To już nie jest era ataków „z zewnątrz”. Na darknetowych forach trwa cicha rekrutacja pracowników banków, telekomów, firm technologicznych i dostawców chmury — ludzi, którzy mają dostęp, hasła, uprawnienia albo możliwość „wyłączenia” zabezpieczeń od środka. Stawki? Od 3 do 15 tys. dolarów za jednorazowy dostęp lub konkretną informację. W niektórych ogłoszeniach pojawiają się kwoty z zupełnie innej ligi – ostrzegają stojący za odkryciem specjaliści z Check Point Research.
Jeszcze niedawno cyberprzestępcy musieli przebijać się przez firewalle, phishing i luki w systemach. Dziś coraz częściej idą na skróty kupując „legalny” dostęp od pracownika. To najczarniejszy scenariusz dla działów bezpieczeństwa — bo gdy ktoś wewnątrz organizacji podaje dane, resetuje konta, wynosi informacje lub celowo omija procedury, klasyczne mechanizmy ochrony stają się dużo mniej skuteczne.
Jak wygląda rekrutacja „insiderów” na darknetcie?
Ogłoszenia bywają krótkie i konkretne: „szukam dostępu”, „szukam danych”, „potrzebuję resetu konta”. Ale pojawia się też manipulacja emocjami. W jednym z przykładów z lipca autor zachęcał pracowników do „ucieczki z niekończącego się cyklu pracy” i obiecywał wypłaty w widełkach pięcio- i sześciocyfrowych. Cel jest prosty: trafić do osób zmęczonych, sfrustrowanych albo takich, które uznają, iż „to tylko szybki strzał”.
Zdaniem ekspertów Check Point Research szczególnie mocno widać zainteresowanie sektorem finansowym i firmami kryptowalutowymi. W ogłoszeniach pojawiają się znane giełdy i marki, a stawki za „jednorazową przysługę” zwykle mieszczą się w przedziale 3–15 tys. dolarów. Zdarzają się jednak oferty jeszcze bardziej intratne: oferowano np. paczkę danych z giełdy krypto — rzekomo 37 mln rekordów użytkowników — za 25 tys. dolarów. Taki „zestaw” to paliwo do bardzo precyzyjnych ataków: podszywania się, wyłudzeń, przejęć kont.
Banki, telekomy, chmura: tu „kret” jest wart najwięcej
Banki pozostają najbardziej łakomym kąskiem. Cyberprzestępcy próbują uzyskać dostęp do instytucji powiązanych z amerykańskim Fedem, czy poszukują pełnych historii transakcji z dużych banków europejskich. Równolegle rośnie presja na telekomy, zwłaszcza pod kątem SIM-swappingu, czyli przejmowania numeru telefonu, by obejść SMS-owe 2FA. Za współpracę w takich operacjach oferowano choćby 10–15 tys. dolarów. Do tego dochodzą firmy technologiczne i dostawcy chmury: wśród „życzeń” przestępców pojawiają się prośby o resety kont e-mail, dostęp do danych klientów albo wsparcie w zdobyciu uprawnień w usługach cloud.
Jednak nie jest zjawisko ograniczone do forów w darknecie. Część grup ransomware prowadzi nabór przez szyfrowane komunikatory (np. Telegram), kusząc udziałem w zyskach i „portalami” do obsługi ataków. W praktyce to sygnał, iż rynek cyberprzestępczy coraz bardziej przypomina brutalny biznes: role, prowizje, „partnerstwa”, stałe stawki.
Co mogą zrobić organizacje, zanim będzie za późno?
Najgorsze w tzw. insiderach jest to, iż często nie wyglądają jak atak. Zdaniem specjalistów Check Pointa obrona musi łączyć ludzi i technologię: realną edukację (nie slajdy „do odkliknięcia”), zasadę minimalnych uprawnień, monitoring anomalii w dostępie oraz aktywne sprawdzanie czy nazwa firmy, jej systemy lub dane nie krążą już w internetowym podziemiu. jeżeli ktoś kupi Twojego „kreta” za kilka tysięcy dolarów, rachunek dla firmy potrafi pójść w miliony…
![Polacy a próby wyłudzenia przez SMS. 29 procent badanych doświadczyło próby kradzieży [BADANIE]](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAIAAAACCAYAAABytg0kAAAAFElEQVQYV2N8+vTpfwYGBgZGGAMAUNMHXwvOkQUAAAAASUVORK5CYII=)
