Γράφει η Λευκοθέα Κούκαλια
Τι είναι τα εγκλήματα κατά παραγγελία (crime as a service);
Πρόκειται για τις περιπτώσεις κατά τις οποίες ένας έμπειρος εγκληματίας στον κυβερνοχώρο αναπτύσσει προηγμένα εργαλεία ή υπηρεσίες που διατίθενται είτε προς πώληση είτε προς ενοικίαση σε άλλους, συχνά λιγότερο έμπειρους εγκληματίες στον κυβερνοχώρο. Αυτό έχει ως αποτέλεσμα , ακόμη και εκείνοι με περιορισμένη γνώση και εμπειρία να είναι σε θέση να πραγματοποιήσουν επιθέσεις με σχετική ευκολία.
Για παράδειγμα, κάποιος μπορεί να αναπτύξει ένα ransomware (λογισμικό λύτρων) που είναι ικανό να κρυπτογραφεί σημαντικά αρχεία και να απαιτεί από το θύμα να πληρώσει λύτρα, για να ανακτήσει την πρόσβασή του σε αυτά. Στην συνέχεια, θα πουλήσει ή θα νοικιάσει αυτό το λογισμικό σε άλλους εγκληματίες στον κυβερνοχώρο χαμηλότερου επιπέδου, επιτρέποντάς τους έτσι να ξεκινήσουν επιθέσεις.
Η ύπαρξη πλέον τέτοιας τεχνολογίας αυξάνει δραματικά τις επιθέσεις στον κυβερνοχώρο, καθώς άτομα χωρίς τις κατάλληλες δεξιότητες και με πολύ μικρή προμήθεια αποκτούν τα εργαλεία καθιστώντας τη διάπραξη επιθέσεων “παιχνιδάκι”.
Υπάρχουν διάφοροι τύποι επιθέσεων “κατά παραγγελία” οι οποίοι είναι οι εξής:
- Ransomware-ως-υπηρεσία (RaaS): Ένας εγκληματίας στον κυβερνοχώρο γράφει κακόβουλο κώδικα που κρυπτογραφεί τα αρχεία ενός χρήστη και επιτρέπει σε άλλους να το χρησιμοποιήσουν με μικρή χρέωση. Με τη σειρά του, ο εγκληματίας στον κυβερνοχώρο είναι σε θέση να πάρει ένα ποσοστό από κάθε πληρωμή λύτρων. Τείνει να είναι μια από τις πιο δημοφιλείς επιθέσεις επειδή απαιτεί πολύ λίγες δεξιότητες και δεν είναι απαραίτητο να υπάρχει ακριβός εξοπλισμός.
- DDoS-ως-υπηρεσία: Η κατανεμημένη επίθεση άρνησης υπηρεσίας (DDoS) είναι μια επίθεση κατά την οποία ένας εγκληματίας στον κυβερνοχώρο στέλνει έναν καταιγισμό αιτημάτων σε έναν διακομιστή από πολλές διαφορετικές πηγές, γεγονός που τον καθιστά άχρηστο για νόμιμους χρήστες. Για τις επιχειρήσεις, αυτό σημαίνει δαπανηρό χρόνο διακοπής λειτουργίας και συχνά πλήγμα στη φήμη τους.
- Kit ηλεκτρονικού ψαρέματος (phishing): Πρόκειται για kits που αποτελούνται από υλικά που βοηθούν τους εγκληματίες του κυβερνοχώρου να πλαστοπροσωπούν νόμιμους οργανισμούς. Για παράδειγμα, τα άτομα μπορούν να αποκτήσουν ρεαλιστικές PayPal σελίδες σύνδεσης με ψεύτικα μηνύματα που προορίζονται να δελεάσουν τα θύματα και να αποκτήσουν ευαίσθητες πληροφορίες. Μπορεί να συμβεί και στο Google και στο Facebook και οπουδήποτε.
- Kit κακόβουλου λογισμικού: Πρόκειται για κακόβουλο λογισμικό όπως οι ιοί και οι δούρειοι ίπποι που μαστίζουν τους χρήστες υπολογιστών εδώ και χρόνια. Τα περισσότερα από τα kits διαθέτουν ένα επιχειρηματικό μοντέλο που βασίζεται στην ενοικίαση, το άτομο δηλαδή πληρώνει για έναν λογαριασμό. Στη συνέχεια, είναι σε θέση να διαχειρίζεται και να παρακολουθεί τις κακόβουλες “καμπάνιες” του από τον πίνακα ελέγχου του.
Παρόλο που είναι δύσκολο να αποφευχθούν τέτοιου είδους επιθέσεις, υπάρχουν τρόποι για να περιοριστούν και εν συνεχεία να προστατευτούν τα δεδομένα και οι οργανισμοί. Κάποια από τα μέτρα πρόληψης είναι τα εξής:
- Δοκιμή διείσδυσης στις εφαρμογές, το δίκτυο, τα τελικά σημεία και τους υπολογιστές μιας επιχείρησης. Με αυτόν τον τρόπο θα βρεθούν πιθανές ευπάθειες σε ένα ασφαλές, ελεγχόμενο περιβάλλον.
- Ανάπτυξη εργαλείων ασφαλείας που να συμβαδίζουν με τις πρόσφατες απειλές καθώς το πεδίο του εγκλήματος στον κυβερνοχώρο αλλάζει συνεχώς.
- Εκπαίδευση ασφάλειας για τους υπαλλήλους εταιρειών. Με αυτόν τον τρόπο οι εργαζόμενοι θα είναι σε θέση να αναγνωρίσουν μια κυβερνοεπίθεση και να την αποφύγουν όταν είναι δυνατόν. Άλλωστε το 80% των παραβιάσεων ξεκινούν με ένα μέλος του προσωπικού που κάνει λάθος.
- Τέλος αν εντοπιστεί μια επίθεση, καλό θα ήταν να υπάρχουν προκαθορισμένες πολιτικές και διαδικασίες, ένα σχέδιο δηλαδή επιχειρησιακής ενέργειας, που θα βοηθήσει τους εργαζομένους να αντιδράσουν ταχύτερα και να περιορίσουν τη ζημιά.
Η εθελοντική ομάδα του CSI Institute, αποτελούμενη από εξειδικευμένους επιστήμονες όπως, ψυχολόγους, εγκληματολόγους, κοινωνιολόγους καθώς και τεχνικούς δικτύων & πληροφορικής, είναι κοντά σας παρέχοντας πληροφορία, ενημέρωση και γνώση μέσα από ποικίλα θέματα αρθρογραφίας.