CyberTarcza zablokowała w ostatnich dniach około 10 fałszywych domen podszywających się pod jeden ze znanych serwisów do tworzenia zbiórek pomocowych. Według CERT Orange Polska, codziennie pojawia się nawet kilkanaście stron z fałszywymi wiadomościami, wykorzystującymi m.in. kontekst wojny w Ukrainie. Fake newsy kierujące do fałszywych stron logowania są narzędziem wyłudzania danych lub pieniędzy. W natłoku informacji warto wiedzieć, jak ustrzec się przed dezinformacją i nie dać się oszukać. 

Oszuści zawsze wykorzystywali kontekst bieżących wydarzeń do swoich celów. Tak było w pandemii, kiedy pojawiały się kampanie phishingowe np. w postaci SMS-ów z informacją o konieczności „dopłaty za dezynfekcję paczki” czy fałszywe sklepy z maseczkami. Dziś z kolei jesteśmy świadkami posługiwania się przez oszustów kontekstem wojny w Ukrainie.

– Gdy dzieje się coś, co wzbudza ogromne emocje, zawsze uaktywniają się też internetowi oszuści i próbują te emocje wykorzystać do swoich celów. Stąd oprócz oszustw znanych i wciąż obecnych w sieci, takich jak fałszywe loterie, konkursy, giełdy kryptowalut, widzimy też te, które podpinają się pod obecną sytuację, takie jak na przykład fałszywe zbiórki, czy nieprawdziwe, sensacyjne wiadomości o wojnie w Ukrainie. Krzykliwe nagłówki zachęcają do kliknięcia w link, a stąd już tylko krok do utraty wrażliwych danych. Fake newsy służą także dezinformacji, a w tym celu wykorzystywane są nawet takie narzędzia jak deepfake. Dlatego przeglądając wiadomości w sieci i mediach społecznościowych, nie kierujmy się emocjami, nie klikajmy odruchowo i zawsze sprawdzajmy źródła informacji  – radzi Robert Grabowski, szef CERT Orange Polska.

Nie daj się oszukać – pamiętaj o podstawowych zasadach bezpieczeństwa

Przed logowaniem się na jakiejkolwiek stronie internetowej czy wpłacaniem pieniędzy na zbiórkę zawsze należy dokładnie sprawdzić adres strony, jaki wyświetla się na ekranie. Podrobiona strona może łudząco przypominać prawdziwą, dlatego tak ważne jest sprawdzenie całego adresu – może różnić się od tego właściwego zaledwie jedną literą czy słabo zauważalnym znakiem.

Chcąc wpłacić pieniądze na rzecz organizacji pomocowej, najlepiej samodzielnie wpisywać adres w pasku przeglądarki. Jeśli korzystamy z linków przekierowujących do wpłat, to tylko z takich, które znajdują się na wiarygodnych portalach, czy kontach zaufanych organizacji pomocowych w mediach społecznościowych.

Warto zwracać uwagę na błędy językowe. Sfałszowane strony czy wiadomości phishingowe często zawierają dziwne brzmiące, niepoprawne sformułowania. Powinny one być dla nas sygnałem ostrzegawczym.

Należy unikać klikania w linki przesyłane w SMS-ach czy w komunikatorach, a także wpisywania danych, jeśli przekierowują one do okienek logowania do serwisów bankowych czy portali społecznościowych). Grozi to utratą pieniędzy z konta lub przechwyceniem profilu w mediach społecznościowych i wykorzystania go do dalszych oszustw lub siania dezinformacji.

Warto śledzić aktualne informacje o pojawiających się oszustwach: np. na stronie cert.orange.pl, na Twitterze @CERT_OPL, a także na blogu Orange – m.in. w cotygodniowych, czwartkowych wpisach poświęconych bezpieczeństwu w sieci.

Każdego tygodnia w wakacje CERT Orange Polska blokował średnio ponad 3700 fałszywych domen używanych do wyłudzeń danych czy pieniędzy. Najczęściej były to domeny wykorzystywane do tzw. oszustwa na kupującego – stanowiły aż 40% wszystkich. W czołówce znalazły się także te wykorzystujące fake newsy oraz giełdy kryptowalut. CyberTarcza zareagowała podczas wakacyjnych miesięcy niemal 3,4 mln razy, chroniąc ponad 700 tys. użytkowników przed skutkami oszustw, głównie utratą pieniędzy.

