CERT Polska – większe zagrożenie atakami w sieci

28 kwietnia 2022 roku – CERT Polska opublikował artykuł [1] podsumowujący część rocznego raportu dotyczącą obsługi incydentów w 2021 roku. Specjaliści CERT wytypowali 65 586 zgłoszeń ze 116 071 zarejestrowanych. Na tej podstawie udało się zidentyfikować aż 29 483 unikalnych incydentów cyberbezpieczeństwa. To prawie trzykrotnie więcej unikatowych incydentów niż rok wcześniej (10 420). Niestety kolejny rok z rzędu da się zaobserwować znaczący wzrost aktywności cyberprzestępców.

 

Na incydenty w cyberprzestrzeni należy patrzeć pod różnymi kątami. Z jednej strony ważna może być ilość – ta wskazuje na najpopularniejsze rodzaje ataków. Zazwyczaj dotyczą one losowej grupy osób, tworzone są niewielkim kosztem i wystarczy kilka ofiar, aby taki atak się zwrócił. Dobrym przykładem jest „Afrykański książę”, który przeleje nam miliony, pod warunkiem potwierdzenia tożsamości lub załatwienia niezbędnych dokumentów, własnym przelewem na jedyne 1 000$. Z drugiej strony incydentów powodujących milionowe straty, na przykład związanych z ransomware będzie zdecydowanie mniej, ale każdy z nich może doprowadzić firmę do bankructwa, przez okup, zniszczenie danych, a także zniszczenie reputacji. Taką dogłębną analizę możemy znaleźć w raporcie rocznym CERT Polska [2]. Poniżej przedstawiam najciekawsze wnioski dotyczące obsługi najczęściej występujących incydentów oraz rosnącego zagrożenia związanego z atakami ransomware.

 

Zgodnie z podziałem na kategorie według taksonomii eCSIRT.net wyróżniono trzy najpopularniejsze typy incydentów:

  1. Phishing, czyli atak polegający na wyłudzeniu, często wrażliwych informacji, poprzez rozmowę, fałszywą stronę (np. logowania); często do takich stron prowadzą linki z podejrzanych wiadomości. Ten rodzaj incydentów stanowi aż 76,57% wszystkich zgłoszeń (22 575 przypadków), to wzrost o 196% względem roku poprzedniego. Najpopularniejszą kampanią phishingową było podszywanie się pod popularny serwis społecznościowy – 4 852 incydenty.
  2. Na drugim miejscu względem popularności znalazły się incydenty związane ze szkodliwym oprogramowaniem – 9,66% (2 847 zgłoszeń). Względem roku 2020 to wzrost o 281%! Oprogramowanie takie możemy pobrać klikając w linki, ale także wchodząc na specjalnie przygotowane strony zawierające odpowiedni kod lub otwierając pliki z nieznanych źródeł.
  3. Trzecie miejsce należy do kategorii obraźliwych i nielegalnych treści, do której zalicza się również SPAM. Mimo iż odsetek tego typu incydentów wynosi jedynie 1,05% warto zwrócić uwagę na fakt, iż na te 311 incydentów składa się aż 21 522 zgłoszeń. Wynika to z faktu dużego podobieństwa, a często wręcz masowego rozsyłania wiadomości o identycznej treści do różnych użytkowników. Jednym z najpopularniejszych typów incydentów tego typu w 2021 były tzw. „sextortion scam” – ataki polegające na wyłudzaniu okupu za kompromitujące zdjęcia/nagrania zdobyte po rzekomym przejęciu kontroli nad urządzeniami osoby atakowanej.

 

Phishing stanowi aż
wszystkich zgłoszeń
Zidentyfikowano aż
unikalnych incydentów bezpieczeństwa

Bardzo ciekawy okazuje się również podział na incydenty w zależności od sektora gospodarczego, którego dotyczą. Poniżej tabela prezentująca dziewięć sektorów najmocniej dotkniętych incydentami w 2021 roku.

Tabela 1 - Liczba incydentów przypadających na odpowiednie sektory gospodarki

Po bliższym przyjrzeniu się trzem „najpopularniejszym” sektorom, media (m.in. telewizja, prasa, media społecznościowe), handel (m.in. sklepy internetowe, serwisy aukcyjne), poczta i usługi kurierskie, można zauważyć, że odpowiednio 91,73%, 89,17%, 84,14% ze wszystkich incydentów w tych trzech grupach stanowią ataki phishingowe. Popularność ataków w tych obszarach wynika z łatwego dostępu do ofiary, szeroką gamę odbiorców, a także łatwość w stosowaniu socjotechnik ze względu na powszechność użytkowania portali społecznościowych, zakupów internetowych, a także wynikających z nich dostaw pocztowych.

