Software-ul dăunător apare rar pe un dispozitiv de la sine — acesta este livrat acolo. Metodele folosite de atacatori sunt în continuă perfecționare: de la suporturi fizice și e-mailuri de phishing la atacuri prin lanțul de aprovizionare și publicitate dăunătoare. Înțelegerea acestor mecanisme este primul pas către o protecție eficientă.

De la dischetă la USB: suporturile fizice ca vector de atac Înainte de apariția internetului, malware-ul se răspândea exclusiv prin suporturi fizice — dischete și CD-uri. Astăzi, această practică nu a dispărut, ci doar și-a schimbat forma. Stick-urile USB rămân un vector de atac actual, în special împotriva organizațiilor cu infrastructură critică.

Unul dintre cele mai cunoscute exemple este viermele Stuxnet, care în 2010 a scos din funcțiune centrifugele nucleare iraniene printr-un suport USB infectat. Tactica modernă este ușor diferită: atacatorii lasă stick-uri USB în parcări sau în holurile organizațiilor țintă, mizând pe curiozitatea angajaților. Potrivit studiilor, aproximativ 45% dintre oameni conectează stick-urile USB găsite la computerele de serviciu. Unele dispozitive sunt programate ca așa-numitele «USB Rubber Ducky» — acestea emulează o tastatură și, imediat după conectare, execută cod dăunător, fără a lăsa timp de reacție.

Phishing-ul: cea mai frecventă metodă de livrare a malware-ului Conform raportului Verizon Data Breach Investigations Report 2024, peste 60% dintre incidentele cibernetice înregistrate au început cu un e-mail de phishing. Mecanica este simplă: victima primește un e-mail cu o anexă sau un link care, odată deschis, lansează codul dăunător.

Campaniile moderne de phishing sunt împărțite în mai multe tipuri. Phishing-ul în masă vizează un număr mare de destinatari — atacatorii trimit milioane de e-mailuri cu mesaje despre câștiguri la loterie, necesitatea de a confirma un cont bancar, taxe neplătite sau citații în instanță. Se mizează pe o reacție psihologică — frica sau lăcomia determină persoana să acționeze impulsiv, fără a verifica sursa.

Phishing-ul direcționat (spear phishing) — o metodă mult mai periculoasă. Atacatorul studiază cu atenție victima prin surse deschise, rețele sociale și site-uri corporative, după care trimite un e-mail personalizat care pare a fi un mesaj de la un coleg, partener sau manager. Astfel de e-mailuri sunt greu de distins de cele reale chiar și de către utilizatorii experimentați. O variantă de spear phishing este «whaling» (vânătoarea de balene): atacuri împotriva managementului de top al companiilor, unde o singură infectare reușită poate oferi acces la întreaga infrastructură corporativă.

Separat, merită menționate atacurile BEC (Business Email Compromise): atacatorii sparg sau falsifică poșta electronică corporativă pentru a da instrucțiuni, în numele managerului, de a transfera fonduri sau de a transmite date confidențiale. Potrivit estimărilor FBI, daunele cauzate de atacurile BEC în 2023 au depășit 2,9 miliarde de dolari doar în SUA.

Smishing și vishing: atacuri prin SMS și telefon Pe măsură ce gradul de conștientizare privind phishing-ul prin e-mail a crescut, atacatorii trec activ la canalele mobile. Smishing-ul — phishing-ul prin SMS — utilizează mesaje scurte cu link-uri către site-uri dăunătoare sau propuneri de a descărca o «actualizare» a unei aplicații. Sunt deosebit de frecvente falsurile după notificările bancare, mesajele despre livrarea coletelor și avertismentele de sistem de la operatorii de telecomunicații.

Vishing-ul (voice phishing) presupune apeluri telefonice de la «serviciul de asistență» al băncii, poliție sau serviciul tehnic. Victima este convinsă să instaleze un program pentru «asistență la distanță» — care este, de fapt, un instrument de acces la distanță pentru atacator. În 2024–2025, vishing-ul bazat pe AI a devenit răspândit: escrocii folosesc vocea sintetizată a unor persoane reale (rude, colegi, manageri), ceea ce crește semnificativ eficiența atacurilor.

Drive-by download: infectare fără acțiunea utilizatorului Descărcarea de tip drive-by este o metodă prin care codul dăunător este executat automat la vizitarea unui site infectat sau malițios, fără nicio acțiune din partea utilizatorului, în afară de simpla accesare a paginii. Astfel de atacuri exploatează vulnerabilitățile necorectate din browser, plugin-urile acestuia sau sistemul de operare.

O variantă este atacul de tip «watering hole» (gaura de apă): atacatorii infectează site-uri pe care reprezentanții organizației țintă le vizitează în mod regulat — forumuri din industrie, resurse de știri, site-uri ale furnizorilor. Astfel de atacuri sunt foarte greu de detectat, deoarece site-ul în sine este complet legitim și cunoscut de mult timp victimei.

Publicitatea dăunătoare: pericol din rețelele de publicitate legitime Malvertising-ul — răspândirea de malware prin rețelele de publicitate — permite atacatorilor să ajungă la milioane de utilizatori fără a sparge direct site-urile țintă. Codul dăunător este inserat într-un banner publicitar sau într-un redirect care este apoi afișat pe resurse de autoritate, inclusiv portaluri de știri și divertisment.

