Az eredmények azt mutatják, hogy a fekete kalapos hackerek elsősorban nagyban utaznak, 72%-a nem vesztegeti az idejét olyan támadásra, amely nem valamilyen nagyértékű információ gyors megszerzését szolgálja. Elsősorban az egyszerűen, és könnyen levadászható célpontok keltik fel az érdeklődésüket - a megkérdezettek 73%-a szerint.
Ilyen egyszerű és váratlanul könnyen levadászható célpont lehetett például a két évvel ezelőtti fappeninges történet is, amelynél a támadás előtt Find My iPhone szolgáltatás rendszerében nem volt brute-force elleni védelem, azaz folyamatos ismétléssel korlátlan alkalommal és ideig lehetett próbálgatni a valószínű jelszavakat.
Sajnos csak egy hónappal később lett itt is bekapcsolva a brute-force elleni védelem, de szerencsére aztán kétlépcsős azonosítást kaptak az iCloud backupok is, valamint e-mail értesítést is bevezettek, melyben a felhasználóknak azonnal jelzik, ha valaki megpróbálja megváltoztatni az Apple ID jelszavukat, vagy vissza akarja állítani az iCloud adataikat.
Visszatérve a felmérés adataira, a támadók 69%-a ha erős védelmet talál, akkor nem próbálkozik, hanem egyszerűen tovább áll. Ez nagyjából az jelenti, hogy ha körülbelül 40 óra (kevesebb mint két nap) alatt nem sikerül a betörés, akkor új célpontot keres a támadók többsége.
Ebből az vélelmezhető, hogy sokkal többen hajtanak a pénzre és az információk megszerzésére, mint az önmagáért való komoly szellemi kihívásokra. Abban a válaszadók több mint fele egyetértett, hogy mára egyre könnyebb és olcsóbb egy ilyen támadást végrehajtani.
Ebbe belejátszik, hogy ma már sokkal kevesebb idő is elegendő egy sikeres támadáshoz, de hatékony segítséget jelentenek az automatizált hacker eszközök használata is. De a 67% szerint az ismert sebezhetőségek számának növekedése is jelentősen hozzájárult mindehhez.
A támadók bevételei átlagosan 28,744 amerikai dolláros évi szinten mozogtak, ami egy profi fehér kalapos IT biztonsági szakember jövedelmének nagyjából az egynegyede. A cégek szempontjából a védekezésnél fontos felismerés lehet, hogy ha kifejezetten erős a védelmi infrastruktúrájuk, akkor ezzel a támadásra fordított idő duplázható, vagy még ennél is tovább emelhető.
Ezzel pedig a kevésbé komolyan elszánt támadó elriasztható, illetve növelhető az incidensnek az időben történő felismerésének az esélye.
Érdekes volt látni, hogy a válaszadók negyede töltött már el az IT biztonság berkein belül több, mint 20 esztendőt, sőt 9%-uk 30 évnél is hosszabb ideje dolgozik ezen a területen.
Amit viszont a klasszikus technikai hackelésen felül sem árt megjegyezni, hogy a social engineering, azaz szimpla megtévesztés alapú csalásokkal is nagyon sokféle adat és céges érték megszerezhető - a korrupt alkalmazott lefizethető, a gyanútlan munkavállaló kikérdezhető és becsapható.
Sőt a legújabb trendek szerint már a bizalmasnak mondott, és állítólag a főnök nevében végrehajtott nagy összegű csalárd utalások is komoly veszteségeket tudnak okozni a vállalatoknál.
30 ezer dolláros évi fizetés
Egy friss felmérés szerint ennyit keres egy átlagos kiberbűnöző, ez nagyjából 690 ezer forintos havi jövedelemnek felel meg. A Ponemon Intézet mostani kutatásában 304 németországi, brit valamint az Egyesült Államokban élő anonim résztvevő részletes válaszait dolgozták fel.