Prawne aspekty zwalczania cyberprzestępczości

Aby dokładnie  określić  modus operandi cyberprzestępcy należy zrozumieć ryzyko celów oraz metody, które cybersprawca zastosuje. Cyberprzestępca najczęściej rozpoczyna działania od zebrania informacji o firmie z portalu LinkedIn czy korporacyjnej strony internetowej. Zdobywa również plany budynku oraz wiedzę o systemach zabezpieczeń i punktach dostępu. Czasem decyduje się odwiedzić siedzibę firmy (np. podczas większego wydarzenia) lub przeprowadza „wizję lokalną", rozmawiając z  pracownikami firmy, bywa, że haker zakłada nawet firmę, rejestruje domenę czy tworzy fałszywe profile, aby później wykorzystać je do celów socjotechnicznych. Rekonesans opiera się również na zautomatyzowanych działaniach, które polegają na skanowaniu sieci i wykrywaniu niezabezpieczonych urządzeń do zainfekowania. Dotyczy to wszystkich dostępnych platform, a coraz częściej urządzeń z kategorii Internetu rzeczy (IoT). Kiedy cyberprzestępca zdobędzie już  niezbędne informacje,  decyduje się co do użycia „broni”. Może to być wykorzystanie luki w oprogramowaniu (exploit), wysyłanie sfałszowanych maili (phishing), a nawet próba przekupienia jednego z pracowników. Na tym etapie wpływ na funkcjonowanie biznesu jest jeszcze minimalny, ale atakujący wie już, jak może dalej postępować. W drugim etapie cyberprzestępca próbuje włamać się do środowiska firmy, skąd będzie mógł przeprowadzać próby ataku.

Działania mogą opierać się na phishingu w celu zdobycia danych logowania, a następnie zaimplementowaniu narzędzi, które pozwolą spenetrować sieć. Najczęściej takich prób nie udaje się namierzyć jak również nie  pewności, że dana firma jest ostatecznym celem, a nie jedną z wielu organizacji dotkniętych zmasowanym atakiem. Kiedy cyberprzestępca zdobędzie już dostęp do wewnętrznych zasobów sieciowych, będzie próbował złamać kolejne systemy i konta użytkowników. Celem  jego jest dalsza ekspansja, mapowanie sieci, lokalizowanie plików haseł, aby w efekcie zidentyfikować kluczowe dane. Atakujący podszywa się pod autoryzowanego użytkownika, stąd  jego działania są bardzo trudne do wykrycia. Gdy  cyberprzestępca posiada już odpowiedni poziom dostępu, dzięki zdobytym wcześniej danym, zaczyna realizować założone cele. Na tym etapie atakujący dociera do danych docelowych. Naruszane są jednocześnie serwery poczty, systemy zarządzania dokumentami oraz dane klientów.  Następnie  cyberprzestępca zdobywa wrażliwe dane, zaburza pracę systemów krytycznych i zakłóca wszelkie operacje Na ostatnim etapie wykorzystuje ransomware,  w  celu pozbycia się  wszelkich dowodów i dlatego zaciera  ślady swoich poprzednich działań. Straty poniesione przez firmę dodatkowo wzrastają, jeżeli rozprzestrzenianie się infekcji nie zostanie w porę zatrzymane. Jest to typowa sytuacja, w której  kradzież danych odbywa się przy pomocy znanych w firmie narzędzi i danych logowania,  a zidentyfikowanie ataku ukierunkowanego jest niezmiernie trudne.