15:10
6/10/2020

Cyberprzestępcy mają coraz lepsze narzędzia, które wymagają od nich coraz mniej zaangażowania i wiedzy technicznej. Wciąż jednak bardzo ważna jest socjotechnika. To niektóre wnioski jakie płyną z najnowszego raportu Europolu.

Europol wydał wczoraj raport IOCTA 2020, który jest oszacowaniem stanu i kierunku rozwoju cyberprzestępczości w Europie. Raport o tyle ciekawy, że dane do niego zbierano w czasie pandemii COVID-19. Niestety jeden z wniosków jest taki, że stan pandemii spowodował wzmocnienie wszystkich wcześniej znanych problemów. Atmosfera niepewności połączona z nagłym przejściem na pracę zdalną była przestępcom na rękę.

Gdyby ktoś pytał – to jest siedziba Europolu (fot. Osveno, lic. CC BY-SA 4.0)

Inne wnioski z raportu są następujące.

  • Socjotechnika jest ciągle na szczycie zagrożeń, jakie wiążą się z cyberprzestępczością.
  • Ransomware jest ciągle czołowym zagrożeniem wśród malware’u i pozostaje na pierwszym miejscu wśród tych problemów, które powodują duże straty finansowe. Europol odnotował też, że przestępcy mocniej naciskają na płacenie okupów (por. Operatorzy ransomware DDoS-ują stronę ofiary. Czy to będzie nowy trend?)
  • Emotet o dziwo ciągle jest w użyciu (trudno nie spojrzeć na to bez pewnego podziwu).
  • SIM swapping był jednym z kluczowych zjawisk wśród przestępstw dotyczących płatności.
  • Dokonane w roku 2019 zamknięcia serwisów darknetowych spowodowały, że przestępcy poszli w stronę mniejszych, częściej zanikających miejsc wymiany informacji i towarów. Nie wydaje się, aby powstali dominujący gracze podobni do tych, którzy zostali rozbici.
  • Niestety przybywa treści pedofilskich, a nowe trendy w tym zakresie obejmują popularyzację strumieniowania na żywo oraz – niestety – komercjalizację serwisów udostępniających takie treści.

Mniej amatorki, więcej celowania

Raport nie pozostawia wątpliwości co do tego, że phishing jest coraz sprytniejszy. Przestępcy częściej wybierają “holistyczną” strategię, wykazując się większymi kompetencjami, używając bardziej różnorodnych narzędzi i przygotowując ataki celowane w bardziej konkretne osoby czy grupy osób. Absurdalna ortografia zdarza się w oszukańczych wiadomościach coraz rzadziej, a wynika to m.in. z zatrudniania dodatkowych osób, które rozumieją dany region czy społeczność. Częściej też przestępcy dbają o niewykrywalność kampanii np. potrafią przekierowywać odbiorców wiadomości na autentyczne strony w razie spełnienia określonych warunków np. wejścia na stronę z innego kraju niż ten, do którego mieszkańców celowany jest atak.

Lepsze przygotowanie przestępców wynika także z rozwoju trendu Cybercrime-as-a-Service (CaaS). Mniej techniczni, ale zawzięci przestępcy mogą sobie kupić gotowy malware, botnet, bazy informacji, usługi przygotowania rekonesansu, potrzebne usługi chmurowe itd.  Oznacza to znaczniej mniej amatorszczyzny i częściową automatyzację zadań, co oczywiście przekłada się na większą skuteczność.

Dokładnie te same trendy dają o sobie znać w obszarze ransomware. Europol i organizacje policyjne państw członkowskich stale obserwują wzrost liczby ataków celowanych, zaczynających się zwykle od spenetrowania sieci danej instytucji przez grupę przestępczą. Następnie “dostęp” sprzedawany jest innej grupie, która mapuje infrastrukturę, dokonuje podniesienia uprawnień czy eksfiltracji danych w celu sfinalizowania ataku. Rekonesans przed właściwym atakiem może trwać miesiącami (por. Producent bankomatów, operator szpitali… komu ostatnio zaszkodził ransomware?).

