Szanowni Państwo
W ostatnim czasie jesteśmy świadkami rosnącej liczby cyberataków. Dotyczą one zarówno organów publicznych, elementów infrastruktury krytycznej, podmiotów prywatnych, jak również „zwykłych obywateli”. Cyberataki uderzają w bezpieczeństwo informacji (w tym danych osobowych) zaatakowanego podmiotu, utrudniają (bądź c. n. na jakiś czas) uniemożliwiają prowadzenie działalności (w całości lub w pewnym zakresie), podważają reputację podmiotu i osłabiają zaufanie do niego – co jest szczególnie istotne w przypadku relacji z klientami.
1) Phising
Według raportu CERT Polska , cyberataki w 2024 roku w Polsce osiągnęły rekordową skalę. Odnotowano ponad 600 tysięcy zgłoszeń cyberincydentów – a to aż o 62% więcej niż rok wcześniej. Najczęściej zgłaszanym typem ataku był phishing, którego głównym celem jest wyłudzenie danych logowania, danych kart, lub przejęcie konta do dalszych ataków – z raportu CERT Polska 2024 wynika, że phishing to 40% wszystkich incydentów, a w 2024 roku było to ponad 40 000 przypadków. Phishing oszustwo, którego celem jest zmanipulowanie ofiary – najczęściej poprzez e-mail, SMS lub komunikator – i nakłonienie jej do kliknięcia linku, pobrania załącznika lub podania danych (np. loginu, hasła, danych karty płatniczej). Wśród rodzajów phisingu wyróżniamy:
a) Phishing e-mailowy – wiadomości z linkiem do logowania
W praktyce najczęściej polega na wysłaniu do odbiorcy maila z wezwaniem do pilnego działania: „Twoje konto zostanie zablokowane”, „Masz nową fakturę do opłacenia”, „Zmieniono ustawienia Twojego konta”. Tego typu wiadomości zawierają fałszywy link do strony logowania – łudząco podobny do oryginalnej. Po wpisaniu loginu i hasła, dane trafiają bezpośrednio do przestępcy.
b) Phishing SMS (smishing) – przesyłki i banki
Z raportu CERT wynika, że w 2024 roku do CERT Polska zgłoszono ponad 355 tys. podejrzanych wiadomości SMS. Najczęściej były to powiadomienia o przesyłkach i dopłatach, informacje o zablokowaniu konta bankowego, wiadomości „od dziecka z nowym numerem”.
c) Phishing z użyciem dokumentów i plików
Przestępcy często przesyłają pliki np. PDF, ZIP, EXE, Word lub Excel z makrami. Jako kontekst takiej wysyłki często wykorzystywane są: wezwania z Policji, naruszenie praw autorskich, faktura do opłacenia.
d) Phishing zaawansowany: AiTM i spoofing
Nowoczesne kampanie phishingowe wykorzystują tzw. AiTM (Adversary in The Middle) – metodę, która pozwala przechwycić całą sesję logowania, nawet przy aktywnym MFA. Użytkownik loguje się na fałszywej
stronie, podaje login, hasło i kod SMS. System automatycznie przekazuje dane do prawdziwego serwisu, a przestępca uzyskuje dostęp do aktywnej sesji.
Jak się chronić przed phishingiem?
• Nie klikać w link bez sprawdzenia adresu URL
• Zwracać uwagi na poprawną nazwę adresu URL/mailowego/domeny/strony i zwracać uwagę na „literówki” (np. k@ (zamiast prawidłowego )
• Nie ufać wiadomościom z pilnymi komunikatami,
• Nie klikać w linki w SMS-ach, jeśli nie spodziewamy się przesyłki,
• Nie uruchamiać makr w plikach Office,
• Szkolić i edukować swój zespół.
