Proste, wyrafinowane, innowacyjne i „tradycyjne” – specjaliści z CERT Polska obserwowali w ubiegłym roku wszystkie oblicza internetowych kradzieży. Część ze złodziei bazowała na szczęściu i sprycie, inni wkładali dużo pracy w przygotowanie zaawansowanych narzędzi. Użytkownicy narażeni byli min. na fałszywe sklepy, podrobione bramki płatności i „nakładki” na aplikacje bankowe.
- W 2018 r. CERT Polska zanotował 19 439 zgłoszeń, które zostały przeanalizowane i pogrupowane. 5 675 zostało zaklasyfikowane jako dotyczące rzeczywistych incydentów. Na ich podstawie zarejestrowaliśmy łącznie 3 739 incydentów – informuje CERT Polska w swoim raporcie.
Szczególny wzrost eksperci odnotowali w liczbie zgłoszeń, dotyczących fałszywych sklepów internetowych. W odniesieniu do 2017 r. zespół obsłużył prawie trzy razy więcej incydentów tego typu. Były to najczęściej witryny, na których oferowano towar po okazyjnej cenie. Oszust pobierał opłatę i po prostu nie wysyłał nic w zamian. W ten rodzaj wyłudzenia, chociaż prosty, często przestępcy wkładali znaczny wysiłek – sklepy były atrakcyjnie zaprojektowane, niekiedy również reklamowane i pozycjonowane w wyszukiwarkach ofert. Zdarzały się przypadki przejmowania marek sprzedawców, którzy przestali prowadzić działalność, co pozwalało oszustom korzystać z prawdziwej historii transakcji i opinie klientów.
Plagą 2018 r. były też fałszywe witryny usług pośredników płatności. Innowacyjny pomysł, realizowany przez osoby z umiejętnościami technicznymi. Strony tworzone przez przestępców do złudzenia przypominały witryny usług takich jak PayU, Dotpay, a z nich prowadziły linki do stron logowania duplikujących strony odpowiednich banków. Aby skłonić internautów do wejścia na fałszywą stronę przestępcy rozsyłali wiadomości phishingowe, wyglądające np. jak informacja o wystawieniu faktury, link do śledzenia przesyłki kurierskiej, ponaglenie w sprawie zapłaty za usługę itp. Tu także pojawiały się fałszywe sklepy. Chcąc uśpić czujność ofiar sklepy te oferowały również sprzedaż „za pobraniem”, prosząc jedynie o niewielką przedpłatę za przesyłkę, której oczywiście klient miałby dokonać po skorzystaniu z podanego linku. Osoba, która trafiła na taką stronę, podawała swój login i hasło złodziejom, którzy natychmiast wykorzystywali je do zalogowania się do prawdziwego konta i zlecenia zupełnie innej transakcji. Jeśli klient podał również jednorazowy kod z sms-a lub zatwierdził transakcję w aplikacji mobilnej, to umożliwiał przestępcom wykonanie operacji na jego koncie.
- W tym momencie jedynym sposobem uchronienia się przed kradzieżą wszystkich pieniędzy jest dokładne czytanie treści sms-a lub komunikatu w aplikacji przy potwierdzaniu transakcji. Ponieważ zwykle przestępcy próbują w takiej sytuacji ustawić własne konto jako zaufanego odbiorcę, do którego będą mogli przelać wszystkie środki z konta ofiary już bez potrzeby podawania jednorazowego kodu. Informacja o tym, jakiego rodzaju transakcję zatwierdzamy, jest podana w treści sms-a z banku lub w komunikacie w aplikacji. Jeśli rodzaj transakcji lub kwota różni się od naszego zlecenia, to nie wolno podawać kodu i trzeba anulować transakcję a sprawę zgłosić do banku. Adres strony, z której dokonywana była podejrzana płatność należy przesłać w zgłoszeniu do CERT Polska – wyjaśnia Przemysław Jaroszewski Kierownik Działu CERT Polska w Państwowym Instytucie Badawczym NASK.
