Social media
#CyberMagazyn. 2020 rok pokazał, że cyberincydenty są bliżej niż myślisz. Czy w 2021 wyciągnęliśmy wnioski?
Ubiegły rok należał do rekordowego pod względem zgłoszonych cyberincydentów – w sumie było ich niemal 35 tysięcy – o 116 proc. więcej niż w roku poprzednim. Tym samym zarejestrowano niemal 10,5 tys. realnych przypadków cyberataków. Najpopularniejszym rodzajem cyberzagrożenia był phishing. Czy wobec rosnącej skali cyberzagrożeń w 2020 roku, w 2021 - wyciągnęliśmy wnioski?
Dokładnie 10 tys. 420 unikalnych incydentów cyberbezpieczeństwa (o 60,7 proc. więcej w porównaniu do poprzedniego roku) i 34 555 zgłoszeń (wzrost o 116 proc. w porównaniu do 2019 roku) – tyle zarejestrował w ubiegłym roku zespół CERT Polska, działający w strukturach NASK – Państwowym Instytucie Badawczym.
Niespodzianki nie powinien stanowić fakt popularności phishingu, za pośrednictwem którego - w 2020 roku w postaci kampanii na przykład fałszywych stron bankowych czy operatorów usług kurierskich - próbowano wyłudzić od nas dane. Spośród obsłużonych przez CERT Polska przypadków, to aż 73,15 proc. zaklasyfikowano właśnie jako phishing (7622 incydenty).
Rekordy w tym względzie padały w marcu 2020 roku (początek pandemii koronawirusa i pracy zdalnej). Najczęściej polscy internauci doświadczali prób przejęcia danych do bankowości elektronicznej, kart płatniczych, ich skrzynek mailowych czy dostępów do kont w mediach społecznościowych. Najpopularniejsze scenariusze phishingowe zakładały zdobycie danych do logowania np. do Facebooka, ale nierzadko korzystano z metody SMS-owej czy wiadomości w komunikatorze WhatsApp, gdzie umieszczane były linki do fałszywych stron.
Często spotykaną metodą cyberataków było także wykorzystywanie szkodliwego oprogramowania (ransomware lub trojana) – stanowiły one 746 incydentów spośród 1815 zgłoszeń. Najczęściej wykorzystywany był trojan Alien (Cerberus) czy zmodyfikowane warianty Anubis oraz Hydra. Nierzadko zgłaszano także przypadki nielegalnych, obraźliwych treści (sextortion scam) oraz spamu (3586 zgłoszeń dotyczących tej ostatniej z kategorii).
Ransomware, czyli cyberprzestępstwo polegające na zaszyfrowaniu zawartości dysku i wymuszaniu zapłaty za odblokowanie dostępu do danych, dotykał i wciąż dotyka firmy na całym świecie. Nie omija również podmiotów krajowych - spośród 110 incydentów obsłużonych w 2020 roku, 69 zostało zgłoszonych przez krajowe instytucje publiczne oraz przedsiębiorstwa. 16 z nich dotyczyło administracji publicznej, 7 – infrastruktury cyfrowej, a 5 – szpitali i przychodni. Cyberprzestępcy korzystali z metody oszustwa za pośrednictwem kampanii mailowych, niezabezpieczonych usług RDP i podatności w oprogramowaniu VPN.
Media celem cyberataków
Jak się okazuje, najczęściej cyberataki występowały w sektorze medialnym – zarejestrowano 2568 incydentów. Chodzi zarówno o prasę, telewizję, jak i social media. Kolejno najczęściej cyberataki dotykały sektor handlu hurtowego i detalicznego (1437 incydentów) i finansowego (1238 incydentów).
Z tego 32 można było uznać za ważne (zakłócały świadczenie usługi kluczowej, co stanowiło o 23 przypadki więcej niż w 2019 roku) – 27 z nich dotyczyło sektora bankowego, a 4 - sektora ochrony zdrowia i 1 - sektora energetycznego. Jeden przypadek był istotny – dotyczył świadczenia usługi cyfrowej.
Jak wyglądała sytuacja, biorąc pod uwagę podział na podmioty publiczne, a jak na prywatne? 4,4 proc. z nich dotyczyło sektora publicznego, zwykle klasyfikowały się jako szkodliwe oprogramowanie, nielegalne/obraźliwe treści czy też wspomniany już - phishing.
Fałszywe strony jak plaga
W 2020 roku przeanalizowano także ponad 22 tys. domen internetowych z których zablokowano niemal 4 tys. z nich, ponieważ zawierały szkodliwe treści. Uruchomiono także „Listę Ostrzeżeń CERT Polska”, która zawiera bazę domen wykorzystywanych do cyberprzestępstw, takich jak np. wyłudzenie danych w celu przejęcia środków finansowych.
W 2020 roku odnotowano serię incydentów związanych z wyciekami danych. Znaczna część była związana z włamaniami na infrastrukturę polskich uczelni i instytucji badawczych.
Nierzadkim zjawiskiem była także dezinformacja w oparciu o włamania na portale społecznościowe i konta polskich polityków. Publikowano fałszywe wiadomości, zdjęcia czy kontrowersyjne komentarze. Przykłady dezinformacji, odnotowane przez NASK w ubiegłym roku dotyczyły obecności w Polsce amerykańskiej armii, ale i przejmowania kont polskich polityków przez cyberprzestępców i umieszczanie na nich, mających ich ośmieszyć treści.
2021 rok pod znakiem „afery mailowej”?
Niezaprzeczalnie - przez ostatnie cztery miesiące temat włamań na konta polityków - również był jednym z najważniejszych w Polsce. Tzw. afera mailowa, która rozpoczęła się w czerwcu br., a którą zapoczątkowało włamanie na konto w mediach społecznościowych oraz skrzynkę mailową ministra Michała Dworczyka i jego rodziny dopiero wtedy wielu osobom uświadomiło istotę zagadnień związanych z cyberbezpieczeństwem.
Agencja Bezpieczeństwa Wewnętrznego oraz Służba Kontrwywiadu Wojskowego poinformowały, że na liście celów przeprowadzonego przez grupę UNC1151 znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej. Wskazano również, że działania grupy UNC1151, które dotknęły również Polskę, to element akcji „Ghostwriter”, której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej.
Należy się spodziewać, że to nie koniec działań cyberprzestępców w tym zakresie. To doskonała forma dzielenia i tak już spolaryzowanej sceny politycznej, szerzenia dezinformacji i fermentu również w obozie rządzącym. Rząd nie ułatwia sprawy, ani nie dementując, ani nie potwierdzając wiadomości, tym samym zostawiając pole do domysłów. Pokazując konkretne przykłady manipulacji mógłby edukować społeczeństwo w tym zakresie, choć – z politycznego punktu widzenia – niekoniecznie może mu się to opłacać.
Jednak Polska to nie pierwszy i nie ostatni kraj, który padł ofiarą cyberprzestępców, stanowiących nieprzewidywalnych graczy na politycznej scenie, nierzadko działających na zlecenie państw. Pokazał to przykład Niemiec w 2015 roku i cyberatak na niemiecki parlament. Przypadek naszego sąsiada – nota bene – powinien uświadomić, jaki efekt może przynieść niewyciągnięcie należytych wniosków z takich sytuacji. Potwierdziło się to zaledwie cztery lata później.
Według wielu komentatorów politycznych rozgrywek, to właśnie cyberprzestępcy wygrali amerykańskie wybory w 2016 roku, włamując się na skrzynkę Johna Podesty, odpowiadającego za kampanię niedoszłej prezydent Hillary Clinton.
Nikomu też nie trzeba przypominać Ukrainy z 2017 roku i tamtejszego paraliżu instytucji państwowych przy pomocy oprogramowania NotPetya. Straty po tym ataku szacuje się w skali globalnej na ok. 10 mld dolarów.
Czy zatem cyberbezpieczeństwo - także sceny politycznej - to mrzonka? Jak wygląda w polskim wykonaniu? O tym będziemy pisali nie tylko w październiku – „Europejskim Miesiącu Cyberbezpieczeństwa”.
Śledźcie teksty w ramach cyklu #CyberPaździernik, który otworzyliśmy materiałem o tym, dlaczego cyberbezpieczeństwo dotyczy nas wszystkich. Będziemy w tym czasie szczególnie przypominali, dlaczego tematy, które poruszamy są ważne.
/NB
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.