CERT Polska udostępnił swój doroczny raport o bezpieczeństwie polskiego internetu.
CERT Polska działa w strukturach NASK. Do głównych zadań zespołu CERT Polska należy:
• rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci
• aktywne reagowanie w przypadku wystąpienia bezpośrednich zagrożeń dla użytkowników;
• współpraca z innymi zespołami CERT w Polsce i na świecie
• realizacja zadań wynikających w ustawy o krajowym systemie cyberbezpieczeństwa
• udział w krajowych i międzynarodowych projektach związanych z tematyką bezpieczeństwa teleinformatycznego;
• działalność badawcza z zakresu metod wykrywania incydentów bezpieczeństwa,
• analizy złośliwego oprogramowania i systemów wymiany informacji o zagrożeniach;
• rozwijanie własnych narzędzi do wykrywania, monitorowania, analizy i korelacji zagrożeń;
• regularne publikowanie Raportu CERT Polska o bezpieczeństwie polskich zasobów Internetu;
• działania informacyjno-edukacyjne, zmierzające do wzrostu świadomości w zakresie bezpieczeństwa teleinformatycznego, w tym:
- publikowanie informacji o bezpieczeństwie na blogu cert.pl oraz w serwisach społecznościowych Facebook i Twitter;
- organizacja cyklicznej konferencji SECURE;
• niezależne analizy i testy rozwiązań z dziedziny bezpieczeństwa teleinformatycznego
Najważniejsze obserwacje z 2019 roku
1. CERT Polska zarejestrował w 2019 r. 6484 incydenty. Jest to rekordowa liczba, a zarazem rekordowy wzrost rok do roku (73 proc.). Najczęściej występującym typem ataku był phishing, który stanowił ok. 54,2 proc. wszystkich incydentów. Na drugim miejscu znalazły się zgłoszenia dotyczące złośliwego oprogramowania – ok. 14,9 proc. Incydenty z kategorii “obraźliwe i nielegalne treści”, w tym spam, stanowiły ok. 12,1 proc. wszystkich zarejestrowanych incydentów.
2. Znaczna część wyłudzeń w polskim internecie wykorzystuje fałszywe bramki płatności w połączeniu z mailami lub smsami o konieczności dokonania niewielkiej opłaty - za przesyłkę, dopłaty do paczki itp.
3. Fałszywe informacje wykorzystywane są coraz powszechniej - zarówno w kampaniach propagandowych prowadzonych przez rządy, jak i w zwykłej przestępczości, gdzie są narzędziem wzbudzającym emocje i prowokującym do odwiedzenia fałszywej strony czy podania danych dostępowych.
4. Obserwowaliśmy wiele przypadków i wariantów wyłudzeń związanych z handlem internetowym - od ofert na portalach ogłoszeniowych po fałszywe sklepy.
5. Złośliwe aplikacje na Android pojawiające się w 2019 r. podszywały się m.in. pod banki, firmy kurierskie i policję. Ich skuteczność jest wciąż niska, ponieważ wymagają odpowiednio wiarygodnego scenariusza socjotechnicznego, który nakłoni ofiarę do zainstalowania aplikacji spoza oficjalnego sklepu i udzielenia jej odpowiednich uprawnień.
6. Rok 2019 przyniósł znaczący wzrost infekcji ransomware w sektorze przemysłowym, medycznym i administracji rządowej oraz samorządowej. Zmienia się przy tym model biznesowy przestępców - coraz częściej domagają się okupu nie tylko za odszyfrowanie danych, ale także za ich nieujawnianie.
7. Niepokojącym trendem jest wykorzystywanie anonimowych bramek mailowych do rozsyłania fałszywych alarmów bombowych, m.in. do szkół, urzędów czy szpitali.
8. Wśród złośliwego oprogramowania rozsyłanego emailem dominował Emotet. W jego kampaniach zastosowano nową technikę uwiarygodniania wiadomości: doklejanie fragmentów rzeczywistych konwersacji wykradzionych wcześniejszym ofiarom.
9. Ataki na urządzenia IoT stają się coraz bardziej specjalizowane - często ukierunkowane są na pojedynczą podatność w określonym modelu wybranego producenta. Zmienia się również cel wykorzystania przejętych urządzeń: oprócz ataków DDoS atakujących coraz częściej interesuje kradzież danych, dystrybucja malware’u lub kopanie kryptowalut.
10. Zaobserwowaliśmy około 1.3 mln unikalnych adresów IP z polskich sieci z usługami, które mogą być wykorzystane w atakach DRDoS, co oznacza spadek o 600 tys. w porównaniu z rokiem 2018. W dalszym ciągu najpopularniejszą usługą pozwalającą na ataki DRDoS są źle skonfigurowane otwarte serwery DNS.
11. Obserwowana aktywność botnetów w polskich sieciach jest niższa niż w ubiegłych latach. Odnotowaliśmy również więcej adresów serwerów zarządzających botnetami. Powyższy fakt świadczy o większej skali wymiany informacji o zagrożeniach, co w konsekwencji prowadzi do skutecznego wygaszania największych botnetów.
12. W ramach projektów SOASP i AMCE, zespół CERT Polska był zaangażowany w rozwój platform wymiany informacji o zagrożeniach (n6, mwdb.cert.pl, nowy portal injects.cert.pl) i narzędzi służących do analizy złośliwego oprogramowania (projekt Drakmon).