Cybersecurity Illustrated (1)

Cybersecurity Illustrated (1)

428
Toma Campeanu participa la seminarul "Cum va evolua piata telecom in 2010? Mai intra vreun jucator mare international? Cei mici vor mai rezista? Cine pe cine mai poate cumpara?" organizat de Ziarul Financiar la Hotel Athenee Palace Hilton din Bucuresti, miercuri, 16 iunie 2010. PAUL CHIRILA/IMPHOTO

Toma Campeanu participa la seminarul “Cum va evolua piata telecom in 2010? Mai intra vreun jucator mare international? Cei mici vor mai rezista? Cine pe cine mai poate cumpara?” organizat de Ziarul Financiar la Hotel Athenee Palace Hilton din Bucuresti, miercuri, 16 iunie 2010. PAUL CHIRILA/IMPHOTO

 

În ultimii 25 de ani, de la apariția web-ului, asistăm la formarea unei “lumi paralele”, incompletă deocamdată, pentru că nu tot ce există în lumea reală are deja un omolog în spațiul cibernetic. Lumea virtuală a schimbat totul: comunicarea, accesul la informații, învățarea, cercetarea, asistența medicală, comerțul, administrarea afacerilor, transportul și administrația publică, și cel mai important: ne-a schimbat comportamentul. Doar motivațiile se păstrează, pentru că acțiunile își au originea și efectele în lumea reală, chiar dacă mijloacele sunt parțial sau integral electronice.
Civilizația noastră are câteva mii de ani vechime și nu este nici pe departe perfectă, spațiul cibernetic are doar 25 de ani, deci nu putem avea pretenția să fie dominat de echilibru si armonie. Mai mult, nu exista nicio barieră, tehnologică sau morală, care să permită doar aspectelor “bune” ale vieții reale să-și dezvolte un “alte-ego” electronic, și asta ar putea fi o explicație, puțin filosofică, pentru amenințările care nu au întârziat să apară, să se manifeste și să evolueze în spațiul cibernetic.
Venind în completarea multitudinii de articole puternic teoretizate, prin seria de materiale pe care v-o propunem dorim să explicăm și să exemplificăm manifestările și consecințele infracțiunilor cibernetice.

Dintre principalele evoluții voi menționa aici două:

