REKLAMA

CERT Orange: phishing na fałszywe inwestycje to już plaga, a ataki DDoS coraz silniejsze

CyberTarcza w sieci Orange w ubiegłym roku najczęściej blokowała strony internetowe z fałszywymi inwestycjami – skala tego typu oszustw z roku na rok wzrosła dwukrotnie. Łącznie w 2024 r. zablokowano 305 tys. fałszywych stron internetowych, chroniąc 4,85 mln klientów, którzy kliknęli w fałszywe linki – wynika z raportu CERT Orange Polska za rok 2024, który to zawiera podsumowanie kluczowych danych i statystyk dotyczących zagrożeń wykrytych i zablokowanych w sieci Orange,

Od wielu lat, główne rodzaje zagrożeń, na jakie narażeni są internauci, pozostają praktycznie bez zmian. W ubiegłym roku, wg danych CERT Orange Polska, po raz kolejny numerem jeden był phishing (45 proc.), na kolejnych miejscach utrzymują się ataki DDoS (15 proc.) oraz złośliwe oprogramowanie (blisko 14 proc.). Jednakże eksperci CERT Orange Polska zauważają także nowe metody działania cyberprzestępców: większą specjalizację grup zajmujących się wykradaniem i zarabianiem na danych, precyzyjne dobieranie ofiar, a także wykorzystywanie luk w zabezpieczeniach urządzeń.

W 2024 r. wśród metod phishingowych dominowały fałszywe inwestycje – stanowiły aż 60 proc. wszystkich oszustw, dwukrotnie więcej niż rok wcześniej. Linki do fałszywych stron rozpowszechniane były głównie za pomocą reklam w mediach społecznościowych. Drugie najpowszechniejsze oszustwo (około 30 proc.) to fałszywe płatności, w tym popularne oszustwo na kupującego. W całym ubiegłym roku CyberTarcza zablokowała 305 tys. domen phishingowych, podczas gdy rok wcześniej było ich 360 tys. Nie oznacza to jednak mniejszą aktywność przestępców. To efekt lawinowego już wykorzystania blokad typu „wildcard” w 2024 r. To blokady wszystkich subdomen w obrębie jednej domeny podstawowej.

W przypadku smishing-u, czyli phishingu realizowanego poprzez SMS-y, większość złośliwych wiadomości dotyczyła dostaw paczek, podszycia pod bank, oszustw na członka rodziny (na dziecko), na kupującego w portalach ogłoszeniowych oraz giełd kryptowalut, czy fałszywych nagród i konkursów.

Jak zauważają eksperci CERT Orange Polska, charakter cyberataków się zmienia. Ataki są coraz bardziej zestandaryzowane – około 90 proc. powstaje na bazie jednego szablonu, domeny są produkowane automatycznie, na masową skalę. Następnie jednak indywidualnie wybierane są ofiary – dokładnie rozpoznawane przez przestępców pod kątem potencjału finansowego i prawdopodobieństwa podatności na oszustwo.

Znacznie wzrosła częstość występowania ataków DDoS. Najwięcej alertów zarejestrowano na przełomie września i października (nawet ponad 10 tys. na dobę). W tym czasie obserwowano zwiększoną liczbę ataków typu carpet bombing, czyli takich, w których celem są całe podsieci, a nie pojedyncze konkretne adresy IP. Najwięcej alertów – ponad połowa – dotyczyło ataków o średnim stopniu nasilenia.

W porównaniu do 2023 r., w ub. roku było ich wyraźnie więcej (wzrost o blisko 9 pp.) Średnia wielkość natężenia ataku DDoS zaobserwowana w sieci Orange Polska sięgnęła ponad 7,2 Gb/s (nieco ponad 3,2 Gb/s w roku 2023). Z kolei największa odnotowana wartość natężenia ruchu w szczycie ataku, to ok. 586 Gb/s (przy niemal 543 Gb/s w 2023 r.). Coraz częściej obserwowane były ataki bardziej wyrafinowane, dopasowane do rozpoznanego celu ataku, w których o ich dotkliwości nie stanowi tylko jak największa siła, ale też treść i format wysyłanych pakietów czy zapytań aplikacyjnych.

