Już 60 tysięcy razy została pobrana przez administratorów polskich sieci lista, na której eksperci CERT Polska w NASK publikują informacje o domenach, wykorzystywanych do wyłudzania danych osobowych i danych logowania do kont bankowych. Tylko w pierwszym tygodniu działania listy eksperci NASK sprawdzili 1114 domen, a w efekcie 107 domen zostało zablokowanych przez operatorów.
Lista ostrzeżeń jest efektem porozumienia Ministerstwa Cyfryzacji, NASK i UKE z największymi polskimi operatorami komórkowymi. Z informacji o przestępczych stronach mogą korzystać bezpłatnie również wszyscy inni administratorzy, którzy chcą chronić swoich użytkowników przed atakami poprzez strony podszywające się pod znane podmioty i usługi.
W atakach phishingowych, czyli wyłudzaniu danych, przestępcy często wykorzystują wizerunek znanych i budzących zaufanie firm i instytucji. Tworzą w tym celu dopracowane w szczegółach strony internetowe bardzo przypominające np. strony logowania do banków, bramki płatności internetowych lub inne witryny rozpoznawalnych instytucji. Próbę oszustwa można wykryć, przyglądając się uważnie jej adresowi. Widnieje tam nazwa domeny, w której umieszczona jest strona. Nazwa fałszywej domeny będzie inna niż faktyczny adres prawdziwej firmy. Przestępcy starają się tworzyć fałszywe strony, używając nazw podobnych do oryginalnych domen podmiotów, pod które się podszywają. Na liście publikowanej przez CERT Polska znajdują się m.in. nazwy: regulamin-wirtualnapolska.com, www. otodomweryfikacja.com, www.24platnosci.online, in-post.net, fakty-koronawirus24.pl. Zwykłym użytkownikom bardzo trudno jest odróżnić taką fałszywą nazwę od oryginalnej.
Jak wyjaśnia Przemysław Jaroszewski, kierownik CERT Polska w NASK, lista powstała po to, aby każdy administrator sieci miał dostęp do zweryfikowanej przez ekspertów, na bieżąco uzupełnianej i aktualizowanej listy niebezpiecznych domen i mógł zablokować dostęp do nich w sposób automatyczny i niezwłoczny. Lista ostrzeżeń rozpoczęła funkcjonowanie w odpowiedzi na znaczący wzrost liczby wyłudzeń danych w związku z treściami, dotyczącymi epidemii koronawirusa. Jednak zjawisko phishingu istniało już wcześniej i jest od kilku lat jednym z zagrożeń najczęściej obsługiwanych przez CERT Polska.
W ciągu pierwszego tygodnia funkcjonowania listy (23–31 marca) eksperci sprawdzili 1114 domen, z czego 172 pochodziło z zewnętrznych zgłoszeń. 107 domen zostało zablokowanych, 778 domen jest aktywnie monitorowanych, w przypadku 229 domen podejrzenie okazało się nieuzasadnione. Adres internetowy zgłoszony jako podejrzany lub znaleziony w trakcie prac CERT Polska jest analizowany przez ekspertów. „Dla bezpieczeństwa proces nie jest automatyczny” – podkreśla Przemysław Jaroszewski. Każde zgłoszenie podejrzanej strony jest weryfikowane przez co najmniej dwie osoby zajmujące się w CERT Polska obsługą zgłoszeń. Średnio adres strony, na której faktycznie działa mechanizm do wyłudzania danych, pojawia się na liście po nieco ponad godzinie od zgłoszenia. Zdarza się, że specjaliści obserwują już podejrzaną domenę, zanim pojawi się na niej oszustwo. Wtedy są w stanie dodać adres do listy natychmiast po tym, jak zacznie się na niej nielegalna działalność.
„Strony wyłudzające dane osobowe oraz dane uwierzytelniające są obecnie zjawiskiem masowym, dotykającym różne grupy użytkowników internetu w Polsce. Linki do nich przesyłane są różnymi kanałami: przez SMS, e-mail lub media społecznościowe. Adresy te mogą znajdować się w różnych domenach, nie tylko w domenie krajowej *.pl. Z tego powodu bardzo ważne jest szybkie rozpoznawanie, raportowanie oraz współdzielenie informacji o złośliwych domenach, tak by można było jak najszybciej zablokować do nich dostęp. Każdy ma prawo zgłosić stronę budzącą wątpliwości” – wyjaśnia Przemysław Jaroszewski. Służy do tego specjalny formularz na stronie https://incydent.cert.pl/phishing.
Lista jest dostępna publicznie. Aby korzystać z danych nie trzeba się nigdzie rejestrować. Lista może być wykorzystywana przez dostawców internetowych do blokowania stron wyłudzających dane w ich sieciach. Dostawca nie powinien pobierać z tego tytułu dodatkowych opłat. Więcej informacji można znaleźć na stronie CERT Polska.