מסתבר: קיימת הגינות בקרב פושעי הסייבר

המסחר בדארקנט – אותו מרחב שבו פועלים פושעי הסייבר, האקרים בכלל ושאר גורמים רעים – נסמך על שירותי יישוב סכסוכים, כספי נאמנות (Escrow Payments), ערבות ו-"רישיון למכור" בשווי של עד 3,000 דולר, כדי להבטיח עסקאות "הוגנות" – כך לפי מחקר חדש של Wolf Security, חטיבת הסייבר של HP.

לפי המחקר, פושעי הסייבר פועלים על בסיס שיטות ושירותים המוכרים מהעולם הקמעונאות המקוונת הלגיטימית. בנוסף, החוקרים מצאו שפושעים אלה משתמשים בנוזקות מסוג הכנס-הפעל (Plug and play), שמקלות על ביצוע ההתקפות.

במקום הצבי: הסוס הטרויאני של המתחזים לדואר ישראל

ביוני האחרון זוהה בישראל ניסיון מתקפה של נוזקה באמצעות שליחת הודעה שלכאורה הגיע מדואר ישראל – לכתובת המייל. נוזקה זו, מסוג AsyncRAT, היא סוס טרויאני בעל גישה מרחוק, שיכול לנטר ולשלוט במחשב הנגוע, עם יכולות שונות לקצירת נתונים.

יצוין שהחוקרים עקבו במשך שלושה חודשים אחרי פעילות מסחר בדארקנט. הם עשו זאת בשיתוף Forensic Pathways – ארגון שפועל בתחום החדשנות המשפטית. במהלך המחקר נותחו יותר מ-35 מיליון שווקים ופורומים של פושעי סייבר ברשת כדי להבין כיצד הם פועלים, צוברים אמון ובונים את תדמיתם.

הנתונים שנמצאו מעלים שנוזקה היא "מוצר" זול וזמין – יותר משלושה רבעים (76%) מהפרסומות של נוזקות ו-91% מניצולים של פרצות אבטחה לטובת השתלטות מרחוק (Exploits) נמכרים בפחות מ-10 דולר. העלות הממוצעת של סיסמאות להרשאות פרוטוקול (RDP), המאפשרות גישה מרחוק, עומד על חמישה דולר בלבד.

לפי החוקרים, רק 2%-3% מהשחקנים ברשת האפלה הם מתכנתים מתקדמים. כמענה לכך, הספקים מוכרים מוצרים בחבילות עם ערכות נוזקות, נוזקות כשירות (MaaS – Malware as a service), הדרכות ושירותי חונכות, שמפחיתים את הצורך במיומנויות טכניות ובניסיון לבצע התקפות מורכבות וממוקדות.

בדו"ח המחקר צוין כי "בדומה לעולם הקמעונאות המקוונת הלגיטימית, אמון ומוניטין הם, למרבה האירוניה, חלק חיוני בשווקי המסחר של פושעי הסייבר". כך, 77% מהשווקים דורשים ערבות ספק ורישיון למכירה עם מחירים שמגיעים עד ל-3,000 דולר; 85% מהשווקים משתמשים בכספי נאמנות; ו-92% מציעים שירות ליישוב סכסוכי צד שלישי, שמתגלעים בקרב פושעי סייבר.

ההאקרים קובעים איזה ספק הכי אמין

עוד נמצא שכל שוק מספק דירוג של ציוני משוב על ספקים. בחטיבת הסייבר של HP ציינו כי "הפושעים מנסים להישאר צעד לפני אכיפת החוק, באמצעות העברת מוניטין בין אתרים. זאת, מכיוון שתוחלת החיים הממוצעת של אתר Dark Net Tor הינה 55 ימים בלבד".

לפי החוקרים, "פושעי סייבר מתמקדים במציאת פערים בתוכנה, שיאפשרו להם לקבל דריסת רגל ולהשתלט על המערכות. הם עושים זאת על ידי איתור מדויק של חולשות ידועות בתוכנות פופולריות – Windows ואופיס, מערכות ניהול למיניהן, וכן שרתי אינטרנט ומייל". הם מצאו שערכות של נוזקות שמנצלות נקודות תורפה במערכות נישה מתומחרות במחירים הגבוהים ביותר – בין 1,000 ל-4,000 דולר. חולשות יום אפס (כאלה שעדיין לא ידועות בציבור) נמכרות בכ-10,000 דולר בשווקי הרשת האפלה.

"מעולם לא היה קל יותר להיות פושע ברשת", סיכמו החוקרים. "בעבר, ההתקפות היו מורכבות והן דרשו כישורים, ידע ומשאבים רציניים. כיום, הטכנולוגיה וההדרכה זמינות במחיר ליטרים בודדים של דלק. כופרות יצרו מערכת אקולוגית חדשה של פושעי סייבר, שמתגמלת שחקנים קטנים בחלק מהרווחים. כך נוצר פס ייצור של פושעי סייבר שמוציאים מתקפות שקשה מאוד להתגונן מפניהן, ומציבים את כלל הארגונים על הכוונת".