CyberTarcza to pojęcie, które wrosło już w cyberbezpieczniacki krajobraz naszego kraju. Podstawowa funkcjonalność sieci Orange Polska, informująca m.in. naszych klientów o infekcjach złośliwym oprogramowaniem, to rozwiązanie zarówno znane w kraju, jak i doceniane na świecie. Do tej pory rozszerzone dane o zagrożeniach docierały do Was, gdy korzystaliście z komputerów. Niebawem możecie dostać taką informację jako SMS.

Pewnie nasuwa Wam się kilka pytań, więc spróbuję od razu na nie odpowiedzieć:

Dlaczego to robimy?

Coraz częściej spotykamy się z zagrożeniami dla urządzeń/systemów mobilnych. Można oczywiście poprzestać na powiadomieniach na komputerach, z informacją, że dotyczą urządzenia mobilnego w Waszej sieci domowej. Z tym, że taki monit – to już wiemy z doświadczenia – można przegapić. Poza tym wtedy często trzeba się zastanowić o jakie urządzenie chodzi. Dostając informację specjalnie dla nas, na zainfekowane urządzenie – wiemy od razu.

Czemu akurat SMS?

Na urządzeniach stacjonarnych używamy kwarantanny – w momencie rozpoczęcia tzw. kampanii CyberTarczy każda próba wejścia na dowolną stronę oznacza przekierowanie na witrynę informującą o zagrożeniu. W przypadku urządzenia mobilnego nie byłby to tak dobry pomysł. Na komputerze prędzej niż później otworzymy przeglądarkę, żeby sprawdzić, co się dzieje. Na telefonie „odpięcie” od internetu może oznaczać brak powiadomień z wielu, używanych przez nas aplikacji, czego możemy nie zauważyć przez spory czas.

Kto przyśle SMS?

To bardzo ważne pytanie. Kluczowe w sytuacji, gdy dzień w dzień musimy mierzyć się z phishingiem SMS właśnie.

Nadawcą wiadomości z CyberTarczy
zawsze będzie CERT Orange.

Dzięki rozwiązaniom technicznym możemy (i tak robimy) zablokować wszelkie SMS wchodzące do naszej sieci, używające tego nadpisu. Dzięki temu jedynie CyberTarcza będzie mogła nadawać wiadomości, używając tej nazwy. Na wszelki wypadek zablokowaliśmy też wszystkie podobne nadpisy, które przyszły nam do głowy.

Co będzie w SMS?

Jak mogliście zobaczyć na obrazku na początku: Wasz numer telefonu, nazwa zagrożenia i specjalny link, pod którym znajdziecie resztę informacji.

https://alert.cert.orange.pl/S/[ciąg_znaków]

Dlaczego mam wchodzić na link z SMS?

Fakt. Nie bez kozery uparcie i konsekwentnie edukujemy, by tego nie robić. No ale to CyberTarcza, a informacja musi do Was jakoś dotrzeć. Więc poza opisanym wcześniej nadpisem, każdy link, wysyłany do Was SMS będzie miał formę jak powyżej, z indywidualnym dla każdego z Was ciągiem znaków. Pamiętajcie też, że nie będziemy Wam kazać instalować niczego spoza Sklepu Google Play. Jeśli dane zagrożenie będzie wymagało instalacji specjalistycznego oprogramowania, link będzie prowadził do Sklepu Play.

Wszedłem na podaną stronę, co robić?

Polecam, by zastosować się do podanych na niej informacji. Jeśli trafiło do Ciebie ostrzeżenie, związane z zagrożeniem mobilnym, oznacza, że sprawa jest poważna. CyberTarcza chroni Cię, gdy jesteś w sieci Orange Polska, ale każde połączenie np. przez zewnętrzne WiFi może wystawić Cię na ryzyko! Zaczynamy od ostrzeżeń o Flubocie. To naprawdę podły szkodnik, który może narazić Cię zarówno na wysokie rachunki za SMS, jak i pomóc przestępcom wyczyścić Twoje bankowe konto!

Cześć,

Dziś krótko, bo sporo się dzieje, więc wbiegam na bloga tylko na chwilę. Standardowo, żeby Was ostrzec, bo przestępcy/oszuści (niepotrzebne skreślić) jakoś w ostatnich dniach wyjątkowo się rozbuchali.

Fałszywe faktury

Od kilku godzin (więc to naprawdę świeże info) obserwujemy znaczący wzrost maili, podszywających się pod nasze faktury. W załączniku oczywiście złośliwe oprogramowanie, koledzy jeszcze je analizują, być może zupdate’uję potem ten tekst, gdy dowiem się, co źli ludzie tam schowali.

Pamiętajcie, by zawsze sprawdzić „strefę bezpieczeństwa” w mailu z fakturą od Orange Polska. Tam znajdziecie swoje imię i nazwisko oraz numer klienta. Jeśli tego nie ma (albo numer jest zły) – wyślijcie otrzymanego maila na cert.opl@orange.com, a następnie usuńcie. Niczego nie klikajcie „z ciekawości”.

