W starszych analizach bezpieczeństwa typowym zagrożeniem były wirusy, a ich twórcą - nastoletni pasjonat. Ta epoka minęła. Cyberprzestępcy mają jeden cel - zarobić pieniądze.

Obecnie niemal wszystkie ataki są związane z działalnością komercyjną. Dobrym przykładem ewolucji w tej dziedzinie jest zjawisko masowej, nie zamawianej reklamy pocztą elektroniczną, a więc powszechny i tak dokuczliwy spam. Do jego rozsyłania wykorzystuje się botnety, czyli sieci przejętych komputerów z systemem Windows (najczęściej domowych lub zainstalowanych właśnie w małych firmach). Mechanizm działania jest prosty: przestępcy instalują oprogramowanie na wielu komputerach bez wiedzy użytkowników i za pomocą tego programu rozsyłają spam. W celu szybkiego i masowego zarażania coraz to nowych maszyn, wykorzystują luki w bezpieczeństwie powszechnie używanych systemów Windows i przeglądarki Internet Explorer.

Łaty na botnet

Ponieważ duży odsetek komputerów nie ma zainstalowanych odpowiednich poprawek, proces ten jest łatwy i w pewnych przypadkach całkowicie automatyczny. Znane były przypadki infekcji systemu Windows zaraz po instalacji, jeśli był on bezpośrednio połączony z Internetem, bez pośrednictwa zapory sieciowej. Przestępcom bardzo pomaga powszechne piractwo komputerowe, bowiem nielegalny system rzadko podlega aktualizacji. Nie jest chroniony przez programy antywirusowe, czy narzędzia takie jak Microsoft MSRT (narzędzie do usuwania złośliwego oprogramowania), które miało udział w zmniejszeniu aktywności botnetu nazwanego Storm (samo złośliwe oprogramowanie nosiło różne nazwy: Win32/Nuwar czy Win32/Tibs).

Obecnie większość spamu pochodzi właśnie z takich sieci. Historycznie najskuteczniejsza w stosunku do wielkości była wspomniana sieć Storm, wysyłająca w okresie szczytowym ok. 20% spamu. Obecnie jedna z takich sieci (Srizbi) wysyła więcej wiadomości niż pozostałe razem wzięte i jest odpowiedzialna za rozsyłanie niemalże połowy wszystkich niepożądanych wiadomości w ogóle. Gdy tak duża sieć, obejmująca ponad 300 tys. komputerów wysyła przeciętnie 60 mld wiadomości dziennie, można mówić o prawdziwej powodzi spamu.

Spam jest zjawiskiem komercyjnym, gdyż jest to jeden z kanałów reklamy. Jest znacznie tańszy od innych, w wielu przypadkach może być personalizowany i można stosunkowo łatwo śledzić jego skuteczność za pomocą odpowiednio osadzanych obiektów i linków. Ponadto może reklamować produkty, których reklama innymi drogami nie byłaby możliwa (np. podróbki przedmiotów a także nierejestrowane medykamenty). Regulacje prawne działają tylko w obrębie jednego kraju lub organizacji krajów, zaś Internet nie przywiązuje spamera do konkretnej lokalizacji, zatem gangi spamerskie są niemalże bezkarne. Nie należy oczekiwać zatamowania powodzi spamu tylko za pomocą regulacji prawnych czy prostych środków technicznych.

Prawie jak pieniądze

Drugim co do popularności atakiem jest masowa kradzież danych w celu zarobkowym. Najbardziej poszukiwane są informacje o transakcjach przy użyciu kart płatniczych, umożliwiające zdalną transakcję przez Internet na cudzy koszt. W założeniach cyberprzestępców jest to "czysty zysk", zatem do pozyskania takich informacji używane są zaawansowane środki. Stosuje się cały arsenał oprogramowania szpiegowskiego, rozsyła sfałszowane wiadomości e-mail, a także używa się socjotechniki dla podwyższenia skuteczności ataku.

Informacje mogą pochodzić z różnych źródeł, zdarzały się nawet włamania na stacje robocze lub serwery w niektórych bankach, sklepach internetowych albo kradzieże komputerów przenośnych. Sklep internetowy wydaje się dość dobrym celem, bowiem zazwyczaj ma znacznie słabsze zabezpieczenia niż bank internetowy, ponadto włamanie dostarcza przestępcy duże ilości cennych danych autoryzacyjnych od razu. W przypadku polskich sklepów, przyjęty model autoryzacji kart za pomocą odwołania do strony centrum autoryzacyjnego jest o wiele bezpieczniejszy niż pobieranie danych od klienta przez serwer sklepu. Od autoryzacji za pomocą kart płatniczych jeszcze lepsze są systemy szybkich przelewów, takie jak mTransfer, Multitransfer czy Płacę z Inteligo, gdyż płatność odbywa się za pomocą serwisu banku internetowego, z użyciem dwustopniowego uwierzytelnienia. Dane kart płatniczych nie ulegają w ogóle ujawnieniu.

Kradzież może dotyczyć nie tylko danych finansowych, gdyż na czarnym rynku w cenie są także dane osobowe. Posiadanie informacji, które posłużą do wytworzenia podrobionych dokumentów, dających później możliwość wzięcia kredytu, są warte znacznie więcej niż informacja o karcie płatniczej. Można sprzedać także dane medyczne albo historyczne wyciągi bankowe. Zainteresowane nimi są na przykład firmy ubezpieczeniowe.

Zabezpiecz własną firmę

Stan bezpieczeństwa komputerów w Polsce jest zły. Ma to swoje odzwierciedlenie w statystykach wysyłanego spamu - Polska zajmuje niechlubne piąte miejsce na świecie i jest odpowiedzialna za ok. 4% spamu wysyłanego ogółem przez botnety. Należy więc pamiętać, że podstawowym narzędziem zabezpieczającym powinien być program antywirusowy z modułem HIPS, zaś połączenia między komputerami w sieci lokalnej a Internetem muszą być kontrolowane za pomocą zapory sieciowej z IPS. Wykrycie infekcji może ułatwić nawet tak prosty zabieg, jak zablokowanie na zaporze połączeń na port 25, poza tymi, które są niezbędne do wysłania poczty elektronicznej.

Jeśli w sieci lokalnej jest serwer poczty elektronicznej, należy zaporę skonfigurować tak, by tylko on mógł wysyłać e-maile. Na takim serwerze powinien pracować program antywirusowy, ponadto należy monitorować jego aktywność. W niektórych urządzeniach IPS (takich jak 3Com/TippingPoint z serii X) jest już gotowa opcja detekcji i prewencji ruchu generowanego przez spyware - wystarczy ją włączyć. Bardzo proste w konfiguracji są także zapory SonicWall, które dobrze radzą sobie z blokowaniem niepożądanego ruchu, również w niewielkich firmach. Blokowanie połączeń i monitorowanie ruchu posłuży jako bardzo dobry sygnał alarmowy w razie infekcji - zalecają to wszyscy producenci urządzeń sieciowych.