- Že online fraudy rastú, nie je prekvapivé. Pozoruhodné je, ako sa to deje.
- Médiá sa nadchýnajú útokmi, profesionáli zraniteľnosťami. Lebo o tom je kyberzločin
- Umelá inteligencia sa stále zlepšuje, lebo ju kŕmime všetci. A kyberbezpečnosť sa otriasa v základoch
- Internetové blackouty. Ďalší nový normál?
- Čo nás čaká v kyberbezpečnosti: viac útokov, umelá inteligencia a zrýchlenie
- Výskumníci vyčítajú Applu, že informácie o nás zbiera nezákonne, a ďalšie kauzy ochrany údajov
- Ako funguje fabrika na kybernetický zločin
- Hrozby pre siete, vydieranie a kľúčové kyberzločinecké skupiny. Toto sú trendy
- Je to nepreložiteľné, médiá to milujú a bezpečáci bez toho nevedia žiť. Threat Intelligence
- Koľko to stojí a ako to bolí, keď sa šafári s osobnými údajmi
- Zdravotníctvo? Tieto fakty o bezpečnosti by ste radšej nevedeli
- Botnet je tradičný, brutálny a funkčný útok. Prečo sa mu bude dariť?
- Tak aby bolo jasno: Čo je sledovanie a čo špehovanie používateľov?
- Exkurzia do sveta bezpečnostných technológií, kam nepozývajú návštevníkov často
- Svet sa pripravuje na smršť ransomvéru. Posledný diel skladačky zapadol
- 28.2.2022 Ponúkame obciam a mestám bezodplatné konzultácie v kybernetickej bezpečnosti
- Nedostatok čipov dostihol už aj bezpečákov. Lebo bezpečnostné čipy.
- Ako to funguje, keď sa obchoduje so zraniteľnosťami
- Útočilo sa rýchlo a zbesilo. A ako ďalej v kyberbezpečnosti?
- Máte Apple? Toto by ste mali vedieť. Alebo máte Android? Aj pre vás je to dôležité.
- Vystresovaný a bohatý. Taký je život špičkového hackera
- Ste v IT a máte dušu hráča? Hľadáme hviezdy kybernetickej bezpečnosti!
- Rast kybernetického zločinu v prvom polroku ohromil. Pozrite si čísla a typy útokov
- Keď nájdete výhražný mail: Platiť či neplatiť?
- Kto roznáša infekciu v kybernetickej pandémii a ako sa na tom zarába
- Protidohľadový mejkap a LiDAR kamery. Skôr či neskôr to zažijete
- Vážení občania, viete, kde sa potulujú vaše dáta?
- Vo svete sme pod dohľadom miliardy kamier. Čo s tým?
- O šifrovanie sa zaujímajú firmy, vlády, bezpečnostné služby aj právnici. Mali by ste sa aj vy
- Ako si plánujú rok hackeri sponzorovaní štátmi? Zdá sa, že bude veľa práce
- Vydieranie, výkupné a údaje o pacientoch na predaj. Fakt zlý rok pre zdravotníctvo
- Aj ten najlepšie zabezpečený mobil vedia hacknúť muži zákona. Takto.
- Evolúcia malvéru: od oštepu k dynamitu
- Europol a Agentúra EÚ pre kybernetickú bezpečnosť hlásia červené čísla
- Viete, na čo a komu je dobrá vaša selfie s rúškom?
- Náš svet nie je bezpečným miestom
- Zero-day útoky? Stále pribúdajú a stále dôležitejší je rozpočet
- Berte koronakrízu ako príležitosť! Heckeri to pochopili najrýchlejšie
- Ste citliví na ochranu údajov? Tento prehľad je niečo ako povinné čítanie pre občanov a odborníkov
- Zabudnite na maklérov a influencerov. Táto dekáda bude patriť hekerom, šifrovaniu a steganografii
- Všetci chodia na hrušky a teraz nachytali Avast. Ako ďalej, stalkeri?
- Trojica kybernetických hrozieb 2020 a bonus ku každej z nich
- 1,2 miliardy osobných údajov online na jednom serveri
- Už žiadne pečiatky do pasu? Odvážna ambícia pre schengenský priestor
- Francúzsko plánuje využiť technológie rozoznávania tvárí pre vytváranie digitálnej totožnosti občanov. Pokrok alebo hrozba?
