Największe straty powodują nie hakerzy wyrafinowani, lecz ci przypadkowi, przeprowadzający włamania, kiedy trafi się ku temu okazja.
Jak można przeczytać w "Data Breach Investigations Report", 7. proc. ataków hakerskich przeprowadzonych w 2011 roku można zaklasyfikować jako "wykorzystujące nadarzającą się okazję", czyli takie, w których nie szukano konkretnych firm czy internautów. Ofiary wybierano kierując się lukami, jakie występowały w ich systemach informatycznych czy systemach operacyjnych lub aplikacjach zainstalowanych na ich komputerach.
Jest to znaczna różnica w stosunku do "haktywistów", czyli hakerów motywowanych politycznie i grup hakerskich, często finansowanych przez państwo, dokonujących ataków na określone cele i starannie przygotowujących się do nich przez dłuższy czas.
W sierpniu i wrześniu tego roku zespół analityków Verizon RISK Team postanowił zbadać ten typ ataków, ich źródła, charakterystykę i rodzaje. Według portalu informatycznego "The Register", cytującego raport o „atakach z przypadku”, największa ich część następuje po udanym skanowaniu portów używanych przez najpopularniejsze usługi: port 338. usługi TCP, Remote Desktop Protocol (RDP) Microsoftu, port 1433 należący do popularnego serwera bazy danych - MS SQL Server, port usługi VNC, czyli zdalnego dostępu do pulpitu.
Jak stwierdził Jay Jacobs, kierujący Verizon RISK Team, hakerzy „z przypadku”. szukają sieci bądź komputerów z otwartymi portami usług sieciowych, w których hasła są domyślne bądź dotyczące kont anonimowych, tzw. kont gościa. Jeśli znajdą taką sieć bądź komputer, starają się wpuścić malware bądź przejąć cały system lub komputer, aby rozsyłać przez niego spam. Najczęściej stosowany przez nich złośliwy kod to keylogger, dzięki któremu, odczytując kombinację klawiszy, mają nadzieję uzyskać hasła do kont bankowych, PIN-y do kart kredytowych lub do innych sieci. Okazjonalnie do atakowanych sieci trafiają trojany bankowe, np. różne wersje trojana Zeus.
Jak zauważa portal technologiczny "Daily Tech", około 2. proc. tego typu ataków jest prowadzona z adresów IP wskazujących na lokalizację w Chinach, przy czym chińscy hakerzy preferują ataki na usługi i bazy Microsoftu, np. RDP czy MS SQL. 14 proc. ataków wyszło z IP wskazujących na lokalizację w USA, przy czym w tym przypadku często chodzi o port usług aktualizacji oprogramowania antywirusowego, np. port 6515 aplikacji McAfee. Inne ataki prowadzone były z adresów IP wskazujących na Federację Rosyjską (8 proc.) i Koreę Południową (4 proc.).
Jacobs twierdzi, że w niektórych przypadkach chińskie IP wcale nie wskazują na źródła ataku w Chinach, bowiem hakerzy z Europy Wschodniej, głównie z Rosji i Ukrainy używają do ataków przejętych w Chinach komputerów (z kolei hakerzy chińscy robią to samo z przejmowanymi komputerami w Rosji), stąd autorzy raportu traktują lokalizację geograficzną jako orientacyjne, a nie precyzyjne wskazanie miejsca, skąd prowadzono atak. Ataków dokonują bowiem różne grupy - od małych po duże, dobrze zorganizowane gangi, które łączy jedno - ukierunkowanie na szybkie zyski.
Hakerzy przypadkowi używają zwykle bardzo prostych technik włamania czy ataku, najczęściej szukając luki jednego typu w wielu hostach (spod 97,4 proc. adresów IP przeprowadza się skanowanie tylko jednego typu portu). Działają w ten sposób, bo znają dobrze sposoby wykorzystania tylko tej jednej lub kilku zbliżonych luk. Zwykle używają też narzędzi do automatycznego skanowania, które przekazują masę informacji o atakowanych maszynach, z których jednak potrafią wykorzystać tylko niewielką część.
"Hakerzy z przypadku to internetowa wersja złodziei samochodów, którzy zamiast szukać określonego samochodu, sprawdzają drzwi wszystkich aut na parkingu. Choć ich motywy działania mogą się wydawać bardzo przyziemne, wpływ wielu tych ataków typu +bierz i uciekaj+ może być dla internautów i małych firm katastrofalny”. - ocenił Jacobs.
Zdaniem autorów raportu obrona przed takimi typami ataków nie jest szczególnie trudna, nawet dla małych firm czy zwykłych internautów. Trzeba po prostu przejrzeć usługi i odłączyć od sieci wszystkie te, które nie są niezbędne. Warto też wymienić hasła na trudne do złamania i regularnie je zmieniać, np. co miesiąc. Według Verizon RISK Team to w zupełności wystarczy, aby obronić się przed tego typu przypadkowymi atakami, ponieważ zwykle ich ofiarami są internauci i małe firmy, nie stosujące podstawowych zasad bezpieczeństwa.