השוק השחור בעולם הפשיעה בסייבר

הבשלות של השווקים השחורים יוצרת אתגר חדש ומשמעותי עבור חברות ויחידים, מכיוון שבפועל היכולת ליצור התקפה היא זולה, זמינה ומהירה יותר מהיכולת ליצור מעטפת הגנה תואמת. במצב הנוכחי ברור לכול, כי תעשיית מוצרי האבטחה, הגורמים הממשלתיים והקהילה המשפטית, חייבים לחבור כדי לקבוע נורמות לאופן שבו חברות וארגונים יוכלו להגן על עצמם במרחב הקיברנטי

photo by: shutterstock.com

דו"ח חדש של מכון המחקר ראנד, בחסות ג'וניפר נטוורקס בשם ”Markets for Cybercrime Tools and Stolen Data - Hackers’ Bazaar”, מספק ניתוח של האופן בו השווקים השחורים של עולם הסייבר בנויים ומתפקדים, סוקר מגמות מורכבות היסטוריות, ומספק תחזיות לעתיד. במסגרת המחקר נערכו ראיונות עומק עם מומחים עולמיים שמעורבים באופן רשמי או אחר בשווקים אלו, בהם גם אנשי אקדמיה, חוקרי אבטחה, עיתונאים, ספקי אבטחה, וגורמי אכיפת החוק.

הדו"ח מגיע למסקנה כי השווקים השחורים בסייבר מהווים כלכלה בשלה בהיקף של מיליארדי דולרים רבים, עם תשתית איתנה ומבנה חברתי וארגוני ברור. יש המתייחסים לשווקים אלו כעיר תחתית ועולם מחתרתי, אך נכון יותר יהיה לתאר אותם כמטרופולין משגשג. במאמר נסקור את המאפיינים והמנועים של כלכלת ה-Cybercrime ונציע קו מחשבה ייחודי להתמודדות אתה.

בשלות שוק הפשיעה בסייבר

האבולוציה של השווקים השחורים בסייבר משקפת תהליך דומה שעבר על שווקים חופשיים אחרים בתהליכי חדשנות וצמיחה. במחקר נמצאו חמישה אינדיקטורים מרכזיים של בגרות כלכלית המתקיימים בשווקים אלו:

תחכום: ישנה מידה רבה של תחכום באופן בו השווקים הבלתי חוקיים הללו פועלים, הן במנגנוני ההפצה והתשלום, והן בסוג הכלים וההתקפות שנמכרים ונרכשים. כמו כן נצפו שינויים והתאמות בשווקים בהתאם לצרכים שנוצרו או אתגרים שצצו, מה שמעיד על יכולת התאמה למציאות משתנה ועל חוסנם.

התמחות: במסגרת השווקים השחורים נבנים מוצרים ייעודיים לפי צורך, מקומות מסחר לפי תחום, ובעלי תפקידים בהיררכיה ברורה המאפשרת לאלו הממוקמים בחלק העליון שלה לייצר הכנסה משמעותית.

אמינות: ברוב המקרים, הפעילים בשוק השחור מספקים את השירות שהתחייבו לו, והמוצרים הנמכרים מבצעים את פעולתם כראוי, אם כי תמיד ימצא מי שינסה לרמות. לאורך זמן, מוצרים טובים גורמים למוצרים רעים להיעלם, ומותגים באיכות גבוהה נמכרים במחירים גבוהים יותר. במחקר נצפו ספקי פרמיום המבטיחים תוחלת חיים ואחריות למוצרים שלהם, ממש כפי שמצופה מספקי תוכנה בעולם ה-IT, וחלקם אף עוקב אחר אופן השימוש במוצר -מעין גרסה של ההאקרים לניהול זכויות דיגיטליות.

נגישות: רף הכניסה לפעילות בשוק הוא נמוך וקל למדי להשתלב בו - פורומים ופורטלים שונים יכולים לשמש כנקודת כניסה להאקר המעוניין ליזום בתחום. עם זאת, עסקות גדולות מתבצעות לרוב בחשאי בין גורמים ושותפים ביניהם נוצרו כבר יחסי אמון שנבנו לאורך זמן.

