Siguranța cibernetică pe durata pandemiei: noile tipuri de “Coronaviruși”

Roxana Prisăcaru

Contextul global actual confirmă tendința ascendentă a criminalității cibernetice, evidențiind o maturizare a atacurilor atât din perspectiva impactului și frecvenței, cât și a polivalenței lor. Campaniile de inginerie socială care au exploatat teama de coronavirus s-au lansat la sfârșitul lunii ianuarie a acestui an și s-au răspândit la fel de repede ca pandemia.

Accelerarea atacurilor este confirmată și în cadrul studiului Global Economic Crime Survey 2020 realizat de PwC, care evidențiază creșterea incidenței criminalității cibernetice la nivel global până la 34% în topul fraudelor care afectează utilizatorii din toate mediile de lucru, procent semnificativ crescut față de anul 2011, când această valoare nu depășea 23%.

Din ecosistemul atacurilor cibernetice în continuă transformare, se evidențiază un set care exploatează țintit pandemia COVID-19:

Cele mai recente atacuri raportate utilizează aplicații și site-uri web care pretind că oferă informații actualizate despre COVID-19 și răspândirea acestuia. CERT.RO și Poliția Română continuă să atenționeze utilizatorii să evite furnizarea datelor personale pe site-uri neoficiale care sunt nesecurizate (http:// în loc de https://) în vederea completării declarației pe proprie răspundere necesară părăsirii locuinței, conform restricțiilor impuse de ordonanțele militare în vigoare.

Atacuri cibernetice de tip sextortion. Atacatorii transmit e-mailuri prin care pretind că victimele sunt infectate cu malware, ca urmare a vizitării site-urilor cu conținut pornografic. Prin intermediul malware-ului, atacatorii au accesat microfonul și camera de pe dispozitivele utilizatorilor și i-au filmat pe aceștia în ipostaze indecente. Pentru a nu disemina aceste videoclipuri către lista de contacte a utilizatorilor, atacatorii solicită plata a diverse sume de bani. Există și o variație a acestui atac, prin care infractorii amenință infectarea utilizatorului și a apropiaților săi cu COVID-19, dacă nu efectuează plata sumei cerute. Deși în România încă nu s-au raportat asemenea cazuri de sextortion în contextul pandemiei, CERT.ro avertizează că acest fenomen poate lua amploare, dată fiind inventivitatea atacatorilor.

Tumultul provocat de pandemie lasă loc infractorilor cibernetici să profite de frenezia utilizatorilor, promițându-le obținerea de informații actualizate privind persoanele infectate cu COVID-19 din proximitatea acestora. Vulnerabilitatea exploatează dispozitivele Android, pe care există deja prezent troianul bancar Ginp conform datelor Kaspersky. Acesta deschide o pagină web care, pentru o sumă modică, va afișa utilizatorului o listă de persoane infectate cu COVID-19 din jurul său. Această metodă permite colectarea datelor bancare ale utilizatorilor creduli, cărora li se vor retrage direct fondurile din conturile furnizate.

Atacuri asupra routerelor personale. Deși încă nu este cunoscut modul prin care atacatorii accesează aceste routere, vulnerabilitatea exploatează parolele slab configurate pe routere, pentru a accesa serverele DNS. Utilizatorii afectați au raportat situații în care browser-ul web se deschide singur pentru a afișa o alertă falsă din partea Organizației Mondiale a Sănătății, prin care se popularizează instalarea unei aplicații care furnizează informații în timp real despre COVID-19. BitDefender arată că, odată instalată, aceasta permite accesului troianului Oski, care va colecta informațiile utilizatorului legate de plăți, portofele electronice, și date de logare în diverse aplicații și site-uri web.