W 2018 r. CERT Polska odnotował prawie 180 domen użytych przez grupy zajmujące się tego typu kradzieżami. Każda z tych witryn zawierała fałszywą bramkę. Stanowią one tylko fragment całego procederu. Incydentów było zapewne znacznie więcej. Jak zauważają eksperci tendencja jest niestety wzrostowa i należy spodziewać się kontynuacji i intensyfikacji tego typu ataków w 2019 r.
Specjaliści spodziewają się też intensyfikacji nielegalnych działań wymierzonych w użytkowników smartfonów. „W 2018 r. zaobserwowaliśmy wiele kampanii złośliwego oprogramowania, wymierzonych w polskich i zagranicznych użytkowników systemu Android. Celem każdej kampanii było nakłonienie użytkownika do instalacji szkodliwej aplikacji. Na skutek przydzielonych uprawnień umożliwiała ona atakującemu przejęcie kontroli nad urządzeniem ofiary. Do głównych zadań malware’u należało wykradanie danych logowania do aplikacji bankowych oraz przechwytywanie komunikacji SMS i powiadomień z kodami autoryzującymi transakcje” – informuje zespół CERT Polska w swoim raporcie.
Niektóre warianty złośliwego oprogramowania oferowały przestępcom dodatkowe funkcje. Najpopularniejsze z nich to: dostęp do mikrofonu i kamery, pobieranie informacji o lokalizacji ofiary, wykonywanie zrzutów ekranu i dostęp do plików zapisanych na urządzeniu.
Z kolei mniej wiedzy, a więcej zapału i bezczelności wymagały wyłudzenia, wykorzystujące ludzkie słabości i nieuwagę. Jedną z metod, opisywanych przez CERT Polska jest skorzystanie z przejętego konta na portalu społecznościowym. Przestępca nie musi nawet sam włamywać się do serwisu. Wystarczy, że kupi na internetowym czarnym rynku hasła użytkowników, wykradzione z innego, gorzej zabezpieczonego serwisu. „Niestety wiele osób, aby ułatwić sobie życie, ma zwyczaj stosować takie samo hasło do różnych usług. Jeśli przestępca dobrze trafi, to może wykorzystać kupione hasła do logowania na cudze konta w portalach społecznościowych. Zdarzały się przypadki, że oszuści, po uzyskaniu dostępu do profilu ofiary wysyłali do wszystkich jej znajomych prośbę o pilną drobną pożyczkę - przelew usługą BLIK do bankomatu” – opisuje szef CERT Polska. Odruchowe zaufanie internautów, co do tożsamości osoby z grona znajomych w social media daje szansę na opłacalność takiego procederu.
Całość raportu, podsumowującego krajobraz cyberbezpieczeństwa w Polsce w 2018 r. CERT Polska publikuje na swojej stronie internetowej (www.cert.pl). Można w nim znaleźć również informacje o nowych przepisach, związanych z ochroną sieci w Polsce i w Unii Europejskiej oraz związanymi z tym nowymi obowiązkami dla niektórych podmiotów.
Raport dostępny jest na stronie: https://www.cert.pl/wp-content/uploads/2019/05/Raport_CP_2018.pdf
CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty (Computer Emergency Response Team). Zespół działa w strukturach Państwowego Instytutu Badawczego NASK, prowadzącego działalność naukową, krajowy rejestr domen .pl, a na mocy ustawy o krajowym systemie cyberbezpieczeństwa, pełniącego rolę jednego z trzech CSIRT (Computer Security Incident Response Team) najwyższego poziomu krajowego (CSIRT NASK, CSIRT MON i CSIRT GOV). NASK jest także zapleczem analitycznym i badawczo-rozwojowym dla systemu cyberbezpieczeństwa w Polsce, a wśród jego zadań wskazano wspieranie podmiotów w budowaniu ich potencjału m.in. przez organizację ćwiczeń, projekty badawcze i zaawansowane analizy techniczne i strategiczne.