To było pewnie, pytanie nie brzmiało „czy” przestępcy przygotują phishing, którego tematem będzie koronawirus, tylko kiedy to się stanie. Aż dziwne, że dopiero od kilku dni trafiają do nas strony, które – wykorzystując emocje, związane z pandemią – usiłują przekonać nas do… przekazania im naszych loginów i haseł do Facebooka.

Koronawirus, zobacz film!

Schemat phishingu jest standardowy, podobnie jak w przypadku „scamów na sensacyjne newsy”. Jedyną różnicą jest fakt, iż tym razem newsem jest właśnie koronawirus. Dotychczasowe witryny udają serwis Fakt24, ale doświadczenie wskazuje, że niebawem przestępcy mogą przygotować szablony pod kątem innych mediów. Po początkowych frazesach trafiamy na kluczowych aspekt, film o tytule, mającym przyciągnąć jak najwięcej ofiar:

Domyśliliście się w czym tkwi klucz? Jeśli uważacie, że w niebieskim „Zaloguj”, macie rację. Po kliknięciu w prostokąt przeniesiemy się na stronę łudząco przypominającą witrynę logowania do Facebooka. Wystarczy jednak spojrzeć na jej adres, by zorientować się, że mamy do czynienia z oszustwem. A co potem? W kolejnych krokach wykradzione login i hasło mogą zostać użyte do dalszych oszustw. Np. podszywania się pod nas i wyłudzania od znajomych kodów BLIK.

Nasz CERT blokuje takie strony natychmiast, gdy wykryją je nasze systemy, lub trafią do nas inną drogą. Po zasileniu taką informacją CyberTarczy, przy próbie wejścia na podejrzaną stronę zobaczycie odpowiedni ekran z informacją oraz linkiem do oficjalnego rządowego serwisu nt. koronawirusa. Jeśli traficie na tego typu podejrzaną stronę – napiszcie do nas na adres cert.opl@orange.com. Pomożecie wtedy innym internautom.

11,5 miliona. Tyle razy w 2019 roku klienci naszych usług dostępu do internetu zobaczyli informację o tym, że CyberTarcza ustrzegła ich przed wejściem na strony phishingowe. W ogóle, gdy przyglądam się naszym CERTowym statystykom, wejściom na strony, informacjom z pierwszej linii – za każdym razem widzę, że przestępcy nieprzerwanie pracują nad kreatywnością, starając się nas przekonać do kliknięcia w załączniki do ich maili, albo wejścia w linki, czy podania naszych wrażliwych danych.

Ciągle łapiemy się na phishing

Na pewno znajdą się tacy, którzy powiedzą: „Oj przecież ten phishingowy mail często jest tak oczywisty, to nie problem go rozpoznać!”. Cóż… Nie. Z racji na charakter pracy mam okazję zapoznawać się regularnie z różnymi pomysłami przestępców i uwierzcie, że niektóre rozpoznałem tylko dlatego, że wszędzie widzę zło i prawie każdą nieznaną domenę wrzucam do analizatora 🙂 Poza tym praca „w okolicy” pierwszej linii (pozdrawiam koleżanki i kolegów z call center) daje też wyjątkową okazję kontaktu ze zgłoszeniami klientów. Tam idealnie widać, jak wiele osób niezmiennie łapie się na dość prostą socjotechnikę. Dowodzi tego też fakt, że znaczna większość kampanii opiera się o te same schematy! „Faktury” (te podszywające się pod dostawców usług i te biznesowe, „nieopłacone”), sensacyjne newsy (ukierunkowane na wykradanie danych logowania do Facebooka). No i te najgorsze – szereg odmian scamu, kierującego nas na fałszywe bramki płatności. W najgorszym przypadku może się to zakończyć utratą oszczędności całego życia!

Phishingowy mail – na co uważać?

A ja tymczasem zaryzykuję stwierdzenie, że wystarczą trzy minuty Waszego czasu (a może nawet mniej), by znacząco, niemal do zera, zmniejszyć ryzyko, że padniecie ofiarą tego typu ataku. Jak? Tajemnica tkwi w jednym pliku (nie obawiajcie się, to nie phishing :), CERT Orange Polska approved – link z naszej strony) A gdy już się z nim zapoznacie, bardzo chętnie ja zapoznam się z Waszym zdaniem, w komentarzach. Czy to dobry sposób na edukację? Czy warto rozesłać taki plik swoim mniej technicznym znajomym, czy bliskim? A może już to zrobiliście?

