מתקפת סייבר | צילום: גטי אימג'ס
מחקר: האקרים חובבנים יכולים לשכור נוזקות תקיפה מתקדמות בפחות מ-10 דולר
ממחקר שבוצע ע"י HP ו-Forensic Pathways עולה כי כ-76% מהמודעות בדארקנט ששיווקו נוזקות הציגו מחירים של 10 דולר ופחות לשימוש בהן. כ-91% מהחולשות - כלומר הדרכים להחדיר את הנוזקות לאתרים, מחשבים או רשתות ארגוניות - גם נמכרו בסכומים דומים
מחקר חדש שפורסם השבוע מצא שהדרך להפוך להאקרים פליליים הפכה לקלה מאי פעם בזכות הגידול העצום בשירותי השכרת נוזקות וחולשות. על פי המחקר, האקר שרוצה לבצע תקיפת סייבר יכול להשיג נוזקה מתקדמת במחיר של כ-10 דולר בממוצע.
המחקר, שבוצע על ידי ענקית הטכנולוגיה HP וחברת מודיעין הסייבר Forensic Pathways, התמקד בבדיקת כלכלת הסייבר בדארקנט וסקר כ-35 מיליון פוסטים ומודעות שפורסמו בזירות מסחר להאקרים ובפורומים מחתרתיים בין פברואר למרץ השנה.
מהמחקר עולה כי פשיעת סייבר הפכה לתחום שקל יותר להיכנס אליו - בעוד בעבר האקרים או עברייני סייבר נאלצו לשלם כסף רב כדי לקבל גישה לכלי פריצה או ריגול מתקדמים, כיום מדובר בסכומים שנגישים לכל עבריין מתחיל ואף למטה מכך. כ-76% מהמודעות ששיווקו נוזקות הציגו מחירים של 10 דולר ופחות לשימוש בהן. גרוע מכך, כ-91% מהחולשות - כלומר הדרכים להחדיר את הנוזקות לאתרים, מחשבים או רשתות ארגוניות - גם נמכרו בכ-10 דולר ופחות.
המשמעות של הדבר היא שעבריין אפילו לא צריך ידע טכני כלשהו בפריצה או בפיתוח - כל מה שהוא נזקק לו זה גישה לנוזקה ולחולשה - שכאמור ניתן להשיג כיום במחיר פעוט.
באופן אירוני, משווקי הנוזקות והחולשות נדרשים כיום להציג ללקוחות אישור שהם אכן אמינים. כ-80% מזירות המסחר הפליליות האלה דורשות רכישה של "תעודת אמינות" או vendor bond שעולה כ-3,000 דולר. יותר מכך, ל-92% מהזירות יש אפילו שירות המאפשר לפתוח תלונה אם הלקוח ההאקר לא קיבל את מה שהבטיחו לו במודעה, ממש כמו באיביי או עלי אקספרס.
עם זאת, כדי לפרוץ למערכות מוגנות או מבוססות על טכנולוגיות ייחודיות יש לשלם קצת יותר - בין 1,000 ל-4,000 דולר. פרצות זירו דיי, כלומר כאלה שעדיין לא זוהו על ידי היצרנים, נמכרות במחירים הרבה יותר גבוהים, החל מעשרות אלפי דולרים ועד למיליונים אם מדובר בפרצה נדירה.
המודל העסקי שמאפשר להאקרים לשכור את אמצעי הפריצה שלהם כשירות כמו בתחום מחשוב הענן אינו חדש - הוא קיים מזה כמעט עשור, אך המחירים כיום נמוכים בעשרות המונים ממה שהיה עד לפני זמן לא רב. רף הכניסה לתחום הופך ליותר ויותר נגיש עבור כל מיני גורמים שעד כה היו צריכים להשקיע סכומים של אלפי דולרים כדי לייצר תקיפת סייבר איכותית. בהתחשב בגידול העצום בתקיפות הכופר ובגניבות נתונים מחברות וארגונים, מדובר בתופעה שככל הנראה לא תתמתן אלא להיפך - תמשיך ותתגבר.