Znamy nowe trendy w cyberprzestępczości – wywiad z Robertem Grabowskim z CERT Orange Polska

Pomimo wzrostu świadomości użytkowników i coraz to nowych metod zabezpieczeń, e-oszustwa dobrze się mają i przynoszą przestępcom krocie, umożliwiając poważne inwestycje w infrastrukturę wspierającą proceder. O trendach w obszarze cyberzagrożeń rozmawiamy z Robertem Grabowskim, szefem CERT Orange Polska, w ramach cyklu „Cyberbezpieczeństwo” realizowanym we współpracy z serwisem TELKO.in oraz Orange.

GSMONLINE.PL/TELKO.in: Na wiosnę CERT Orange Polska opublikował raport o (nie)bezpieczeństwie w sieci internetowej w 2023 r. Czy możesz wymienić, co (jeżeli cokolwiek) było dla ciebie najbardziej zaskakujące w ostatniej edycji raportu? 

ROBERT GRABOWSKI, szef CERT Orange Polska: Trudno mówić o zaskoczeniu, bo trendy obserwujemy na bieżąco, więc rozwój wydarzeń możemy przewidzieć, a liczbę incydentów oszacować.

Co w takim razie z raportu zapadło ci najbardziej w pamięci?

Oczywiście kolejne rekordy, jak ponad 360 tys. zablokowanych złośliwych domen internetowych. Ponadto, generalnie, trend rosnącej przestępczości internetowej: scamu, phishingu. Część przestępców świetnie się adaptuje do wdrażanych środków ochrony i stara się je obejść. Cały czas działa sezonowość oraz wykorzystywanie w oszustwach zarówno stałych, jak i przejściowych zjawisk przyciągających dużą uwagę.

Ostatnia powódź?

Każda katastrofa jest „dobra” a im bardziej medialna, tym lepiej. Zaginione dzieci, porwane przez nurt itp. Okazją są także głośne wypadki samochodowe, czy też dobrze nagłośnione zbiórki pomocowe. I sezonowe wydarzenia handlowe, jak Cyber Monday, czy Black Friday.

Co poza tym w roku bieżącym? 

W tym roku mamy rekord jeżeli chodzi o skalę ataku DDoS – 586 Gb/s w lipcu. Ponadto bezustanny zalew fałszywych reklam: setki tysięcy reklamowego scamu w najpopularniejszych sieciach. To jest stałe i bardzo niepokojące zjawisko, o którym trzeba jak najwięcej mówić. Bardzo ważna była akcja podjęta przez Rafała Brzoskę, który złożył do sądu skuteczną skargę przeciw Meta. Firma nie potrafiła przeciwdziałać emisji na Facebooku fałszywych „reklam” dotyczących przedsiębiorcy i jego żony.

Wciąż w tych fałszywych reklamach żywy jest temat Orlenu, który rzekomo prowadzi narodowy program inwestycyjny, dzięki któremu „zarobisz tysiące złotych tygodniowo” i „zabezpieczysz przyszłość swoich wnuków”. W fałszywych reklamach pojawiają się także inne „narodowe programy inwestycyjne”, oparte na narzędziach sztucznej inteligencji, które będą za nas inwestować środki. Poza tym celebryci, którzy według tych ogłoszeń w jakiś tajemniczy sposób zarobili wielkie pieniądze i chętnie się tym sposobem podzielą – po kliknięciu w fałszywą reklamę.

Jakie są cele takich akcji?

Ogólnie rzecz biorąc: kradzież pieniędzy. Najpierw pozyskuje się dane osobowe: imię, nazwisko, numer telefonu, czy e-mail, żeby później skontaktować się, dodatkowo uwiarygodnić i zaproponować „korzystną inwestycję”. Jeden ze sposobów, to „zapomniane konto kryptowalut”. – Kilka lat temu w naszym serwisie założyła pani/pan konto i teraz jest tam jeden (dwa… pięć…) bitcoinów do wypłaty... Ale żeby wypłacić trzeba… najpierw wpłacić – na przykład na poczet opłaty manipulacyjnej.

