Ancaman terkini: arah perkembangan malware

Kemajuan pesat teknologi komputer sudah lama dianggap sebagai hal yang wajar: selama beberapa dekade kita sudah terbiasa dengan pertumbuhan eksponensial kinerja perangkat dan fungsionalitas program, serta munculnya layanan untuk setiap keperluan, dan sudah merangkul simbiosis digital yang membuat hidup kita lebih nyaman. Tetapi setiap hal memiliki sisi negatifnya, dan bidang keamanan informasi telah menunjukkan secara jelas bagaimana peluang baru dapat membawa ancaman baru. Hal ini selalu terjadi, dari munculnya Internet global hingga pengembangan metaverse virtual. Saat ini perhatian seluruh komunitas terfokus pada algoritma neural network dan model AI, dampak globalnya pada industri dan prinsip-prinsip keamanan informasi secara khusus. Media menggembar-gemborkan "pergeseran tektonik" dalam teknologi yang mengubah aturan main bagi semua pihak termasuk pengembang, perusahaan, pengguna, dan tentu saja penyerang. Neural network telah memperoleh sifat ganda dan dipandang secara sebagai obat mujarab dan "senjata pemusnah massal" digital pada saat yang sama. Seringkali wacana semacam itu membawa pesan berbahaya dan membuat pengguna rata-rata bisa mendapat kesan bahwa mereka tidak lagi memiliki kendali atas apa pun. AI akan melindunginya. Jika tidak, mustahil untuk bertahan melawan AI. DHari ini, kami mengusulkan untuk membahas ancaman paling mendesak dalam konteks "realitas baru" ini, dan juga mengeksplorasi apakah kita benar-benar berada di ambang paradigma baru di mana manusia tidak lagi memegang kendali.

Ancaman lama dan arah perkembangan baru

Dalam salah satu edisi sebelumnya tentang penggunaan PC tanpa antivirus kami membahas risiko umum yang dihadapi pengguna rata-rata. Kenyataannya adalah, terlepas dari kemajuan teknologi yang kelihatan, skenario dan metode serangan yang sudah dikenal ini tetap relevan hingga saat ini. Semua jenis dan modifikasi malware dari script hingga ransomware masih aman-aman saja bertahan di Internet, menyamar sebagai perangkat lunak yang sah atau bermanfaat. Sebagian besar masih berupa program trojan yang diluncurkan pengguna tanpa disadari. Pendekatan ini sudah berhasil 20 tahun yang lalu, dan masih berhasil hingga saat ini, karena dari perspektif perancang virus, ini adalah cara yang paling layak secara teknis untuk penetrasi awal OS Windows (dengan mempertimbangkan kelengahan pengguna). Tentu saja, sistem perlindungan bawaan telah berkembang selama bertahun-tahun. Misalnya, Windows tidak akan pernah mengizinkan file yang tidak memiliki tanda tangan untuk diluncurkan tanpa menampilkan pemberitahuan yang sesuai atau bahkan mencoba memblokir pelaksanaannya. Tetapi siapa yang peduli dengan pembatasan ini jika bisa dilewati dengan dua klik saja, dan pengguna perlu meluncurkannya "sekarang juga"?

Sayangnya, skenario "sederhana" yang dijelaskan di atas tidak hanya berlaku untuk perangkat biasa di rumah. Serangan skala besar terhadap sektor korporasi juga pernah dimulai dengan cara yang serupa. Pada tahap awal, tujuan utama penyerang selalu adalah untuk mengeksploitasi titik masuk, yaitu tahap serangan awal. Trojan kemudian beroperasi tergantung pada fungsi bawaannya. Seringkali, ia berfungsi sebagai pemuat untuk modul lain yang lebih kompleks yang melakukan tindakan destruktif utama, seperti mengumpulkan, mencuri, atau menghancurkan data.