Trzy minuty o phishingu

Październik jest europejskim miesiącem cyberbezpieczeństwa. To dobra okazja, by pokazać z jakich kierunków Wasze bezpieczeństwo w sieci może być zagrożone. Na pierwszym miejscu na „liście przebojów” cyberprzestępców był phishing czyli próby nielegalnego pozyskania naszych danych – loginów i haseł do kont bankowych, numerów kart kredytowych itp.

Cyberbezpieczeństwo w naszej sieci

Mówiąc w prostych, żołnierskich słowach – przestępcy mieli chrapkę na Wasze dane, by wykorzystać je do niecnych celów. Specjalista opowiedziałby o tym pewnie nieco bardziej szczegółowo i z wykorzystaniem danych liczbowych. Na całe szczęście pisząc ten tekst o bezpieczeństwie w sieci znalazłem najlepszego – Roberta Grabowskiego, szefa zespołu CERT Orange Polska.

 „Próby wyłudzenia danych stanowiły ponad 2/3 cyberzagrożeń (67 proc.) wykrytych w tym czasie w sieci Orange Polska. Na drugim miejscu oprogramowanie typu adware, zasypujące odbiorcę niechcianymi reklamami. Stanowiło ono niemal 1/4 zagrożeń (22 proc.). W mniejszym stopniu groziły nam koparki kryptowalut i inne rodzaje złośliwego oprogramowania. Widać też wyraźną tendencję spadkową w przypadku ataków DDoS, blokujących działalność witryn internetowych. Prawdopodobnie ma to związek z wdrożeniem pod koniec 2018 roku nowych mechanizmów detekcji i ochrony sieci Orange”

Phishing – jak się bronić przed zagrożeniem z sieci?

Wiecie już, że najczęściej będą Was spotykać próby wyłudzenia Waszych danych i różnego rodzaju oszustwa. Nie zawsze będą to jednak wywołujące wybuchy śmiechu maile od nigeryjskich książąt. Często będą wyglądać jak faktura od operatora telekomunikacyjnego, choć niekoniecznie Waszego, bo przestępcy nie mają takich baz. Może być to mail ze sklepu internetowego o niezapłaconym rachunku. Może nawet być to mail od prezesa Twojej firmy z prośbą o to byś wykonał szybki przelew ze służbowego konta.

Autorzy ataków phishingowych są bardzo pomysłowi w wyszukiwaniu wiarygodnych na pierwszy rzut oka przykrywek. Pod kogo jeszcze mogą się podszyć? Pod banki, innym razem pod administrację podatkową, ale może to być także serwis sprzedaży używanych samochodów czy sieć supermarketów.

Niestety internauci mimo ostrzeżeń bardzo często wykorzystują te same loginy oraz hasła w bankach i serwisach internetowych. Nie jest to droga do bycia bezpiecznym w sieci. Ich przejęcie to dla przestępcy jak otwarcie legendarnego Sezamu – daje możliwość kradzieży naszych pieniędzy.

Bezpieczeństwo w sieci zapewnia CyberTarcza

Użytkownicy sieci Orange są i tak w lepszej sytuacji. Mogą korzystać z ochrony wyjątkowego narzędzia – CyberTarczy. Ostrzega ona internautów o wykrytych zagrożeniach i pozwala uniknąć zainfekowania. Od blisko roku obserwujemy nasilone kampanie SMS, codziennie blokujemy złośliwe domeny i powiązane z nimi fałszywe wiadomości z wiarygodnie brzmiących nadpisów, a linki w nich zawarte prowadzą zazwyczaj do fałszywych bramek płatniczych typu PayU czy DotPay. Między innymi z tego powodu uruchomiona została mobilna wersja CyberTarczy, która zdecydowanie zwiększa bezpieczeństwo korzystania z internetu w smartfonie. Stworzono ją z myślą o niewielkich firmach oraz użytkownikach prywatnych. W smartfonie gromadzimy mnóstwo wrażliwych danych osobistych, ale także służbowych. Chwila nieuwagi, kliknięcie w niebezpieczny link może narazić na straty nie tylko użytkownika telefonu, ale też jego znajomych czy partnerów biznesowych.

Cyberbezpieczeństwo jest tym ważniejsze, że często na smartfonach służbowych przechowujemy dane osobowe – chociażby w postaci zapisanych w pamięci numerów. Pamiętajcie o RODO i karach z nim związanych. Warto być zabezpieczonym. Ochrona CyberTarczy jest w takich przypadkach nie do przecenienia. Warto ją zamówić.