Entitățile ostile: în locul programatorului care concepea un virus de “amoru’ artei” sau ca să demonstreze “că poate”, au apărut grupările de criminalitate informatică, transfrontaliere și multidisciplinare, care urmăresc câștiguri materiale în această “industrie” cu o rată de profitabilitate estimată la 1500%, grupările hacktiviste și teroriste, precum și actorii statali, singurii care dispun de capabilitățile tehnice și resursele financiare pentru realizarea de malware sofisticat. Din acest punct de vedere, România, ca parte a NATO și UE, se confruntă cu aceleași amenințări ca și aliații noștri.
img5
“Industria” Cybercrime se maturizează și apare specializarea. Identificăm acum finanțatori, proiectanți/dezvoltatori, distribuitori și cumpărători. De asemenea, asistăm la dezvoltarea Cybercrime-as-a-Service în tandem cu finanțele subterane: o piață neagră pe care se comercializează atât instrumentele de atac cibernetic (care se pot achiziționa sau închiria) cât și rezultatele, să le spunem „roadele” infracțiunilor cibernetice; și pentru că nimic nu este gratis, infractorii cibernetici apelează la instrumente de plată și optează pentru cele care asigură anonimatul, ireversibilitatea și viteza transferului. Pentru că există o astfel de piață, infractorii cibernetici din ziua de azi nu mai au nevoie de cunoștințe tehnice specializate ci doar de un card de credit, putând să achiziționeze malware ca atare sau să angajeze serviciul de exploatare/utilizare al acestuia (mai jos vor fi oferite exemple concrete).
Cybercrime-as-a-Service îmbracă mai multe forme (o clasificare McAfee):
Reasearch-as-a-Service – în acest caz nu se poate vorbi neapărat de o piață neagră, ci mai degrabă gri. Aici regăsim organizațiile care identifică și prezintă vulnerabilități 0-day către companii selectate după anumite criterii de eligibilitate. Totuși, nu se exclud intermediarii care nu mai aplică aceleași criterii stricte, informația putând ajunge la entități care o folosesc ulterior în scopuri infracționale. De asemenea, în aceeaşi categorie includem agregarea de informaţii în baze de date care sunt ulterior folosite în alte scopuri decât cele declarate iniţial. Astfel, în oferta unor adevărate magazine virtuale ilegale găsim:
img4
img3
Crimeware-as-a-Service – identificarea și dezvoltarea de kit-uri de exploatare, instrumente suport (keyloggers, bots), soluții de mascare a conținutului malware (cryptors, polymorphic builders), roboți și chiar dispositive hardware conexe (skimmers).
Cybercrime Infrastructure-as-a-Service – odată ce infractorii cibernetici obțin instrumentele necesare, pentru atacul propriu-zis aceștia pot închiria rețele de calculatoare pentru un atac DDoS, pentru transmiterea cu succes a unui număr uriaș de emailuri, sau pot accesa platforme pe care să-și hosteze conținutul malware.
img2
Hacking-as-a-Service – având un cost superior alternativei în care se achiziționează componentele individuale, “cumpărarea” unui atac reprezintă varianta care necesită cele mai puține cunoștinte tehnice. Tot în această categorie regăsim cumpărarea de credențiale, date despre cardurile de credit etc.
img1
Finanțele subterane s-au dezvoltat în special pentru că infractorii (și nu ne rezumăm la cei cibernetici) au nevoie să acceseze circuite financiare fără trasabilitate.
Economia digitală subterană, ca orice economie, se bazează pe fluxul liber de fonduri. Varietatea mecanismelor de plată disponibile și folosite de infractorii cibernetici este diversă, variază față de lumea reală, plățile fizice fiind efectuate către monede digitale nedetectabile.
Multe mecanisme de plată cu aspect important on-line oferă un număr de caracteristici care le face atractive ca și instrument financiar pentru organizațiile criminale – anonimatul, transferuri rapide, ieftine și ireversibile și tranzacțiile financiare disimulate.
În multe privințe, unele mecanisme de plată pot oferi un nivel de anonimat similar banilor lichizi, dar într-un mediu on-line. Europol a realizat o statistică privind mijloacele de plată preferate pentru anumite tipuri de operațiuni:
phishing
Phishingul este una dintre cele mai des întâlnite infracţiuni informatice, urmărind obţinerea unor informaţii personale care ulterior să fie folosite pentru obţinerea de foloase materiale. Phishingul îmbracă multe forme, în exemplu ne vom referi la situaţia unui infractor fără cunoştinţe tehnice profunde dar cu abilităţi de navigare în darknet, acolo unde se găsesc magazinele virtuale amintite mai sus (este un exemplu mult simplificat, care suprinde însă principalele aspecte specifice).
Am vazut că acesta poate achizitiona o baza de date de 10 milioane de adrese de mail din Florida cu mai puţin de 1000 dolari. Catre aceste adrese transmite un mesaj email in care pretinde ca este un reprezentant al statului, dintr-o instituţie de supraveghere bancară reală, şi solicită cetăţenilor să-şi introducă datele privind contul și cardul, pentru a valida informațiile transmise de banci. Un astfel de mail este în general blocat de filtrele anti-spam în proporție de 99% (conform CISCO Annual Report 2015), aşa că, pentru a diminua efectul filtrelor, subiectul nostru achiziționeză cu aproximativ 5000 dolari un mecanism de livrare emailuri de pe un număr mare de adrese IP (volum mic per adresă IP; așa numitul spam snowshoe). Rata de succes în acest caz este de 10% (filtrele opresc doar 90%, sursă www.getcybersafe.ca).
Evident, nu e suficient ca email-ul să ajungă la destinatar, ci trebuie să fie suficient de credibil (și destinatarul suficient de naiv) ca să-l determine să-și transmită datele. Jumătate din mail-uri sunt deschise și 10 % dintre destinatari dau click pe link-ul din mail (www.getcybersafe.ca).
Așadar, infractorul din acest exemplu trebuie sa-și construiască o pagină web care să semene cat mai mult cu cea originală, a instituţiei de supraveghere bancara a carei identitate o asumă, iar numele de domeniu sa fie de asemenea foarte asemănător. Pentru toate acestea considerăm un cost de 10.000 dolari. Pe această pagină, destinatari care au fost păcăliţi îşi vor lăsa datele privind cardurile şi conturile lor.
Dintre cei care ajung pe pagina web, doar 10% îşi completează datele, natura infomaţiilor îi descurajează pe cei mai prudenţi 90% (www.getcybersafe.ca).
În cazul nostru concret, infractorul fără studii de specialitate obţine 5.000 de seturi de date privind carduri bancare, pe care le comercializează, la rândul său, de data aceasta de pe poziţia de vânzător şi nu de cumpărător (ca până acum), prin magazinele virtuale ilicite din darkweb, obţinând în medie 60 dolari/buc conducând la un total de 300.000 dolari.
Conform statisticilor Europol, în acest caz plățile se fac cel mai adesea în Bitcoin.

Așadar:

  • 10 milioane de adrese mail – achiziționate inițial cu 1000 dolari
  • 1 milion de mail-uri ajung la destinație (10%, prin spam snowshoe, cost expediere 5000 dolari)
  • 500 000 mail-uri sunt deschise (jumătate dintre cele care trec de filtre)
  • 50 000 de destinatari accesează adresa web din email (10% dintre cei care deschid mail-ul)
  • 5 000 de destinatari introduc datele solicitate în pagina web (10% dintre cei care ajung pe pagina web falsă)
  • Cost pagina web 4=10.000 dolari
    Obs. Procentul celor păcăliți este de 0.05% din totalul destinatarilor
  • 5 000 de seturi de date privind carduri bancare = 300.000 dolari (60 dolari/buc)

Sumarizând:

  • Total investiție = aproximativ 16-20.000 dolari ()
  • Venituri = 300.000 dolari
  • Profit = 1500%!

Autor: Toma Cîmpeanu
Material publicat în Cybersecurity Trends, nr. 2/2016