Przejdźmy do innego typu zagrożenia, na pierwszy rzut oka nie związanego z phishingiem. Ransomware, to oprogramowanie szyfrujące dane w celu późniejszego wymuszenia okupu za ich odzyskanie. Słowo to budzi przerażenie w głowach wielu osób. Niewielu zdaje sobie też sprawę z faktu, iż kopia bezpieczeństwa nie musi nam gwarantować rozwiązania tego problemu. Niepoprawnie wykonana lub źle przechowywana kopia również może zostać zaszyfrowana. Warto o tym pamiętać przygotowując backup komputerów i serwerów.

Kategoria ataków ransomware zawsze jest na celowniku badaczy. W 2021 roku CERT Polska zarejestrował 124 incydenty dotyczące ransomware. To o 13% więcej niż w roku 2020. Warto zwrócić uwagę, że aż 32 incydenty dotyczyły podmiotów publicznych. 

W 2021 roku CERT Polska zarejestrował
incydenty dotyczące ransomware
incydenty dotyczyły podmiotów publicznych

Dużą zmianą obserwowaną od kilku lat na rynku ransomware jest rozwój modelu ransomware as a service. Dzięki niemu osoby stojące za tworzeniem oprogramowania nie martwią się o cel ataku – ten wskaże im klient, który za to zapłaci. Niestety taki model sprzyja rozwojowi narzędzi, które z roku na rok stają się coraz bardziej dopracowane. W ostatnich latach można również zauważyć trend „wielokrotnego wymuszenia” – przestępcy żądają okupu za odzyskanie danych, za nieujawnienie informacji o ataku, a czasem nawet za nieujawnienie danych wrażliwych, jeśli takie udało się atakującym pozyskać.

Zastanówmy się skąd wynika opłacalność takich działań. Dlaczego zarówno kampanie, które wydają się niedorzeczne i są rozsyłane do tysięcy osób nadal się opłacają? Jak przestępcy uzyskują dostęp do wewnętrznych sieci firmowych, a następnie wykorzystują go do szantażu? Odpowiedzi oczywiście jest wiele, ale jedna z nich wybrzmiewa mocniej od innych – socjotechnika.

Zakres technik inżynierii społecznej jest olbrzymi i mimo iż spotykamy się z nimi na co dzień, powstają kampanie informacyjne, to niestety wiele osób zostaje kolejnymi ofiarami. Przestępcy znajdują nowe metody, czasem trafią na osobę, która się spieszy, albo ma gorszy dzień. To niejednokrotnie wystarczy by paść ofiarą oszustwa. Jak wskazują dane – co roku ofiar jest coraz więcej, a także, kwoty wyłudzeń są coraz większe i najczęściej nie udaje się ich odzyskać. Warto pamiętać o tym, że także ataki typu ransomware niejednokrotnie udają się po zastosowaniu wobec pracowników narzędzi socjotechnicznych. Od najprostszego phishingu, przez tailgating, kończąc na łapówkach - wszystko po to, aby atakujący dostał się do wewnętrznej sieci. Nie zawsze trzeba łamać zabezpieczenia komputerowe, czasem wystarczy "złamać" człowieka. W związku z tym warto samemu pamiętać, ale także uczulać znajomych, a także swoich pracowników na kwestie bezpieczeństwa.

W 2021 roku nie pojawił się żaden nowy rewolucyjny schemat kampanii phishingowych, a stare działania wracały w nowych odsłonach. Czasem zmieniały się, aby ukryć swoje mechanizmy działania.

Przejmowanie kont na portalach społecznościowych może skończyć się różnymi nieprzyjemnościami dla ofiary - szantażem, a także wyłudzeniami od znajomych. W roku 2021 dominowały dwa typy kampanii skierowanych w użytkowników popularnego serwisu społecznościowego.

  • Fałszywe posty informacyjne – spreparowane strony z kontrowersyjnymi treściami wymagające potwierdzenia wieku/logowania. Na przestrzeni roku dało się zauważyć, jak zmieniały się podstrony wyłudzające, od dość prostych okienek, aż po profesjonalnie spreparowane strony przypominające popularne serwisy.
  • Głosowania i konkursy – fałszywe okazje, które wymagają kliknięcia w link, a następnie zalogowania przez podstawioną stronę lub podania danych osobowych.
  • Fałszywe bramki płatności – szereg incydentów najczęściej rozpoczynających się od SMS-a mającego wzbudzić w nas zaciekawienie (nieodebrana paczka) lub strach (odcięcie dostępu). Link do płatności przekierowywał na fałszywą bramkę płatności, która wyłudzała dane do logowania do banku. Najczęściej stosowane wiadomości: dopłata do paczki, odcięcie prądu lub gazu w przypadku nieuregulowania należności od dostawców tych mediów. Oczywiście firmy te nie mają nic wspólnego z kampanią, to po prostu sprytny zabieg atakujących mający trafić w jak najszerszą grupę docelową odbiorców. Warto też zwrócić uwagę na to, iż wymagane kwoty dopłat zazwyczaj nie przekraczały pięciu złotych. Zabieg ten wycelowany był w osoby, które mogą kliknąć dla „świętego spokoju”.
  • Atak na sprzedawcę – ten rodzaj ataku najmocniej rozwijał się w roku 2021. Polega na udawaniu kupującego i podstawieniu fałszywego dowodu wpłaty, a następnie wyłudzeniu danych (a czasem też przedmiotu aukcji).
  • Serwisy ogłoszeniowe – pierwotnie atakujący zgłaszali się do osób sprzedających przedmioty na platformie ogłoszeniowej. „Kupujący” udawał zainteresowanie przedmiotem, korespondował ze sprzedającym, a ostatecznie wysyłał link do fałszywej strony, na której znajdowała się informacja o pomyślnej sprzedaży przedmiotu oraz przycisk do odebrania środków. Strona ta wyłudzała dane kart kredytowych.
  • Firmy kurierskie / pocztowe – rozwinięcie metody, która na szerszą skalę była używana także na innych platformach sprzedażowych. Schemat jest bardzo podobny, różnica tkiw jedynie w wiadomości końcowej. Zamiast podejrzanej strony informującej o pozytywnej sprzedaży pojawiała się informacja o wybranej sposobie dostawy przez „kupującego”.
  • Drobne ewolucje dostosowujące się do portali oferujących rezerwację hotelu czy auta – w każdym przypadku główna metoda pozostawała ta sama – złośliwy link – zmieniało się jednak opakowanie, które nie tylko było coraz lepiej dopracowane, ale także odpowiednio modyfikowane pod konkretne platformy.

