kyberútok
Trendy

Kyberútoky v roce 2021 v číslech: statistiky, ze kterých bychom se měli poučit

Kybernetické útoky jsou čím dál častější formou zločinu. Proofpoint, společnost, která dodává software zabývající se mimo jiné e-mailovou bezpečností, prevencí proti ztrátě dat a archivací, nechala zpracovat zprávu právě na toto téma… a kromě jiného se ukazuje, že nejčastější formou útoku je momentálně ransomware. Objem útoků, které nutí oběti platit výkupné, kontinuálně narůstá.

V roce 2021 se oproti předchozím letem zvýšila úspěšnost zejména e-mailových phishingových útoků, a podobně na tom byly ransomwarové útoky. Zpráva společnosti Proofpoint hovoří o phishingu jako prvním kroku, který předchází pozdějšímu ransomwarovému incidentu. Podle Adenike Cosgrove, specialistky na kyberbezpečnost v Proofpointu „kyberzločinci v loňském roce útočili stále ještě hlavně na jednotlivé lidi, nikoli na instituce jako celky, a to zejména s pokusy o sociální inženýrství. Kromě toho, že byli roku 2021 kyberzločinci mnohem aktivnější než v roce 2020, byli bohužel také mnohem úspěšnější“.

Nejnovější zpráva potvrzuje to, co říkají i ostatní firmy zabývající se kyberbezpečností – útoky typu ransomware se podle SonicWall v loňském roce oproti předloňsku zdvojnásobily, společnost CrowdStrike zjistila nárůst útoků o 82 %. Současně také rostou nároky na výkupné – tam došlo k nárůstu o 36 %. Nejvyšší výkupné se požaduje a platí ve Spojených státech amerických.

Společnost Proofpoint ve svém výzkumu spolupracovala s více než šesti stovkami profesionálů zabývajících se bezpečností v kyberprostoru a dále s 3 500 pracovníky v Austrálii, Francii, Německu, Japonsku, Španělsku, Spojeném království i Spojených státech.

Výsledky výzkumu mimo jiné ukazují, že zaměstnanci se často cítí v práci emocionálně prázdní, někteří jsou vyhořelí a neudrží pozornost, a kvůli tomu je pro kyberzločince jednoduché navázat kontakt a zneužívat toho jak u zaměstnanců firem, tak u samostatných zákazníků.

Phishing stále funguje

Celých 83 % organizací přiznalo, že v roce 2021 mělo zkušenost s úspěšným phishingovým útokem prostřednictvím e-mailů, zatímco v roce 2020 to bylo pouze 57 %. To je skoro o polovinu vyšší úspěšnost. V případě hromadných e-mailů má zkušenost dokonce 86 % organizací. Oproti loňskému roku, kdy se tento typ útoku týkal 77 % společností, to není tak velký nárůst, ale stále jde o velké číslo.

Útoky zvané BEC (Business E-mail Compromise neboli kompromitace identity prostřednictvím e-mailů) dopadly na 77 % organizací, a opět jde o malý nárůst proti roku 2020 (tehdy bylo napadeno 65 % společností).  Podobné procento má na kontě spearphishing neboli útok cílený přímo na konkrétní uživatele ve společnosti: 79 %, opět zvýšení proti loňským šestašedesáti procentům.

„E-mail zůstává primárním kanálem, kterým se kyberzločinci pokoušejí ukrást informace a vydělat tak peníze, ať už jde o ransomware, kradení identity společností nebo jiné druhy útoků,” řekla Adenike Cosgrove. „Přes 90 % cílených útoků začíná prostřednictvím e-mailu, a skoro všechny útoky předpokládají nějakou lidskou reakci. Takže je potřeba začít pracovat i s lidmi a nějak chránit i lidi.“

Snahy z minulých let, které cílily primárně na ochranu digitálních systémů, vyústily podle Adenike Cosgrove ve skutečnost, že „útočníci nyní začali využívat sociální inženýrství a lákají svoje oběti ke kliknutí prostřednictvím příloh nebo odkazů na stránky. Spousta zaměstnanců potřebuje k práci komunikovat e-mailem – a v takovémto případě stačí prostě kliknout na přílohu, která obsahuje nebezpečné makro… a do systému se uživateli dostane malware.“

Smishing, vishing, sociální sítě

Kyberzločinci se neomezují jen na komunikaci prostřednictvím internetu. Nebezpečí na lidi číhá i ve „staromódních“ SMS zprávách. Ano, to je smishing – v roce 2020 proběhly útoky touto cestou na 61 % společností, v loňském roce to bylo už 74 %. Ani obyčejné telefonování není před zločinci uchráněno – tento způsob útoku se nazývá pro změnu vishing a počet organizací, na které útok proběhl, také vzrostl: z předloňských 54 % na 69 % v roce 2021. Útoky prostřednictvím sociálních sítí nejsou také žádnou výjimkou – loni proběhly útoky na 61 % společností, ale v roce 2021 už na 74 % z nich.