- Za šesť mesiacov roka 2019 došlo k väčšiemu počtu kybernetických útokov v automobilovom segmente než za celý minulý rok.
- Európski úradníci nemali zľutovanie. Najvyššia pokuta podľa GDPR dosiahla takmer 200 miliónov eur.
- Hrozba štátom financovaných hekerov sa zvyšuje, majú na svedomí 23
- Máj naozaj nebol v kybernetickej bezpečnosti romantický
- V nasledujúcich piatich rokoch si musí automobilový priemysel rezervovať na obranu proti kybernetickým útokom aspoň 24 miliárd dolárov
- V tejto štatistike by ste naozaj byť nechceli! Najmä preto, že ide o veľa peňazí.
- Bug Bounty. Alebo dohodnime sa radšej po dobrom
- Collection #1 Zapamätajte si to. Budete o tom ešte počuť.
- Kybernetický zločin ako osobná ujma, prísnejšia regulácia v EÚ a vznik nových pracovných miest
- Diplomatické depeše a deravé sociálne siete v decembri a oblasti, kde asi „žijú tisíce bezpečnostných expertov“
- Až tretina členských štátov EÚ zažila v roku 2017 ohrozenie kritickej infraštruktúry v dôsledku kybernetického útoku.
05/2023
Report bezpečnosti
Že online fraudy rastú, nie je prekvapivé. Pozoruhodné je, ako sa to deje.
Online podvody alebo, ak chcete, online fraudy za posledné roky rastú a ich záber sa výrazne mení. Už dávno to nie sú len ukradnuté kreditné karty a bankové účty. Tu už hovoríme o ohrození webových aplikácií, na ktorých stojí postpandemický svet. A pripomíname, že automatizované útočné nástroje sú drajvované umelou inteligenciou či strojovým učením.
Zločinci expandovali do online priestoru, a tak výška škôd rastie. Federálna obchodná komisia (FTC) uvádza, že v roku 2022 spotrebitelia nahlásili ujmu takmer 8,8 miliardy dolárov v dôsledku digitálnych podvodov, čo predstavuje nárast viac ako 30 percent v porovnaní s predchádzajúcim rokom.
Určite by sa to dalo lepšie minúť
Podľa výročnej správy FBI o internetovej kriminalite sa v roku 2022 v dôsledku online podvodov „stratilo“ 10,6 miliardy dolárov. V porovnaní so stratami vo výške 6,9 miliardy dolárov v roku 2021 ide o nárast o 46 percent.
Drastický medziročný rast o viac ako 3,5 miliardy dolárov spôsobili najmä podvody s kryptomenami. Správa uvádza, že investičné podvody boli celkovo najnákladnejšou schémou. Podvody simulujúce call centrá predstavovali celkové straty viac ako 1 miliardu dolárov. Z tejto miliardy patrilo 724 miliónov dolárov obetiam vo veku viac ako 60 rokov.
Podvody na báze Business email compromise predstavovali straty 2,7 miliardy dolárov. Sem patri zneužitie biznisových e-mailových adries používateľov a následný pokus s využitím techník sociálneho inžinierstva na oklamanie obete, aby previedla finančné prostriedky. A aj keď ransomvérové útoky v roku 2022 klesli, stále predstavovali straty vo výške 34,3 milióna dolárov.
Autori správy však upozorňujú, že uvedené údaje pochádzajú z viac ako 800-tisíc sťažností podaných v roku 2022. Čísla sú preto pravdepodobne ešte vyššie, pretože časť obetí podvodov útoky a škody neoznámi.
Sumarizácia našich slabých stránok
Je čoraz viac digitálnych transakcií, za ktoré sa môžu útočníci vydávať, viac účtov, ktoré sa dajú ukradnúť, viac príležitostí zneužitia, či už ide o online bankovníctvo, nákupy na webe alebo podávanie daňových priznaní.
Plocha hrozieb sa exponenciálne rozšírila používaním smartfónov, mobilných zariadení a internetu vecí. Navyše tieto mobilné zariadenia ani aplikácie sociálnych médií nie je ľahké zabezpečiť.
Taktiky botových útokov sú kreatívne a vyvíjajú sa. Takzvané prelomenie hesla hrubou silou je už pomerne dostupné masám útočníkov a spôsoby ochrany sa stále zlepšujú. Technika credential stuffing je však pri prienikoch omnoho sofistikovanejšia a využíva automatizované testovanie prihlasovacích údajov, ktoré pochádzajú z uniknutých databáz.
