28 kwietnia 2022 roku – CERT Polska opublikował artykuł [1] podsumowujący część rocznego raportu dotyczącą obsługi incydentów w 2021 roku. Specjaliści CERT wytypowali 65 586 zgłoszeń ze 116 071 zarejestrowanych. Na tej podstawie udało się zidentyfikować aż 29 483 unikalnych incydentów cyberbezpieczeństwa. To prawie trzykrotnie więcej unikatowych incydentów niż rok wcześniej (10 420). Niestety kolejny rok z rzędu da się zaobserwować znaczący wzrost aktywności cyberprzestępców.
Na incydenty w cyberprzestrzeni należy patrzeć pod różnymi kątami. Z jednej strony ważna może być ilość – ta wskazuje na najpopularniejsze rodzaje ataków. Zazwyczaj dotyczą one losowej grupy osób, tworzone są niewielkim kosztem i wystarczy kilka ofiar, aby taki atak się zwrócił. Dobrym przykładem jest „Afrykański książę”, który przeleje nam miliony, pod warunkiem potwierdzenia tożsamości lub załatwienia niezbędnych dokumentów, własnym przelewem na jedyne 1 000$. Z drugiej strony incydentów powodujących milionowe straty, na przykład związanych z ransomware będzie zdecydowanie mniej, ale każdy z nich może doprowadzić firmę do bankructwa, przez okup, zniszczenie danych, a także zniszczenie reputacji. Taką dogłębną analizę możemy znaleźć w raporcie rocznym CERT Polska [2]. Poniżej przedstawiam najciekawsze wnioski dotyczące obsługi najczęściej występujących incydentów oraz rosnącego zagrożenia związanego z atakami ransomware.
Zgodnie z podziałem na kategorie według taksonomii eCSIRT.net wyróżniono trzy najpopularniejsze typy incydentów:
- Phishing, czyli atak polegający na wyłudzeniu, często wrażliwych informacji, poprzez rozmowę, fałszywą stronę (np. logowania); często do takich stron prowadzą linki z podejrzanych wiadomości. Ten rodzaj incydentów stanowi aż 76,57% wszystkich zgłoszeń (22 575 przypadków), to wzrost o 196% względem roku poprzedniego. Najpopularniejszą kampanią phishingową było podszywanie się pod popularny serwis społecznościowy – 4 852 incydenty.
- Na drugim miejscu względem popularności znalazły się incydenty związane ze szkodliwym oprogramowaniem – 9,66% (2 847 zgłoszeń). Względem roku 2020 to wzrost o 281%! Oprogramowanie takie możemy pobrać klikając w linki, ale także wchodząc na specjalnie przygotowane strony zawierające odpowiedni kod lub otwierając pliki z nieznanych źródeł.
- Trzecie miejsce należy do kategorii obraźliwych i nielegalnych treści, do której zalicza się również SPAM. Mimo iż odsetek tego typu incydentów wynosi jedynie 1,05% warto zwrócić uwagę na fakt, iż na te 311 incydentów składa się aż 21 522 zgłoszeń. Wynika to z faktu dużego podobieństwa, a często wręcz masowego rozsyłania wiadomości o identycznej treści do różnych użytkowników. Jednym z najpopularniejszych typów incydentów tego typu w 2021 były tzw. „sextortion scam” – ataki polegające na wyłudzaniu okupu za kompromitujące zdjęcia/nagrania zdobyte po rzekomym przejęciu kontroli nad urządzeniami osoby atakowanej.
Phishing stanowi aż
76,57%wszystkich zgłoszeń
Zidentyfikowano aż
29483unikalnych incydentów bezpieczeństwa
Bardzo ciekawy okazuje się również podział na incydenty w zależności od sektora gospodarczego, którego dotyczą. Poniżej tabela prezentująca dziewięć sektorów najmocniej dotkniętych incydentami w 2021 roku.
