Кібершахрайство 2025: нові тактики, інсайдерські загрози та захист бізнесу
Сьогодні кожен злочин, незалежно від його походження, має ту чи іншу кіберскладову, що вимагає цілісного підходу до розуміння та захисту. Ключовою рушійною силою у світі кіберзлочинності залишаються фінанси, які перетворили хакерство на багатомільйонний бізнес, що постійно шукає найлегші шляхи для збагачення. У дискусії, що відбулася на YouTube-каналі Bitdefender Enterprise, експерти з корпоративної безпеки обговорили еволюцію загроз, нові тактики, які використовують зловмисники, та стратегії протидії. Ми підготували короткий виклад найважливішого.
Еволюція загроз: від класичних вірусів до цифрового хаосу
Сфера кібербезпеки пройшла довгий шлях від своїх початків, коли основними проблемами були спам та класичні віруси, які просто знищували дані на комп'ютерах, або класичні шахрайства на кшталт афер на eBay. У міру розвитку технологій з'явилися і більш складні загрози. Виникнення соціальних мереж, таких як Facebook та Instagram, миттєво спровокувало появу шахрайських схем, орієнтованих на соціальну інженерію. Згодом світ зіткнувся із загрозами, які сьогодні визначають ландшафт кібербезпеки: програми-вимагачі (Ransomware) та так звані стійкі загрози підвищеної складності (APT).
У наш час кібербезпеку кардинально змінює штучний інтелект (ШІ). Технології deepfake стали настільки досконалими, що можуть створювати правдоподібні відео- та аудіоімітації, які є потужним інструментом для шахраїв. Яскравий, хоча і жахливий, приклад — випадок, коли фінансовий директор переказав 25 мільйонів доларів після онлайн-зустрічі. Всі його 24 співрозмовники виявилися реалістичними, але повністю згенерованими ШІ-імітаціями керівництва компанії (HR-директора, CEO, CMO).
Фрагментація злочинних угруповань та нові цілі
Зусилля правоохоронних органів призводять до розколу великих кіберзлочинних угруповань. Хоча це знижує загальну технічну витонченість злочинців, це також породжує хаос. Фрагментовані групи стають нерозбірливими у своїх цілях і часто атакують ті сектори, які історично вважалися менш привабливими або захищеними. Йдеться про некомерційні організації, освітні установи та, що особливо критично, медичні заклади. Загроза для лікарень є особливо серйозною, оскільки атака на їхні системи може мати прямі наслідки для життя пацієнтів, які залежать від електронного медичного обладнання.
Підписуйтеся на наші соцмережі
Інша, менш технічно складна, але надзвичайно ефективна тактика — це низькотехнологічне вимагання. Зловмисники націлюються на малі компанії з невеликою кількістю співробітників (наприклад, до 25 осіб), які, як правило, не мають спеціалізованої ІТ-підтримки. Замість складного криптографічного шифрування, вони просто архівують усі корпоративні документи паролем та вимагають невелику суму (наприклад, 3000 доларів) за пароль. Примітно, що у 75% випадків такі жертви платять, оскільки це найшвидший і найдешевший спосіб відновити роботу.
Сучасні хакери також використовують і більш просунуті схеми. Вони ексфільтрують дані, але не шифрують їх. Натомість вони використовують ці дані для подвійного вимагання: погрожують продати або опублікувати їх, якщо компанія не заплатить. Це також стосується і особистих даних, які можуть бути використані для шантажу співробітників з метою отримання доступу до корпоративної мережі.
Інсайдерська загроза: ставка на людський фактор
У 2025 році експерти прогнозують зростання кількості інсайдерських загроз як однієї з найбільших проблем. Зловмисники активно шукають на Dark Web співробітників компаній, готових продати доступ до корпоративних мереж за винагороду. Це може бути пряма пропозиція заплатити за ключові файли або доступ. Злочинці шукають найлегший шлях, і підкуп інсайдера часто виявляється простішим, ніж зламування складних систем.