To w internecie. A jeżeli chodzi o SMS?

Najpopularniejsze obecnie oszustwo, to komunikaty z banków. Poza tym nieśmiertelna informacja o przesyłce, do której trzeba dopłacić niewielką kwotę. Inne oszustwo: „Mamo zgubiłem telefon, piszę z telefonu kolegi, potrzebuję 100 zł” – kodem BLIK, albo przelewem bezpośrednim. Modus operandi tych wszystkich przestępczych grup jest zarabianie pieniędzy. Albo bezpośrednio, albo pośrednio poprzez wykradzenie danych kontaktowych i uwierzytelniających do aplikacji bankowych, maila czy platform społecznościowych. Kradną dane, żeby je wykorzystać, zalogować się i wyczyścić konto lub wziąć pożyczkę. 

Zainstalować złośliwe oprogramowanie?

Wystarczy zdalny pulpit i manipulacja, dzięki którym przestępca wie co robimy na komputerze, gdzie i jak się logujemy. Celem końcowym jest kradzież pieniędzy bądź nakłonienie nas do wypłat, przelewów a nawet zaciągania kredytów.

Jeżeli przestępcy przejmują konta na Facebooku, to też chyba w podobnym celu?

Tak jest. Piszą z takich kont do znajomych, żeby wyłudzić kod BLIK i wypłacić pieniądze z bankomatu. Komunikacja społecznościowa jest dla pokrzywdzonych często bardziej wiarygodnym kanałem, niż SMS. Inna metoda, to nie tyle hakowanie konta w serwisie społecznościowym, co założenie nowego, z niemal identycznie brzmiącą nazwą, na przykład z literką bez ogonka. Potem tworzy się do tego konta krąg kontaktów i zaczyna oszustwa.

Dane służą okradaniu internautów, a czy są też towarem same w sobie?

Owszem, oszuści handlują takimi danymi a kupują je inne grupy przestępcze, żeby rozpocząć własny „telemarketing” i spróbować wyłudzeń. Zawsze chodzi o przejęcie danych karty płatniczej lub konta bankowego i wyczyszczenia sald do zera. Jak najszybciej, aby użytkownik lub instytucja finansowa nie zdążyli założyć blokady – jak najszybciej dokonać przelewu, zakupu, wypłaty gotówki z bankomatu, czy innej operacji.

Porównując to co mówisz, do raportu CERT Orange za 2023, wygląda, że metody się nie zmieniają.

To prawda, metody wciąż są podobne, ale zmienia się ich nasilenie. „Mamo, tato, zgubiłem telefon” w zeszłym roku zdarzało się w śladowych ilościach. W tym roku zdecydowanie rośnie. W oszustwach SMS-owych to jest teraz absolutny hit. I widać też próby adaptacji oszustów chociażby do blokowania wiadomości SMS. Te wiadomości są pisane w przeróżny sposób: wielkimi i małymi literami, zawierają mnóstwo błędów, zbędnych spacji, znaków w obcych alfabetów: tureckim, greckim... Te błędy są właśnie po to, żeby próbować omijać automatyczne blokady.

Jakie są geograficzne źródła tych oszustw?

Nie tak prosto jest wnioskować o geograficznych źródłach w internecie, ale tropy generalnie prowadzą na wschód. Oszuści często mówią po Polsku ze wschodnim akcentem, co prowadzi nas do najbliższych sąsiadów zza miedzy. Takie same są tropy, kiedy policja dokonuje zatrzymań, czy też likwiduje „call center” oszustów.

A jak to rozpoznajecie na poziomie całej grupy Orange?

Ci sami aktorzy, którzy wysyłają SMS-y do Polski wysyłają je również do innych państw

Czy wiadomo jaka może być finansowa skala tego procederu w Polsce?

To jest trudniejsze pytanie. Wiem, co udało się zatrzymać w naszej sieci, ale nie wiem, gdzie oszuści okazali się sprytniejsi. Nie wiem, co dokładnie się dzieje w sieci innych operatorów. Jeżeli chodzi o wartość oszustw, to opieram się na danych publicznych, jak statystyki CSIRT KNF, raporty NBP czy na doniesieniach medialnych.