Dalam publikasi, kami sering merekomendasikan untuk mengunduh perangkat lunak hanya dari sumber resmi. Aturan keamanan penting ini dibuat untuk meminimalkan risiko yang dijelaskan di atas. Namun, malware memiliki cara lain untuk menyusup ke perangkat. Terkadang, penyerang berhasil menyusupi pihak pengembang perangkat lunak dan memasukkan kode berbahaya atau kerentanan ke dalam file yang sah dan ditandatangani bersama dengan update baru. Metode ini disebut serangan rantai pasokan. Setiap kasus seperti itu, jika diketahui, akan diliput secara luas di media, dan pengembang mencoba untuk segera memperbaiki situasi. Tetapi meskipun ini adalah kejadian yang relatif jarang, adanya metode seperti itu membawa risiko saat mengunduh program resmi. Terus terang, tanda tangan digital yang valid tidak menjamin bahwa sebuah file sepenuhnya “bersih” dan aman. Tanda tangan digital hanya memverifikasi pengirim file tersebut.

Namun, mari kita kembali ke skenario yang dihadapi pengguna setiap hari. Para pembuat virus berupaya memastikan bahwa malware tidak hanya beroperasi secara efektif tetapi juga tidak terdeteksi. Contoh utamanya adalah modifikasi penambang modern. Ciri khasnya adalah mode senyap, sehingga sulit dideteksi. Penyerang menyadari bahwa untuk menambang dalam jangka waktu lama, mereka tidak boleh mengganggu kehidupan sehari-hari pengguna. Oleh karena itu, selama proses penambangan, program menggunakan sumber daya PC secara terkontrol dan mengelola beban secara dinamis. Saat ini mereka fokus pada penambangan Monero dan koin-koin lain dengan biaya masuk rendah yang dapat menghasilkan uang cepat. Perangkat yang terkena membentuk botnet, yaitu jaringan komputasi terdistribusi yang menghasilkan keuntungan bagi penciptanya. Penambang semacam itu berbentuk baik trojan klasik maupun script berbahaya di situs web atau ekstensi browser.

Dalam beberapa tahun terakhir, dengan dampak digitalisasi yang meluas bukan hanya metode peretasan yang berubah, tetapi juga prioritas penyerang. Saat ini, merebut identitas digital pengguna jauh lebih berharga daripada mengendalikan satu perangkat. Contoh yang menonjol adalah penggunaan trojan infostealer yang meluas. Program-program berbahaya ini bertujuan untuk mencuri file cookie sesi dan kredensial yang tersimpan di browser. Setelah data ini diperoleh, peretas dapat masuk ke akun orang lain lewat perangkat mereka, bahkan melewati otentikasi dua faktor, yang menyebabkan hilangnya akses ke e-mail, media sosial, dan layanan perbankan. Bahayanya dalam hal ini bukanlah peretasan satu layanan saja, tetapi risiko efek berantai yang signifikan. Dengan demikian, satu akun yang diretas (misalnya, alamat e-mail utama) dapat memberi penyerang akses ke seluruh kehidupan digital seseorang, dari layanan pemerintah Gosuslugi hingga chat internal perusahaan. Lebih dari itu, data pengguna yang dicuri sering menjadi komoditas panas di darknet, di mana data tersebut dijual kembali untuk pemerasan lebih lanjut atau untuk mempersiapkan serangan baru.

Perlu dicatat bahwa penjahat siber cukup pragmatis dan selalu berusaha untuk mengikuti tren terbaru, sehingga teknologi atau saluran komunikasi baru apa pun langsung menjadi alat pilihan mereka. Saat ini kita berada dalam periode di mana mereka secara aktif menggabungkan saluran distribusi malware tradisional yang telah terbukti efisiensinya dengan kemampuan teknologi baru. Phishing melalui e-mail dan messenger, situs web palsu dengan program yang terkena, kerentanan jaringan, dan keamanan perangkat yang lemah akan terus digunakan selama membuahkan hasil.

