Normalnie atak hakera przebiega krok po kroku. Niektóre z tych działań rozpoczynają się na wiele miesięcy przed dotknięciem celów
Mimo poświęceń, zwłaszcza ekonomicznych, na rzecz unowocześniania systemów bezpieczeństwa komputerowego, firmy i instytucje, będące rezerwuarem cennych informacji, nadal padają ofiarą hakerów, o czym świadczą ostatnie ataki złośliwego oprogramowania, które pochłonęły wiele ofiar.
Najpierw WannaCry, a następnie Petya, dwa niezwykle groźne ataki ransomware, wywołały panikę na całym świecie, hakując setki tysięcy komputerów i trzymając w szachu dane poszkodowanych firm. A przede wszystkim, zgodnie z modus operandi tego typu złośliwego oprogramowania, żądały zapłacenia okupu. Pieniądze, które - jak sugeruje wielu ekspertów - nigdy nie powinny być wypłacane. Z dwóch powodów: nie ma pewności, że hakerzy dotrzymają umowy po uzyskaniu pieniędzy, a przede wszystkim, że będzie to napędzać ich działalność przestępczą. Problem w tym, że większość firm nie jest jeszcze w stanie poradzić sobie z cyberwłamaniem.
Normalnie atak hakera następuje stopniowo, wieloetapowo. Niektóre z nich rozpoczynają się na miesiące przed uderzeniem w cel.
Faza pierwsza: identyfikacja celu
Najpierw hakerzy muszą zidentyfikować cel, w który chcą uderzyć i zaplanować sposób przeprowadzenia ataku. Generalnie motywy, które poruszają ręce hakerów są zawsze takie same: względy ekonomiczne, możliwość przywłaszczenia sobie cennych danych lub zaszkodzenia firmie. Po zidentyfikowaniu celu rozpoczyna się faza badań. Cyberprzestępcy zaczynają zbierać informacje o firmie, a w szczególności o jej systemie bezpieczeństwa. Przygotowywana jest kampania socjotechniczna, technika wykorzystywana do wydobycia użytecznych danych, które zostaną wykorzystane w ataku. Hakerzy tworzą fałszywą stronę internetową, odwiedzają obiekt, a także uczestniczą w wydarzeniach organizowanych przez firmę, aby dowiedzieć się wszystkiego o celu. W tym momencie rozpoczyna się planowanie ataku.
Faza druga: Włamanie
Hakerzy wybierają, na podstawie informacji zebranych w pierwszym kroku, sposób naruszenia systemu bezpieczeństwa firmy. W tej fazie cyberprzestępcy podchodzą na palcach, ukrywając swoją broń na maszynach, w które celują. Po cichu, być może wykorzystując techniki phishingu, wykradają dane uwierzytelniające sieci bezpieczeństwa lub instalują na komputerach złośliwe oprogramowanie. Celem jest zdalne przejęcie kontroli nad urządzeniami. Jest to bardzo delikatna faza, od której zależy powodzenie lub niepowodzenie włamania do komputera.
Trzecia faza: badanie sieci firmowej
Zachowując ciągłą kontrolę i działając jako autoryzowany użytkownik, haker bada sieć firmową, mapując serwery i całą sieć ochrony. Głównym celem jest jak najdalej idące rozszerzenie kompromisu. Cyberprzestępca w tej fazie, po kryjomu, niczym wirus, analizuje system, próbując dowiedzieć się, gdzie znajdują się bazy danych, w których przechowywane są poufne informacje, takie jak hasła dostępu do sieci ochrony. Zazwyczaj ma to miejsce na miesiące lub tygodnie przed wykryciem ataku.
Faza czwarta: dostęp do danych firmowych
Po uzyskaniu danych uwierzytelniających hakerzy przejmują kontrolę nad systemami komputerowymi firmy. Atak wchodzi w bardzo gorącą fazę, ponieważ hakerzy naruszają wszystkie kanały sieci bezpieczeństwa i są gotowi do upublicznienia naruszenia. W tym kroku cyberprzestępcy mają dostęp do wszystkich serwerów firmy: poczty elektronicznej, poufnych dokumentów, informacji o klientach.
Piąty krok: atak ostateczny
W ostatnim kroku cyberprzestępcy wychodzą z ukrycia, realizując swój ostateczny cel: zablokowanie działalności firmy i żądanie w zamian pieniędzy. Dane znajdujące się na zaatakowanych maszynach są szyfrowane za pomocą ransomware. Zbyt późno, by powstrzymać cyberzagrożenie, które zaczęło się na wiele miesięcy przed jego wykryciem. Problem polega na tym, że hakerzy, korzystając z legalnych systemów, przenikają do firmowej sieci ochrony nie pozostawiając po sobie śladu.
Jak się chronić
Inwestowanie w bezpieczeństwo IT to coś więcej niż tylko stosowanie zaawansowanych systemów ochrony. Bardzo ważne jest aktualizowanie urządzeń (wystarczy jedna luka w zabezpieczeniach komputera, aby narazić na szwank całą sieć firmową) oraz przygotowanie pracowników do radzenia sobie z atakiem hakerów. Jak widzieliśmy, hakerom udaje się uzyskać dane uwierzytelniające dostęp do sieci firmowej poprzez phishing, czyli podstępną technikę, za pomocą której ofiary są nakłaniane do ujawnienia tajnych danych.