Więcej informacji na temat zgłaszania incydentów można znaleźć na stronie internetowej CERT.

Zapraszamy także do odwiedzenia strony internetowej poświęconej inicjatywie EY #KrokPrzedOszustem. Można znaleźć tam informacje o popularnych schematach oszustw oraz porady jak ich unikać.

 



Zobacz również

Polska ustawa sankcyjna

16 kwietnia 2022 r. weszła w życie polska ustawa sankcyjna. Dotyczy szczególnych rozwiązaniań w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego. Jakie zmiany wprowadza?

Sankcje gospodarcze nałożone na Rosję z perspektywy polskich przedsiębiorstw. Co zmienia zakaz eksportu do Rosji?

UE, USA i Wielka Brytania wprowadzają kolejne pakiety sankcje gospodarcze nałożone na Rosję., m.in. zakaz eksportu do Rosji i Białorusi. W konsekwencji zostały wprowadzone sankcje odwetowe Rosji. Co to oznacza dla polskich przedsiębiorców?

Ryzyko sankcyjne. Co oznaczają sankcje gospodarcze dla przedsiębiorców?

Jak działają sankcje gospodarcze? Co to są listy sankcyjne i ryzyko sankcyjne? Sprawdź, jak wprowadzane sankcje wpływają na prowadzenie biznesu i jak bronić się przed ryzykiem sankcyjnym?

Klapki na oczach czy szerokie horyzonty?

Światowe Badanie Uczciwości w Biznesie 2022 ukazuje jak usprawnienie ładu korporacyjnego może zwiększyć uczciwość biznesu

Dyrektywa UE o ochronie sygnalistów - szanse i wyzwania

Celem Dyrektywy UE jest zapewnienie sygnalistom ochrony przed odwetem poprzez wdrożenie rozwiązań na poziomie organizacji. Sygnalista będzie miał możliwość zgłoszenia naruszeń wewnątrz i na zewnątrz organizacji. Poziom ochrony ma być taki sam, niezależnie od sposobu zgłaszania.

Czas na ochronę sygnalistów - badanie EY

W przeddzień wejścia w życie Dyrektywy UE o ochronie sygnalistów* zapytaliśmy polskie spółki, które od 17 grudnia 2021 r. będą podlegały jej wymogom, o ich stopień gotowości oraz wyzwania, z którymi się zmagają. Wyniki naszego badania zbiegają się w czasie z zamieszczeniem w wykazie prac legislacyjnych polskiego projektu** ustawy o ochronie osób zgłaszających naruszenia prawa, którego przyjęcie planowane jest w IV kwartale 2021r.

Jak skuteczna struktura sygnalizowania o możliwych naruszeniach może pomóc w tworzeniu trwałej wartości?

Skuteczne systemy sygnalizowania możliwych naruszeń są istotne nie tylko z punktu widzenia prawa i etyki, ale także pomagają firmom zyskać przewagę konkurencyjną. Dowiedz się więcej.

Zapobieganie nadużyciom finansowym i ich wykrywanie: wzmocnienie roli przedsiębiorstw, biegłych rewidentów i organów regulacyjnych

Dowiedz się, dlaczego konieczne jest ponowne zbadanie, w jaki sposób tradycyjne procedury kontroli podchodzą do ryzyka nadużyć finansowych.

Imperatyw kategoryczny Kanta jako wstęp do dyskusji o compliance

Compliance w organizacji nie bierze się z niczego, nie pojawia się nagle jako prawda objawiona.


    Kontakt
    Chcesz dowiedzieć się więcej? Skontaktuj się z nami.