2) Spoofing
Spoofing polega na podszywaniu się pod zaufane marki (np. przez nazwę nadawcy SMS lub adres e-mail), co dodatkowo utrudnia identyfikację zagrożenia. Jest to metoda, która bazuje na założeniu, że ufamy nadawcom, których znamy. Gdy otrzymujemy SMS-a od banku, e-mail od urzędu czy telefon z infolinii – rzadko zastanawiamy się, czy to naprawdę ten podmiot. Cyberprzestępcy wykorzystują to zaufanie wykorzystując znajome logo, zaufany numer telefonu czy fałszywą domenę różniącą się jedną literą od oryginału. Spoofing ułatwia phishing — bo odbiorca widząc znaną nazwę, łatwiej da się oszukać.
Microsoft w swoim globalnym raporcie zwraca uwagę na to, że najczęściej wykorzystywane metody spoofingu obejmują fałszywe subdomeny (login.twoj-bank.pl.atakujacy.com) oraz zamienniki znaków (micros0ft.com zamiast microsoft.com). Problem w tym, że takie różnice trudno wychwycić „na pierwszy rzut oka”.
a) Spoofing domen
Spoofing domen to jedno z głównych zagrożeń w sieci. Przykład podany przez CERT Polska mówi o stronie allegrolokalnie.pl-oferta5815015105198474.cfd, która tylko z pozoru wygląda na bezpieczną. W rzeczywistości nie ma nic wspólnego z Allegro. Kluczowe dla rozpoznania spoofingu jest konieczność i umiejętność czytania domeny od końca: to segment przed końcówką .pl lub .com decyduje, do kogo naprawdę należy strona. Reszta – nawet jeśli zawiera słowa typu „allegro”, „bank” – może być tylko subdomeną i nie daje żadnej gwarancji autentyczności.
b) Spoofing telefoniczny
Polega na tym, że przestępcy podszywają się pod dowolny numer infolinii – banku, ZUS-u, a nawet Policji. Dzwonią, informują o rzekomej próbie włamania na konto, pytają o dane logowania lub proszą o zainstalowanie „narzędzia do weryfikacji”. Schemat rozmowy jest zwykle dobrze przygotowany i działa na emocjach: strachu, panice, chęci natychmiastowego działania.
c) Metoda „na dziecko”
W 2024 roku CERT Polska odnotował m.in. wzrost oszustw „na dziecko”, prowadzonych przez WhatsApp lub SMS. Przestępcy podszywają się pod dziecko, informuj o „nowym numerze” i proszą o szybki przelew. Kampanie te modyfikowano tak, aby ominąć filtry antyspamowe — np. celowo popełniając błędy ortograficzne lub używając zamienników znaków.
d) Fałszywe komunikaty i QR kody
Spoofing nie ogranicza się do sieci. W Polsce odnotowano przypadki fizycznych „mandatów” umieszczanych za wycieraczkami samochodów. Kartki zawierały QR kody, które prowadziły do fałszywej strony płatności, przypominającej bramkę urzędową.
e) CAPTCHA z malware: fałszywe strony z weryfikacją, które wykonują złośliwe polecenia na komputerze.
Kolejna etoda to fałszywe strony z CAPTCHA, które instruują użytkownika, by wykonać skróty klawiszowe (np. Win+R, Ctrl+V, Enter) np. po to, aby potwierdzić, że „nie jesteś robotem” — co uruchamia złośliwy kod np. uruchamiając pobieranie pliku lub instalację oprogramowania szpiegującego.
Jak uniknąć spoofingu?
• Dokładnie sprawdzać nadawców wiadomości (również e-mail i SMS),
• Analizować adresy URL przed kliknięciem,
• Unikać podawania danych pod wpływem emocji,
• Korzystać z mechanizmów technicznych w poczcie firmowej (SPF, DKIM, DMARC),
• Testować czujność pracowników poprzez symulacje i szkolenia.
• Posiadać jasne procedury zgłaszania podejrzanych sytuacji.
Mając na uwadze wszystko powyższe, należy zachować wzmożoną czujność, zadbać o szkolenie i edukację personelu oraz stosować zabezpieczenia odpowiednie do aktualnych i zmieniających się zagrożeń (co może wymagać analizy ryzyka bądź uzupełnienia już tej wykonanej o zagrożenia wynikające z cyberataków).
W razie potrzeby, służymy pomocą.
Zespół Kancelarii Kulczycki, Puławska s. c.