Tabela 1 - Liczba incydentów przypadających na odpowiednie sektory gospodarki
Po bliższym przyjrzeniu się trzem „najpopularniejszym” sektorom, media (m.in. telewizja, prasa, media społecznościowe), handel (m.in. sklepy internetowe, serwisy aukcyjne), poczta i usługi kurierskie, można zauważyć, że odpowiednio 91,73%, 89,17%, 84,14% ze wszystkich incydentów w tych trzech grupach stanowią ataki phishingowe. Popularność ataków w tych obszarach wynika z łatwego dostępu do ofiary, szeroką gamę odbiorców, a także łatwość w stosowaniu socjotechnik ze względu na powszechność użytkowania portali społecznościowych, zakupów internetowych, a także wynikających z nich dostaw pocztowych.
Przejdźmy do innego typu zagrożenia, na pierwszy rzut oka nie związanego z phishingiem. Ransomware, to oprogramowanie szyfrujące dane w celu późniejszego wymuszenia okupu za ich odzyskanie. Słowo to budzi przerażenie w głowach wielu osób. Niewielu zdaje sobie też sprawę z faktu, iż kopia bezpieczeństwa nie musi nam gwarantować rozwiązania tego problemu. Niepoprawnie wykonana lub źle przechowywana kopia również może zostać zaszyfrowana. Warto o tym pamiętać przygotowując backup komputerów i serwerów.
Kategoria ataków ransomware zawsze jest na celowniku badaczy. W 2021 roku CERT Polska zarejestrował 124 incydenty dotyczące ransomware. To o 13% więcej niż w roku 2020. Warto zwrócić uwagę, że aż 32 incydenty dotyczyły podmiotów publicznych.
W 2021 roku CERT Polska zarejestrował
124incydenty dotyczące ransomware
Aż
132incydenty dotyczyły podmiotów publicznych
Dużą zmianą obserwowaną od kilku lat na rynku ransomware jest rozwój modelu ransomware as a service. Dzięki niemu osoby stojące za tworzeniem oprogramowania nie martwią się o cel ataku – ten wskaże im klient, który za to zapłaci. Niestety taki model sprzyja rozwojowi narzędzi, które z roku na rok stają się coraz bardziej dopracowane. W ostatnich latach można również zauważyć trend „wielokrotnego wymuszenia” – przestępcy żądają okupu za odzyskanie danych, za nieujawnienie informacji o ataku, a czasem nawet za nieujawnienie danych wrażliwych, jeśli takie udało się atakującym pozyskać.
Zastanówmy się skąd wynika opłacalność takich działań. Dlaczego zarówno kampanie, które wydają się niedorzeczne i są rozsyłane do tysięcy osób nadal się opłacają? Jak przestępcy uzyskują dostęp do wewnętrznych sieci firmowych, a następnie wykorzystują go do szantażu? Odpowiedzi oczywiście jest wiele, ale jedna z nich wybrzmiewa mocniej od innych – socjotechnika.
Zakres technik inżynierii społecznej jest olbrzymi i mimo iż spotykamy się z nimi na co dzień, powstają kampanie informacyjne, to niestety wiele osób zostaje kolejnymi ofiarami. Przestępcy znajdują nowe metody, czasem trafią na osobę, która się spieszy, albo ma gorszy dzień. To niejednokrotnie wystarczy by paść ofiarą oszustwa. Jak wskazują dane – co roku ofiar jest coraz więcej, a także, kwoty wyłudzeń są coraz większe i najczęściej nie udaje się ich odzyskać. Warto pamiętać o tym, że także ataki typu ransomware niejednokrotnie udają się po zastosowaniu wobec pracowników narzędzi socjotechnicznych. Od najprostszego phishingu, przez tailgating, kończąc na łapówkach - wszystko po to, aby atakujący dostał się do wewnętrznej sieci. Nie zawsze trzeba łamać zabezpieczenia komputerowe, czasem wystarczy "złamać" człowieka. W związku z tym warto samemu pamiętać, ale także uczulać znajomych, a także swoich pracowników na kwestie bezpieczeństwa.
