Nejčastějšími typy podvodů v EU zůstávají falešné investice, kompromitace firemní elektronické pošty a podvody cílící na milostné potřeby uživatelů za klávesnicí, přičemž nejrozšířenějším vektorem útoku je stále phishing. I o tom informuje zpráva Europolu Internet Organised Crime Threat Assessment za rok 2024.
Tato zpráva, letos desátá v pořadí, má být komplexní roční analýzou nejnovějších hrozeb kyberkriminality. Jak uvádí zpráva, největšími projevy kyberkriminality v Evropské unii (EU) zůstávají v roce 2023 útoky ransomwaru, sexuální zneužívání dětí a podvody online. Prostředí kyberkriminality zůstalo rozmanité a zahrnovalo jak osamělé aktéry, tak zločinecké sítě nabízející širokou škálu „expertních“ znalostí a schopností.
I když se zpřísňují regulační rámce zaměřené na posílení digitálních systémů a zvýšení bezpečnosti uživatelů, lidský faktor stále zůstává nejslabším článkem většiny scénářů kybernetické obrany. Stále častější jsou vícevrstvé modely vydírání a díky AI nástrojům je sociální inženýrství používané při kybernetické kriminalitě ještě účinnější. Škodlivé velké jazykové modely (LLM) se stávají významnými nástroji na trhu „zločin jako služba“ (crime-as-a-service, CaaS). Na dark webu jsou již nabízeny služby, které mohou online podvodníkům pomoci při vývoji skriptů a vytváření podvodných e-mailů. LLM se používají také v případech sexuálního vydírání, kdy tyto nástroje mohou pachatelům pomoci zdokonalit jejich techniky groomingu.
Nejčastějšími typy podvodů v EU zůstávají falešné investice, kompromitace firemní elektronické pošty a podvody cílící na milostné potřeby uživatelů za klávesnicí, přičemž nejrozšířenějším vektorem útoku je stále phishing. Další přetrvávající hrozbou je digitální skimming, jehož výsledkem je krádež, další prodej nebo zneužití údajů z kreditních karet.
Europol ve zprávě uvádí příklad webové stránky iSpoof.cc. Na ní byly kyberzločincům poskytovány různé služby včetně automatické interaktivní hlasové odezvy (IVR), odposlechu PIN kódu nebo sledování živých hovorů. Webové stránky mohly být využívány k cílení na oběti po celém světě. Úspěšný zásah proti této platformě v listopadu 2022 vedl k prvotnímu zatčení 142 podezřelých osob, jejichž počet se později zvýšil na 184. Europol odhaduje, že nástroje na tomto webu způsobily ztráty přesahující 115 milionů EUR. Hlavní správce webu, Tejay Fletcher, byl loni ve Spojeném království odsouzen k 13 letům a 4 měsícům vězení.
Počet kyberzločinců, kteří vstupují na trh, neustále roste, a to jak díky novým technologiím, které účinně snižují překážky vstupu, tak díky rostoucí složitosti digitální infrastruktury, která rozšiřuje potenciální plochu útoku.
Ransomwarové skupiny se stále častěji zaměřují na malé a střední podniky, protože mají nižší kybernetickou obranu. Elektroničtí obchodníci a bankovní instituce jsou preferovanými oběťmi útoků digitálního skimmingu. Uživatelé se nadále stávají oběťmi phishingových kampaní, kompromitací firemní elektronické pošty, investičních a romantických podvodů. Současně Europol eviduje růst počtu případů online sexuálního vydírání zaměřeného na zranitelné nezletilé osoby.
V lednu 2024 ukrajinské orgány činné v trestním řízení s podporou Europolu zatkly osobu, která byla považována za hlavního strůjce sofistikovaného systému kryptojackingu, který využíval napadené počítače k těžbě kryptoměn. Předpokládá se, že 29letý hacker infikoval servery poskytovatele cloudových služeb už v roce 2021, kdy se naboural do 1500 účtů a infikoval servery malwarem pro kryptojacking. Podezřelý pak pravděpodobně vytvořil více než milion virtuálních počítačů, na kterých tento malware spustil. Výsledkem celého schématu bylo více než 1,8 milionu eur ve vytěžených měnách Ethereum, Monero a TON.
V návaznosti na to, že německá policie v prosinci 2021 zlikvidovala zločineckou infrastrukturu „Monopoly“ tržiště, došlo v loňském roce v rámci koordinované operace s kódovým jménem SpecTor k zatčení 288 osob v devíti zemích podezřelých z účasti na nákupu nebo prodeji drog právě na tomto tržišti. Bylo zabaveno téměř 51 milionů eur v hotovosti a virtuálních měnách, 850 kg drog a 117 střelných zbraní. Zatčení prodejci byli aktivní i na jiných tržištích, z nichž Exploit, XSS a BreachForums zůstávaly nejvíce využívanými z pohledu kyberzločinců v roce 2023.
