Za 80 proc. pewnego typu ataków polegających na szantażowaniu odbiorców, odpowiada grupa zaledwie stu oszustów – wynika z najnowszego badania przeprowadzonego przez Uniwersytet Columbia i Barracuda Networks.
Badacze z Uniwersytetu Columbia przeanalizowali 300 000 e-maili zidentyfikowanych jako próby szantażu. Wiadomości zostały wykryte przez oparte na sztucznej inteligencji systemy detekcji firmy Barracuda Networks. Ataki opierały się na e-mailowym grożeniu ujawnieniem kompromitujących informacji, np. zdjęć, filmów lub szczegółów nielegalnych działań online, jeśli ofiara nie zapłaci przestępcom – zazwyczaj za pomocą kryptowalut, takich jak bitcoin. Cyberprzestępcy atakują na raz mniej niż 10 osób i mają umiarkowane oczekiwania finansowe – domagają się około 1000 dolarów w bitcoinach.
Model ataku
Zespół z Uniwersytetu Columbia pogrupował e-maile służące szantażowi według użytych w nich adresów portfeli bitcoin. Badacze założyli, że cyberprzestępcy stosują ten sam portfel bitcoin we wszystkich swoich atakach, więc jeden portfel = jeden atakujący. Zespół znalazł 3000 unikalnych adresów, z czego 100 pojawia się w 80% e-maili. To oznacza, że stosunkowo niewielka liczba atakujących odpowiadała za większość e-maili z żądaniem okupu.
Badacze przeanalizowali również pola “nadawca” we wszystkich sprawdzanych e-mailach. Przyjęli, że przestępcy używają tego samego konta do wysyłki wiadomości powiązanych z jednym atakiem, ale mogą użyć innego do kolejnego ataku. Zespół stwierdził, że z 97% kont wysyłano mniej niż 10 e-maili, a w 90% ataków żądano kwoty niższej niż 2000 dolarów w bitcoinach.
– Nasza analiza sugeruje, że za oszustwa z żądaniem okupu odpowiada stosunkowo niewielka liczba sprawców. Każdy z nich przeprowadza wiele ataków na niewielką skalę, domagając się umiarkowanych kwot – mówi Asaf Cidon, profesor elektroniki na Uniwersytecie Columbia. – Relatywnie niewielkie sumy sprawiają, że szantażowani są bardziej skłonni do współpracy z oszustem. Natomiast wysyłanie małej liczby e-maili z jednego konta pomaga cyberprzestępcom uniknąć wykrycia przez tradycyjne systemy zabezpieczeń i programy antyfraudowe. Dzięki temu nie zwracają uwagi organów ścigania i mediów, które mogłoby ostrzec potencjalne ofiary.
Zabezpieczanie pracowników i organizacji
Ataki służące szantażowi muszą być traktowane poważnie przez zespoły ds. bezpieczeństwa IT, szczególnie gdy wykorzystywane są w nich służbowe adresy e-mail.
– Zawsze należy przeanalizować, jak atakujący uzyskali dostęp do danych konta, na przykład – czy w jakimś momencie wyciekły lub zostały skradzione? Czy może pracownik, którego konto zostało przejęte, korzystał wcześniej ze swojego służbowego urządzenia do nieodpowiednich działań, takich jak odwiedzanie podejrzanych stron internetowych? – tłumaczy Mateusz Ossowski, CEE Channel Manager w Barracuda Networks. – Obie sytuacje mają konsekwencje dla bezpieczeństwa firmy – i dla celu ataku. To, co przyciąga uwagę przestępcy, może być wstydliwe dla atakowanego, dzięki czemu wzrasta prawdopodobieństwo, że zapłaci on żądaną sumę.
Zespoły ds. cyberbezpieczeństwa mogą podjąć szereg działań, aby chronić pracowników i całą organizację przed tego typu oszustwami. Pomocne jest inwestowanie w ochronę poczty elektronicznej opartą na sztucznej inteligencji, która wykryje i zablokuje e-maile służące szantażowi, zanim dotrą do odbiorcy, oraz zapobiegnie przejmowaniu kont i wykorzystywaniu ich do przeprowadzania innych ataków.
Ważne jest także wdrożenie szkoleń dla pracowników oraz polityk bezpieczeństwa. Ich celem powinno być między innymi powstrzymanie pracowników przez używaniem służbowych adresów e-mail do rejestrowania się w niezweryfikowanych, a także niezwiązanych z pracą serwisach, portalach i systemach. Należy też zapewnić zespołom odpowiednie mechanizmy pozwalające na szybie i proste w obsłudze zgłaszanie incydentów.