W 2021 roku nie pojawił się żaden nowy rewolucyjny schemat kampanii phishingowych, a stare działania wracały w nowych odsłonach. Czasem zmieniały się, aby ukryć swoje mechanizmy działania.
Przejmowanie kont na portalach społecznościowych może skończyć się różnymi nieprzyjemnościami dla ofiary - szantażem, a także wyłudzeniami od znajomych. W roku 2021 dominowały dwa typy kampanii skierowanych w użytkowników popularnego serwisu społecznościowego.
- Fałszywe posty informacyjne – spreparowane strony z kontrowersyjnymi treściami wymagające potwierdzenia wieku/logowania. Na przestrzeni roku dało się zauważyć, jak zmieniały się podstrony wyłudzające, od dość prostych okienek, aż po profesjonalnie spreparowane strony przypominające popularne serwisy.
- Głosowania i konkursy – fałszywe okazje, które wymagają kliknięcia w link, a następnie zalogowania przez podstawioną stronę lub podania danych osobowych.
- Fałszywe bramki płatności – szereg incydentów najczęściej rozpoczynających się od SMS-a mającego wzbudzić w nas zaciekawienie (nieodebrana paczka) lub strach (odcięcie dostępu). Link do płatności przekierowywał na fałszywą bramkę płatności, która wyłudzała dane do logowania do banku. Najczęściej stosowane wiadomości: dopłata do paczki, odcięcie prądu lub gazu w przypadku nieuregulowania należności od dostawców tych mediów. Oczywiście firmy te nie mają nic wspólnego z kampanią, to po prostu sprytny zabieg atakujących mający trafić w jak najszerszą grupę docelową odbiorców. Warto też zwrócić uwagę na to, iż wymagane kwoty dopłat zazwyczaj nie przekraczały pięciu złotych. Zabieg ten wycelowany był w osoby, które mogą kliknąć dla „świętego spokoju”.
- Atak na sprzedawcę – ten rodzaj ataku najmocniej rozwijał się w roku 2021. Polega na udawaniu kupującego i podstawieniu fałszywego dowodu wpłaty, a następnie wyłudzeniu danych (a czasem też przedmiotu aukcji).
- Serwisy ogłoszeniowe – pierwotnie atakujący zgłaszali się do osób sprzedających przedmioty na platformie ogłoszeniowej. „Kupujący” udawał zainteresowanie przedmiotem, korespondował ze sprzedającym, a ostatecznie wysyłał link do fałszywej strony, na której znajdowała się informacja o pomyślnej sprzedaży przedmiotu oraz przycisk do odebrania środków. Strona ta wyłudzała dane kart kredytowych.
- Firmy kurierskie / pocztowe – rozwinięcie metody, która na szerszą skalę była używana także na innych platformach sprzedażowych. Schemat jest bardzo podobny, różnica tkiw jedynie w wiadomości końcowej. Zamiast podejrzanej strony informującej o pozytywnej sprzedaży pojawiała się informacja o wybranej sposobie dostawy przez „kupującego”.
- Drobne ewolucje dostosowujące się do portali oferujących rezerwację hotelu czy auta – w każdym przypadku główna metoda pozostawała ta sama – złośliwy link – zmieniało się jednak opakowanie, które nie tylko było coraz lepiej dopracowane, ale także odpowiednio modyfikowane pod konkretne platformy.
Więcej informacji na temat zgłaszania incydentów można znaleźć na stronie internetowej CERT.
Zapraszamy także do odwiedzenia strony internetowej poświęconej inicjatywie EY #KrokPrzedOszustem. Można znaleźć tam informacje o popularnych schematach oszustw oraz porady jak ich unikać.
Zobacz również
Wstecz