Tu również widoczny jest trend sprzedawania gotowych zestawów do ataku (Ransomwareas-a-Service – RaaS). Rośnie zarówno liczba potencjalnych atakujących jak i powierzchnia ataku (ruszyła praca zdalna i nowa infrastruktura zaprzężona do pracy z okazji COVID-19). Operatorzy ransomware’u tak jak inni biznesmeni starają się zaistnieć w zbiorowej świadomości i chwalą się tym co robią (Maze to dobry przykład).

Według Europolu trochę się pozmieniało po zamknięciu DeepDotWeb. Społeczność użytkowników Darknetu stara się budować nowe metody rekomendacji i polecania zaufanych miejsc. Cykl życia darknetowych serwisów umożliwiających handel wydaje się ciągle skracać, co poważnie utrudnia prowadzenie śledztw. Widać, że przestępcy próbują nowych rozwiązań m.in. decentralizowanych platform do handlu takich jak OpenBazaar. Bitcoin jest ciągle na topie, ale widać zwiększone zainteresowanie alternatywnymi kryptowalutami takimi jak Monero, tworzonymi z myślą o większym poziomie prywatności. Przestępcy próbują też zwiększać swoją widoczność poza Darknetem publikując linki do ofert w ogólnodostępnych platformach.

Podmianki SIM

To ciekawe, że SIM swaping został uznany za jeden z głównych trendów w przestępstwach finansowych. W Niebezpieczniku opisywaliśmy historie niektórych ofiar i wspominaliśmy, że ofiara takiego przestępstwa jest w centrum ważnego sporu, w który wkroczył Rzecznik Finansowy.

Jest w tym istotny polski akcent. Pod koniec września Policja poinformowała, że przy wsparciu Europolu oraz CERT Polska zatrzymała 4 ludzi uważanych za “najbardziej aktywnych cyberprzestępców w kraju”. W sumie w tej sprawie występuje 9 podejrzanych. Grupa robiła przeróżne rzeczy włącznie ze wszczynaniem fałszywych alarmów bombowych, rozprowadzaniem złośliwego oprogramowania i tworzeniem fałszywych sklepów. Trudniła się również oszustwami z podmiankami kart SIM, przy czym najpierw przy pomocy złośliwego oprogramowania przestępcy wykradali dane uwierzytelniające oraz dane osobowe z komputerów i telefonów ofiar. Następnie wyłudzali karty SIM, zlecali przelewy i wypłacali pieniądze przez tzw. słupów. Straty oszacowano na co najmniej 662 tys. złotych. W przyszłości przekonamy się, czy rozbicie tej szajki istotnie wpłynęło na powszechność SIM swapingu w Polsce.

Materiał policji związany z zatrzymaniem grupy polskich SIM swaperów

Do innych spektakularnych zatrzymań SIM swaperów doszło w marcu br. Funkcjonariusze hiszpańskiej policji (Policía Nacional), Straży Narodowej (Guardia Civil) oraz Europolu namierzyli grupę przestępczą odpowiedzialną za kradzież ok. 3 mln euro. Z kolei policja rumuńska (Poliția Română) przy wsparciu austriackiego Bundeskriminalamtu oraz Europolu aresztowała 14 osób, które ukradły ponad pół miliona euro (więcej o tym w tekście pt. Wyłudzacze kart SIM ukradli miliony euro).

Nie istnieje jeden wspólny obraz SIM swapingu w Europie. W jednych krajach jest on niemal nieobecny, w innych jest powszechny (co sugeruje, że wiele może zależeć od podejścia do problemu w poszczególnych krajach). W jednym kraju przestępcy kradną pieniądze, w innym częstsze będzie przejmowanie kont w social mediach. Jest w tym wszystkim jeden wspólny mianownik – karty SIM da się wyłudzać, a dostawcy usług bankowych czy innych usług online wydają się tego nie uwzględniać w stopniu wystarczającym.

Inne oszustwa w płatnościach

Wśród innych trendów dotyczących oszustw z wykorzystaniem środków płatności Europol wskazuje na następujące trendy.