Co wynika z tych danych?

Myślę, że kwoty, jakie padają publicznie są ułamkiem realnej wartości oszustw, którymi nikt tak naprawdę nie ma ochoty się chwalić. Jedno czego jestem pewien to to, że marża jest dodatnia, i że ten „biznes” się kręci. Mnóstwo ludzi się tym zajmuje i doskonale prosperuje. Są pieniądze na reklamy, są pieniądze na infrastrukturę, na sprzęt i automatyzację procesów.

A gdyby mówić o ilościach oszustw?

To także zależy od typu przestępstw, ale z publikowanych danych wynika, że są to nawet setki tysięcy rocznie. Znamy liczbę użytkowników próbujących wejść na fałszywe strony internetowe. W ubiegłym roku w sieci Orange, to było ponad 5 mln. W pierwszym półroczu tego roku mieliśmy 1,8 mln i w skali roku przewiduję tendencję spadkową. Chociaż w drugiej połowie roku zwykle więcej się dzieje.

Miarodajna jest liczba zablokowanych złośliwych domen: w ubiegłym roku ponad360 tys., 130 tys. w pierwszej połowie tego roku. Trzeba tylko pamiętać, że w tych domenach są także tworzone dziesiątki tysięcy subdomen.

W tym rok mieliście nowy rekord ataku DDoS. Kto został zaatakowany?

To był prywatny użytkownik, być może gracz.

Gracz online potrafi zogniskować niechęć wystarczającą do rekordowego DDoS?

To są częste ofiary, aczkolwiek myślę, że bywają pretekstem, bo chodzi także (lub głównie) o test sieci operatora. Jesteśmy nieustannie testowani. Trudno inaczej zrozumieć sens ataku o sile kilkuset gigabitów na użytkownika, który dysponuje łączem, nawet niech 2 Gb/s. Wystarczyłby przecież dużo tańszy DDoS 10 Gb/s.

Spodziewasz się kolejnego rekordu w drugiej połowie roku?

Tutaj nie ma reguły. Zdarzały się lata bez rekordu, a w tym roku padły już dwa rekordy. Przy czym sama liczba ataków wciąż rośnie – powoli, ale rośnie. Jest też dużo więcej ataków o większym wolumenie. Cały czas aktywne są prorosyjskie grupy, które obierają za cel polski sektor publiczny i prywatny.

Istnieje pewna kategoria przedsiębiorców, którzy działają najzupełniej legalnie, ale są także beneficjentami procederu, o którym mówimy. Choćby największe platformy reklamowe, z którymi walkę podjął Rafał Brzoska. Czy one są świadome problemu?

Twierdzą, że tak, oraz że dużo robią, aby przeciwdziałać oszustwom. Podają światowe liczby blokowanych reklam na setki milionów miesięcznie. Co nie zmienia faktu, że fałszywe kampanie reklamowe wciąż widać w polskim internecie, a my co tydzień blokujemy ich kilkadziesiąt, czy kilkaset.

Nie mogę powiedzieć, że wielkie platformy nie walczą z patologiami, ale z pewnością mogę powiedzieć, że nie są w Polsce skuteczne i – na dzisiaj – ich nie eliminują.

Co z rejestratorami domen? Oszustwa wymagają tysięcy domen.

Na tym rynku są zarówno odpowiedzialne firmy, jak i podmioty, którym zależy wyłącznie na przychodach. Oszuści zawsze znajdą kraj, czy rejestratora domen, który nie zadaje za dużo pytań. To wszystko może się dziać poza Polską, podobnie jak w przypadku vishingu, kiedy fałszywe połączenia (podszywanie się) przychodzą z krajów, gdzie nie ma żadnych regulacji.

