Żyjemy w zupełnie innej rzeczywistości

To już 10. raport CERT Orange Polska. Jak zmieniły się cyberzagrożenia na przestrzeni ostatniej dekady?

Dziesięć lat to kawał czasu w świecie nowych technologii! Jedną z najciekawszych różnic jest fakt, że jeszcze w 2014 r. numerem jeden wśród zagrożeń – pod względem liczby notowanych incydentów – był spam stanowiący ok. 40 proc. wszystkich ataków. Warto jednocześnie zwrócić uwagę, że prawie w ogóle nie istniał phishing, czyli coś, co dominuje współcześnie. Żyjemy naprawdę w zupełnie innej rzeczywistości.

Dominował spam rozumiany jako przysłowiowe prośby od nigeryjskiego księcia?

A do tego historie żołnierza z misji wojskowych, reklamy środków na potencję... Taki był klimat. Niemal w ogóle nie istniały różnego rodzaju oszustwa na kupującego, zachęty do fałszywych inwestycji, wątpliwe giełdy.

Chyba każdy dostał kiedyś prośbę od nigeryjskiego księcia, ale nie znam nikogo, kto dałby się na nią nabrać.

Trudno mi powiedzieć, na ile taki tradycyjnie rozumiany spam był skuteczny – nie dysponujemy rzetelnymi statystykami. Na pewno już wtedy rodziły się bardziej zaawansowane pomysły w głowach cyberprzestępców, być może po prostu brakowało zaplecza technologicznego oraz umiejętności.

W CERT Orange Polska przeprowadziliśmy niedawno bardzo ciekawy eksperyment. Jeden z członków mojego zespołu – Piotrek – zbudował model, system w zasadzie, który agreguje wszystkie tego typu spamowe działania. Następnie, za pomocą sztucznej inteligencji, rozpoczyna konwersację z nadawcami, zajmując tym samym ich czas i zasoby. Doprowadziliśmy do sytuacji, w której cyberprzestępcy, zamiast skupiać się na realnych ofiarach, gawędzą sobie z chatbotem. Mówimy tutaj o naprawdę potężnych zasobach – najdłuższa wymiana wiadomości to ponad 60 e-maili z fałszywym Giorgio Armanim. Oszust odpowiadał na każdą wiadomość trolla, który zachowywał się dosyć niestandardowo.

To znaczy?

Odpowiadał nie na temat, szczegółowo dopytywał o wszelkie możliwe kwestie, bez przerwy obiecywał, że jeszcze ostatnia wiadomość i już na pewno przeleje pieniądze. Moim zdaniem to bardzo sprytny sposób odpowiedzi na socjotechniczne zapędy hakerów, którzy próbują manipulować ofiarami. W tym wypadku to chatbot manipulował cyberprzestępcą.

Przez 10 lat przeszliśmy więc drogę od rozsyłanych hurtem schematycznych wiadomości, do masowych, wyrafinowanych ataków phishingowych.

Lepiej bym tego nie ujął. W ostatnich edycjach naszego raportu dominował raczej pesymizm, a w tym wypadku – mimo tak znaczącej zmiany charakteru ataków po raz pierwszy optymistycznie patrzymy na statystyki.

Czyli pod kątem świadomości dotyczącej cyberzagrożeń nie zatrzymaliśmy się w 2014 r.?

Myślę, że jest jednak znacznie lepiej. Wzrosła świadomość internautów i wzrosła nasza skuteczność. Zablokowaliśmy niemal trzykrotnie więcej fałszywych stron internetowych niż rok wcześniej. Co istotne, liczba internautów, którzy kliknęli w złośliwe linki, to praktycznie poziom z 2022 roku. Te informacje bardzo mnie cieszą, gdyż – jak doskonale wiesz – ilekroć rozmawialiśmy o cyberbezpieczeństwie, raczej narzekaliśmy na to, że internauci nie reagują we właściwy sposób. Tymczasem wygląda na to, że działania edukacyjne – prowadzone m.in. przez Orange Polska – wreszcie zaczęły odnosić zamierzony skutek. Mówiąc wprost: cyberbezpieczeństwo z roku na rok staje się coraz bardziej sexy. Poza tym wydaje mi się, że w pewnym sensie wysyciliśmy grupę osób, bezrefleksyjnie klikających w zainfekowane linki. Oczywiście to jeszcze nie czas na odtrąbianie sukcesu, gdyż liczba ataków nadal jest na bardzo wysokim poziomie.

Czy w ciągu tych minionych 10 lat były jakieś krytyczne momenty, które znacząco wpłynęły na współczesny krajobraz cyberzagrożeń?

