- Zaczęliśmy psuć przestępcom biznes. Widzimy próbę migracji przestępców w różne miejsca. I deklarujemy, jako CERT Polska, że będziemy we wszystkich miejscach, w których realizuje się oszustwo – mówił szef tego zespołu Sebastian Kondraszuk, gdy podczas wystąpienia na konferencji SECURE 2024 prezentował roczny raport CERT Polska. - Dziś oddajemy do dyspozycji możliwość zgłaszania cyberoszustw na WhatsApp (wa.me/48780907000), ale wciąż wiodący jest numer 8080.

Roczny raport CERT Polska, poza stałymi pozycjami, po raz pierwszy omawia niektóre operacje zagranicznych służb wymierzonych w bezpieczeństwo Polski, Unii Europejskiej, państw NATO.

Dobra wiadomość: rozprawiamy się ze smishingiem

Do CERT Polska w NASK wpłynęło w 2023 roku aż 371 089 zgłoszeń. Na ich podstawie zarejestrowano 80 267 unikalnych incydentów – ponad dwa razy więcej, niż rok wcześniej. Najczęściej rejestrowanym cyberoszustwem jest wciąż phishing. Zarejestrowano 41 423 ataki tego typu (blisko 52 proc. wszystkich incydentów).

Najpopularniejsze kampanie phishingowe wykorzystywały wizerunek serwisu aukcyjnego Allegro (11 161 przypadków), serwisu społecznościowego Facebook (5 308 przypadków) i serwisu sprzedażowego OLX (4753 przypadki).

– Dobra wiadomość jest taka, że właśnie dziś rozprawiamy się ze zjawiskiem smishingu. Od 16 kwietnia operatorzy telekomunikacyjni mają obowiązek wychwytywania i blokowania wiadomości SMS, które będą zgodne z wzorcem przygotowanym i przesłanym im przez CERT Polska – podkreślił Sebastian Kondraszuk, szef zespołu CERT, działającego w strukturach NASK.

Więcej o tym, jak działają nowe przepisy w tekście „Groźne SMS-y będą blokowane. Jak? Czy nasza prywatność zostanie naruszona?” na stronie NASK.pl.

Oszustwa komputerowe, fałszywe sklepy, przestępstwa finansowe

Oszustwa komputerowe były drugą najczęściej notowaną odmianą cyberataków w 2023 r. Zarejestrowano ich 34 304 (ponad 42 proc. wszystkich zarejestrowanych incydentów). Często spotykane odmiany tego ataku to fałszywe sklepy internetowe oraz oszustwa finansowe, podszywające się pod koncerny paliwowo-energetyczne, firmy oraz instytucje.

– Tylko podczas tego wystąpienia [trwało 20 minut] analitycy z CERT-u wpiszą na listę ostrzeżeń przed niebezpiecznymi stronami internetowymi kolejne sześć domen, a w ciągu roku nawet 120 tysięcy. Każdy taki wpis to jakaś liczba polskich internautów, których udało się uchronić przed zagrożeniem – przybliżał skalę zjawiska Sebastian Kondraszuk na konferencji SECURE 2024. 

Szkodliwe oprogramowanie – to zagrożenie maleje

Trzeci typ incydentów, które występowały najczęściej w 2023 r., to szkodliwe oprogramowanie. CERT Polska zarejestrował 1 650 incydentów, o połowę mniej niż w roku poprzednim. Obejmowały zarówno infekcje oprogramowaniem ransomware, jak i kampanie spamowe, dystrybuujące oprogramowanie Remcos i Agent Tesla.

Artemis, Snitch i inne przydatne narzędzia

Jednym z najważniejszych narzędzi wspierających bezpieczeństwo polskiego internetu jest program Artemis, uruchomiony przez CERT Polska na początku 2023 roku. Doprowadził do wykrycia 180 tysięcy luk i błędnych konfiguracji stron internetowych publicznych instytucji w Polsce. Artemis przeskanował do marca tego roku – ponad 460 tysięcy domen i subdomen.

Z kolei Snitch automatycznie monitoruje bezpieczeństwo urządzeń wykorzystywanych w zakładach przemysłowych w Polsce oraz urządzeń należących do tzw. internetu rzeczy (IoT). Od czasu uruchomienia tego narzędzia CERT Polska wysłał 1 748 powiadomień o podatnościach w systemach, które dotyczyły 5 564 usług (968 z nich było unikalnych i dotyczyło 813 unikalnych hostów).

Cały czas działa również n6 – usługa, dzięki której przedsiębiorstwa i instytucje dostają informacje o problemach bezpieczeństwa w ich infrastrukturze.

– Nadal będziemy rozwijać serwis bezpiecznedane.gov.pl, na którym każdy może sprawdzić, czy jego dane dostępowe nie zostały ujawnione podczas jakiegoś wycieku. To ważne, bo jako CERT Polska oceniamy, że nadal około miliona kont polskich użytkowników pozostaje ujawnionych i wymaga pilnej interwencji – mówił Sebastian Kondraszuk.

CERT Polska krzyżuje szyki rosyjskim służbom

Po raz pierwszy roczny raport CERT Polska omawia niektóre kampanie grup APT, związanych z Chinami, Białorusią, a przede wszystkim Rosją, wymierzone w bezpieczeństwo Polski, np. atak celowany w polskie firmy z sektorów transportu, energetyki i zbrojeniowego.

Zespołowi CERT dwukrotnie udało się pokrzyżować szyki grupie APT29/Midnight Blizzard, powiązanej z Rosyjską Służbą Wywiadu Zagranicznego (SVR). Pierwszy raz wspólnie ze Służbą Kontrwywiadu Wojskowego. Atak dotyczył kampanii szpiegowskiej, której celem było pozyskiwanie informacji z ministerstw spraw zagranicznych oraz placówek dyplomatycznych, znajdujących się w państwach należących do NATO i Unii Europejskiej. W drugiej operacji wymierzonej w tę samą grupę, brały udział także Federalne Biuro Śledcze (FBI), Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (UK NCSC) oraz polska Służba Kontrwywiadu Wojskowego (SKW).

Raport roczny CERT Polska za 2023 rok można pobrać korzystając z tego linku.

Każdego roku raport CERT Polska precyzyjnie przedstawia stan polskiej cyberprzestrzeni. Żadna inna instytucja nie dysponuje tak dokładnymi danymi, ponieważ to do zespołu CERT Polska w NASK trafia większość zgłoszeń dotyczących cyberzagrożeń. Nie ma w tym nic dziwnego – wśród trzech zespołów CSIRT poziomu krajowego, właśnie CSIRT NASK (którego fundamentem jest CERT Polska) odpowiedzialny jest na mocy ustawy o Krajowym Systemie Cyberbezpieczeństwa m.in. za administrację samorządową, instytucje publiczne, operatorów usług kluczowych i dostawców usług cyfrowych, a przed wszystkim firmy i osoby prywatne.