Phishing 2.0 dan neural network

Phishing selalu menjadi landasan kejahatan siber karena didasarkan pada penipuan sederhana. Penipuan adalah inti dari konsep trojan, pesan dan situs web palsu, penambangan parasit, dan pemerasan digital. Untuk apa menulis kode yang kompleks dan menggunakan malware multi-modul untuk melakukan serangan jika penjahat dapat memaksa pengguna untuk memberikan informasi yang diperlukan secara "sukarela"? Teknologi modern memungkinkan penyerang untuk meningkatkan peluang keberhasilan mereka secara signifikan. Dalam beberapa tahun terakhir justru phishing yang telah mengalami lonjakan kualitatif.

Alih-alih spam biasa yang dikirim secara acak, penipu semakin sering menggunakan taktik yang ditargetkan. Dalam hal ini mereka dibantu oleh neural network tiruan yang disebutkan di atas, otomatisasi, dan kombinasi berbagai metode. Misalnya, jika sebelumnya situs atau pesan phishing sering diketahui karena banyak kesalahan dan eksekusi yang ceroboh, sekarang AI secara efektif memperbaiki kekurangan ini. Model bahasa menulis teks dalam bahasa apa pun dengan tata bahasa yang sempurna, mematuhi patokan komunikasi bisnis, atau meniru gaya merek tertentu. Situasi ini semakin diperparah oleh teknologi Deepfake, yang pada tingkat yang cukup tinggi meniru suara dan menciptakan rangkaian video yang diinginkan dengan gambar siapa pun. Terakhir, fitur utama spear phishing adalah sifat omnichannel-nya: penipu tidak membatasi diri pada e-mail, tetapi menggunakan banyak saluran komunikasi secara bersamaan dalam beberapa tahap. Misalnya, mereka pertama kali mengirim pesan di jejaring sosial, kemudian melalui messenger, dan diakhiri dengan e-mail "resmi" yang sudah berisi lampiran berbahaya atau formulir otorisasi palsu untuk pencurian data. Dalam kondisi seperti itu, ketika AI mampu dengan cepat "mencerna" volume data yang besar, hal ini secara signifikan menyederhanakan pekerjaan para penjahat siber, dan membuat penipuan menjadi lebih efektif. 

Neural network di tangan penjahat siber lebih dari sekadar "teks cerdas". AI telah menjadi alat ampuh baru dalam perjuangan abadi antara penjahat siber dan spesialis keamanan komputer. Saat ini, wartawan sering menulis tentang polimorfisme AI, yaitu teknologi yang memungkinkan neural network untuk menulis ulang kode program berbahaya secara langsung, membuat analisis signature tradisional hampir tidak berguna untuk deteksi. Memang benar, tetapi kami hanya akan mencatat bahwa teknologi polimorfisme itu sendiri telah dikenal selama lebih dari tiga puluh tahun. Bahkan pada awal pembuatan virus massal, orang-orang di balik antivirus Dr.Web berhasil menerapkan algoritma dekripsi dan emulasi untuk memerangi ancaman ini. Namun saat ini, berkat neural network, polimorfisme mengalami kebangkitan kembali yang unik. Sementara metode klasik terbatas pada pengacakan perintah sederhana atau enkripsi, model AI modern mampu menulis ulang logika program sepenuhnya, membuat setiap contoh program baru unik dalam konteks analisis.

Dengan demikian, AI digunakan untuk meningkatkan fungsionalitas trojan secara kuantitatif: dari otomatisasi pencarian kerentanan hingga perluasan sarana serangan dan penyamaran. Mengapa secara kuantitatif? Faktanya adalah model AI belum mampu menciptakan metode serangan yang benar-benar baru atau membuat keputusan yang melampaui data dalam set pelatihan. Model AI bertindak sebagai buku referensi raksasa, melakukan pekerjaan "kotor" dengan sangat cepat dan efisien. Dan di sinilah kita sampai pada jebakan utama dari agenda yang dipromosikan secara luas, yang memberikan kekuasaan absolut kepada neural network. Menurut pandangan kami, situasi virus saat ini justru punya makna yang sebaliknya, di mana pengguna diberi peran utama dalam memastikan keamanan.

