För några dagar sedan publicerade Europol sin årliga IOCTA-rapport, eller Internet Organised Crime Threat Assessment för 2018. Det är en tämligen omfattande rapport som tar ett antal timmar att ta sig igenom, särskilt om du försöker studera den någorlunda väl. Detta är ett försök at sammanfatta rapporten, inte helt enkelt.

Notera att jag inte skriver något om barnpornografi-biten, jag vill helt enkelt inte läsa om denna avskyvärda del av verkligheten. Jag blundar och låter polismyndigheterna hantera detta. Med egna barn blir detta extra jobbigt att läsa. Ni får helt enkelt själva läsa denna del av rapporten om det är av intresse.

Och varför i hela friden beskrivs kostnader i USD? Det är en europeisk rapport, varför inte i Euro? Aja…

Vad är det som händer?

Social engineering

Det är fortfarande en grundläggande komponent i de flesta typer av cyber-relaterade angrepp. Absolut mest vanligt att genomföra angrepp via e-post. Sverige tillsammans med Norge och Irland har högsta andelen e-post med skadliga länkar. Phishing är extremt vanligt förekommande i cyber-relaterade angrepp. Det finns således starka incitament att arbeta med förmågor kring detta.

En vanlig typ av phishing, som flera medlemsstater har rapporterat, är CEO-bedrägerier.

Ökad användning av HTTPS leder till att användare inbillar sig att sajten de besöker är “säker”.

Utpressningstrojaner

Tillväxt avtar men är fortfarande störst ut perspektivet finansiellt motiverade cyberangrepp.

Det är värt att notera att minskningen av ransomware styrks av rapporten från F-Secure som säger samma sak. Minskningen av ransomware skulle alltså kunna bero på att angreppen blir mer riktade istället för slumpmässiga.

Utpressningstrojaner ser ut att i huvudsak fortsätta vara slumpmässiga. Men vissa medlemsstater beskriver en utveckling som pekar mot riktade angrepp av utpressningstrojaner. Och det handlar om angrepp mot mindre och större bolag där det finns större möjligheter att få pengar.

Data- och nätverksintrång

Dessa sker, men inte i närheten av den utsträckning som avser exempelvis utpressningstrojaner eller cryptominers. När ett intrång sker görs det i huvudsak för att exfiltrera någon typ av personuppgift, särskilt angripen är sjukvården. Det är ganska blandade skurar när det gäller dessa typer av intrång. Skadlig kod förekommer i nästan alla fall. Som vanligt är det finansiella motiv som styr angreppen. Pengar är vad som lockar. Det är ungefär 50/50 på direkta angrepp (hacking) och intrång genom skadlig kod som sprids via e-post.

Tidigare utgjorde exploitkits (EKs) den huvudsakliga vägen in för att leverera skadlig kod. Men detta har minskat och istället har angrepp återgått till sociala angrepp som exempelvis phishing. Vi kan också se ett skifte från utpressningstrojaner till cryptominers, något som stöds av rapporten från F-Secure. Är minskningen av EKs en konsekvens av att programvarusäkerhet har blivit bättre, eller för att det fortfarande finns enklare sätt (lura användare)?

Mobila enheter

Rapportering kring hoten mot mobila enheter (mobiltelefoner) är fortsatt spretig. Hos polismyndigheterna är det relativt få utredningar som rör exempelvis utpressningstrojaner. Branschens rapportering pekar dock på ökade antal incidenter. Diskrepansen skulle kunna bero på att kunskap och medvetenhet om dessa hot på mobiltelefoner är lägre varför rapporteringen inte går till polismyndigheterna.

DDoS-attacker

DDoS-angrepp fortsätter att användas och betraktat ur popularitet är det endast skadlig kod som överträffar. Enklare åtkomst, billigare och lägre risk.

Cyberterrorism

Är allt annat än avancerad. Det handlar om propaganda som uppmanar till traditionell terrorism. Angrepp inom cyberdomänen som skulle kunna klassificeras som terrorism är mycket ovanligt och förmågorna är av allt att döma mycket begränsade. Som förväntat försöker dessa aktörer utnyttja kryptovalutor, genomföra DDoS-angrepp och andra former av enklare defacements.

Vilka utför angreppen?

Rapporten är ganska tunn när det gäller attribution. Klarar vi inte av att utreda brotten? Något som de åtminstone skriver är att angrepp mot europeiska medborgare i huvudsak genomförs av västafrikanska kriminella grupperingar.