Nie będzie zaskoczeniem, jeśli powiem, że ogromny wpływ wywarła pandemia koronawirusa, a później wybuch wojny w Ukrainie, przez który rozwinął się haktywizm, a coraz głośniej zaczęło się dyskutować o grupach sympatyzujących z poszczególnymi stronami konfliktu. Zapewne w jakimś stopniu doprowadziło to do zwiększenia liczby ataków związanych z infiltracją organizacji czy wykradaniem danych.

Należy wspomnieć także o poprzednim roku w kontekście zwiększenia podatności na atak firmowych systemów bezpieczeństwa. Działalność przedsiębiorców przeniosła się w dużym stopniu do wirtualnej przestrzeni, tymczasem nie wszyscy producenci wszelkiego rodzaju urządzeń bądź oprogramowania przykładają należytą uwagę do cyberbezpieczeństwa. W minionych miesiącach okazało się, że nawet uznani, doświadczeni producenci są bardzo podatni na ataki. Wystarczy, że jakiekolwiek przedsiębiorstwo postawi u siebie niedostatecznie zweryfikowaną bramkę VPN-ową, by znacząco zwiększyć prawdopodobieństwo tego, że ktoś wkradnie się do organizacji.

Jakie przykłady z 2023 r. powinny nas jeszcze szczególnie zaalarmować?

Problemem stały się tzw. Web DDoS Tsunami Attack, czyli po prostu fale trudnych do zatrzymania, często połączonych z wolumetrią, ataków na witryny sieciowe. Nie jest łatwo się przed nimi chronić, ponieważ doskonale symulują prawidłowy ruch użytkowników – są po prostu świetnie przygotowane, mocno sprofilowane, ponadto pamiętajmy, że rozproszony cyberatak jest znacznie trudniejszy do powstrzymania. Nie mówiąc już o fakcie, że hakerzy ukrywają się jeszcze skuteczniej, niż jeszcze kilka lat temu...

W obecnej edycji raportu wyróżniliśmy również Burst Attack, czyli ataki o dosłownie kilkusekundowym, za to niezwykle intensywnym natężeniu. Z nimi problem jest taki, że większość zabezpieczeń jest w stanie zareagować na nie dopiero po fakcie.

Jak dużym problemem stał się deep fake?

Ogromnym! Sądzę, że w najbliższych miesiącach walka z fałszywymi filmikami generowanymi przez AI będzie jednym z największych wyzwań. Problemem będzie oczywiście nielegalne wykorzystanie wizerunku znanych ludzi w reklamach zachęcających np. do wątpliwych inwestycji – co zresztą już się dzieje – ale w rozwoju deep fake’u dostrzegam również poważniejsze zagrożenia w kontekście funkcjonowania przedsiębiorstw.

To znaczy?

Wyobrażam sobie sytuację, w której hakerzy generują klip z prezesem danej firmy, wypowiadającym jakieś kontrowersyjne, ośmieszające go słowa, a następnie publikują w mediach. Tego typu filmy mogą znacząco wpłynąć chociażby na wyceny giełdowe największych przedsiębiorstw, w przypadku mniejszych działalności – mogą bardzo niekorzystnie wpływać na wizerunek, co prowadzi zwykle do spadku liczby klientów.

Rosnący problem deep fake’u jest dobitnym przykładem na to, że każda firma jest zagrożona cyberatakiem, bez względu na branżę, w jakiej funkcjonuje. Hakerzy raczej nie patrzą na organizacje pod kątem jej działalności – wyłączając oczywiście stricte targetowane i celowane ataki, cyberprzestępcy skupiają się przede wszystkim na tych podmiotach, które są najbardziej podatne na incydenty. Dlatego właśnie bez przerwy tak głośno przekonujemy o konieczności posiadania odpowiednich zabezpieczeń, które – co ważne – należy na bieżąco aktualizować i sprawdzać, o czym rodzimi przedsiębiorcy niestety wciąż nagminnie zapominają. Nadal pokutuje przekonanie, że wystarczy raz kupić konkretne narzędzie bądź rozwiązanie, by mieć spokój na lata.

Tak jak powiedziałeś na początku, 10 lat w świecie nowych technologii to kawał czasu. Nie lubię wróżenia z fusów, więc zapytam nieco inaczej. Jak może wyglądać świat za kolejne 10 lat? Czy dopuszczasz powstanie form ataków, o których nikt teraz nie ma jeszcze pojęcia?

Z całą pewnością tak się stanie. Jeśli w tym momencie pytasz mnie o przewidywania, to myślę, że mocno trzeba będzie przyglądać się wirtualnej i rozszerzonej rzeczywistości, której rozwój może dać cyberprzestępcom mnóstwo nowych możliwości. O sztucznej inteligencji nie wspominając. W przyszłości czeka nas jeszcze wiele wyzwań, nie możemy o tym zapominać.