Pada akhirnya, tidak peduli seberapa "pintarnya" tampak virus atau trojan itu, ia tetap membutuhkan pengantar untuk mendapat jalan masuk ke sistem Anda. AI dapat menulis e-mail yang sempurna atau menyusun ulang kode hingga sulit dikenali, tetapi ia tidak dapat secara ajaib meretas sistem. Kita tidak berada di ambang kiamat digital di mana manusia tidak berdaya melawan kekuatan neural network; kita hanya memasuki fase di mana biaya kesalahan menjadi lebih tinggi dan metode penipuan menjadi lebih canggih. Keamanan informasi saat ini bukan sekadar pertempuran produk perangkat lunak bertenaga AI, tetapi kompetisi dalam kewaspadaan. Namun, sebetulnya keadaan selalu demikian, hanya caranya yang berubah. Pertahanan terbaik tetap sama, yaitu simbiosis antara perangkat lunak antivirus yang andal dan pemikiran kritis. Ingat: "algoritma deteksi" yang paling efektif masih berada di kepala Anda.

Rekomendasi dari Doctor Web

Ingat: teknologi hanya memperbesar ancaman, tetapi pada intinya, faktor manusia tetap ada. Pemikiran kritis Anda dan kepatuhan terhadap aturan hygiene digital adalah mekanisme paling andal yang tidak dapat diretas.

1. Terapkan prinsip "Saluran kedua". Jika seorang rekan, atasan, atau orang terkasih meminta Anda melalui messenger untuk melakukan transaksi keuangan atau mengunduh suatu "dokumen penting," hubungi mereka kembali melalui telepon biasa. Suara dan video di Internet dapat ditiru dengan sukses oleh neural network, tetapi panggilan seluler langsung belum dapat disimulasikan. Asalkan telepon itu sendiri tidak berada di tangan yang salah.

2. Jangan menyimpan kata sandi di browser Anda. Pencuri informasi pertama-tama “mengecek” folder profil default dari browser populer. Kami merekomendasikan untuk menggunakan pengelola kata sandi khusus dengan enkripsi, yang membuat proses memperoleh data jauh lebih sulit daripada database browser.

3. Jangan percaya pada "gembok" di bilah alamat. Keberadaan protokol HTTPS saat ini hanya menunjukkan bahwa koneksi dienkripsi, bukan berarti situs tersebut aman. Penipu banyak menggunakan sertifikat yang sah untuk halaman phishing mereka. Selalu periksa nama domain secara manual dan verifikasi situs web untuk karakteristik lainnya.

4. Aktifkan otentikasi dua faktor di mana pun memungkinkan. Terlepas dari banyaknya ancaman, metode ini tetap menjadi salah satu langkah keamanan yang paling mudah diakses dan efektif.

5. Ikuti jadwal pembaruan secara rutin. Algoritma AI menemukan kerentanan dalam perangkat lunak lebih cepat daripada manusia. Memperbarui sistem operasi dan perangkat lunak penting Anda secara teratur bukanlah keinginan pengembang, tetapi satu-satunya cara untuk menutupi kerentanan yang dapat membahayakan sistem.

6. Jangan percaya e-mail "resmi". Jangan pernah memasukkan data di situs web dengan mengikuti tautan di e-mail atau SMS. Jika Anda menerima pemberitahuan dari bank atau layanan pemerintah Gosuslugi, tutup e-mail tersebut dan buka aplikasi resmi atau masukkan alamat situs web secara manual di browser.

7. Gunakan terus aplikasi antivirus yang andal dan komprehensif. Dunia digital saat ini begitu penuh dengan ancaman sehingga sebagian dari pekerjaan teknis perlu dipercayakan kepada perangkat lunak yang terbukti efektif. Tetapi ingat: Anda sendiri yang memegang kendali atas keamanan Anda.