Spojte se s námi

Buďte s námi v kontaktu

Příběh moderního kyberzločinu

– Vytvořil/a

Olga Pincová

v kategorii

Internetová kriminalita už dávno není o dvou klucích v garáži, kteří z legrace píší viry. Jan Pich a Marat Isajev z EY během webináře ukázali, jak se z „I love you“ virů, cracků na hry a nelegálních CD stala profesionální kybermafie s vlastními vývojáři, marketingem, právníky a náboráři.

Pod videem najdete shrnutí hlavních myšlenek.

Kde se vzali moderní kyberzločinci

Kořeny dnešního kyberzločinu sahají hluboko do 60. a 70. let do Sovětského svazu:

  • velmi silné matematické a technické fakulty (algebra, programování, kybernetika)
  • izolace od západního světa, ale velká touha po hrách, hudbě, softwaru
  • vznikaly nelegální kopie her, hudby, softwaru, později první viry

V 90. letech:

  • rozpad SSSR, spousta technicky špičkových lidí a minimum legálních příležitostí
  • rozjíždí se první časopisy typu „Hacker“, které otevřeně zveřejňují postupy, jak hackovat weby a krást data platebních karet
  • původně jde často o prestiž – skupiny vydávají cracky na hry s vlastním logem, budují si „značku“

Od nelegálních kopií her a cracků se postupně přechází k tomu, kde jsou opravdové peníze.

2. Carding: první velký kyberbyznys

Na přelomu tisíciletí nastupuje boom e-shopů a online plateb v USA. Bezpečnost skoro nikdo neřeší:

  • slabá regulace
  • provozovatelé e-shopů ani majitelé karet často nenesou přímou finanční ztrátu – tu nese banka
  • pro útočníky je velmi snadné z nezabezpečených webů těžit čísla platebních karet

V reakci na to vzniká:

  • carding – krádež a prodej údajů platebních karet
  • specializovaná fóra a tržiště s kartami a návody, jak peníze „vyprat“
  • první organizované skupiny, kde se rozdělují role:
    • někdo karty krade
    • někdo je prodává
    • někdo vybírá peníze a pere je

Výdělky:
– desítky tisíc dolarů měsíčně pro jednotlivce
– stovky tisíc až miliony pro větší skupiny

3. Od cardingu k dnešní kybermafii

Postupem času se kyberzločin profesionalizuje:

  • vznikají velká fóra s tisíci uživateli
  • začíná platit dělbá práce – specialista na:
    • prvotní přístup do firmy (initial access)
    • vývoj malwaru
    • správu dat
    • vyjednávání s obětí
    • PR a marketing
    • praní peněz

Z cardingu se tak přechází k širšímu ekosystému:

  • ransomware
  • bankovní malware a podvody
  • DDoS útoky
  • kryptopodvody

Postupně vzniká byznys model, který velmi připomíná firmu.

4. Crime-as-a-Service

Nepotřebujete být génius, ani mít tým, vše je dnes na dosah ruky.

  • Ransomwware-as-a-Service
  • Karding
  • Crypto podvody

Stačí mít pčístup k internetu.

5. Case study: Qillin

Skupina Qillin je typickým příkladem moderní profesionální kybermafie:

Jak funguje „Ransomware as a Service“

  • Qillin provozuje platformu, která vypadá jako běžná SaaS služba:
    • webové rozhraní, kde si „klient“ vybere oběť
    • konfiguruje způsob útoku
    • sleduje průběh zašifrování a exfiltrace dat
  • útoky jsou kombinací zašifrování dat a krádeže dat (double extortion):
    • výkupné za odemčení
    • výkupné za to, že data nebudou zveřejněna
    • hrozba hromadných žalob, GDPR pokut a reputační škody

Role v ekosystému Qillinu

  • affiliate (insider) – člověk uvnitř firmy, který:
    • spustí program Qillinu ve firemním prostředí
    • získává 80–85 % z výkupného
  • dodavatelé přístupů – skupiny, které prodávají „připravené“ kompromitované přístupy do firem
  • vyjednavači – komunikuji s obětí, tlačí na zaplacení
  • marketing – zveřejňují úspěšné útoky na „leak site“, budují značku a strach
  • právníci – pomáhají vytvářet právní tlak (hrozba žalob, GDPR atd.)