Zločinecké gangy sú dobre organizované a ich operácie sú často riadené rovnako ako legálne podniky. Očakáva sa, že používanie pokročilých nástrojov a automatizovaných útokov, ako sú botnety a malvér, v roku 2023 bude rásť, keďže služby Fraud as a Service sú ľahko dostupné na dark webe.
Ako fungujú útoky typu credential stuffing
Útočné gangy nakúpia používateľské účty, ktoré pochádzajú z únikov, prenajmú si infraštruktúru botov na automatizáciu útokov a v ďalšej etape sa sústreďujú na vektor útoku.
Credential stuffing je metóda kybernetického útoku, pri ktorej útočníci používajú zoznamy kompromitovaných používateľských účtov na prienik do systému. Na rozdiel od ostatných útokov útočník sa v tomto prípade nesnaží uhádnuť správne heslo od konkrétneho účtu. Práve naopak, spolieha sa na to, že ľudia často používajú rovnaké prihlasovacie mená a heslá na viacerých stránkach a do viacerých aplikácií.
Útok využíva masívne nasadenie botov, ktoré sa pokúšajú o prienik do firemných a bankových aplikácií. Bot tu proste dostane jednoduchý príkaz: „Napĺňaj prihlasovací formulár z databázy existujúcich účtov“ a systematicky a opakovane to všade skúša. Štatistiky ukazujú, že približne 0,1 percenta pokusov o narušenie vyústi do úspešného prihlásenia.
Útočník monitoruje úspešné prihlásenia a získava osobné údaje alebo iné cenné údaje z kompromitovaných účtov. Bot si uchováva informácie o účte na budúce použitie, napríklad na phishingové útoky alebo iné transakcie umožnené kompromitovanou službou.
Credential stuffing je rastúcim vektorom hrozby z dvoch hlavných dôvodov
- Široká dostupnosť databáz prihlasovacích údajov či používateľských účtov
Napríklad databáza Collection #1-5 otvorene sprístupnila hackerskej komunite 22 miliárd kombinácií používateľských mien a hesiel.
- Čoraz sofistikovanejšie boty
Čo odlišuje credential stuffing a útoky hrubou silou
- Útoky hrubou silou sa pokúšajú uhádnuť prihlasovacie údaje bez kontextu pomocou náhodných reťazcov, bežne používaných vzorov hesiel alebo slovníkov bežných fráz.
- Útoky hrubou silou sú úspešné, ak majú používatelia jednoduché, uhádnuteľné heslá.
- Pri útokoch hrubou silou chýba kontext a údaje z predchádzajúcich narušení, a preto je ich úspešnosť prihlásenia oveľa nižšia.
Vo webovej aplikácii so základnými bezpečnostnými opatreniami útoky hrubou silou pravdepodobne zlyhajú, zatiaľ čo útoky typu credential stuffing môžu byť úspešné. Aj keď si zamestnávatelia alebo služby vynútia silné heslá, používatelia heslo zdieľajú medzi službami, čo v prípade narušenia vedie ku kompromitácii všetkých služieb naraz.
Záverom? Neprepadáme panike
Odhaduje sa, že v roku 2023 bude ukradnutých viac ako 33 miliárd osobných údajov. Neprepadajte depresii, organizácie nie sú pri ochrane digitálnej infraštruktúry úplne bezmocné. Rastúca agresia so sebou prenáša tlak na to, aby bol kód pre počítačové a mobilné aplikácie zašifrovaný s náležitou silou.
* Poznámka: Bezhlavičkový prehliadač je webový prehliadač, ktorý nie je nakonfigurovaný s grafickým používateľským rozhraním – GUI. Väčšinou ho používajú softvéroví inžinieri na testovanie, pretože prehliadače bez GUI fungujú rýchlejšie, keďže nemusia vykresľovať vizuálny obsah.
Zdroje
Lexis Nexis: Future Fraud Trends 2023
Cybercompetence: Credential Stuffing
Preemptive: Shocking Hacks That´ve Already Happened in 2023
Forbes: Cybersecurity Trends & Statistics for 2023; What You Need To Know
Imperva: Mitigating account takeover