CyberTarcza daje cyberbezpieczeństwo

Co miesiąc chroni ona setki tysięcy użytkowników przed phishingiem i oprogramowaniem typu malware. Rekordowy pod tym względem był maj. Problemów uniknęło wówczas ponad 660 tysięcy osób.

Na przykład przestępcy rozsyłali w tym czasie SMS-y kierujące do fałszywego serwisu z horoskopami. CyberTarcza zablokowała tę domenę. Był to klasyczny wręcz przykład „hybrydowej” próby wyłudzenia. Najpierw przychodziła wiadomość, że klient rzekomo zapisał się na wysoko płatny serwis SMS. Jednocześnie był informowany, że może zrezygnować z subskrypcji, płacąc zaledwie złotówkę w ramach „sprawdzenia danych osobowych”. Przestępcy liczyli, że osoby te nie spojrzą dokładnie na adres strony wyglądającej jak panel płatności, a im uda się ukraść nie tylko złotówkę, ale najpewniej wszystkie pieniądze z konta.

Trudno przewidzieć co cyberprzestępcy jeszcze wymyślą, aby obłowić się kosztem użytkowników internetu. Jeśli chcesz na bieżąco śledzić zagrożenia w sieci możesz to robić na stronie CERT Orange Polska lub na twitterze @CERT_OPL . Warto zajrzeć także do cotygodniowego cyklu Michała Rosiaka o cyberbezpieczeństwie.

Praca w CERT Orange Polska łączy się z co najmniej kilkoma wyjątkowymi rzeczami 🙂 Jedną z nich jest bez wątpienia możliwość praktycznie bezpośredniego dostępu do informacji o tym, co przestępcy usiłują robić w sieci Orange Polska. I o ile ostatnio faktycznie ilościowo zrobiło się nieco spokojniej, o tyle warto zwrócić uwagę na dwa szczególnie popularne ostatnio wśród przestępców typu ataków.

„Faktura” wiecznie żywa

Rozpoczęta w poniedziałek nie do końca udanym mailem seria „faktura od Orange” z dnia na dzień wygląda coraz lepiej (choć na szczęście jeśli zwracacie uwagę na przychodzące do Was maile, przypominające oficjalne, powinniście się zorientować). Niezależnie od tego, jak bardzo źli ludzie się postarają, pamiętajcie o tym, że nasze faktury zawierają strefę bezpieczeństwa. Jeśli dokument, który otrzymaliście rzekomo od nas, nie zawiera Waszego imienia i nazwiska oraz numeru klienta – skasujcie go bez klikania, a najlepiej, jeśli wcześniej wyślecie go jako załącznik na adres cert.opl@orange.com. Tu akurat przestępcy mają łatwo – treść naszego dokumentu z fakturą wystarczy po prostu skopiować. Warto pamiętać, by w każdym mailu (nieważne, czy od Orange Polska), patrzeć na adres nadawcy, nazwę i rozszerzenie załącznika. Chwila uwagi może oszczędzić nam mnóstwo czasu.

Seks i zakłopotanie

Sex sells. Tak samo jak seks zazwyczaj „sprzeda” nawet najpośledniejszej jakości tfu-rczość, tak możemy być pewni, że oparcie niezbyt wyrafinowanego phishingu o obszar erotyczny może przynieść przestępcy całkiem niezły efekt. W ostatnich tygodniach dość regularnie obserwujemy kolejne ataki oparte o schemat, który można by określić mianem „hybrydowego”: najpierw informacja o zapisaniu nas do serwisu z anonsami (i drogimi SMSami Premium, wysyłanymi każdego dnia), następnie wędka w postaci możliwości wypisania się (pod warunkiem, że zrobimy to bardzo szybko), no i – na koniec – konieczność „potwierdzenia tożsamości” przelewem na drobną kwotę. Jeśli pierwszy SMS z różnych powodów wprawił nas  w zakłopotanie, zazwyczaj będziemy chcieli szybko usunąć ślady… czegoś, czego nie zrobiliśmy. W efekcie nie zauważymy, że domniemana bramka płatności, której mamy użyć, jest fałszywa. Zorientujemy się dopiero, gdy na koncie bankowym pokaże się nam okrągłe ZERO.

Co robić?

