To już nie jest era ataków „z zewnątrz”. Na darknetowych forach trwa cicha rekrutacja pracowników banków, telekomów, firm technologicznych i dostawców chmury – ludzi, którzy mają dostęp, hasła, uprawnienia albo możliwość „wyłączenia” zabezpieczeń od środka. Stawki? Od 3 do 15 tys. dolarów za jednorazowy dostęp lub konkretną informację. W niektórych ogłoszeniach pojawiają się kwoty z zupełnie innej ligi – ostrzegają stojący za odkryciem specjaliści z Check Point Research.
Jeszcze niedawno cyberprzestępcy musieli przebijać się przez firewalle, phishing i luki w systemach. Dziś coraz częściej idą na skróty kupując „legalny” dostęp od pracownika. To najczarniejszy scenariusz dla działów bezpieczeństwa – bo gdy ktoś wewnątrz organizacji podaje dane, resetuje konta, wynosi informacje lub celowo omija procedury, klasyczne mechanizmy ochrony stają się dużo mniej skuteczne.
Ogłoszenia bywają krótkie i konkretne: „szukam dostępu”, „szukam danych”, „potrzebuję resetu konta”. Ale pojawia się też manipulacja emocjami. W jednym z przykładów z lipca autor zachęcał pracowników do „ucieczki z niekończącego się cyklu pracy” i obiecywał wypłaty w widełkach pięcio- i sześciocyfrowych. Cel jest prosty: trafić do osób zmęczonych, sfrustrowanych albo takich, które uznają, że „to tylko szybki strzał”.
Zdaniem ekspertów Check Point Research, szczególnie mocno widać zainteresowanie sektorem finansowym i firmami kryptowalutowymi. W ogłoszeniach pojawiają się znane giełdy i marki, a stawki za „jednorazową przysługę” zwykle mieszczą się w przedziale 3–15 tys. dolarów. Zdarzają się jednak oferty jeszcze bardziej intratne: oferowano np. paczkę danych z giełdy krypto – rzekomo 37 mln rekordów użytkowników – za 25 tys. dolarów. Taki „zestaw” to paliwo do bardzo precyzyjnych ataków: podszywania się, wyłudzeń, przejęć kont.
Banki pozostają najbardziej łakomym kąskiem. Cyberprzestępcy próbują uzyskać dostęp do instytucji powiązanych z amerykańskim Fedem, czy poszukują pełnych historii transakcji z dużych banków europejskich. Równolegle rośnie presja na telekomy, zwłaszcza pod kątem SIM-swappingu, czyli przejmowania numeru telefonu, by obejść SMS-owe 2FA. Za współpracę w takich operacjach oferowano nawet 10–15 tys. dolarów. Do tego dochodzą firmy technologiczne i dostawcy chmury: wśród „życzeń” przestępców pojawiają się prośby o resety kont e-mail, dostęp do danych klientów albo wsparcie w zdobyciu uprawnień w usługach cloud.
Jednak nie jest to zjawisko ograniczone do forów w darknecie. Część grup ransomware prowadzi nabór przez szyfrowane komunikatory (np. Telegram), kusząc udziałem w zyskach i „portalami” do obsługi ataków. W praktyce to sygnał, że rynek cyberprzestępczy coraz bardziej przypomina brutalny biznes: role, prowizje, „partnerstwa”, stałe stawki.
Najgorsze w tzw. insiderach jest to, że często nie wyglądają jak atak. Zdaniem specjalistów Check Pointa obrona musi łączyć ludzi i technologię: realną edukację (nie slajdy „do odkliknięcia”), zasadę minimalnych uprawnień, monitoring anomalii w dostępie oraz aktywne sprawdzanie, czy nazwa firmy, jej systemy lub dane nie krążą już w internetowym podziemiu. Jeśli ktoś kupi „kreta” za kilka tysięcy dolarów, rachunek dla firmy potrafi pójść w miliony…