Інсайдерська загроза надзвичайно складна для виявлення. Це вимагає не лише технічного моніторингу, а й уваги до людського фактора. Спеціалісти з безпеки повинні відстежувати зміни в поведінці людини, які можуть бути спричинені життєвими обставинами (борги, розлучення) і схилити її до неправомірних дій. Важливим є розуміння, що людина, свідомо чи несвідомо, залишається головною вразливістю в будь-якій організації.
Також існує поширене помилкове уявлення про Dark Web. Деякі компанії вважають, що якщо їхньої назви немає у відкритих оголошеннях, то вони в безпеці. Однак брокери доступу (Access Brokers) публікують оголошення, які лише описують ціль, а не називають її: «Компанія у сфері охорони здоров'я у Великій Британії, 10 мільйонів річного доходу, є VPN-доступ. Назва та облікові дані — після оплати».
Практична стратегія захисту: швидкість, контекст та власна технологія
Ключ до ефективного корпоративного захисту полягає у зменшенні часу перебування (dwell time) зловмисників у мережі. Хоча запобігання атакам є пріоритетом, реальність така, що зловмисники все одно можуть проникнути у систему. Тому вкрай важливим є раннє виявлення та можливість швидкого реагування.
Професійні команди, що надають послуги керованого виявлення та реагування (MDR), фокусуються на кількох практичних аспектах:
-
1
Технологічна незалежність: Використання власної технологічної платформи дозволяє командам безпеки швидше вносити зміни, випускати оновлення та реагувати на нові загрози, не покладаючись на сторонніх розробників.
-
2
Аномальне виявлення: Створюється детальна "база знань" та оновлюється "базовий рівень" (Baseline) для кожного клієнта. Це дозволяє виявляти аномалії, які можуть вказувати на компрометацію, наприклад, вхід у систему користувача о третій ночі, хоча його звичайний робочий час – з дев'ятої ранку до п'ятої вечора.
-
3
Зниження шуму (Noise Reduction): Надійна технологія безпеки здатна обробляти десятки тисяч подій, зводячи їх до одного або кількох "випадків" для аналізу, оскільки більшість загроз вже заблоковано автоматичними засобами. Це економить час аналітиків.
-
4
Фокус на ночах та вихідних: Оскільки бічні переміщення, шифрування та витік даних найчастіше відбуваються у неробочий час (вечори, ночі, вихідні), цілодобовий моніторинг є обов'язковим.
Метою команд MDR є надання клієнту повної «історії від А до Я» після інциденту. Це не просто сповіщення про проблему, а детальний звіт, який включає рекомендації щодо усунення першопричини компрометації та навчання скомпрометованого користувача.
Співпраця та зловживання легітимними інструментами
Нарощуючи зусилля, кіберзлочинці все частіше зловживають легітимними інструментами. Наприклад, вони можуть телефонувати співробітнику через корпоративний месенджер, представляючись «ІТ-підтримкою», і переконувати встановити програму віддаленого доступу. Оскільки використовуються легітимні програми та комунікаційні канали, традиційні засоби захисту можуть пропустити таку активність, покладаючись на те, що співробітник, не маючи спеціальної освіти (лікаря, ветеринара, розробника), просто не зобов'язаний розумітися на тонкощах безпеки.
Для ефективної боротьби з кіберзлочинністю потрібна тісна співпраця між приватним сектором та правоохоронними органами (ПОО). Технічні фахівці бачать інженерну сторону атаки (телеметрію, код), а поліція — кримінальну (постраждалих, схеми вимагання). Обмін інформацією дозволяє обом сторонам бачити повну картину загроз, що постійно трансформуються. У минулому ПОО могли недооцінювати загрозу програм-вимагачів, зосереджуючись на компрометації ділової електронної пошти, але обмін даними вирівнює пріоритети. Саме завдяки такій співпраці, цивільні компанії, що мають глобальний слід, надають ПОО критично важливий контекст, якого державним структурам може бракувати.
В умовах, коли кіберзлочинність неминуче проникає в усі сфери життя, інвестиції в технології виявлення та послуги реагування є необхідністю, а не додатковою опцією, щоб забезпечити безперервність бізнесу та захистити фінансову та інтелектуальну власність.
Цей матеріал підготовлений на основі інформації з відкритих джерел. Редакція самостійно відбирає ключові факти, аналізує їх та структурує за допомогою AI-інструментів.