To, co zawsze. Nie robić nic na szybko, wyrobić w sobie wewnętrzną ostrożność przy tego typu mailach. Zawsze warto poświęcić nawet minutę czasu, jeśli ma nam potem oszczędzić wielo(tygo)dniowych nerwów. Tym bardziej teraz, gdy zaczęły się już wakacje i w klimatach wypoczynkowych opuszczamy naszą „mentalną gardę”. Przestępcy właśnie na to czekają.

Do czegoś się Wam przyznam. Nie przepadam za zbyt technicznymi konferencjami. Dlatego cieszy me serce fakt, że nawet imprezy teoretycznie kierowane do wąskiej grupy specjalistów, jak PLNOG (PoLish Network Operator’s Group, grupa polskich operatorów sieciowych) regularnie wzbogaca swoją agendę w tematy nie tylko ciekawe, ale przede wszystkim zrozumiałe nawet dla takich widzów jak ja 🙂

W miniony poniedziałek i wtorek uczestnicy PLNOG spotkali się już po raz 22. Standardowo już piękną, ciepłą wiosnę witamy PLNOG ‚owo w Warszawie, by na mroczną, zimną i pełną pluchy edycję jesienną przenieść się do Krakowa 🙂 I choć pogoda na zewnątrz The Tides, bo w tym niedawno wybudowanym kompleksie z pięknym widokiem na Stadion Narodowy, spotkało się kilkuset uczestników konferencji, tematem przewodnim PLNOG 22 był… lód.

Punktem wyjścia dla Rady Programowej był żart słowny, gdzie ICE (ang. lód) jest do złudzenia podobne do ICT (Information And Communication Technologies). Motywacyjny keynote Jana Meli do mnie akurat nie trafił. Wykładu dr hab Ireneusza Soboty o życiu w stacji polarnej słuchałem natomiast z wypiekami na twarzy. To niesamowita wartość ostatnich PLNOG. Mało kto z nas spędzi czas za kołem polarnym, czy popłynie przez ocean kajakiem jak Aleksander Doba, ale większość z nas chciałaby – najchętniej w ciepłej wykładowej sali – dowiedzieć się jak to jest? Życie na lodowcu, dyskretnie wkomponowując się w tamtejszą florę i faunę, z dala od rodziny… Naprawdę było o czym słuchać.

Jak to było bez internetu?

Przeskokiem od bieguna do właściwej tematyki konferencji był wykład Marcina Marciniaka z EY. Pamiętacie czasy, gdy nie było internetu? Ciężko sobie przypomnieć, tak łatwo się przyzwyczajamy do nowego i dobrego, prawda? Tymczasem wtedy to dopiero życie na takiej stacji polarnej Arctowski było hardkorowe. Telegram nadawało się od 2 do nawet 10 minut, w czym wydatnie pomagała 250-metrowa romboidalna antena, , skierowana w kierunku Polski, ustawiona na czterech 22-metrowych masztach. Tam o określonych godzinach telegramy odbierali radiowcy w stacjach Gdynia/Szczecin Radio, którzy z uwagi na to, że do obsłużenia mieli sporą liczbę statków i miejsc takich jak Arctowski mieli pełne klucze roboty. Tak, klucze – przecież to wszystko nadawało się alfabetem Morse’a. Dziś wysyłamy maila i po kilku minutach możemy dostać odpowiedź – wtedy trzeba było nadać, po drugiej stronie odbierali, spisywali, dostarczali na adresata. Ten po jakimś czasie odpowiadał, spisany telegram lądował w specjalnym bębnie i czekał na swoją kolejkę! Odpowiedź tego samego dnia? Bez żartów!

Nasza sieć to jednak nic w porównaniu choćby do amerykańskiej White Alice Communication System na Alasce, która służyła przez spory czas przede wszystkim jako punkt wczesnego ostrzegania przed radzieckimi bombowcami, czy rosyjska troposferyczna TRRL Siewier, zapewniająca komunikację na odległych obszarach Syberii. A największy szok wywołała we mnie informacja o SLA tej rosyjskiej sieci – otóż zapewniała ona funkcjonowanie łączności przez 99,99% czasu. Nierzadko nawet dzisiejsze rozwiązania IT nie zapewniają takiej skuteczności!

