Rekordowy styczeń. Do CERTu zgłoszono 100 tysięcy wiadomości SMS

Chodzi o to, żeby ta praca przestała im się opłacać. Żeby zobaczyli, że wysyłają kampanię masową do dziesiątek tysięcy osób, ona dociera do garstki, a z tej garstki nikt się nie nabiera - wyjaśnia Iwona Prószyńska z CERT Polska, który jest częścią NASK PIB.

Ile prób wyłudzenia informacji zgłoszono do CERT [zespół powołany do reagowania na incydenty naruszające bezpieczeństwo w internecie – przyp. red.] w styczniu 2024 roku?

Dostaliśmy ponad 100 tys. zgłoszeń z samymi SMS-ami! Dla porównania w całym 2023 roku, który – jak myśleliśmy – był absolutnie rekordowy pod tym kątem, zgłoszeń było blisko 400 tys. 

Skąd taki wzrost?

Po pierwsze, wciąż mamy dużą aktywność cyberprzestępców. Najczęściej wykorzystują phishing, czyli metodę polegającą na podszywaniu się pod osobę lub instytucję w celu wyłudzenia informacji, np. danych logowania do bankowości. Wysyłając masowo wiadomości SMS czy e-mail, mogą w krótkim czasie dotrzeć do bardzo wielu osób, np. do kilkudziesięciu tysięcy w czasie jednej kampanii. I nawet jeśli założymy, że spora część rozpozna to oszustwo, to nadal wkład pracy przestępców jest bardzo niewielki, a efekty – z ich punktu widzenia – dobre. Jeśli spojrzymy na nasze statystyki, to właśnie phishing wysuwa się na prowadzenie. 

Po drugie, mamy wzrost świadomości dotyczącej zagrożeń. Tylko w styczniu tego roku 100 tys. razy zorientowano się, że po drugiej stronie jest oszust. A mówimy tylko o zgłoszeniach SMS-owych. Osoby, które wysłały nam wiadomości, wiedziały, co robić. Do tego dochodzi też oczywiście łatwość kontaktu. Pod koniec 2023 roku uruchomiliśmy darmowy krótki numer 8080, na który można przekazać podejrzany SMS. Liczba zgłoszeń automatycznie wzrosła. 

Ilu przestępców ponosi konsekwencje takiego phishingu? 

Wykrycie ich nie jest proste, ale też nie jest niemożliwe. Współpracujemy z organami ścigania, w tym z Centralnym Biurem Zwalczania Cyberprzestępczości, czyli wyspecjalizowaną jednostką Policji, która zajmuje się m.in. zwalczaniem tego typu grup przestępczych. Co pewien czas pojawiają się informacje, że kolejna grupa została rozbita i –trzeba to podkreślić – są to najczęściej zorganizowane zespoły, które działają sprawnie jak korporacje. Tak więc da się, ale wymaga to współpracy i zaangażowania.

Cały czas szukamy też nowych rozwiązań, które pozwolą nam skuteczniej walczyć z oszustami. Bardzo dobrze działa lista ostrzeżeń przed niebezpiecznymi stronami. Linki, które do nas trafiają, weryfikujemy i jeśli domena np. podszywa się pod legalnie działający podmiot i wyłudza dane logowania, to trafia na taką listę i dostęp do niej jest blokowany dla użytkowników.

W 2022 roku zablokowaliśmy ponad 20 mln prób wejścia na strony z listy. Teraz znajduje się na niej ok. 170 tys. stron. Do tego pod koniec 2023 roku weszła w życie Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej i nadała tej liście właśnie rangę ustawową. To już nie dobrowolne narzędzie, ale nasz najskuteczniejszy mechanizm do walki z oszustami. Oprócz tego ustawa wprowadziła wiele innych rozwiązań, których działanie zobaczymy w 2024 roku, m.in. na podstawie wiadomości przesłanych przez użytkowników stworzymy wzorce SMS-ów, za którymi najczęściej stoją oszuści. Trafią one do operatorów telekomunikacyjnych, którzy na ich podstawie będą blokować podobne, by nie trafiały do użytkowników.

