Według danych Proxyrack, globalne straty wynikające z cyberprzestępczości mogą osiągnąć wartość nawet 11,9 biliona dolarów do 2026 roku. Prognozy wskazują, że w ciągu pięciu lat kwota ta może wzrosnąć nawet o 65 proc., do poziomu blisko 20 bilionów dolarów w skali jednego roku. Działalność cyberprzestępców staje się coraz bardziej zorganizowana, a stosowane przez nich metody – wyrafinowane. W atakach, zarówno tych wymierzanych w firmy, jak i indywidualnych użytkowników, coraz większą rolę odgrywa sztuczna inteligencja.
Ataki cyberprzestępców są obecnie częściej wymierzane w przedsiębiorstwa, a nie w indywidualnych użytkowników. Nie oznacza to jednak, że zwykli internauci nie są podatni na zagrożenia online. Często padają oni ofiarami ataków socjotechnicznych, takich jak phishing oraz jego pochodne. Jedna z takich metod – oszustwa telefoniczne, nazywane vishingiem – staje się szczególnie dużym zagrożeniem, gdy jest wspierana przez sztuczną inteligencję.
Cyberprzestępca-przedsiębiorca
Współczesne grupy cyberprzestępcze często funkcjonują na wzór typowych przedsiębiorstw. Mają złożone struktury organizacyjne, w tym działy sprzedaży, rekrutacji czy nawet systemy wynagrodzeń. Ich działalność jest dobrze zorganizowana i ukierunkowana na maksymalizację zysków finansowych.
– Obserwujemy transformację cyberprzestępczości w kierunku zaawansowanych modeli biznesowych. Przykładem tego jest m.in. model usługowy Ransomware-as-a-Service (RaaS). Stosujące go grupy przestępcze RaaS opracowują lub pozyskują złośliwe oprogramowanie, które następnie udostępniają tzw. podmiotom stowarzyszonym, czyli innym cyberprzestępcom lub ich zorganizowanym grupom. Operatorzy RaaS rekrutują partnerów za pośrednictwem forów dyskusyjnych w dark webie albo z wykorzystaniem szyfrowanych komunikatorów, takich jak Telegram. Po odpowiednim wdrożeniu podmioty stowarzyszone zaczynają przeprowadzać faktyczne ataki. W zależności od modelu przychodów preferowanego przez operatorów RaaS, ich „usługobiorcy” płacą im za możliwość wykorzystywania ich oprogramowania lub dzielą się zyskami z tytułu przeprowadzanych ataków – wyjaśnia Filip Cerny, Product Marketing Manager w firmie Progress, która jest dostawcą rozwiązań do tworzenia aplikacji biznesowych, wdrażania ich i zarządzania nimi.
RaaS jest jednym z powodów, dla których ataki ransomware stają się coraz bardziej powszechne. Model ten umożliwia bowiem przeprowadzanie zaawansowanych ataków także tym cyberprzestępcom, którzy nie mają odpowiednich umiejętności programistycznych do stworzenia własnych narzędzi. Przewiduje się, że w 2025 roku liczba ataków ransomware może wzrosnąć nawet o 57 proc. w porównaniu z rokiem 2024.
Zagrożenie, którego nie da się wykryć?
Sztuczna inteligencja staje się nieodłącznym elementem taktyk praktykowanych przez cyberprzestępców i jest obecnie wykorzystywana m.in. w celu modyfikacji istniejącego, złośliwego oprogramowania. Stosujący ją przestępcy szyfrują sygnatury (unikalne ciągi znaków służące do identyfikowania przez systemy bezpieczeństwa) niebezpiecznych plików, co umożliwia im omijanie klasycznych mechanizmów służących do wykrywania zagrożeń. Przestępcy nierzadko łączą tę praktykę z innymi taktykami. Na przykład, w przypadku ataków ransomware decydują się na wykorzystanie złośliwego oprogramowania w wariancie sleeper. Po przedostaniu się do urządzenia ofiary, program ten, zgodnie ze swoją nazwą, pozostaje w stanie uśpienia do momentu jego aktywacji przez przestępcę. Celem tej taktyki jest stworzenie złudnego poczucia bezpieczeństwa i osłabienia czujności.
– Jeśli nie będziemy mogli wykrywać zagrożeń w sposób klasyczny, a więc wykorzystujący bazy wirusów i sygnatury, musimy szukać innych rozwiązań. Kluczem do zwiększenia bezpieczeństwa firmy jest zadbanie o widzialność jej struktury sieciowej. Wynika to z faktu, że cyberprzestępcy, niezależnie od poziomu zaawansowania swoich rozwiązań, wciąż generują ruch sieciowy. Jeżeli wiemy jak wygląda on na co dzień, będziemy również w stanie zidentyfikować pojawiające się w nim anomalie, które mogą świadczyć o złośliwej aktywności w sieci. Tego typu funkcję oferują systemy NDR (Network Detection and Response) – wyjaśnia ekspert Progress.
Aby osiągnąć maksymalny poziom widzialności sieci, warto wyposażyć się również w rozwiązania klasy EDR (Endpoint Detection and Response) oraz SIEM (Security Information and Event Management). Pierwsze z nich odpowiada za gromadzenie oraz analizę danych w czasie rzeczywistym z urządzeń końcowych – komputerów stacjonarnych, laptopów, telefonów i innych. Drugie zaś monitoruje, rejestruje i analizuje alerty bezpieczeństwa cyfrowego wpływające na firmową sieć. NDR, EDR oraz SIEM uzupełniają się, tworząc kompletny system ochronny, uwzględniający każdy aspekt infrastruktury sieciowej przedsiębiorstwa. Ich połączenie określa się mianem „triady widzialności w centrach operacji bezpieczeństwa SOC”.
Uwaga na fałszywe telefony
Indywidualni użytkownicy także mogą paść ofiarą cyberataku. Popularność zyskuje m.in. vishing wspierany systemami sztucznej inteligencji. W tradycyjnych atakach vishingowych przestępcy kontaktują się telefonicznie z potencjalnymi ofiarami, podszywając się pod przedstawicieli instytucji finansowych lub urzędów państwowych w celu wyłudzenia wrażliwych danych. Sztuczna inteligencja umożliwia im jednak modyfikację tej techniki. Przestępcy mogą obecnie generować wypowiedzi o dowolnej treści, wypowiadane przez dowolną osobę – pod warunkiem, że są w posiadaniu jej próbki głosu. Ataki tego typu stają się szczególnie niebezpieczne w połączeniu z tzw. spoofingiem. Polega on na fałszowaniu wyświetlanego numeru telefonu w celu podszywania się pod inny podmiot lub osobę. W praktyce oznacza to więc, że przestępca jest w stanie zadzwonić do swojej ofiary z numeru, który wygląda jak ten należący do jej bliskiej osoby, a następnie przemówić jej głosem.
Cyberprzestępczość staje się coraz bardziej zorganizowana, a metody ataków trudniejsze do wykrycia. Skala zagrożeń obejmuje zarówno firmy, jak i indywidualnych użytkowników. Sztuczna inteligencja, Ransomware-as-a-Service czy zaawansowane techniki socjotechniczne pokazują, że tradycyjne podejście do cyberbezpieczeństwa przestaje być wystarczające. Świadomość istnienia ryzyka oraz adaptacja do nowych realiów będą miały kluczowe znaczenie dla zwiększenia poziomu cyberbezpieczeństwa – zarówno własnego, jak i całego przedsiębiorstwa.