A tego, jak bardzo ważna była dla codziennego funkcjonowania – hmmm, syberian? – dowodzi fakt, że dopiero 2 lata temu (!) do syberyjskiego Norylska zawitał światłowód! Inna rzecz, że nie zawsze światłowód jest potrzebny. Wiecie, że jeszcze za czasów „zimnej wojny” Rosjanom wystarczała transmisja 480 kbps, by widzieć na bieżąco w moskiewskim sztabie sytuację powietrzną nad Niemcami? To wcale nie przeszłość! Sieci mikrofalowe notują mniejsze opóźnienia, niż FTTH, dlatego tego typu rozwiązania są wciąż na bieżąco używane do szybkich transakcji finansowych między Europą i USA.

Chiński smok uderza, amerykański szpieguje

Na scenie nie zabrakło też geopolityki z lekkim zahaczeniem o świat internetu. Tomasz Matuła podczas prezentacji o Trzech Smokach zasiał w jej uczestnikach ziarno… cóż, w zasadzie mnóstwo ziaren, całe pole niepewności i niepokoju. „Uderzcie, gdy zwycięstwo będzie pewne” – to jeden z elementów Doktryny 24 Znaków Deng Xiaopinga, inicjatora reform społeczno-gospodarczych w Chinach i otwarcia Państwa Środka na świat. Jedwabny Szlak to nie mit, w Europie do morskiego i lądowego dołącza… cyfrowy. 200 bln dolarów inwestycji w rozwój europejskiego internetu, miano drugiej (14 bln dolarów) ekonomii świata. Setki tysięcy Chińczyków edukujących się na najlepszych europejskich uniwerystetach i wracających, by pracować nad dobrobytem swojego kraju. Do tego wiele sposobów na ułatwianie inwestycji gospodarczych i chińskie inwestycje w kluby sportowe, porty, kopalnie minerałów rzadkich… Kto by się przejmował tym, że chińskie prawo precyzuje, że żaden obywatel ani firma nie mają prawa odmówić współpracy z wywiadem? Co więcej – musi zachować tę wiedzę w tajemnicy?

W tym świetle chińska aktywność sieciowa, gdzie szereg przypisywanych Państwu Środka ataków ma charakter – hmmmm, biznesowo przemysłowy – to nic w porównaniu do Rosji, gdzie Sieć jest elementem strategii wojennej i przypisuje się im wpływanie na wyniki wybór w USA, czy Europie. No i USA, gdzie dzięki Edwardowi Snowdenowi dowiedzieliśmy się o programach Prism, Muscular, czy pokoju 641A w AT&T… Gdzie z jednej strony jesteśmy permanentnie szpiegowani, z drugiej zaś – nasze dane sprzedawane są przez wielkie firmy za grosze.

Polbox, czyli historia

Na szczęście mniej poważnie zrobiło się, gdy na scenę wszedł Rafał Wiosna, jeden ze współtwórców legendarnego Polboxu. Kto ma w roku urodzenia na trzecim miejscu siódemkę (albo jeszcze niższe liczby) i nie korzystał z tego serwisu, niech pierwszy rzuci kamieniem 🙂 Serwery o wydajności mojego Huawei Watch GT :), polska wersja popularnej swego czasu wyszukiwarki Altavista na komputerze pod biurkiem, skrzynki pocztowe o zatrważającej pojemności aż dwóch megabajtów(!!!), kasowane przed admina, gdy zacznie przekroczyliśmy deklarowaną pojemność. Do tego jedyny administrator serwisu, piszący na usenecie, że wyjeżdża na dwutygodniowy urlop 🙂 i awarie trwające nawet dwa tygodnie. Urocza historia polskiego internetu. Jeśli Rafał będzie jeszcze gdzieś występował z tą prezentacją, polecam dinozaurom 🙂

Nie zabrakło oczywiście prezentacji, o których pisałem na początku ;), na które też starałem się zaglądać. Albo z ciekawości, słuchając co Kamil Frankowicz ma do powiedzenia o Sztucznej Inteligencji (wiecie, że gdy lekko zmienimy wzór na skorupie wydrukowanego w 3D żółwia, AI dojdzie do wniosku, że ma do czynienia z żółwiem?; a z wiewiórki można w 19 sekund zrobić parkometr?), czy też z poczucia obowiązku – nawet znając na pamięć prezentację Andrzeja Karpińskiego o tym, jak radzimy sobie z DDoS, czy też słuchając Przemka Dęby, opowiadającego o Raporcie CERT Orange Polska 2018, w którym dość mocno umaczałem palce.

Jak zwykle było warto. Już się szykuję na jesienną edycję w Grodzie Kraka.