Wojna i atak Rosji. Oszustwa były wszędzie

24 lutego 2022 r. świat doświadczył tego, o czym wielu mówiło, że to „mało realistyczny scenariusz”. W publicznych debatach nie brakowało twierdzeń, że Putin jednak nie zdecyduje się na przeprowadzenie inwazji, gdyż – pomimo wielu alarmujących sygnałów (kumulacja wojsk przy granicy z Ukrainą) – "nie jest aż tak lekkomyślny". 

Rzeczywistość pokazała jednak, że agresywna polityka Kremla nie ma hamulców. Wydano rozkaz o zbrojnym wkroczeniu do naszego wschodniego sąsiada, co przełożyło się nie tylko na życie Ukraińców i Rosjan, ale również Polaków oraz innych społeczeństw. 

Cisza przed... inwazją

Zanim doszło do bezpośredniego uderzenia, siły Putina przygotowywały sobie grunt pod militarną operację. Prowadzono m.in. działania w cyberprzestrzeni, co potwierdzają np. zakłócenia infrastruktury rządowych stron internetowych w Ukrainie. Wrogie działania dotknęły także inne podmioty administracji tego kraju. 

Wzmożona aktywność rosyjskich aktorów w sieci rosła, aby tuż przed konwencjonalnym uderzeniem nagle odwrócić ten trend. „Cisza zwiastowała, że szykuje się coś poważnego” – mówił przed naszymi kamerami płk Łukasz Jędrzejczak, zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC), odnosząc się do wydarzeń poprzedzających inwazję na Ukrainę. Cała rozmowa jest dostępna pod linkiem: Polska celem hakerów Putina? | RAPORT SPECJALNY UKRAINA

Rosyjskiej agresji na naszego wschodniego sąsiada towarzyszyło zakłócenie sieci satelitarnej KA-SAT (Viasat) w wyniku cyberataku. Celem cyberoperacji była próba odcięcia ukraińskich użytkowników od tej łączności. Incydent rozlał się znacznie szerzej i dotknął również m.in. infrastrukturę turbin wiatrowych w Niemczech. Analiza incydentu wskazuje, że jego źródeł należy szukać w Rosji. 

Polska odczuwa skutki wojny

Pomimo, że jak na razie – poza Viasat – nie odnotowaliśmy cyberataku o strategicznym znaczeniu (skutki nie dały przewagi żadnej ze stron i nie wpłynęły na bieg wojny), to cyberdziałania cały czas są prowadzone. Cyberprzestrzeń niezmiennie pozostaje polem ścierania się obu stron.

Efekt? Jak wskazuje w najnowszym raporcie CERT Polska („Raport roczny z działalności CERT Polska 2022”), skala incydentów w ubiegłym roku znacząco wzrosła w porównaniu do stanu z poprzednich lat. Ma to być jeden ze skutków wojny za naszą wschodnią granicą. 

W rozmowie z naszym portalem płk Łukasz Jędrzejczak powiedział wprost: „Polska jest jednym z najbardziej atakowanych krajów w tej chwili”. Przedstawiciel DKWOC i CSIRT MON tłumaczył, że taki stan rzeczy wiąże się z silnym zaangażowaniem RP w niesienie wojskowej pomocy Ukrainie. Nie chodzi jedynie o sprzęt przekazywany przez polski rząd, ale również znaczenie naszego kraju w kontekście przepływu pakietów wsparcia dla Kijowa. Staliśmy się hubem a przez to bardzo istotnym celem z perspektywy Rosji (i jej partnerów). W związku z tym prowadzone są np. cyberataki, mające na celu zakłócenie krytycznej infrastruktury lub kradzież poufnych danych (po inwazji MON ma jeszcze więcej wrażliwych dokumentów). 

To, o czym mówił przed naszymi kamerami, płk Łukasz Jędrzejczak powtórzył oficjalnie przed senacką komisją obrony. Sprawę opisujemy w materiale: „Polska celem Rosji. MON: chcą wykraść informacje”.

Powiązania między realem a cyber

Jednak z perspektywy użytkowników dużo bardziej zauważalne są takie kampanie jak np. ataki DDoS (na strony rządowe, instytucji, firm, organizacji), phishing czy fałszywe oferty inwestycyjne i reklamy. 

Tego typu działania prowadzone są przez różne podmioty. Operacje o najwyższej wadze realizowane są najczęściej przez podmioty powiązane z rządem lub służbami specjalnymi innego kraju (np. rosyjskie ugrupowania Cozy Bear, Fancy Bear, Turla czy Gamaredon). Swoją „cegiełkę" w krajobrazie cyberzagrożeń dokładają również haktywiśi opowiadający się po jednej ze stron konfliku (np. Killnet – Rosja; Anonymous – Ukraina). 

Wojnę starają się wykorzystać na swoją korzyść również zwykli cyberprzestępcy lub oszuści internetowi. Próbują przykuć uwagę użytkowników poprzez tematykę inwazji (kwestie z nią powiązane, np. uchodźcy, braki w sklepach, ceny energii) i wywołać emocje, ponieważ dzięki nim manipulacja staje się skuteczniejsza. To wszystko pokazuje, że wydarzenia, jakie mają miejsce w sieci, są zależne od tego, co dzieje się w prawdziwym świecie. 

Najpowszechniejsze oszustwo 2022 roku

Z raportu CERT Polska wynika, że „najpowszechniejszym oszustwem w 2022 r. były fałszywe artykuły wyłudzające dane logowania do serwisu Facebook”. Chodzi o fałszywe panele logowania do platformy społecznościowej. Poprzedzał je artykuł lub innego typu materiał, który miał przykuć uwagę odbiorcy i zainteresować go tematem. A że wojna i problemy z nią związane mocno oddziałują na naszą świadomość, użytkownicy dawali złapać się w sieć cyberprzestępców. 

„Przykładowo pojawiały się nieprawdziwe informacje mówiące o ataku Białorusi na Ukrainę i bestialskim czynie dwóch białoruskich żołnierzy, pojmaniu prezydenta Ukrainy, a w innym przypadku o jego śmierci. Artykuły opisywały również ostrzał Lubaczowa, Przemyśla, Rzeszowa i Hrubieszowa rosyjskimi rakietami. Popularne były także informacje dotyczące naszego kraju, w których opisywano, jak obywatele Ukrainy zaatakowali młodą kobietę w centrum miasta” – czytamy w raporcie CERT Polska. A to jedynie skromny wycinek „gorących tematów”, na które wabili nas cyberprzestępcy. 

Specjaliści tłumaczą, że wszystkie materiały łączyła blokada dostępu do pełnych treści. Zainteresowany użytkownik, aby móc uzyskać dostęp do szczegółowych informacji lub nagrań, miał prawidłowo przejść proces weryfikacji poprzez zalogowanie do Facebooka. Problem w tym, że podstawiony panel logowania był fałszywy i służył sprawcom do kradzieży danych oraz przejmowania kont. 

Podstawione newsy często pod względem graficznym i językowym wydawały się na pierwszy rzut oka wiarygodne. Dodatkowo, atakujący podszywali się pod znane marki medialne, instytucje państwowe czy firmy. 

Wojna: fałszywe zbiórki

Inną z popularnych metod oszustów w 2022 r. były fałszywe zbiórki – podaje CERT Polska. Pod pretekstem rzekomego niesienia pomocy, sprawcy starali się generować zyski, wyłudzając od użytkowników środki finansowe. 

Przykładem może być fałszywa domena, podszywająca się pod platformę „Pomagam”. Utworzono ją pod koniec lutego ubiegłego roku (a więc tuż po rosyjskiej inwazji na Ukrainę) w celu niesienia pomocy naszemu wschodniemu sąsiadowi.  Zrzutka „Solidarni z Ukrainą” zgromadziła ponad 3,5 mln zł. Oszuści wykorzystali czas i wydarzenia, silne emocje, osłabioną czujność i chęć zaangażowania się we wsparcie dla Kijowa. 

Fikcyjne osoby

W ostatnich miesiącach cyberprzestępcy sięgali także po spam nigeryjski. To jeden ze starszych rodzajów oszustwa, polegający podszywaniu się pod różne osoby lub tworzeniu nowych postaci w celu osiągnięcia zakładanych korzyści, np. wyłudzenia pieniędzy.  Po inwazji można było spotkać się z np. ukraińską wdową osamotnioną po śmierci męża, pracownikiem wysokiego szczebla NATO czy pracownikiem z Azovstalu. Oczywiście to fikcyjne postaci, stworzone tylko i wyłącznie na potrzeby złośliwej kampanii. 

Cieszyć może fakt, że tego typu działania nie są już tak skuteczne, jak dawniej. Świadczy to o rosnącej świadomości i wiedzy wśród użytkowników. Jednak pomimo tego wciąż trafiają się osoby, które w łatwy sposób dają się podejść. „Ofiara jest przekonywana o możliwości wzbogacenia się, jednak w celu sfinalizowania transakcji musi zapłacić niewielką kwotę. Wraz z zaangażowaniem w rozmowę z niewielkiej kwoty robi się znaczna suma pieniędzy” – czytamy w raporcie CERT Polska.

„Rosjanie zarobili, Ty też moższesz”

Wojenny motyw był wykorzystywany także w ramach kampanii fałszywych inwestycji. Jedną z nich były reklamy promujące platformy umożliwiające szybki zarobek dzięki inwestycjom w kryptowaluty, bądź akcje firm.  „Artykuł, który miał zachęcić do inwestowania, sugerował, że rosyjscy imigranci wykorzystują darmowe narzędzie w celu ominięcia sankcji i szybkiego zarobku” – opisują podany przypadek specjaliści CERT Polska. 

Schemat prosty i popularny: obietnica szybkiego zarobku, nawet przy niskich sumach. Z czasem w grę wchodziły znacznie większe kwoty, które trafiały na konta cyberprzestępców. Z tego typu fałszywymi ofertami mogliśmy się spotkać np. w wiadomościach mailowych, rozsyłanych w formie spamu lub też reklamach w internecie. 

„Bomba w szpitalu”

W 2022 r. pojawiały się również przypadki gróźb – otrzymywały je m.in. osoby publiczne związane z działalnością np. istotnych instytucji państwowych. W wiadomościach mailowych lub SMS informowano o podłożeniu bomby i innych okolicznościach mogących pociągać za sobą poważne skutki. 

CERT Polska przytacza jeden z przykładów tego typu działań: „W kwietniu 2022 r. na skrzynki pocztowe publicznych szpitali masowo wpływały wiadomości informujące o podłożeniu bomby w ramach zemsty za działania podczas pandemii oraz pomoc ukraińskim uchodźcom”.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].