חוסן: אירועים חיצוניים שלכאורה היו אמורים לשבש את הפעילות בשווקים אינם משפיעים עליהם כלל, או שמשפיעים באופן זמני בלבד. למרות מאמץ גדל והולך של רשויות אכיפת החוק לשבש ולסגור חלקים שונים של השווקים, החל מפגיעה באפיקי המימון ועד לסגירת פורטלים מקוונים, כלכלת הסייבר השחורה הוכיחה את עצמה כעמידה. נראה כי הביקוש לשירותים והרווח הפוטנציאלי עבור התוקפים מצדיקים השקעה במעקפים וגיבויים המבטיחים את המשך פעילות השוק.

השוק כמטרופולין משגשג

כאמור, אחת הדרכים לחשוב על כלכלת הפשיעה בסייבר היא לדמות אותה לעיר משגשגת עם קהילות מגוונות, תעשיות שונות, וריבוי אינטראקציות בין כל הגורמים המעורבים. השוק פעל בעבר כאיים מבודדים של רשתות אד הוק דיסקרטיות, על ידי אנשים המונעים משיקולים שונים (ובהם גם אגו ומוניטין), אך התפתח כיום לכדי מגרש משחקים של קבוצות מאורגנות ומתוחכמות ביותר המונעות בעיקר מההיבט הכספי. השוק השחור כולל אוסף של יצרנים, ספקים, קונים פוטנציאליים, ומתווכים לסחורות או שירותים, בעלי מאפיינים של מטרופולין הבאים לידי ביטוי בכל אחד ממרכיביו:

חנויות מקוונות: כמו צורות אחרות של מסחר אלקטרוני, מכירה של כלי תקיפה ומוצרים אחרים כמו בסיסי נתונים (של כרטיסי אשראי למשל) מתבצעת בחנויות מקוונות. חנויות אלו כוללות את כל מנגנוני הצריכה שאנו מורגלים להם מאתרים כמו אמזון ואחרים, החל מצ'אט עם נציג מכירות, וכלה בפורומים לייעוץ. במחקר זוהו ארגוני פשיעה עם תשתית מכירה מקוונת המגיעה לעשרות אלפי אנשים, נוכחות גלובלית ומחזורים של מאות מיליוני דולרים.

כלכלת שירות: בשוק ניתן לרכוש לא רק מוצרי תקיפה (Commodity) אלא גם שירותי תקיפה (Services). עלייתם של רשתות ה-botnets (מחשבים של גורמים בלתי מעורבים הנמצאים תחת שליטת האקר) מאפשרת לארגוני פשיעה למכור שירותי DDoS (התקפת מניעת שירות מבוזרת) ושליחת דואר זבל בקלות רבה. למעשה, ניתן לשכור את השירות לפרקי זמן הנעים מדקות ועד חודשים ולשלם בהתאם לזמן הצריכה בדיוק כפי שארגונים צורכים כיום שירותי תוכנה לגיטימיים במודלים של שירות בענן ו-SaaS.

חברה היררכית: בדומה למתרחש בארגון או חברה אחרים, נמצא במחקר זה כי נדרשים קשרים ומערכות יחסים כדי לטפס במעלה היררכיית הפשיעה בסייבר. כמו בעולם הפשיעה המסורתי, הגורמים הממוקמים בפסגת הארגון זוכים בחלק הארי של ההכנסות.

מטבעות: למרות שעסקאות בשווקים השחורים יכולות להתבצע בכל מטבע, לרוב הם מבוצעות במטבעות מוצפנים דיגיטלית מכיוון שלא ניתן לעקוב אחרי "מסלול הכסף" בעסקה כזו וזהות הצדדים בטרנזקציה נותרת אנונימית. המטבעות בשימוש הם Bitcoin ונגזרותיו, Pecunix, ,AlertPay PPcoin, Litecoin, Feathercoin, וכו'.

שלטון החוק: נמצא כי אזורים רבים של השווקים השחורים בסייבר, מוסדרים, מובנים ומפוקחים, ויש להם סט כללים שכל המעורבים נדרשים לציית להם. בנוסף, גורמים בשוק שמנסים לבצע הונאות ונקראים בשם Rippers, מנודים ונדחפים אל מחוץ לקהילה –מימוש בפועל של המושג "כבוד בין גנבים".

חינוך והכשרה: במחקר זוהו כלי לימוד ומשאבים זמינים באופן נרחב, ובכללם קטעי וידאו ב-YouTube בנושאים כגון כיצד להשתמש בערכות פריצה והיכן לקנות כרטיסי אשראי גנובים. המדריכים המוכנים מקלים על הכניסה של גורמים שונים למעגל הפעילות בכלכלת הפשיעה המקוונת, ותורמים להעלאת התחכום בשווקים השחורים מכיוון שנקודת הפתיחה לכל מתקפה היא גבוהה יותר.

