Internetowi przestępcy cały czas doskonalą się w działaniach, które mają na celu przechwycenie danych użytkowników sieci. W atakach phishingowych – bo tak określane są takie incydenty – cyberprzestępcy często wykorzystują wizerunek znanych i budzących zaufanie firm i instytucji, np. podrabiając ich strony internetowe. Właśnie dlatego CERT Polska w NASK prowadzi listę ostrzeżeń o domenach, wykorzystywanych do wyłudzania danych osobowych i danych logowania do kont bankowych. W tej chwili jest na niej już prawie 42 tys. adresów fałszywych stron.
Lista ostrzeżeń jest efektem porozumienia Ministerstwa Cyfryzacji, NASK i UKE z największymi polskimi operatorami komórkowymi. Z informacji o przestępczych stronach mogą korzystać bezpłatnie również wszyscy inni administratorzy, którzy chcą chronić swoich użytkowników przed atakami poprzez strony podszywające się pod znane podmioty i usługi.
W jaki sposób działają przestępcy?
W celu przechwycenia wrażliwych danych internautów przestępcy tworzą dopracowane w szczegółach strony internetowe bardzo przypominające np. strony logowania do banków, bramki płatności internetowych lub inne witryny rozpoznawalnych instytucji. Próbę oszustwa można wykryć, przyglądając się uważnie jej adresowi. Widnieje tam nazwa domeny, w której umieszczona jest strona. Nazwa fałszywej domeny będzie inna niż faktyczny adres prawdziwej firmy.
Przestępcy starają się tworzyć fałszywe strony, używając nazw podobnych do oryginalnych domen podmiotów, pod które się podszywają. Na liście publikowanej przez CERT Polska znajdują się m.in. nazwy: regulamin-wirtualnapolska.com, www. otodomweryfikacja.com, www.24platnosci.online, in-post.net, fakty-koronawirus24.pl. Zwykłym użytkownikom bardzo trudno jest odróżnić taką fałszywą nazwę od oryginalnej.
Aż 33 tys. adresów przybyło w zeszłym roku
Prowadzona przez CERT Polska lista ostrzeżeń przed niebezpiecznymi stronami działa już prawie 2 lata. Przez ten czas trafiło na nią blisko 42 tys. złośliwych domen, z czego aż 33 tys. w 2021 roku. Każda z nich była dokładnie weryfikowana przez specjalistów przed wpisaniem, dzięki czemu powstało jedno z najbardziej wiarygodnych źródeł tego typu danych, które może być przetwarzane w sposób automatyczny.
W 2021 roku pracownicy CERT Polska wpisywali na listę średnio 93 domeny tygodniowo, stanowi to wzrost o 250% w porównaniu do poprzedniego roku. Średnio liczby te rosły przez większość roku, za wyjątkiem ostatnich miesięcy kiedy zaobserwowano spadek. Należy zaznaczyć, że wzrost czy spadek nie zawsze bezpośrednio wynika ze zmian aktywności oszustów – może być skutkiem na przykład zwiększonej skuteczności w wykrywaniu danych kampanii.
Tylko w 2021 roku – dzięki współpracy z operatorami telekomunikacyjnymi, którzy korzystają z listy - udało się powstrzymać blisko 4 miliony prób wejścia na strony oznaczone jako wyłudzające dane.
Kto był najbardziej narażony?
Eksperci najczęściej obserwowali ataki wyłudzające dane logowania do Facebooka (7785 domen). Mimo że w roku 2020 też była to najpopularniejsza forma phishingu, to w 2021 r. ich liczba wzrosła ponad trzykrotnie. Najczęściej wykorzystywany był motyw wyłudzenia danych logowania celem rzekomej weryfikacji wieku, niezbędnej do obejrzenia filmu z drastycznego wydarzenia.
Częstym zjawiskiem były również kampanie podszywające się pod portal OLX celem wyłudzenia danych kart płatniczych. Podobne motywy były używane również dla portali firmy InPost i Allegro, ale warto zaznaczyć jest, że od połowy roku obserwowany jest stały spadek tego typu oszustw.
Nowym trendem, który pojawił się w drugiej połowie roku, okazały się fałszywe strony inwestycyjne korzystające z wizerunków różnych spółek. Najczęstszymi wykorzystywanymi polskimi markami są Orlen, PGNIG i Lotos.
Względem poprzedniego roku bardzo duży spadek zanotowały strony podszywające się pod operatorów płatności jak PayU czy Dotpay, tzw. bramki płatności. O ile w 2020 roku ataki z wykorzystaniem wizerunku Payu miały drugie miejsce pod względem liczby wystąpień, to w 2021 jest to już miejsce 13.
Kluczowe jest zgłaszanie incydentów
Lista ostrzeżeń rozpoczęła funkcjonowanie w odpowiedzi na znaczący wzrost liczby wyłudzeń danych w związku z treściami, dotyczącymi epidemii koronawirusa. Lista jest dostępna publicznie. Aby korzystać z danych nie trzeba się nigdzie rejestrować. Lista może być wykorzystywana przez dostawców internetowych do blokowania stron wyłudzających dane w ich sieciach. Dostawca nie powinien pobierać z tego tytułu dodatkowych opłat.
Eksperci CERT Polska jak zawsze zachęcają użytkowników internetu do zgłaszania incydentów pod adresem https://incydent.cert.pl/ i przekazywania złośliwych wiadomości SMS na numer 799-448-084, dlatego że głównie dzięki takim zgłoszeniom mogą skutecznie działać.