Iwona Prószyńska. Na co dzień pracuje w CERT Polska, który jest częścią NASK PIB. Zajmuje się m.in. projektami edukacyjnymi i popularyzacją wiedzy o zagrożeniach w sieci (fot. Archiwum prywatne)

Chcecie jak najbardziej utrudnić pracę grupom przestępczym stosującym masowe ataki.

Chodzi o to, żeby ta praca przestała im się opłacać. Żeby zobaczyli, że wysyłają kampanię masową do dziesiątek tysięcy osób, ona dociera do garstki, a z tej garstki nikt się nie nabiera. Te rozwiązania, które wprowadzamy, techniczne i prawne, mają działać przede wszystkim zniechęcająco i odstraszająco. Musimy w tym momencie walczyć z tym, czego jest najwięcej, czyli z prostymi działaniami bazującymi w dużej mierze na socjotechnice. 

A ile osób z tych, którzy przesyłają do CERT zgłoszenia, już zostało oszukanych? Stanowią większość czy mniejszość?

Trudno jednoznacznie odpowiedzieć. Duża grupa to ci, którzy potrafią rozpoznawać zagrożenia i wiedzą, jak ważne jest to, by nam je przesyłać, bo to pozwala chronić inne osoby. Mamy też zgłoszenia od osób z wątpliwościami, które chcą np. potwierdzić, czy to jest SMS od ich banku. Nie każdy link to phishing. Wciąż zdarza się, że niektóre firmy wysyłają klientom linki.

Jest też spora grupa osób, które są tuż przed podjęciem decyzji, która mogłaby doprowadzić do utraty wszystkich środków na koncie. Ważne jest to, że żadnego zgłoszenia nie pozostawiamy bez odpowiedzi – nawet wysyłający nam SMS otrzyma odpowiedź zwrotną, dowie się, czy domena była niebezpieczna. 

Na podstawie pani słów można odnieść wrażenie, że już naprawdę niewiele osób się nabiera na phishing.

To prawda, że phishing przez SMS ma pewien wzór, który jest coraz powszechniej znany i przez to mniej skuteczny, ale z e-mailami jest już dużo gorzej. Chociaż zajmuję się tym na co dzień i oglądam dziesiątki takich prób oszustwa, mam poczucie, że na dobrze przygotowany, celowany spear phishing [bardziej wyszukana forma phishingu, przestępcy, przygotowując się do ataku, przeprowadzają szczegółowy wywiad o danej osobie – przyp. red.] mogłabym dać się nabrać, bo w grę wchodzi tu bardzo dużo elementów. 

Ja kiedyś prawie uwierzyłam w e-mail, że ktoś wziął na mnie kredyt. To było po dużym wycieku danych, wielu podobnych historiach i prawie wszystkie szczegóły się zgadzały. Z wyjątkiem jednego. 

Dzięki wyciekom przestępcy mają dostęp do dużej ilości danych: adresów, numerów telefonów. Mają o nas pewne informacje, które starają się wykorzystać, by się uwiarygodnić. Do tego dochodzi socjotechnika, emocje. Trafiamy na stronę, która wygląda łudząco podobnie do oryginału. Różni ją drobiazg. Czasem to może być jedna literka w nazwie strony – tylko kto sprawdza nazwy wszystkich stron, na które wchodzi, literka po literce? Oszuści potrafią stworzyć niemal perfekcyjne wizualnie kopie stron mediów społecznościowych, banków, szkół, wyświetlają się na nich nawet te same reklamy co na stronach oryginalnych.

Mamy taką technikę, która nazywa się typosquatting, która polega na wykorzystywaniu typowych błędów przy wpisywaniu nazwy strony w wyszukiwarce. Mamy metodę, w której  wykorzystuje się m.in. podobieństwo niektórych liter, np. małego "l" i dużego "I". Dla wielu osób odróżnienie ich od siebie w nazwie domeny jest bardzo trudne, o ile w ogóle możliwe.

Ustawa, której efekty zobaczymy w tym roku, może zmienić sytuację na plus, bo wprowadzi konieczność stosowania mechanizmów weryfikujących nadawcę wiadomości e-mailowej. To dotyczy dużych dostawców pocztowych i dostawców dla instytucji publicznych. Liczymy, że pozostali pójdą za tym przykładem, bo to, co bardzo usypia czujność, to wyświetlający się prawidłowy nadawca. Każdy z nas mógłby się nabrać. 

