jednym z narzędzi używanych do przeprowadzania ataków z użyciem botnetu jest High Orbit Ion Cannon. To aplikacja internetowa typu open source, która umożliwia masowe generowanie niestandardowego ruchu HTTP . Przykładem bardziej złośliwego narzędzia jest z kolei Bashlite, malware infekujący urządzenia IoT i sprzęt działający na systemie Linux, a następnie łączący je w botnet wykorzystywany m.in. do zmasowanych ataków DDoS lub kopania kryptowalut.

 

Sniffery

 

Podsłuchiwanie ruchu sieciowego pozwala cyberprzestępcom uzyskiwać dostęp do wrażliwych danych organizacji bez pokonywania złożonych zabezpieczeń. Sniffery to narzędzia używane do przechwytywania i analizowania przesyłanych danych. Umożliwiają monitorowanie aktywności sieciowej użytkowników. W wyniku sniffingu może dojść do wycieku wrażliwych danych, np. informacji o klientach czy haseł.

 

Przykładem takiego narzędzia może być wireshark, który pozwala na podsłuchiwanie ruchu sieciowego. Rejestruje pakiety danych, które przechodzą przez interfejs sieciowy komputera, a następnie umożliwia ich przeglądanie w uporządkowanej, czytelnej formie. Każdy pakiet może zostać rozłożony na warstwy i protokoły, dzięki temu możliwe jest zidentyfikowanie m.in. adresów IP, portów, treści zapytań HTTP, certyfikatów SSL czy nieszyfrowanych wiadomości.

 

Socjotechnika

 

Pod pojęciem socjotechniki kryje się cały arsenał działań cyberprzestępców, które polegają na manipulacji i wykorzystywaniu wiedzy o ludzkich zachowaniach. Ta forma cyberprzestępczości nie wymaga szczególnych zdolności technicznych, dlatego jest spotykana najczęściej. Mimo to według raportu „Cyberportret polskiego biznesu” ponad połowa pracowników nie przeszła żadnego szkolenia z zakresu cyberbezpieczeństwa w ciągu ostatnich 5 lat.

 

Przykłady ataków socjotechnicznych to phishing, vishing czy pretexting. Po zgromadzeniu wiedzy nt. struktury organizacji i pracowników cyberprzestępcy mogą przeprowadzić także spear-phishing czy whaling, czyli spersonalizowaną formę ataku wymierzoną przeciwko konkretnemu pracownikowi.

 

Narzędzia do brute force

 

Cyberprzestępcy korzystają też z mniej wyrafinowanych metod ataków, takich jak brute force. Używają do tego narzędzi, które próbują dostać się do firmowego systemu, sprawdzając po kolei wszystkie możliwe kombinacje haseł. Przykładem może być program THC-Hydra, który pozwala zautomatyzować próby logowania do różnych usług sieciowych. Używa plików z listami loginów i haseł, próbując po kolei różnych kombinacji aż do skutecznego uwierzytelnienia.

 

Częstym błędem popełnianym przez pracowników jest używanie jednego hasła do wielu kont, co dodatkowo zwiększa straty wynikające z udanego ataku brute force.

   

Skuteczna ochrona firmy przed cyberprzestępcami wymaga stosowania wielu rozwiązań naraz z zakresu cyberbezpieczeństwa. Większość ataków skupia się na pracownikach, dlatego budowanie cyberodporności przedsiębiorstwa warto zacząć od szkoleń z zakresu security awareness, także dla pracowników nietechnicznych. Zwiększenie świadomości pracowników nt. tego, jak działają cyberprzestępcy, pozwala uniknąć wielu zagrożeń. Można ich dodatkowo wspomóc poprzez ochronę poczty e-mail przed podejrzanymi wiadomościami. Usługa Netia Phishing-on-Demand pozwala natomiast sprawdzić gotowość personelu na zagrożenia socjotechniczne.

 

Informacje podawane przez firmę i jej pracowników w przestrzeni publicznej powinny być sprawdzane przez zespół ds. cyberbezpieczeństwa pod kątem ujawniania wrażliwych informacji. Utrudnia to cyberprzestępcom zdobywanie informacji potrzebnych do organizacji ataku.

 

Zabezpieczenia powinny także obejmować rozwiązania techniczne i kompleksowe wsparcie Security Operations Center. Do ochrony infrastruktury przed atakami z wykorzystaniem botnetu warto wdrożyć usługę DDoS Protection. Z kolei w ramach Netia DNS Protection organizacje otrzymują ochronę przed często wykorzystywanymi formami ataków cybernetycznych poprzez zablokowanie połączenia z serwerami hostującymi złośliwe oprogramowanie. Stan zabezpieczeń warto regularnie sprawdzać, przeprowadzając testy podatności.

 

Usługa Netia Managed UTM zapewnia wielowarstwową ochronę zasobów informatycznych firmy przed większością narzędzi używanych przez cyberprzestępców. Daje dostęp do najnowszych rozwiązań w dziedzinie cyberbezpieczeństwa, takich jak zapora ogniowa nowej generacji czy Intrusion Prevention System. Firmowe aplikacje można natomiast zabezpieczyć dzięki Managed WAF, rozwiązaniu zapewniającemu kompleksową ochronę przed głównymi atakami aplikacyjnymi z listy OWASP 10.