  • Smishing, czyli oszustwa socjotechniczne z wykorzystaniem SMS-a, zdecydowanie nabrały rozpędu. Widzimy to dobrze w Polsce choćby po różnego rodzaju oszustwach “na paczkę” (por. Uwaga na SMS-y podszywające się pod Inpost). To oczywiście nie oznacza, że tradycyjny phishing mailowy się wyczerpał.
  • Przybywa oszustw na inwestycje najczęściej powiązanych z obietnicą szybkich zysków (por. Jeśli na Tinderze szybko zdobywasz dziewczynę i forsę to… bądź podejrzliwy).
    Ten obszar jest o tyle trudny do badania, że występuje w nim wiele różnych schematów działania i dochodzi do łączenia różnych metod. Nierzadko w użyciu są fałszywe strony i RAT-y, ale równie dobrze mogą to być narzędzia do zdalnego zarządzania pulpitem.
  • Silnym trendem jest webowy skimming (tj. wstrzykiwanie na strony kodu wyłudzającego dane kart) z użyciem takich narzędzi jak Magecart. Sprzyjają temu słabe zabezpieczenia mniejszych sklepów online. Z drugiej strony trzeba pamiętać, że web skimming uderzał w takie podmioty jak British Airways. Świat właśnie teraz obiega informacja, że najnowszą znaną ofiarą takiego przestępstwa jest amerykański operator wirtualny Boom!. Skimmery webowe również oferowane są w modelu CaaS, co podnosi ich jakość i dostępność.
  • Ciągle popularne są ataki na bankomaty przy pomocy tzw. black-boksów (zewnętrznych urządzeń pozwalających na wydobycie pieniędzy bez autoryzacji). Niestety w raporcie nie wspomniano o kradzieżach z bankomatów “na Polaka”, a przecież ta “piękna” tradycja była i w tym roku kultywowana.

Co robić? Jak żyć?

Europol podkreśla, że kluczowe dla walki z cyberprzestępczością są cztery rzeczy – wymienianie się informacjami, prewencja i świadomość, otoczenie prawne oraz zwiększenie dostępnych zasobów po stronie organów ścigania. Na szczęście raport Europolu nie zasugerował walki z szyfrowaniem na poziomie prawnym. Proponuje natomiast wzmocnienie procedur KYC oraz nacisk prawny na współpracę dostawców usług z organami ścigania (ocenę tej rekomendacji pozostawiamy wam).

Przeczytaj także:



10 komentarzy

Dodaj komentarz
  1. Link do IOCTA jest lokalny :)
    file:///home/marcin/Pobrane/internet_organised_crime_threat_assessment_iocta_2020.pdf

  2. Za to absurdalna ortografia pojawia się w instrukcjach do części zamiennych Karcher i na stronach internetowych skierowanych na rynek pl. Przestępcy przestali oszczędzać na tłumaczeniach, duże firmy poszły w translatory :-)

  3. Ofiarami sim-swapu padają najczęściej ludzie z dużą ilością pieniedzy, więc cebulacy nie powinni wpadać w paranoję. Nie oznacza to, że przestępcy nie będą ciągle próbować rozgryźć narzedzi autoryzacji podłączonych do internetu. Tak więc strzeżmy higieny naszych narzędzii dostępowych. I nie wkładajmy wszystkich jajek do jednego worka skórno-mięśniowego.

  4. https://rccloud.pl – wyciek danych z moj.dom.pl

  5. 662k? W 9 chłopa? To jacyś cyberamatorzy, a nie przestępcy.

  6. Trzeba pamiętać, aby regularnie używać aktualnego oprogramowania antywirusowego i firewalla, a także dbać o aktualizację sytemu operacyjnego, przeglądarki internetowej, oprogramowania antywirusowego oraz innych wykorzystywanych aplikacji.

  7. dzsiaj otrzymałem taki sms konta zadnego nie zakładalem nawet nie wiem skąt oszust ma mój numer karta z limitem wyplat master card bez blik zostala dla ciebie przygotowana wejdz i dokoncz wzniosek twoja karta lub wyslij sms jawne wyłudzenie danych ale wole sie upewnić zeby sie potem nie okazało ze ktoś ma mój numer pesel i zakłada konta niech ktos poradzi co i jak

  8. Dzisiaj otrzymalem dziwny sms karta z limitem wyplat master card bez bik zostanie dla ciebie przygotowana wejdz i dokoncz wzniosek twoja karta lub wyslij sms mam pytanie czy to zwykła proba wyludzenia danych czy ktoś ma moje dane i zakłada konta bankowe

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: