CERT Orange: kampanie phishingowe plagą 2019 roku

17 lutego 2020, 10:24
MALWARE_Side
Fot. Christiaan Colen/Flickr/CC 2.0

"Poziom aktywności złośliwego oprogramowania w Polsce utrzymuje się na podobnym poziomie. Największy wzrost zauważyliśmy w kampaniach SMS-owych" - mówi Robert Grabowski, szef CERT Orange Polska. Szef Orange mówi o najpopularniejszych zagrożeniach w 2019 roku, najbardziej charakterystycznych przypadkach ataków i współpracy z innymi zespołami CERT.

Jakie były najpopularniejsze zagrożenia odnotowane przez CERT Orange w tym roku?

Prawdziwą plagą były kampanie phishingowe prowadzone za pomocą wiadomości SMS. Chodzi m.in. o wiadomości z: dopłatami do przesyłek InPost, Poczty Polskiej czy DHL, ogłoszeniami OtoMoto, komunikatami informującymi o zapisaniu się do płatnych usług czy fałszywe strony kurierów. Spora część ataków prowadziła do fałszywych bramek płatności i miała na celu bezpośredni atak na nasze konta bankowości elektronicznej. Wśród złośliwego oprogramowania dominowały kampanie Emotet, Ave Maria, Ursniff oraz Danabot. Nadal jednym z ulubionych sposobów przestępców na dystrybucję złośliwych załączników jest poczta e-mail z fakturą do opłacenia. Warto również wspomnieć o nowych, bardzo groźnych podatnościach z tego roku, jak BlueKeep (CVE-2019-0708), która nasiliła aktywność w obszarze usług zdalnego pulpitu MS Windows (RDP). 

Jak ta statystyka wygląda w porównaniu do poprzednich lat. Jakich ataków jest więcej, a które maleją?

Poziom aktywności złośliwego oprogramowania w Polsce utrzymuje się na podobnym poziomie. Największy wzrost zauważyliśmy w kampaniach SMS-owych. Znacząco spadło wykorzystanie niechcianych bitcoino’wych koparek, które działają kosztem mocy obliczeniowej naszego sprzętu. Ten rok to również „rok fake-news” i wszechobecnego malwaretisingu. Liczba blokowanych przez nas stron wyłudzających dane była rekordowa.

Jakie były najbardziej charakterystyczne przypadki ataków?

W mojej pamięci szczególnie odbiły się masowe kampanie Emoteta, w których używana była wykradziona korespondencja. Poza podszywaniem się pod nadawców, używano też fragmentów oryginalnych wiadomości. Odebraliśmy wiele zgłoszeń potwierdzających, że były to niezwykle skuteczne działania. Ujawniło to także skalę przejętej korespondencji. Kolejny przykład to kampania SMS na dopłaty do ogłoszeń w serwisie OtoMoto.  Użytkownicy otrzymywali SMS-y w kilka minut po wystawieniu ogłoszenia, z różnych wariacji wiarygodnego nadawcy, czyli np. otomoto, oto-moto, oto moto. Sporo problemów sprawiły również masowe ataki na modemy czy routery, w których pojawiały się podatności umożliwiające np. pobranie plików konfiguracyjnych (danych logowania), wysyłkę SMS-ów Premium czy przekierowywanie połączeń głosowych.

Jakie ataki będą dominować w 2020 roku. Czy możemy spodziewać się jakiejś diametralnej zmiany?

Nie przewiduję diametralnych zmian, ale na pewno ewolucję. Co roku incydenty, z którymi mamy do czynienia pokazują, że kierunek obrany przez cyberprzestępców „sprawdza się”. Użytkownicy uczą się na błędach, ale niestety dla wielu te błędy ciągle są tymi pierwszymi... Wystarczy spojrzeć na niedawny atak na urząd gminy w Kościerzynie. Powtarzany do znudzenia wyścig zbrojeń pomiędzy bezpiecznikami i przestępcami nieustannie trwa i dostosowują się oni zarówno do zmieniających się standardów technologicznych, jak i do metod stosowanych przez zespoły CERT. Przykład? Certyfikaty Let’s Encrypt. Idea? „Bezpieczny świat www”. Efekt dodatkowy? „Zielone kłódki” na fałszywych bramkach pośredników płatności, dzięki super szybkim, zaufanym i darmowym certyfikatom SSL. Takie przykłady można mnożyć.

Jakie były największe wyzwania w pracy CERT Orange w 2019 roku?

Na pewno chęć bycia o krok przed „tym złym”.  W praktyce wyzwaniem jest np. wykrywanie i blokowanie phishingu zanim zostanie szeroko rozpowszechniony i dotknie dużej liczby internautów, czy szybka analiza nowych próbek złośliwego oprogramowania i blokada serwerów C2 na CyberTarczy Orange Polska. Warto tu wspomnieć, że  CyberTarcza tylko w ostatnim miesiącu zablokowała blisko 3mln incydentów typu phishing i malware. Niemały kłopot sprawiają podatności w protokole RDP i usunięcie tego zagrożenia w naszej sieci. Wyzwaniem są także oczekiwania użytkowników dotyczące urządzeń IoT, które sprowadzają się zazwyczaj do: „ma działać po wyjęciu z pudełka i podłączeniu zasilania”. Reszta jest zwykle nieważna, a aktualizacje, zalecenia bezpieczeństwa czy manuale niepotrzebne.

Od ponad roku obowiązują Ustawa o krajowym systemie cyberbezpieczeństwa. Jak ten akt prawny wpłynął na pracę CERT Orange?

Charakter naszej pracy się nie zmienił. Nadal robimy wszystko co w naszej mocy by chronić użytkowników polskiego Internetu.

Jak wygląda Państwa współpraca z innymi zespołami CERT w Polsce, w szczególności z trzema wymienionymi w Ustawie o krajowym systemie cyberbezpieczeństwa?

Z wszystkimi współpracujemy na bieżąco. Najwięcej z CSIRT NASK. To współpraca w wielu wymiarach - od wspólnych działań budujących świadomość, poprzez wymianę informacji o zagrożeniach, czy analizowaniu indywidualnych przypadków. Chcę też wspomnieć o udostępnieniu ze strony NASK możliwości wykorzystania zbudowanych przez nich narzędzi i dzielenia się wiedzą z własnych działań, które są imponujące.

KomentarzeLiczba komentarzy: 2
asd
środa, 15 stycznia 2020, 20:08

Cert Orange niech lepiej zajmie się spamem, który wysyłają jego klienci z fakturami do opłacenia!

Darek
poniedziałek, 6 stycznia 2020, 12:27

niech CERT zajmie się kwestiami: ile danych wykradają smart-fony z androidem, WSZYSTKIE bez wyjątku , komu są potrzebne nasze e maile, kontakty, treści SMS, zdjęcia...Oraz dlaczego płacąc za smartphone jestem ZMUSZANY do akceptacji " zgody regulaminu " bo telefon nie będzie działał prawidłowo, co za tym idzie ZMUSZA SIĘ MNIE DO ZGODY NA INWIGILACJE przez producentów i nie tylko( po co???)... a nie pierdołami sie zajmuje.