Atacurile de tip BEC (business e-mail compromise) beneficiază semnificativ de pe urma pandemiei COVID-19, exploatând rapoartele privind încasările ajunse la termen ale clienților. FBI și Agari Cyber Intelligence Division avertizează că atacatorii contactează angajații companiilor, pozând drept directori sau șefi de departamente și solicită o listă actualizată cu toți clienții și scadența încasărilor aferente. Pe baza acestei liste, atacatorii contactează individual clienții din listă, în baza unui e-mail de pe un domeniu fals, similar cu cel al companiei, și solicită efectuarea plăților scadente într-un cont bancar diferit de cel care era folosit până acum, motivând că schimbarea survine ca urmare a pandemiei COVID-19.

În seria ciudățeniilor cibernetice se înscrie și cea mai recentă campanie spam care pretinde existența unui antivirus care a fost creat de către cercetătorii de la Harvard și care, prin tehnici de inteligență artificială, combate virusul cu ajutorul unei aplicații Windows. Astfel, utilizatorului i se promite că este protejat împotriva COVID-19 dacă aplicația este activă. În fapt, conform informațiilor Malwarebytes, dacă utilizatorul instalează acest software antivirus fals, instalează o aplicație Black net de tip control de la distanță, prin intermediul căreia atacatorii pot fura date de acces, portofele electronice, instala scripturi de tip keylogger, executa scripturi și rula atacuri de tip DDoS.

Exploatarea vulnerabilităților în software-urile de videoconferințe, ținta fiind aplicația Zoom. Conform publicației The Guardian, aceștia înregistrează volume de trafic record în această perioadă, cu 535% mai mult decât în mod normal. Pe 30 martie, FBI a anunțat că investighează un număr sporit de cazuri de deturnare video, cunoscute și sub denumirea de “zoom-bombing”, în care hackerii se infiltrează în ședințe video. Întâlnirile pe Zoom pot fi accesate printr-un URL scurt bazat pe un cod din numere, care poate fi ușor generat și ghicit de hackeri, dar permisiunile de acces pot fi restricționate din setările întâlnirii online. Alte vulnerabilități raportate de-a lungul timpului includ monitorizarea atenției utilizatorilor sau instalarea unui web server care ar putea permite utilizatorului să fie adăugat la un apel fără permisiunea sa.

Pentru a crește probabilitatea plății pentru deblocarea datelor, atacurile de tip ransomware sunt în general țintite către acele instituții cu pierderi considerabile în perioadele de nefuncționare (downtime). În consecință, Interpol și Europol semnalează o creștere semnificativă a atacurilor de tip ransomware în această perioadă având ca țintă spitalele, cele mai recente atacuri notate fiind din familiile STOP, Dharma, Mailto.

Campaniile de dezinformare sunt, de asemenea, foarte utilizate în această perioadă conform Europol. Utilizatorii devin vulnerabili și receptivi la dezinformare și la știri false din cauza combinației dintre suprasaturarea cu informații disponibile și percepția eronată privind lipsa surselor de încredere pentru informare corespunzătoare. Astfel, utilizatorii sunt îndrumați instinctiv către acele știri care le întăresc convingerile preexistente. Pentru a contracara efectele sociale generate de știrile false legate de COVID-19, Organizația Mondială a Sănătății aduce o serie de clarificări și demască noile mituri pe site-ul său oficial.

Având în vedere dependența crescută de tehnologie și potențialul amenințărilor emergente oportuniste, recomandam organizațiilor să implementeze controale tehnice pentru a reduce riscul de expunere la atacuri cibernetice. Din experiența PwC, vă sugerăm să nu subestimați severitatea acestor atacuri și să apelați la specialiști atunci când suspectați că ați putea fi victima unui asemenea incident, în vederea reducerii pierderilor și implementării de măsuri preventive pentru a evita incidente viitoare.

Dacă suspectați că sunteți victima unui atac cibernetic, informați departamentul IT (acolo unde este cazul), resetați toate parolele de acces și salvați copii ale jurnalelor de sistem pentru analize ulterioare. Timpul de reacție este cel mai important factor.

Cele mai eficiente scuturi de protecție împotriva atacurilor cibernetice rămân vigilența utilizatorilor, asigurarea unei igiene cibernetice corespunzătoare și conștientizarea continuă a amenințărilor din mediul online care pândesc la tot pasul.

Resurse: