Nacionalni odzivni center za kibernetsko varnost SI-CERT je lani obravnaval 4587 kibernetskih incidentov, od tega 790 tehnično zahtevnejših, kar predstavlja sedemodstotno rast glede na leto 2023. Tako po številu kot višini oškodovanja spet izstopajo kripto-investicijske prevare, nadaljuje pa se tudi preusmerjanje napadalcev na mobilne naprave (izvabljanje podatkov pod krinko lažnih sporočil SMS, zlonamerne aplikacije, namenjene zlorabi mobilnih bank, ipd.). Pri tem so našteli 1583 primerov zvabljanja na lažna spletna mesta (phishing) in 97 investicijskih prevar s kriptovalutami.

Število goljufij je lani v primerjavi z letom poprej zraslo za sedem odstotkov.

SI-CERT izpostavlja tudi vedno več kritične ranljivosti naprav, posledice pa so lahko različne: od kraje podatkov, proženja izsiljevalskih virusov in resnih motenj poslovanja do uporabe zlorabljenih naprav s strani storilcev za zakritje sledi in izvajanje napadov onemogočanja. Globalni izziv, s katerim se soočamo danes, pa je vzpon družbenega inženiringa: če so včasih tovrstne kampanje imele omejen vpliv na posameznika, danes vidimo, da lahko sprožijo množičen nemir v družbi.

Število obravnavanih incidentov po letih VIR: SI-CERT

Mobilne naprave in digitalizacija

Digitalizacija različnih vidikov naših življenj se je pospešila. Vse več storitev opravimo prek mobilnih in spletnih aplikacij, od naročanja k zdravniku, prevzemov paketov, bančnih opravil do naročanja hrane. To so hitro spoznali tudi spletni napadalci in začeli izkoriščati »do uporabnika prijazne« aplikacije, pri čemer končni uporabnik pogosto sam nosi odgovornost, čeprav je bil potisnjen v novi model poslovanja in dejansko ni imel druge možnosti, opozarjajo pri SI-CERT. Smishing napadi v imenu bank in dostavnih podjetij, napredne zlonamerne mobilne aplikacije, kjer uporabnik pravzaprav ne more preprečiti, prepoznati in ustaviti kraje denarja z računa, investicijske sheme v kriptovalute, ki so le spletna fasada, ter neovirano oglaševanje goljufij na oglaševalskih platformah in družbenih omrežjih so razlogi, da se število prijavljenih incidentov in oškodovanja fizičnih oseb iz leta v leto povečuje.

Nadaljuje se metoda preusmerjanja napadalcev na mobilne naprave.

Krhkost digitalne infrastrukture

Ne mine dan, da ne bi prepoznali nove ranljivosti, pravijo strokovnjaki za kibernetsko varnost. Morda se sliši pretirano, ampak katalog CVE (Common Vulnerabilities and Exposures) je leta 2024 dobil več kot 34.000 novih oznak za različno ranljivost naprav z digitalnimi komponentami. Med njimi je tudi kritična ranljivost naprav, ki naj bi poskrbele za boljšo zaščito naših omrežij in storitev, kot so požarne pregrade, VPN-naprave, platforme za množično upravljanje mobilnih naprav in še kaj. SI-CERT z obveščanjem skrbnikov prepoznanih ranljivih ali celo že zlorabljenih sistemov gasi požare, trendi pa zelo jasno kažejo, da bomo morali v prihodnosti krepiti kapacitete na tem področju in poskrbeti za res zelo hiter odziv, še posebno ko gre za ranljivost ničelnega dne, ko uradni popravek še ni na voljo, napadalci pa jo že izkoriščajo.

Družbeni inženiring

Družbeni inženiring (angl. social engineering) je v najbolj enostavni obliki manipulacija, s katero nas želi nekdo prepričati o nečem, kar ni res. Da smo, denimo, podedovali milijone od neznanega sorodnika v tujini, ali pa nam zaposleni sporoča, da je spremenil bančni račun. Vendar ta pojem dobiva nove razsežnosti, bodisi v napadih onemogočanja, ki želijo vnesti nemir in negotovost v družbo, bodisi s povzročanjem panike ob množičnih (na srečo lažnih) obvestilih o podtaknjenih bombah v šolah in vrtcih, bodisi s kampanjami financiranja vplivnežev na družbenih omrežjih. Tu bomo potrebovali resen razmislek v družbi, kako takšne manipulacije sploh ukrotiti, pravijo pri SI-CERT.

Družbeni inženiring (manipuliranje) dobiva nove razsežnosti.

Oškodovanje leta 2024

Prijavitelji incidentov lahko prostovoljno sporočijo tudi višino oškodovanja, ko podajo prijavo na SI-CERT. Najvišji poskus oškodovanja, ki so ga zabeležili lani, je bil v višini 369.500 evrov (kripto-investicijska prevara) in je bil na banki uspešno ustavljen. Povprečno oškodovanje pri nakupovanju na spletu je znašalo 1300 evrov, povprečno oškodovanje pri prevari z vnaprejšnjim plačilom (»nigerijska prevara«) je znašalo 9800 evrov, pri čemer je bil najvišji posamični znesek 40.000 evrov, povprečno oškodovanje pri vrivanju v poslovno komunikacijo je doseglo vrednost 33.000 evrov, najvišji poskus oškodovanja pri mobilnem bančništvu (transakcija ustavljena pri banki) pa je dosegel 200.000 evrov. V grafični prilogi si lahko ogledate še podatke, ki jih je lani zbrala slovenska policija.

369.500 evrov je lani znašal najvišji poskus oškodovanja.