Dzięki wyciekom przestępcy mają dostęp do dużej ilości danych: adresów, numerów telefonów. Mają o nas pewne informacje, które starają się wykorzystać, by się uwiarygodnić (Fot. Renata Dąbrowska / Agencja Wyborcza.pl)

Brzmi jak spoofing, czyli podszywanie się pod numer telefonu. To nie jest już masowy atak, za to może być wyjątkowo skuteczny, szczególnie z wykorzystaniem sztucznej inteligencji. W marcu 2023 roku Federalna Komisja Handlu ostrzegała, że "oszust może wykorzystać sztuczną inteligencję do sklonowania głosu bliskiej osoby". 

Tak, to pewnie realny scenariusz w niedalekiej przyszłości, ale na ten moment oszustwa z wykorzystaniem sztucznej inteligencji stanowią znikomą część naszych zgłoszeń. Natomiast to nie znaczy, że AI nie uczestniczy w tych oszustwach, które widzimy na co dzień. Część kampanii SMS-owych mogła z powodzeniem stworzyć AI, choć nie ma dla nas większego znaczenia, czy treść wiadomości napisał człowiek, czy robot, to jest kwestia drugorzędna.

Natomiast to, na co patrzymy z dużym niepokojem, to rozwój technologii związanej z deepfake. Pierwsze, na razie jeszcze niedoskonałe próby widzimy przy oszustwach związanych z fałszywymi inwestycjami, które są reklamowane rzekomo przez osoby publiczne. W pierwotnej wersji tego oszustwa mieliśmy zdjęcia znanych osób, do których był załączony opis, jak to wzbogaciły się, inwestując w konkretne akcje czy obligacje wybranych podmiotów. To przestało się już sprawdzać. Więc pojawiły się kolejne deepfake, czyli filmy z postaciami polityków, aktorek, znanych sportowców, którzy opowiadają o swoich sposobach na zarobienie dużych pieniędzy i miejscach na "pewne" inwestycje. W tej chwili większość tych prób jest niedoskonała, wiele osób potrafi gołym okiem rozpoznać, że coś się nie zgadza. Ale ta technologia jest cały czas udoskonalana i niedługo może być trudno rozróżnić deepfake od prawdziwego nagrania. 

A jakie historie tworzone przez oszustów są teraz najpopularniejsze? Kiedyś królował nigeryjski książę…

Książę dalej króluje... (śmiech) Nie mieli, niestety, racji ci, którzy obwieszczali jego koniec. Dzisiaj mamy do czynienia zarówno z nim, jak i z innymi historiami, które powstały na jego wzór, np. lekarką wysłaną na misję wojskową do dalekiego kraju albo amerykańskim żołnierzem, który nie może wrócić do domu. 

W phishingu panuje za to sezonowość, czyli teraz możemy spodziewać się zalewu SMS-ów informujących o zwrocie podatku, bo mamy okres rozliczeń podatkowych. Od listopada mamy okres grypowy, więc oszustwa na e-recepty. Okres przedświąteczny to motyw kurierów, opóźnionych i zatrzymanych paczek itd. Dla tych grup przestępczych to jak rzucanie talerzem z jedzeniem o ścianę – większość odpadnie, ale coś może się utrzymać i przynieść zysk niewielkim wysiłkiem. 

Obok wiadomości SMS i e-mail, o których rozmawiamy, mamy też ataki typu ransomware, które są już wycelowane bezpośrednio najczęściej w duże przedsiębiorstwa, a nie osoby fizyczne. Chcę o nich wspomnieć, bo choć celem ataku nie jest pojedynczy użytkownik, to jeśli będzie nim np. szpital albo szkoła, poszkodowani mogą być obywatele i ich dane.

W phishingu panuje za to sezonowość, czyli teraz możemy spodziewać się zalewu SMS-ów informujących o zwrocie podatku, bo mamy okres rozliczeń podatkowych (Fot. Roman Bosiacki / Agencja Wyborcza.pl)

À propos ataków ransomware i innych wykorzystujących tzw. podatności – jednym z projektów uruchomionych w 2023 roku przez CERT był Artemis. Przeskanowaliście ponad 50 tys. domen i adresów IP. Znaleźliście blisko 180 tys. błędnych konfiguracji na stronach szkół, uczelni, banków i jednostek samorządu terytorialnego. W jakim stopniu te instytucje przyjęły informacje i wprowadziły zmiany?

