W 2018 r. trzy najczęściej występujące typy cyberincydentów to: phishing, dystrybucja złośliwego oprogramowania i spam. Rośnie liczba złośliwych aplikacji dla urządzeń mobilnych, przede wszystkim z systemem Android. Wiele z nich, między innymi podszywających się pod legalne aplikacje finansowe, dostępnych było do pobrania w oficjalnym sklepie – to niektóre z wniosków z opublikowanego przez CERT Polska raportu za 2018 r.
– W 2018 r. CERT Polska, działający w strukturach NASK zanotował 19 439 zgłoszeń związanych z naruszeniem cyberbezpiecześńtwa, które zostały przeanalizowane i pogrupowane. 5 675 zostało zaklasyfikowane jako dotyczące rzeczywistych incydentów. Na ich podstawie zarejestrowano łącznie 3 739 incydentów – informuje CERT Polska w swoim dorocznym raporcie.
Zauważa przy tym, że utrzymuje się tendencja wzrostowa w liczbie zgłoszeń incydentów. W porównaniu do 2017 roku liczba zarejestrowanych incydentów była większa o 17,5 proc. Trzy czwarte z nich dotyczyło osób fizycznych lub podmiotów prywatnych.
Szczególny wzrost eksperci odnotowali w liczbie zgłoszeń, dotyczących fałszywych sklepów internetowych. W odniesieniu do 2017 r. zespół obsłużył prawie trzy razy więcej incydentów tego typu. Były to najczęściej witryny, na których oferowano towar po okazyjnej cenie. Oszust pobierał opłatę i po prostu nie wysyłał nic w zamian. W ten rodzaj wyłudzenia, chociaż prosty, często przestępcy wkładali znaczny wysiłek – sklepy były atrakcyjnie zaprojektowane, niekiedy również reklamowane i pozycjonowane w wyszukiwarkach ofert. Zdarzały się przypadki przejmowania marek sprzedawców, którzy przestali prowadzić działalność, co pozwalało oszustom korzystać z prawdziwej historii transakcji i opinii klientów.
Plagą 2018 r. były też fałszywe witryny usług pośredników płatności. CERT NASK określa to działanie jako innowacyjny pomysł, realizowany przez osoby z umiejętnościami technicznymi. Strony tworzone przez przestępców do złudzenia przypominały witryny usług takich jak PayU, Dotpay, a z nich prowadziły linki do stron logowania duplikujących strony odpowiednich banków. Aby skłonić internautów do wejścia na fałszywą stronę przestępcy rozsyłali wiadomości phishingowe, wyglądające np. jak informacja o wystawieniu faktury, link do śledzenia przesyłki kurierskiej, ponaglenie w sprawie zapłaty za usługę itp. Tu także pojawiały się fałszywe sklepy. Chcąc uśpić czujność ofiar sklepy te oferowały również sprzedaż „za pobraniem”, prosząc jedynie o niewielką przedpłatę za przesyłkę, której oczywiście klient miałby dokonać po skorzystaniu z podanego linku.
Osoba, która trafiła na taką stronę, podawała swój login i hasło złodziejom, którzy natychmiast wykorzystywali je do zalogowania się do prawdziwego konta i zlecenia zupełnie innej transakcji. Jeśli klient podał również jednorazowy kod z sms-a lub zatwierdził transakcję w aplikacji mobilnej, to umożliwiał przestępcom wykonanie operacji na jego koncie. CERT zwraca uwagę, że w tym momencie jedynym sposobem uchronienia się przed kradzieżą wszystkich pieniędzy jest dokładne czytanie treści sms-a lub komunikatu w aplikacji przy potwierdzaniu transakcji. Ponieważ zwykle przestępcy próbują w takiej sytuacji ustawić własne konto jako zaufanego odbiorcę, do którego będą mogli przelać wszystkie środki z konta ofiary już bez potrzeby podawania jednorazowego kodu.
– Informacja o tym, jakiego rodzaju transakcję zatwierdzamy, jest podana w treści sms-a z banku lub w komunikacie w aplikacji. Jeśli rodzaj transakcji lub kwota różni się od naszego zlecenia, to nie wolno podawać kodu i trzeba anulować transakcję, a sprawę zgłosić do banku. Adres strony, z której dokonywana była podejrzana płatność należy przesłać w zgłoszeniu do CERT Polska – wyjaśnia Przemysław Jaroszewski, kierownik Działu CERT Polska w Państwowym Instytucie Badawczym NASK.
W 2018 r. CERT Polska odnotował prawie 180 domen użytych przez grupy zajmujące się tego typu kradzieżami. Każda z tych witryn zawierała fałszywą bramkę. Stanowią one tylko fragment całego procederu. Incydentów było zapewne znacznie więcej. Jak zauważają eksperci, tendencja jest niestety wzrostowa i należy spodziewać się kontynuacji i intensyfikacji tego typu ataków w 2019 r.
Specjaliści CERT spodziewają się też intensyfikacji nielegalnych działań wymierzonych w użytkowników smartfonów. – W 2018 r. zaobserwowaliśmy wiele kampanii złośliwego oprogramowania, wymierzonych w polskich i zagranicznych użytkowników systemu Android. Celem każdej kampanii było nakłonienie użytkownika do instalacji szkodliwej aplikacji. Na skutek przydzielonych uprawnień, umożliwiała ona atakującemu przejęcie kontroli nad urządzeniem ofiary. Do głównych zadań malware’u należało wykradanie danych logowania do aplikacji bankowych oraz przechwytywanie komunikacji SMS i powiadomień z kodami autoryzującymi transakcje – informuje zespół CERT Polska w raporcie.
Jednym z przykładów może być kampanię pod szyldem LTE, w której cyberprzestępcy nakłaniali do wizyty na fałszywej stronie, wysyłając wiadomości SMS lub dzwoniąc do wybranych osób przedstawiając się ofierze jako operator sieci komórkowej, który tłumaczył konieczność pobrania stosownej aktualizacji. Rezygnacja z instalacji poprawki, określanej jako sterownik LTE 5.0, miała skutkować brakiem zasięgu i brakiem możliwości wykonywania połączeń. Na stronie zastosowano zabieg socjotechniczny, w wyniku którego użytkownik zezwalał na instalację oprogramowania z nieoficjalnych źródeł i infekował się bankowym trojanem.
Niektóre warianty złośliwego oprogramowania oferowały przestępcom dodatkowe funkcje. Najpopularniejsze z nich to: dostęp do mikrofonu i kamery, pobieranie informacji o lokalizacji ofiary, wykonywanie zrzutów ekranu i dostęp do plików zapisanych na urządzeniu.
Cyberprzestępcy próbują też przejmować konta na portalu społecznościowym. Przestępca nie musi nawet sam włamywać się do serwisu. Wystarczy, że kupi na internetowym czarnym rynku hasła użytkowników, wykradzione z innego, gorzej zabezpieczonego serwisu. Po co to robią? Choćby po to, by potem, gdy uzyskają dostęp do profilu ofiary wysyłać do wszystkich jego znajomych prośbę o pilną drobną pożyczkę – przelew usługą BLIK do bankomatu. Odruchowe zaufanie internautów, co do tożsamości osoby z grona znajomych w social media daje szansę na opłacalność takiego procederu.