Wracając do domen, to monitorowanie oszustów nie jest takie proste. Z tego, że ktoś zarejestrował domenę nic jeszcze nie wynika. Wynika może wtedy, kiedy rejestruje 101 domenę, a poprzednich 100 już jest na czarnej liście. Przestępcy są zresztą sprytni. Często uruchamiają pod zarejestrowanymi domenami serwisy z błahymi treściami, żeby nagle odpalić fałszywą giełdę kryptowalut. Ale ta giełda jest dostępna tylko, jeżeli link odesłał z fałszywej reklamy. Każde inne wejście na adres prowadzi do treści niebudzących żadnych podejrzeń.

Wykorzystuje się także dwuczłonowe domeny narodowe, jak sa.com Arabii Saudyjskiej. Tutaj blokowanie subdomen jest trudniejsze, bo od razu blokowałoby się cały zakres danego kraju. 

Co można robić?

Dyskusja z innymi krajami, czy największymi platformami internetowymi jest trudna. Trudna nawet dla rządów państw, nie mówiąc już o podmiotach prywatnych. W przypadku tego procederu, nie wierzę w skuteczność współpracy na poziomie zespołów technicznych. Jest idealna dla indywidualnych spraw, ale niezbyt efektywna wobec takiej skali. Kluczowa jest gotowość wszystkich stron do szybkiego działania, bo co z tego, że ktoś obiecuje zablokować fałszywą reklamę, skoro robi to w ciągu kilkunastu godzin? W tym czasie klikną w nią setki tysięcy internautów. Czas działania powinien się wyrażać w sekundach lub najwyżej minutach.

Jak oceniasz stan świadomości konsumentów, jeżeli chodzi o cyberzagrożenia?

Patrząc na liczby, powiedziałbym, że świadomość rośnie. Mniej osób łapie się na oszustwa, choć nadal wystarczająco dużo, żeby ten biznes był opłacalny. Długa jeszcze droga przed nami, aby efekty oszustw spadły poniżej progu opłacalności, a przestępcy ograniczyli działalność lub w ogóle wynieśli się z naszego kraju.

Stawiam jednak tezę, że jako społeczeństwo możemy nabyć pewną stadną cyberodporność. Stanie się tak, jeżeli będziemy edukować dzieci od najmłodszych lat, czym jest fejk, że należy być krytycznym wobec tego, co się czyta i słyszy w internecie, że na nasze dane i pieniądze czyhają oszuści – i jeżeli jako dorośli będziemy je w tym wszystkim wspierać.

Macie może odsłuchy, że tak się dzieje w bardziej zaawansowanych ekonomicznie krajach?

Nie mam takich informacji. Powiem nawet więcej: uważam, że jako kraj jesteśmy często o krok przed Europą, jeżeli chodzi o wykrywanie i blokowanie szkodliwych treści. Nie spotkałem się z rozwiązaniem operatorskim typu CyberTarcza;  narodowe, na bieżąco aktualizowane, rejestry szkodliwych domen to w innych krajach nadal rzadkość.

Co to wszystko znaczy dla operatora telekomunikacyjnego? Tylko koszty na systemy wykrywania i blokowania cyberzagrożeń?

Orange świadczy wiele biznesowych usług bezpieczeństwa, ale to nie jest mój główny obszar działania. Cyberbezpieczeństwo jest jednym z filarów Orange Polska. W myśl tej wartości pracuje i działa mój zespół. Chcemy, żeby każdy klient, a pewnie i każdy użytkownik internetu w Polsce, czuł się bezpieczny. W szczególności oczywiście w naszej sieci. Klient, wchodząc do niej, jest chroniony od pierwszych sekund, kiedy korzysta z naszego światłowodu, czy z naszego numeru komórkowego. Oczywiście to nie jest bezkosztowy proces natomiast, podobnie jak jakość, tak samo bezpieczeństwo usług procentuje w percepcji użytkownika, który ogląda ofertę 3-4 sieci i podejmuje decyzję zakupową.

Gdyby ocenić wagę cyberbezpieczeństwa po budżecie CERT Orange…

Mój zespół rośnie, a zatem rośnie i budżet. Cyberbezpieczeństwo jest bardzo ważną częścią strategii Orange Polska.

Dziękujemy za rozmowę.

rozmawiali Łukasz Dec i Wojciech Piechocki

Materiał powstał we współpracy z Orange Polska.