Lawinowy wzrost cyberataków „na koronawirusa” spowodował niemałe poruszenie wśród polskich firm technologicznych i największych operatorów sieci komórkowych. Wypracowana wspólna strategia doprowadziła do podpisania porozumienia w sprawie walki ze stronami wyłudzającymi dane osobowe, dane uwierzytelniające do kont bankowych i serwisów społecznościowych. Porozumienie zostało podpisane pomiędzy Ministrem Cyfryzacji oraz Prezesem Urzędu Komunikacji Elektronicznej a Orange Polska S.A., Polkomtel Sp. z o.o., P4 Sp. z o.o., T-Mobile Polska S.A., a także Naukową i Akademicką Siecią Komputerową – Państwowym Instytutem Badawczym. Cała treść porozumienia została opublikowana na stronie Urzędu Komunikacji Elektronicznej.
Koronawirus w cyberprzestrzeni
W związku z epidemią wirusa SARS-CoV-2 coraz częściej pojawiają się domeny internetowe mające na celu wprowadzenie w błąd i wyłudzanie od użytkowników internetu ich danych osobowych, a także środków finansowych, w szczególności z wykorzystaniem wiadomości SMS i MMS. Sprzyja temu m.in. wzmożone korzystanie ze środków komunikacji elektronicznej podczas coraz powszechniej wdrażanego modelu pracy zdalnej oraz edukacji on-line.
W przygotowanym przez portal AVLab.pl zestawieniu oszustw internetowych „na koronawirusa” pokazano najczęściej spotykane ataki, przed którymi użytkownicy internetu powinni uważać. Od utraty kontroli nad kontem społecznościowym, poufnymi danymi z karty płatniczej lub przekazaniu oszustom wsparcia finansowego, dzieli tylko cienka, czerwona linia.
Dodatkowo liczba rejestracji adresów internetowych w domenach .net i .com, które wykorzystują słowo „covid” i „virus”, wzrosła w ciągu ostatnich 90 dni od kliku na miesiąc do nawet kilkuset dziennie w marcu. Przeważająca cześć tych adresów jest zakładana przez różnego rodzaju organizacje walczące z koronawirusem, ale także nie brakuje wśród nich takich, które chcą wykorzystać zamieszanie związane z epidemią do własnych niecnych celów – wynika z informacji serwisu Domeny.pl.
Jeszcze w styczniu zarejestrowano zaledwie kilka domen ze słowem „covid”. Od około 10 lutego do końca miesiąca liczba adresów wykorzystujących to słowo zaczęła szybko rosnąć – średnio dziennie rejestrowano w tym czasie kilkanaście takich adresów. Prawdziwa eksplozja zainteresowania słowem „covid” wybuchła w marcu, kiedy to liczba rejestracji sięgnęła kilkadziesiąt każdego dnia, a 16 marca było takich rejestracji już 219.
Ze statystyk zagrożeń firmy Bitdefender wynika, że zaobserwowano zwiększoną aktywność hakerów, którzy próbują wykorzystać obecną sytuację związaną z koronawirusem. W marcu liczba incydentów COVID-19 już wzrosła o 475% z porównaniu do lutego 2020 roku, a do końca miesiąca wzrośnie ponad 5-krotnie. Przykładem postawy hakerów może być włamanie kilka dni temu do sieci jednego z największych szpitali w Czechach m.in. robiącego testy pozwalające wynaleźć szczepionkę.
W ramach współpracy polskie firmy IT będą publikować listę szkodliwych domen – każdy będzie mógł ją pobrać i wdrożyć w swoich systemach bezpieczeństwa do blokady złośliwych treści, dzięki czemu lista stron wyłudzających dane nie będzie zależna od systemów DNS. Z drugiej jednak strony operatorzy komórkowi właśnie w taki sposób prawdopodobnie będą uniemożliwiali dostęp do zidentyfikowanych i przeanalizowanych domen przez CERT Polska.
Na tej liście już znalazła się pierwsza domena:
<AdresDomeny>windykacjajagoda.org</AdresDomeny> <DataWpisu>2020-03-23T23:11:29</DataWpisu>
Każde zgłoszenie podejrzanej strony będzie weryfikowane ręcznie przez co najmniej dwóch ekspertów zajmujących się obsługą zgłoszeń. Strony niesłusznie dopisane do listy będą ponownie weryfikowane na wniosek np. właściciela domeny.
Zgłaszanie podejrzanych stron
Każdy może zgłosić stronę, która może wyłudzać dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych za pomocą formularza dostępnego na https://incydent.cert.pl/phishing.
Lista ostrzeżeń zawierająca wykaz witryn stanowiących zagrożenie dostępna jest jako następujące pliki: format CSV, format JSON, format XML. Pliki są aktualizowane co 5 minut. Specyfikacja API dostępna jest tutaj.
Informacje warte odnotowania
W okresach stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej, NASK-PIB będzie opracowywał, prowadził i utrzymywał jawną listę ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników internetu (dalej „Lista Ostrzeżeń”). Lista Ostrzeżeń jest prowadzona w formie publikacji na stronie internetowej www.cert.pl/ostrzezenia_phishing.
Na Listę Ostrzeżeń wpisywane są domeny internetowe, które za podstawowy cel swojego działania mają wprowadzenie w błąd użytkowników internetu i w ten sposób doprowadzenie ich do niekorzystnego rozporządzenia środkami finansowymi albo do wyłudzenia ich danych osobowych.
Każdy może zgłosić domenę internetową służącą do wyłudzeń danych i środków finansowych do NASK-PIB. Zgłoszenia powinny zawierać uzasadnienie dotyczące każdej zgłoszonej domeny.
Zgłoszeń domen internetowych, o których mowa w porozumieniu, dokonuje się na stronie https://incydent.cert.pl/phishing lub emailem na adres: [email protected].
Każde zgłoszenie jest weryfikowane przez NASK-PIB. NASK-PIB dołoży najwyższej staranności, aby weryfikacja zgłoszenia trwała najkrócej jak to możliwe w celu zapewniania realizacji celów
Po dokonaniu weryfikacji NASK-PIB niezwłocznie wpisuje na Listę Ostrzeżeń domeny, które pozytywnie przeszły weryfikację.
Zgłoszenia dokonywane przez Operatorów NASK-PIB weryfikuje w możliwie najkrótszym terminie, zapewniającym realizację nadrzędnego celu niniejszego Porozumienia.
NASK-PIB niezwłocznie informuje drogą elektroniczną Operatorów o każdorazowym dopisaniu domen na Listę Ostrzeżeń.
NASK-PIB może usunąć domenę internetową z Listy Ostrzeżeń na uzasadniony pisemny wniosek, w tym w szczególności właściciela domeny, Operatora, Ministra Cyfryzacji, Prezesa UKE, lub z własnej inicjatywy. O planowanym usunięciu domeny NASK-PIB niezwłocznie informuje Operatorów, którzy mają możliwość zgłoszenia zastrzeżenia wraz z uzasadnieniem.