Qillin i podobné skupiny útočí po celém světě, a to i na české firmy – včetně velmi konkrétních případů, kde byly zveřejněny:

  • citlivé interní dokumenty
  • zápisy z představenstva
  • platy managementu
  • osobní údaje a doklady

Zajímavý cynický „bonus“: po zaplacení výkupného oběti ještě „poradí“, jak lépe zabezpečit IT a co v infrastruktuře napravit.

Podstata se ale nemění: je to kriminální byznys a každá platba výkupného tenhle byznys jen posiluje.

6. Case study: NoName057 a hacktivismus

Druhá velká větev moderního kyberzločinu jsou hacktivistické skupiny, jejichž motivací nejsou peníze, ale:

  • prosazování politických a ideologických cílů
  • ovlivňování veřejného mínění
  • podkopávání důvěry ve státní instituce

Příklady témat:

  • válka na Ukrajině
  • konflikt Izrael vs. Palestina (Gaza)
  • různé vnitropolitické spory a volby

Skupina NoName057:

  • organizuje DDoS útoky na instituce, banky a firmy v zemích, které podporují sankce proti Rusku
  • reálně často „jen“ shazuje weby na desítky minut až jednotky hodin, ale marketingově to prezentuje jako „ochromení státu“
  • rekrutuje dobrovolníky přes Telegram:
    • bot provede „pohovor“ (zkušenosti, čas, motivace)
    • nástroj stačí spustit na vlastním počítači, člověk je pak jen „další IP“ v DDoS botnetu
  • nejlepší „útočníci týdne“ dostávají odměny v rublech

Tady nejde o výkupné, ale o psychologický efekt:

  • strašit uživatele a voliče
  • vytvářet pocit, že stát není schopen ochránit ani vlastní systémy
  • posilovat extremisty a populisty

7. Insider threat a dodavatelské řetězce

Podle Honzy i Marata je insider threat jedna z největších hrozeb dalších let:

  • připojit se ke skupině typu Qillin může doslova kdokoliv:
    • stačí najít bota, vyplnit „formulář“, spustit soubor
    • odměna může být řádově v milionech korun
  • pro lidi v finanční nouzi je to bohužel velmi lákavé
  • nábor probíhá klidně přes LinkedIn 

K tomu se přidává supply chain risk:

Bezpečnost firmy je tak silná, jako její nejslabší článek.
Tím článkem může být zaměstnanec, dodavatel, nebo dodavatel dodavatele.

  • útok nemusí mířit přímo na vás, ale na:
    • vaší malou účetní firmu
    • výrobního subdodavatele
    • poskytovatele IT služby
  • příklad: útok na dodavatele dílů → zastavení výroby Toyoty (přes 3.–4. článek řetězce)

Proto nestačí řešit jen „naše vlastní IT“, ale:

  • dodavatelské smlouvy
  • minimální bezpečnostní požadavky na partnery
  • ověřování, jak partneři přistupují k bezpečnosti svých dodavatelů (n-party risk)

8. Jak se perou peníze z kyberzločinu

Nejčastější odpověď: kryptoměny.

Bitcoin vs. Monero

  • Bitcoin
    • otevřený blockchain – každou transakci lze dohledat
    • není tam jméno, ale adresa = pseudonymita, ne anonymita
    • při dostatečném zájmu a spolupráci burz lze pachatele dohledat
  • Monero
    • uzavřený blockchain – transakce nejsou veřejně dohledatelné
    • výrazně vyšší poplatky a menší likvidita
    • oblíbené u kyberzločinců právě kvůli anonymitě

Mixéry

Aby se zamlžila stopa u Bitcoinu, používají se mixéry:

  1. z jedné transakce (např. 10 BTC) udělají mnoho menších
  2. pošlou je přes různé peněženky
  3. teprve poté skončí na cílové adrese

I tohle je ale s dostatečnými zdroji a časem možné částečně rozplést.

9. Twitter hack 2020: technologicky brilantní, lidsky úplně hloupé

Jeden z nejzajímavějších příběhů, který Marat zmiňoval:

  • skupina mladých útočníků (hlavní aktér 17 let) chtěla „hacknout Twitter“
  • nejdřív cílili na „low-level“ podporu – social engineering, získání přístupu do interních systémů
  • zkoumali prostředí, zjistili, že existuje účet s nejvyššími oprávněními supportu
  • postupně se „prophishingovali“ až na tento účet → získání přístupu bez MFA
  • tato role měla právo postovat tweet jménem jiných účtů

Výsledek:

  • z účtů jako Elon Musk, Barack Obama, Bill Gates, Apple, Uber najednou začaly vycházet tweety:
    „Pošlete nám Bitcoin, my vám pošleme dvojnásobek zpátky.“
  • lidé skutečně posílali peníze
  • útočník ale udělal zásadní chybu:
    • kryptopeněženku si zaregistroval na burze na vlastní jméno

FBI nepotřebovala geniální forenzní analýzu:

  1. zjistila, kam transakce tečou
  2. zeptala se burzy, komu peněženka patří
  3. zbytek už byl jen procedura

Příklad krásně ukazuje:

  • sílu social engineeringu
  • nebezpečí nedostatečného MFA u privilegovaných účtů
  • fakt, že i složitý útok může ztroskotat na jedné lidské hlouposti

10. Jak se bránit: co může dělat firma a co jednotlivec

Pro firmy

  1. Bezpečnost jako součást DNA firmy
    • odpovědnost začíná u managementu (a nové regulace jim to dávají i právně)
    • kyberbezpečnost není jen „IT téma“, ale business a governance téma
  2. Zero Trust přístup
    • nedůvěřovat nikomu a ničemu defaultně
    • přístup k systémům podle:
      • role
      • stavu zařízení
      • místa a chování (nereálné přístupy, anomálie)
    • posun od „máme firewall“ k kontrole každého přístupu a každého souboru
  3. Vrstvená obrana proti insiderům
    • background check (rejstříky, insolvence, trestní rejstřík)
    • logování a detekce anomálií u administrátorů a klíčových účtů
    • rozdělení oprávnění – kritické akce vyžadují dva lidi / více faktorů
  4. Práce s dodavateli (supply chain security)
    • identifikovat kritické dodavatele
    • vyžadovat minimální standardy bezpečnosti
    • smluvně řešit incidenty, povinnosti, auditovatelnost
  5. Moderní vzdělávání uživatelů
    • ne jednou ročně nudná prezentace
    • ale:
      • micro-learning – krátké moduly každý měsíc
      • simulované phishingy
      • scénáře z osobního života (WhatsApp, falešná policie, „volá banka“)
      • VR scénáře, gamifikace, soutěže

Pro jednotlivce

  • Nevěřit telefonátům z „banky“ nebo „policie“, které tlačí na:
    • rychlé převody
    • sdělení hesla
    • instalaci aplikace na vzdálený přístup
  • u zásilek a „nečekaných balíčků“:
    • ověřit, jestli jste opravdu něco objednávali
    • neklikat na odkazy z SMS, raději otevřít oficiální aplikaci / web
  • nikdy neposílat přístupové údaje e-mailem nebo do formulářů, které vám někdo nadiktuje po telefonu
  • u rodiny (děti, senioři) – mluvit o těchto věcech stejně samozřejmě, jako je učíme přecházet na zelenou

11. Proč lidé „nalítnou“ – a co s tím

Velká část diskuse směřovala k otázce:
„Proč lidé pořád znovu věří podvodníkům?“

  • není to selhání „hloupých lidí“, ale využití fungování lidského mozku
  • útočníci:
    • míří na strach (o peníze, děti, pověst)
    • míří na chamtivost (rychlý zisk, „dvojnásobek Bitcoinu“)
    • míří na časový tlak („musíte teď hned“)
  • většina z nás nikdy nedostala systematickou výuku digitální hygieny

Proto dává smysl:

  • vzdělávat děti už od školky (např. projekty typu Kyberpohádky)
  • vzdělávat rodiče a seniory – formou, která je pro ně srozumitelná
  • zapojit školy, firmy, stát i neziskovky – není to úkol jedné organizace

Závěr

Moderní kyberzločin je:

  • globální,
  • organizovaný,
  • ekonomicky velmi výhodný
  • a pro řadu lidí bohužel dostupný „na pár kliků“.

Na druhé straně ale máme:

  • technologie (Zero Trust, monitoring, kryptografie),
  • nástroje (SaaS bezpečnostní řešení, identity management),
  • a hlavně možnost systematického vzdělávání – od dětí, přes zaměstnance až po management.

Pokud chceme, aby kyberzločin byl pro útočníky méně výhodný, musíme zvednout laťku: v technologiích, procesech i v hlavách lidí.

MoyaKybeon je nástroj pro řízení kybernetické bezpečnosti, který pomáhá organizacím splnit nároky plynoucí ze Zákona o kybernetické bezpečnosti nebo ISO certifikace. Nabízí funkce pro správu aktiv, hrozeb i zranitelností, analýzu rizik a mnoho dalších funkcionalit. Vyzkoušejte si 30denní demo zdarma.