גיוון: במחקר נתגלו תחומי התמחות טכנולוגיים של האקרים בחלוקה גאוגרפית: גורמי הפשיעה מסין, אמריקה הלטינית ומזרח אירופה ידועים למשל בייצור כמות גדולה של התקפות זדוניות, בעוד אלה מרוסיה נחשבים כמובילים בתחכום ואיכות הקוד שהם יוצרים. נמצא גם מיקוד בשווקים ורטיקליים שונים בקרב האקרים ממדינות שונות: פושעי אינטרנט וייטנאמיים רבים, לדוגמא, מתמקדים בתקיפת אתרי מסחר אלקטרוני, בעוד פושעי אינטרנט מרוסיה ומזרח אירופה מתמקדים יותר במוסדות פיננסיים. פושעי אינטרנט סיניים רבים מתמחים בגניבת קניין רוחני של חברות, ובארה"ב ההאקרים תוקפים בעיקר מערכות בתוך תחומי ארה"ב ופחות במדינות אחרות. במקביל נצפית הפריה הדדית בין כל גורמי הפשיעה יותר מאשר אי פעם בעבר.

שיבוש ומניעת התקפות

הבשלות של השווקים השחורים יוצרת אתגר חדש ומשמעותי עבור חברות ויחידים, מכיוון שבפועל היכולת ליצור התקפה היא זולה, זמינה ומהירה יותר מהיכולת ליצור מעטפת הגנה תואמת. המסקנה מהאנומליה שתוארה, היא שכדאי לבחון את שורש התופעה של שוק הפשיעה בסייבר וההיגיון הכלכלי המוביל אותה, ולמצוא דרך לשבש את שרשרת הערך המובילה בסופו של דבר להתקפה מוצלחת.

במשך שנים רבות נבנו פתרונות ההגנה באופן פאסיבי כחומה שנועדה לחסום מתקפה, אך כיום ברור לכול כי נדרש שינוי בקונספט על מנת להתמודד טוב יותר עם אתגרי העידן הנוכחי. באופן עקרוני, ניתן היה ליישם מנגנון של תקיפה חזרה, אך יש לכך משמעויות משפטיות ומוסריות רחבות, כמו גם בעיתיות בזיהוי המתקיף האמתי וסכנה לפגיעה דיגיטלית בגורמים שאינם מעורבים, ולפיכך יש להשתמש בשיטות אחרות.

הפתרון של ג'וניפר נטוורקס לאתגר הוא רובד משלים לפתרונות המסורתיים בו ממומשות מתודות של הגנה אקטיבית והטעיית התוקף (Intrusion Deception) כדי לזהות, לשבש ולתסכל באופן פעיל את התוקפים. ברמת הארגון ניתן לדוגמא לממש מנגנונים שיגרמו לבזבוז הזמן של המתקיף ויהפכו את הכלים שרכש בשוק השחור ללא יעילים, ובכך למנוע את אובדן המידע ולחתוך את שרשרת הערך בשלב מוקדם של מחזור ההתקפה. בצורה דומה, ניתן גם להזין ברשתות הארגון נתונים ומידע מזויפים שיקשו על התוקף להתמקד במטרה לפריצה, ויחשפו את הפעילות שלו גם אם אין לה חתימה ברורה.

ברמת גורמי אכיפת החוק והממשל, ניתן לשתול הטעיות בפורומים שונים של האקרים ולנסות ליצור חוסר אמון בין השחקנים בשוק, כמו גם ליצור תמריצים כלכליים כדי לעודד יותר האקרים הפועלים בשוק הפשיעה להפוך לחוקרי אבטחה לגיטימיים. במצב הנוכחי ברור לכול, כי תעשיית מוצרי האבטחה, הגורמים הממשלתיים והקהילה המשפטית חייבים לחבור כדי לקבוע נורמות חדשות לאופן שבו חברות וארגונים יוכלו להגן על עצמם במרחב הקיברנטי באופן פרואקטיבי, תוך כיבוד פרטיות, חירויות האזרח והציבור, ושמירת הגבול הראוי בין המגזר הפרטי לממשלתי.

הכותב הוא מומחה טכנולוגי להגנה בסייבר בחברת ג'וניפר נטוורקס, חוקר ומרצה בתחום הסייבר באקדמיה ובמסגרות נוספות. המאמר מבוסס על נייר עמדה של ג'וניפר בשם “Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar”.

You might be interested also