Sunt deosebit de periculoase campaniile de malvertising care utilizează rezultatele căutării: atacatorii cumpără poziții publicitare pentru interogări de brand ale programelor populare (cum ar fi «download VLC» sau «Adobe Reader») și plasează link-uri către site-uri false cu instalatoare infectate. Victima, convinsă că descarcă un produs oficial, primește în schimb un backdoor sau un ransomware.

Atacurile asupra lanțului de aprovizionare: infectarea prin parteneri de încredere Atacurile asupra lanțului de aprovizionare (supply chain attacks) reprezintă una dintre cele mai periculoase metode moderne. În loc să spargă direct organizația țintă, atacatorii compromit software-ul sau serviciul pe care aceasta îl folosește. Un exemplu la scară largă este atacul SolarWinds din 2020: printr-o actualizare a sistemului de monitorizare Orion, codul dăunător a ajuns în rețelele a mii de organizații din întreaga lume, inclusiv agenții guvernamentale din SUA.

O logică similară se aplică în atacurile asupra npm, PyPI și altor depozite de pachete open-source: atacatorii publică biblioteci dăunătoare cu nume similare cu cele populare (typosquatting) sau compromit conturile dezvoltatorilor reali. Dezvoltatorii care actualizează automat dependențele pot include fără să știe cod dăunător în propriile produse.

Mesageriile și rețelele sociale ca vector de răspândire Telegram, WhatsApp, Viber și Facebook Messenger au devenit de mult timp canale utilizate activ pentru răspândirea de malware. Atacatorii trimit fișiere dăunătoare de pe conturi compromise sau false ale cunoscuților — astfel de mesaje inspiră mult mai multă încredere decât e-mailurile de la expeditori necunoscuți.

O schemă comună pe Telegram sunt boții și canalele dăunătoare care oferă versiuni «crackuite» ale programelor plătite, coduri de trișat pentru jocuri sau abonamente «gratuite» la servicii de streaming. Fișierele descărcate conțin troieni sau software de spionaj. Deosebit de periculoase sunt codurile QR de pe rețelele sociale: acestea pot duce către pagini de phishing sau pot iniția descărcarea de fișiere dăunătoare.

Vulnerabilitățile software și kiturile de exploit O parte semnificativă a infectărilor are loc fără nicio acțiune din partea utilizatorului — prin vulnerabilități necorectate în sistemul de operare, browser sau programele instalate. O CVE (Common Vulnerabilities and Exposures) necorectată într-un software popular poate deveni un punct de intrare pentru atacuri în masă: atacatorii publică sau cumpără de pe darknet exploit-urile corespunzătoare și le folosesc înainte de apariția unui patch — sau după, sperând că utilizatorii vor amâna actualizarea.

Pentru utilizarea automată în masă a acestor vulnerabilități, există așa-numitele kituri de exploit (exploit kits) — seturi de instrumente care verifică automat sistemul vizitatorului pentru prezența CVE-urilor necorectate și aplică exploit-ul corespunzător. Cele mai cunoscute dintre ele — Angler, RIG, Magnitude — au fost la un moment dat responsabile pentru sute de mii de infectări lunar.

AI în serviciul cibercriminalilor Odată cu răspândirea modelelor lingvistice mari în 2024–2025, atacatorii au primit un instrument puternic pentru scalarea ingineriei sociale. AI-ul generativ permite crearea de e-mailuri de phishing convingătoare, fără greșeli gramaticale, în zeci de limbi simultan, personalizate pentru victime specifice pe baza profilurilor lor publice de pe rețelele sociale.

Cercetătorii au înregistrat apariția unor instrumente subterane specializate — WormGPT, FraudGPT și analoge — care nu au limitările modelelor de securitate și sunt destinate exclusiv activităților cibercriminale. Pe lângă generarea de texte, AI este utilizat pentru clonarea vocii (deepfake audio) și înșelătorii video (deepfake video) în cadrul fraudelor telefonice și video.

Cum să te protejezi: măsuri de securitate de bază Înțelegerea metodelor de livrare a malware-ului permite construirea unui sistem de protecție eficient. Actualizarea la timp a sistemului de operare, a browserului și a întregului software instalat închide majoritatea vulnerabilităților utilizate de atacurile automatizate. Potrivit Microsoft, instalarea la timp a patch-urilor previne peste 85% din atacurile cunoscute.

Rămâne critică prudența cu e-mailul: verificarea adresei reale a expeditorului (nu doar a numelui afișat), evitarea deschiderii anexelor de la surse necunoscute și accesarea link-urilor direct prin browser, nu din e-mail. Link-urile suspecte ar trebui verificate mai întâi prin servicii gratuite precum VirusTotal.

Protecția antivirus de la un producător de încredere și firewall-ul activat rămân elemente de bază ale protecției. Utilizatorii corporativi ar trebui, de asemenea, să implementeze autentificarea cu doi factori pe toate serviciile cheie — chiar dacă datele de autentificare sunt compromise prin phishing, factorul suplimentar nu îi va permite atacatorului să obțină acces. Principiul privilegiului minim — în care fiecare cont are doar drepturile necesare pentru lucru — limitează substanțial amploarea unei potențiale infectări.

Conștientizarea rămâne principala protecție. Instruirea regulată a angajaților pentru a recunoaște phishing-ul, a verifica expeditorii și a nu conecta suporturi necunoscute este mai eficientă decât majoritatea soluțiilor tehnice. Factorul uman rămâne în continuare cea mai mare vulnerabilitate în orice sistem de protecție.

Acest articol a fost publicat anterior pe site-ul CyberCalm și a fost tradus în limba română.