Zde se ukazuje, že e-mail sice zůstává primárním způsobem útoku, ale kyberzločinci se nebojí využívat všech dostupných možností. Využívají zejména globálně fungující témata – v loňském roce například mezi jejich lákadly byl covid-19, seriál Hra na oliheň, profily celebrit oblíbené na sociálních sítích a streamovací služby.

Úspěšné phishingové útoky

Společnosti, kterým se kyberzločinci dostali na kobylku, musely bojovat s různými problémy. Jako varování uvádíme deset z potíží, které musely společnosti podle Proofpointu řešit po úspěšném útoku nejčastěji:

54 % ohrozil únik dat, týkajících se zákazníků, spolupracovníků nebo klientů

48 % přišlo o přístupové údaje

46 % ohrozilo napadení ransomwarem

44 % přišlo o data / duševní vlastnictví

27 % napadl malware jiného typu než ransomware

24 % přišlo o dobrou pověst

22 % hlásilo pády systému nebo jeho kompletní nefunkčnost

18 % společností nahlásilo další nebezpečný útok

17 % přišlo o peníze nebo jim byly zfalšovány faktury

15 % má zkušenost s napadením prostřednictvím nové, neodhalené zranitelnosti

11 % muselo zaplatit pokutu nebo regulační poplatek

Ransomware

Konečně tedy něco málo o nejrychleji rostoucím způsobu kybernetických útoků: v roce 2021 mělo celých 78 % společností zkušenost s ransomwarovým útokem prostřednictvím e-mailu – ale pro rok 2020 ještě žádná statistika nebyla. Co se přímo nakažení nějakým ransomwarem týká, procento „úspěšnosti“  je prakticky stejné – v roce 2020 podlehlo 66 % společností, zatímco o rok později 68 %. Skoro dvě třetiny těchto společností navíc mají za sebou minimálně tři samostatné útoky, a 15 % z nich dokonce víc než deset infekcí.

Odpověď na otázku, kterou si nejspíš klade každý z nás – totiž jestli se to zločincům vyplatí – je jednoduchá: vyplatí. Celkem 58 % společností napadených ransomwarem v roce 2021 souhlasilo, že výkupné zaplatí – což je o dost víc, než 34 % společností, které zaplatily v roce 2020. Ze společností, které zaplatily, ještě třetina musela přidat další platbu, aby se ke svým datům doopravdy dostala, a čtyřem procentům z nich ani to nestačilo a přístup do svého systému ani k datům tyto firmy už nikdy nezískaly zpět.

Společnosti i lidé musejí změnit přístup

Výzkum společnosti Proofpoint také ukázal, že většina úspěšných útoků byla způsobena nikoli výjimečně kvalitním softwarem, ale prostou ignorací pravidel nebo neznalostí, tedy lidskou chybou. Ukazuje se, že čím dál méně lidí zná pojmy jako je phishing, ransomware, vishing nebo smishing a naopak čím dál více lidí prostě předpokládá, že se jejich zaměstnavatel o bezpečnost „nějak“ postará bez jejich spolupráce. Lidé přiznávají, že klikají na neznámé odkazy a otevírají přílohy z neznámých zdrojů, protože se domnívají, že jejich firma „automaticky zablokuje“ podezřelé nebo nebezpečné e-maily.

Společnosti se postupně snaží vypořádávat s novými hrozbami, a to nejen novými opatřeními co se týká kyberbezpečnosti v rámci podnikovýcn sítí, ale také opakovaným proškolováním zaměstnanců. Předávání vědomostí pomalu nese ovoce – u firem, které se rozhodly k pravidelným školením zaměstnanců, klesá pravděpodobnost úspěšného kyberútoku prostřednictvím jejich vlastních lidí.

„Nejlepší obranou je vždy vícevrstvá ochrana, a zejména u phishingových útoků je důležité klást důraz na práci s lidmi,“ řekla Adelike Cosgrove. „Je důležité vyhodnotit, na které z uživatelů míří útoky nejčastěji, a kteří z nich mohou útoku podlehnout. Uživatelé jsou totiž v boji proti phishingu tou nejdůležitější proměnnou, takže je opravdu důležité je proškolit tak, aby dokázali ideálně sami rozeznat phishingový email a snadno ho reportovat.“

Zdroj: VentureBeat