Cyberprzestępcy skupiają się na kradzieży danych i ich monetyzowaniu. Eksperci dostrzegają prężnie rozwijający się ekosystem cyberprzestępczy, w którym operatorzy malware, brokerzy początkowego dostępu (pozyskujący dostępy do infrastruktury np. poprzez urządzenia brzegowe czy komputery) i grupy ransomware działają w ramach wyspecjalizowanych segmentów łańcucha ataku. To sprawia, że ataki stają się coraz bardziej modułowe i profesjonalne – niektóre grupy koncentrują się wyłącznie na początkowej fazie ataku, inne specjalizują się w wykradaniu (eksfiltracji) danych, ich analizie i wykorzystaniu do dalszych operacji.

Wcześniej głównym celem ataków ransomware było szyfrowanie danych ofiary i blokowanie dostępu do kluczowych systemów. Obecnie nacisk kładziony jest na bardziej złożone mechanizmy wymuszeń, które zapewniają atakującym większe szanse na skuteczne wyłudzenie pieniędzy, takie jak metody podwójnego lub nawet potrójnego nacisku (Double czy Triple Extortion) polegające na szyfrowaniu, ujawnianiu skradzionych danych i wymuszania okupu.

W ostatnim czasie pojawił się także trend wtórnego szantażu (Re-Extortion), w którym dane pochodzące z wcześniejszych wycieków są wykorzystywane do nowych wymuszeń. Cyberprzestępcy coraz częściej wykorzystują gorzej zabezpieczoną infrastrukturę firm trzecich jako sposób na uzyskanie dostępu do właściwego celu ataku. W ostatnim czasie wiele krytycznych podatności zostało odkrytych w urządzeniach sieciowych i systemach bezpieczeństwa. Cyberprzestępcy błyskawicznie wykorzystują te luki, zanim organizacje zdołają zabezpieczyć systemy oficjalnymi aktualizacjami. Po przejęciu urządzenia atakujący często zyskuje dostęp uprzywilejowany lub może podsłuchiwać i manipulować ruchem sieciowym.

Eksperci CERT Orange Polska przewidują, iż wykorzystanie sztucznej inteligencji przez cyberprzestępców prawdopodobnie stanie się bardziej zaawansowane i powszechne, zagrażając różnym obszarom bezpieczeństwa. Cyberprzestępcy wykorzystają AI do dezinformacji i bardziej efektywnego manipulowania opinią publiczną. Podatności będą opierać się głównie na „wstrzyknięciach” (direct/indirect prompt injection) doprowadzających do wycieków danych.

Z kolei opracowywane długoterminowe strategie będą polegały na głębokiej infiltracji firm z sektorów strategicznych przez zaawansowane grupy, których głównym celem jest cyberszpiegostwo. Jednym z głównych celów ataków będą rozwiązania chmurowe. Trend wykorzystania dostępów partnerskich doskonale wpisuje się w rosnącą falę ataków na łańcuchy dostaw.

Rynek kryptowalut staje się obecnie podstawowy dla grup hakerskich, zarówno na poziomie detalicznym, jak i tym bardzo mocno zorganizowanym. Eksperci podkreślają, że ataki malware (w modelu Malware-as-a-Service) mają na celu również wszelkiego rodzaju nośniki/portfele kryptowalut. Dzięki temu przestępcy mogą łatwiej transferować skradzione środki oraz anonimizować transakcje, co utrudnia ich śledzenie. Zauważają także trend, w którym cyberprzestępcy dokonują dobrze przygotowanych kradzieży o dużej wartości (okradając giełdy lub instytucje finansowe).

Orange przestrzega, że podczas wdrażania nowych technologii, w tym sztucznej inteligencji, firmy powinny zawsze uwzględniać bezpieczeństwo. Innowacje mogą przynieść znaczne korzyści biznesowe, ale ich implementacja bez odpowiednich zabezpieczeń stwarza dodatkowe ryzyka.