Pengar som motiv

Trojaner som angriper banker eller andra finansiella organisationer fortsätter att vara relativt låga, särskilt i jämförelse med utpressningstrojaner. Finanssektorn fortsätter dock att vidhålla att hotet från dessa typer av trojaner är stort.

Kryptovalutor

Angående cryptojacking kan vi se en stadig ökning av denna gråzon. Sista kvartalet under 2017 använde 2.2% av Alexa top 100,000 någon form av cryptomining-scripts. Detta tycker jag är anmärkningsvärt. Allt som krävs är att en användare besöker en sida som kör ett javascript för att utvinna kryptovaluta. Det finns svårigheter i att blockera dessa javascript från att köra. En avancerad användare vitlistar scripts, men den stora massan tillåter allting. Särskilt komplext blir det i denna era av dynamiska sidor där javascript är en nödvändig motor för att hemsidor ska fungera överhuvudtaget.

Det är givetvis inte endast via javascript cryptojacking förekommer. Traditionella skadliga program kan ladda ner moduler för cryptomining också. Betraktat ur detta perspektiv blir det särskilt intressant att angripa servrar eftersom dessa allt som oftast har avsevärt mycket mer kapacitet än vanliga datorer. Samtidigt ska vi inte ignorera mängden IoT-enheter och den bristande säkerheten i dessa som troliga destinationer för cryptojackers.

Det finns även rapporter om att cryptominers infekterat SCADA/ICS.

Pengar och traditionell brottslighet

PoS-terminaler manipuleras för att samla in data från kortet. Och en annan alternativ metod är att brottslingar genom fejkade företag registrerar PoS-terminaler. Europol förväntar sig att den typen av fejkade företag kommer att öka.

När det kommer till kreditkortsbedrägerier pågår det fortfarande utan några större förändringar. EU har blivit bättre framförallt då det nu får anses ovanligt att använda magnetremsan. Vanligast är att vi använder chip + pin för att verifiera och autentisera ägarskap av kortet. Inte ovanligt att brottslingar skimmar kort vid uttagsmaskiner för att sedan använda dessa i geografiska områden som inte använder EMV-standarderna.

Den absolut vanligaste typen av kreditkorts-bedrägerier är Card Not Present (CNP) vilket det alltid handlar om vid exempelvis köp över Internet. Rapporteringen kring detta område är dessvärre spretig eftersom de som utsätts mer troligen vänder sig till sin bank som kanske kräver att det polisanmäls.

Den mörka marknaden

Marknaden på Darknet är mycket volatil, särskilt efter tillslagen mot AlphaBay och Hansa. Nu har istället många mindre aktörer dykt upp likt svampar men då med tydligare inriktningar mot specifika grupper av användare. Det är också volatilt ut perspektivet att du aldrig riktigt kan vara säker på att dina köp kommer att genomföras. Försäljning av cyber-relaterade tjänster är ett område som behöver utforskas i mer detalj.

Information som avser personuppgifter, patientjournaler och annan finansiell data säljs i stor utsträckning. Eftersom dessa typer av information behövs för att möjliggöra många andra typer av cyber-relaterad brottslighet som bedrägeri osv.

Framtida utveckling

Europol menar att polismyndigheter bör utforska möjligheterna att använda sig utav maskininlärning och artificiell intelligens som verktyg i den utredande verksamheten. 

Det spekuleras i om huruvida GDPR (dataskyddslagen) kommer innebära en ökning av utpressningsattacker för att “avslöja” när någon bryter mot denna lag.

Europol förutspår att smarta kontrakt som exempelvis Ethereum erbjuder kommer att öka i användning och detta i sin tur kommer innebära nya typer av bedrägerier.

För de brottsbekämpande myndigheterna kommer införandet av 5G innebära stora utmaningar i attribution eftersom 5G ersätter tidigare unika identifierare med temporära.

Enligt rapporten finns det en ökad mängd bevis på att angripare använder olika typer av tekniker för att dölja data (steganografi). Lite roligt tycker jag eftersom jag för ungefär ett år sedan skrev en artikel om just hypotesen kring att angripare använder steganografi. 

PSD2 är ett nytt direktiv som tvingar finansiella institutioner att ge åtkomst till finansiella data till tredjepart via API:er. Det innebär att bankernas säkerhet i någon utsträckning blir beroende av hur tredje-part använder dessa API:er.SD2 är ett nytt direktiv som tvingar finansiella institutioner att ge åtkomst till finansiella data till tredjepart via API:er. Det innebär att bankernas säkerhet i någon utsträckning blir beroende av hur tredje-part använder dessa API:er.