Jest bardzo różnie. Są osoby, które nam dziękują, z wdzięcznością przyjmują wyniki skanowania i wdrażają poprawki błyskawicznie, zaraz po otrzymaniu powiadomienia od nas. Są tacy, którzy się bardziej ociągają, muszą dostać powtórne powiadomienie, żeby podjąć działania. I mamy też grupę, która kompletnie ignoruje komunikaty o nieprawidłowościach. 

Ale mam wrażenie, że jest jednak coraz większa świadomość tego, jak ważne jest regularne aktualizowanie systemu, łatanie dziur, żeby zapobiec przykrym konsekwencjom w przyszłości. Coraz więcej jest podmiotów, które same się do nas zgłaszają z prośbą o przeskanowanie. Choć, co trzeba podkreślić, Artemis nie zastąpi pełnego pentestu [test penetracyjny, proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny – przyp. red.], to jest narzędzie, które sprawdzi tylko to, co widzimy "z zewnątrz". Do tego zawsze warto przeprowadzać pełną kontrolę systemów od środka.

Przypomina mi to o sprawie z września 2022 roku, gdy poinformowano o wycieku danych studentów Szkoły Głównej Handlowej. Nieuprawnione osoby miały dostęp do serii i numeru dowodu i paszportu, numeru konta, a nawet nazwiska panieńskiego matki wielu osób. Część z ujawnionych danych zindeksowała i przez prawie miesiąc udostępniała wyszukiwarka Bing. 

I właśnie dlatego musimy sprawdzać bezpieczeństwo urządzeń, których używamy. Nie na darmo wydawane są aktualizacje do oprogramowania, z którego korzystamy. I często nam się wydaje, że te aktualizacje to takie drobiazgi, dziwne przypomnienia wyskakujące w komputerze czy telefonie, ale one mogą nas znacząco uodpornić na ataki z zewnątrz. To jest to, o czym mówi się zbyt rzadko, czyli ataki zero-day – wykorzystywanie przez hakerów luk, które pojawiają się przed publikacją aktualizacji przez producenta, by pozyskać to, co dla nich cenne: informacje. 

Brzmi jak niekończący się wyścig między producentami a hakerami: kto będzie pierwszy? Aktualizacja czy adwersarz?

To zawsze będzie wyścig. My dużej części tego wyścigu nie widzimy, on się dzieje poza nami – i to dobrze! Dzięki temu, że mamy wybitnych ekspertów i dobre narzędzia, bardzo wiele z tych zaawansowanych ataków udaje się ukrócić na wczesnym etapie. Dużą rolę odgrywa tu też współpraca. CERT Polska uczestniczył w odkryciu wrogich planów grupy APT-29 [ang. Advanced Persistent Threat, jedna z rosyjskich grup hakerskich – przyp. red.], pracowaliśmy wówczas razem z FBI i czołowymi jednostkami z Wielkiej Brytanii. Cyberprzestrzeń nie ma granic, więc dbanie o jej bezpieczeństwo też nie powinno ich mieć. Na szczęście mamy wielu świetnych specjalistów, którzy robią to w naszym imieniu! 

Iwona Prószyńska. Specjalistka ds. komunikacji w obszarze nowych technologii. Lubi i umie opowiadać o cyberbezpieczeństwie oraz zasadach cyberhigieny. Absolwentka Uniwersytetu Warszawskiego i podyplomowych studiów z zakresu zarządzania cyberbezpieczeństwem na Politechnice Śląskiej. Na co dzień pracuje w CERT Polska, który jest częścią NASK PIB. Zajmuje się m.in. projektami edukacyjnymi i popularyzacją wiedzy o zagrożeniach w sieci.

Agata Porażka. Dziennikarka weekendowego magazynu Gazeta.pl. Twórczyni cyklu Zagrajmy w Zielone, który skupia się na tym, co powinniśmy zrobić, by zamiast niszczyć, dbać o planetę. Prowadząca podcast Zetka z Zetką, za który otrzymała wyróżnienie dla młodego podcastera w konkursie Podcast Roku 2023.