Prostředí ransomwaru je stále roztříštěnější, což je pravděpodobně způsobeno pokračujícími mezinárodními snahami o potlačení zločineckých skupin a také úniky zdrojových kódů programů Conti (2022), LockBit (2023) a HelloKitty (2023), ke kterým došlo v posledních letech. Uniklé kódy v kombinaci s rychle se zdokonalujícími nástroji umělé inteligence pravděpodobně usnadňují zrychlený vývoj nových variant ransomwaru.
V lednu 2023 Europol v rámci mezinárodní operace podpořil německé, nizozemské a americké orgány při likvidaci infrastruktury ransomwaru Hive. Od roku 2021 se obětí ransomwaru Hive stalo více než 1500 společností z více než 80 zemí světa, které na výkupném přišly o téměř 100 milionů eur. Jedním z výsledků zásahu bylo zajištění dešifrovacího klíče, čímž se zmenšily následky útoků.
V říjnu 2023 zatkly orgány činné v trestním řízení a justiční orgány z Česka, Francie, Itálie, Japonska, Lotyšska, Německa, Nizozemska, Spojených států amerických, Španělska, Švédska a Ukrajiny klíčového člena skupiny RagnarLocker, který je zodpovědný za řadu významných útoků na kritickou infrastrukturu po celém světě. Infrastruktura ransomwaru byla rovněž zajištěna v Nizozemsku, Německu a Švédsku a související webová stránka pro únik dat na serveru Tor byla ve Švédsku zrušena.
V oblasti malware-as-a-service došlo v roce 2023 k několika změnám. Po vyřazení infrastruktury malwaru Qakbot kyberzločinci rychle zareagovali a obrátili se na jiné zavedené nebo nastupující poskytovatele služeb dropper/loader. Významnými alternativami ke QakBotu, které kyberzločinci v současné době používají, jsou IcedID, SystemBC, Pikabot (nově se objevil v roce 2023), DanaBot a Smokeloader (hojně využívaný skupinou 8base v jejích kampaních).
Dalším velkým problémem, na který upozorňuje zpráva Europolu, jsou materiály týkající se sexuálního zneužívání dětí (CSAM). Objem sexuálního materiálu, který si uživatelé vytvářejí sami, tvoří v současné době významnou a stále rostoucí část CSAM materiálů. Tento obsah vytvářejí a zobrazují děti, zejména dospívající. Tento trend potvrzuje i Kateřina Vokrouhlíková ze sdružení CZ.NIC v nedávném rozhovoru v podcastu Pod svícnem.
Sexuální materiál vytvořený vlastními silami je také často výsledkem online sexuálního groomingu a vydírání. V tomto prostředí pachatel identifikuje oběť online, často na herních platformách nebo sociálních sítích, a poté, co získá její důvěru prostřednictvím groomingu, získá sexuálně explicitní materiál a použije jej jako páku k vydírání. Pocit studu a (marné) naděje postiženého, že výhrůžky přestanou, často vedou oběti k tomu, že samy vytvářejí další a další sexuální materiál. Kromě vydírání s cílem získat nové CSAM někteří pachatelé od svých obětí vymáhají i peníze.
Španělští vyšetřovatelé se v roce 2023 zabývali prvními případy manipulace s obrázky upravenými pomocí umělé inteligence v souvislosti s kyberšikanou. Podezřelí, všichni nezletilí, pořizovali fotografie nejméně 22 mladých dívek a digitálně tyto snímky upravovali pomocí AI aplikace a vytvořili z nich sexuálně explicitní snímky. Upravené snímky pak byly šířeny na sociálních sítích a v komunikačních aplikacích, přičemž oběti utrpěly značnou psychickou újmu.
Závěrem Europol předkládá svou vizi vývoje kyberkriminality v dalším období. Poměrně temná vize zahrnuje další rozšiřování kyberkriminality s pomocí AI, další zneužívání decentralizovaného webu a další rozvoj ransomware-as-a-service skupin. Na druhé misce vah jsou regulační reformy pro platební služby, které by podle Europolu měly mít pozitivní dopad na podvody na internetu a při internetových platbách, nebo implementace DSA, která má pomoci s bojem proti nelegálním službám, obsahu a zboží prostřednictvím online platforem.