Ile kosztuje przeprowadzenie cyberataku?

Podobnie jak i w biznesie, także cyberprzestępcy mają swoje koszty operacyjne oraz zwroty z inwestycji. I - niestety - do przeprowadzenia skutecznego cyberataku nie potrzeba dużych sum pieniędzy.


Firmy wydają mnóstwo pieniędzy na oprogramowanie ochronne, które ma uchronić je zarówno przed precyzyjnie wymierzonymi atakami, jak i powszechnymi zagrożeniami, spotykanymi w sieci. Największe korporacje potrafią zainwestować ponad 9 milionów dolarów rocznie na zabezpieczenia! Choć wydaje się to duża kwotą, koszty wycieku danych (w tym kary przewidziane przez prawo) mogą być o wiele większe. Zaś aby do takiego doszło, potrzeba znacznie mniej - narzędzia hakerów są tanie.

Cyberataki są tańsze niż cyberochrona

Wyliczenie kosztów ataku i kosztów ochrony nie jest proste. Atakujący mogą kupić śmiertelnie groźne narzędzia za grosze, ale do ochrony przed ich użyciem potrzeba tysięcy dolarów. Top10VPN ocenia koszt uzyskania wszystkich informacji o dowolnej osobie fizycznej - w tym loginów do serwisów online jak Gmail, Twitter, Uber czy Spotify - na 1000 dolarów. Natomiast pozyskanie tylko wybranych danych, np. loginu i hasła do strony internetowej, kosztuje dziesięciokrotnie mniej - 100 dolarów. Na czarnych rynkach dark webu pozyskanie informacji o wskazanej osobie to wydatek ok. 200 USD. Jeśli chcesz nabyć informacje o kartach kredytowych Visa i Mastercard, wówczas płacisz zaledwie 10 dolarów za rekord. Informacje o kontach bankowych są najdroższe - 1000 dolarów, niezależnie od zasobności danego konta. Co gorsze, w wielu przypadkach przy zakupie pakietu rekordów przestępcy dorzucają gratis kilka-kilkanaście dodatkowych danych personalnych. A jaki jest koszt utracenia informacji dla firmy? Jak ocenił to IBM, wykradzenie danych jednej osoby kosztuje co najmniej 233 USD.

Narzędzia do tworzenia szkodników typu malware kosztują od 45 dolarów, a fachowe poradniki, dotyczące ich konstruowania, to koszt ok. 5 USD. W cenie są narzędzia do wykorzystywania exploitów typu zero day - mogą przekraczać nawet 1000 dolarów, a najdroższe jest oprogramowanie szpiegujące. Zestaw umożliwiający przechwytywanie rozmów i SMS-ów ze smartfona kosztuje ponad 28 tysięcy dolarów. Jednak pamiętajmy, że sam zestaw czy szkodnik to nie wszystko, co potrzebne do przeprowadzenia ataku. Aby przeprowadzić atak, potrzebny jest hosting, kanały dystrybucji, narzędzia maskujące wirusa przez oprogramowaniem antywirusowym i inne elementy. W opracowanym przez Deloitte raporcie Black-market ecosystem: Estimating the cost of “Pwnership możemy znaleźć dokładną kalkulację kosztów ataku dla specyficznych ich rodzajów - od malware i keyloggerów po przechwytywanie domen, proxy, a także włamań do sieci VPN. Koszty te podane są w róznych skalach - zaczynając od pojedynczego użytkownika, kończąc na zorganizowanych kampaniach przeciwko organizacjom.

- Grupy stojące za dużymi kampaniami potrzebują wielowarstwowych usług - mówi Loucif Kharouni z działu badania zagrożeń w Deloitte Cyber Risk Services. - Dla rozpowadzenia trojana bankowego wymaganych jest co najmniej pięć usług.

Ile kosztuje przeprowadzenie cyberataku?

We wspomnianym raporcie czytamy, że chętni mogą w dark webie nabyć zarówno pojedyncze narzędzia, jak i całe pakiety, dopasowane do potrzeb nabywcy. Chcesz mieć serwer do przeprowadzenia kampanii rozprowadzajacej za pomocą phisingu keyloogera? Żaden problem. Chcesz uruchomić zdalnie kampanię rozpowszechniania trojanów? Proszę bardzo.

Koszt kampanii może mieścić się w zasięgu budżetu przeciętnego człowieka. Oto kilka przykładów:

  • zestaw do przeprowadzenia pełnej kampanii phishingowej, wliczając w to hosting i narzędzia: 500 USD za miesiąc, z cenami zaczynającymi już od 30 USD
  • kradzież haseł/kampania keyloggersja z wliczonym hostingiem, kanałami dystrybucji oraz odpowiednim szkodnikiem - przecietnie 723 USD, najtańsze to ok. 183 USD (ok. 715 zł)
  • ataki ransomware i zdalnego dostępu przy użyciu trojanów: przeciętnie 1000 dolarów za całą kampanię
  • kampania trojanów bankwoych: od 1400 do 3500 USD

Cyberprzestępstwa coraz tańsze i łatwiejsze

Deloitte szacuje, że nawet przestępstwa kosztujące 34 USD miesięcznie mogą przynieść dochód 2500 USD, podczas gdy bardziej wyrafinowane metody działania - kosztujące kilka tysięcy dolarów - mogą dać nawet milion dolarów przychodu na miesiąc. Natomiast IBM ocenia, że przeciętny koszt wycieku danych kosztuje firmę 3,86 mln USD.

Niski próg wejścia w połączeniu z łatwymi metodami tworzenia szkodników i wysokim zwrotem kosztów sprawiają, że potencjalny przestępca nie musi posiadać zaawansowanych możliwości technicznych. Jak zauważa Keith Brogan z Deloitte:

- Jeśli spojrzymy, jaki był "próg wejścia" jeszcze trzy lata temu i porównamy go z dzisiejszym, jest znacznie łatwiej. Wówczas nie było tak wyspecjalizowanych usług i serwisów dla przestępców albo dopiero raczkowały w dark webie. Nie potrzeba dużego nakładu środków, aby zacząć zdobywać duże pieniądze. Niski próg wejścia pozwala szybko znaleźć odpowiednie miejsca i szybko wejść w posiadanie narzędzi do tworzenia zagrożeń dla innych.

Dla przestępcy koszty są niskie, ale dla firmy naprawienie szkód może być bardzo kosztowne. Przykładem ransomware - nawet, jeśli w trakcie kampanii zapłaci 0,05% posiadaczy zainfekowanych maszyn, zwrot inwestycji dla przestępcy to 500%. Obecnie zyski z przestępczych procederów szacuje się na ok. 1,5 tryliona dolarów rocznie, a koszty napraw wyrządzonych szkód to 6 trylionów. Gartner wyceniał wartość całego rynku cyberbezpieczeństwa w 2019 na 136 miliardów dolarów, co oznacza, że na jednego dolara, zarobionego przez firmy związane z bezpieczeństwem, przestępcy zarabiają 11-12 dolarów.

W raporcie Deloitte czytamy, że dark web wytworzył swoją własną, sprawną ekonomię, gdzie pojawiają się specjaliści w konkretnych dziedzinach - mało kto rozdrabnia się na kilka branż. Skupienie się na jednym aspekcie umożliwia stworzenie dużej oferty, która przynosi większe profity niż kilka mniejszych biznesów. Dzięki temu pomiędzy różnego rodzaju cyberprzestępcami nie ma powiązań i trudno ich wykrywać. Stąd też mamy duży zakres atrakcyjnych cen dla chętnych - jest on powiązany ze zróżnicowanymi stopniami zagrożenia, jakie wywołuje dany szkodnik czy narzędzie.

Co trzeba wiedzieć o rynku cyberprzestępców?

Brogan twierdzi, że tanie narzędzia nie powinny niepokoić organizacji:

- Jeśli firma ma dobre, działające zabezpieczenia, wówczas większości ataków kosztujących poniżej 100 dolarów da się uniknąć dzięki podstawowej kontroli bezpieczeństwa i higienie IT. Gdybym był szefem działu bezpieczeństwa dużej firmy, skupiłbym się na rodzajach ataków, które były dokonywane w przeszłości i upewnił się, że zastosowane wówczas przez przestępców metody nie podziałają w przyszłości, a także zwracał szczególną uwagę na uruchamianie usług, przekierowania ruchu oraz pracę kont pracowników. Te obserwacje łączyłbym z moimi mechanizmami obronnymi - włączenie ze zrozumieniem ekosystemu oraz tego, jakie obszary IT chroni oprogramowanie.

Niskie koszty narzędzi sprawiają, że rośnie liczba odnotowywanych ataków. Ich atrakcyjnym celem są przede wszystkim duże organizacje, jednak i zwykły internauta może paść ich celem. Dlatego ważne jest nie tylko posiadanie dobrego oprogramowania antywirusowego, ale również regularne aktualizowanie systemu oraz zainstalowanych w nim programów. Zalecane jest również usunięcie aplikacji, których cykl życia się kończy lub są znane z licznych bugów i dziur. W pierwszym przypadku za przykład może posłużyć Internet Explorer, w drugim - Flash.

A jaki program antywirusowy warto polecić? Sprawdź nasze rankingi:

9 najlepszych narzędzi antywirusowych dla biznesu na Androida

Najlepsza ochrona Windows w czasie rzeczywistym