Udają policję i… CyberTarczę

Bezczelność oszustów nie zna granic. Też dzisiaj trafił do nas mail, który mógłby wywołać w wielu internautach emocje tak duże, by odruchowo kliknęli w załącznik. A tam, zamiast pisma z Komendy Głównej, trafiliby na trojana Remcos. Co ciekawe, przestępcy musieli się zagapić (albo „składali” kampanię na szybko”), bowiem na malutkim JPG dołączonym do maila widać kopię rzekomego… przelewu z PKO. Ale warto uważać, kolejna kampania może być groźniejsza. Więcej przeczytacie na stronie CERT Orange Polska.

W tym tygodniu przestępcy podszyli się również pod CyberTarczę. Całkiem sprytnie kopiując naszą stronę usiłują zasugerować potencjalnym ofiarom, że muszą… zaktualizować telefony, by móc korzystać z internetu. Oczywiście sugerowana do instalacji aplikacja nie ma niczego wspólnego z siecią mobilną (poza tym, że przy jej użyciu można ją ściągnąć). To Hydra, mobilny „banker”, tj. oprogramowanie wykradające dane logowania do e-banków. O tym ataku też szerzej napisałem na stronie CERT.

Uważajcie na siebie. Nie dajcie się oszukać. Bądźcie zdrowi. Zostańcie w domu.

Duma. No duma jak diabli, co Wam mogę innego powiedzieć 🙂 Pamiętam początki, gdy nawet u nas w Orange Polska ciężko było przewalczyć koncept CyberTarczy (dalej w tekście będę ją określał również skrótem CT). Potem różne, nierzadko „średnio pozytywne” opinie w polskim internecie. A teraz, po pięciu latach, to właśnie CyberTarcza, wśród wielu innych projektów z całego świata, zdobyła nagrodę Światowego Forum Szerokopasmowego jako najlepsze operatorskie rozwiązanie z dziedziny bezpieczeństwa sieci. Wow.

BBWF at 20 Awards ? : The Winners of the Secure Network Initiative Category is… two amazing companies with both winners receiving equal votes. Congratulations to @CUJOAI and @Orange_Polska for Wining the Secure Network Initiative Award at BBWF 2020!! ?#BBWF pic.twitter.com/7AVUYpgkrF

— Broadband World Forum (@BBWorldForum) October 14, 2020

Czarna Środa

Wszystko zaczęło się 5 lutego 2014, w dzień, który wspominamy jako „Czarną Środę”. To wtedy miał miejsce jeden z najbardziej spektakularnych cyberataków na polskich internautów w ostatnich latach, gdy przestępcy przejęli dziesiątki tysięcy podatnych modemów ADSL. Podmienili w nich adresy serwerów DNS na złośliwe, przekierowując ofiary na fałszywe strony banków i docelowo okradając. Udało nam się poradzić z problemem, przekierowując ruch w naszej sieci z fałszywych DNSów na nasze, ale pozostał jeszcze jeden problem. Jak powiadomić zainfekowanych, że ich modemy są przejęte?

CyberTarcza – jak to wyłączyć? 🙂

Trzeba dostarczyć konkretną informację do konkretnych, znanych nam użytkowników Neostrady. Przyznam się Wam szczerze, że szczegółów technicznych użytego wtedy rozwiązania nie znam, ale wiem, że właśnie, gdy sytuacja się uspokoiła, drobna grupa ludzi z naszego cyberbezpieczeństwa stwierdziła: „Kurczę, a może to jest myśl? Może zrobić taki mechanizm na stałe, skoro ten zadziałał całkiem nieźle?”.

Uwierzcie mi, łatwo nie było :), choć jak na generalne korporacyjne realia, od pomysłu do początku realizacji nie upłynęło wcale tak dużo czasu. Co prawda, gdy CT po raz pierwszy stała się nieodłącznym elementem sieci Orange Polska, po wpisaniu w Google „CyberTarcza” mechanizm wyszukiwarki od razu podpowiadał „jak wyłączyć”. Potrzeba było czasu – jak ze wszystkimi nowościami. A nam miło było patrzeć na kolejne wpisy na internetowych forach, najpierw pełne złych emocji, a kilka dni potem… stwierdzeń, że faktycznie „coś tam u mnie na kompie było”.

Jak to działa?

O ile większości z Was CyberTarcza może się kojarzyć z ekranem, informujących o wykrytej w Waszej sieci infekcji, tak naprawdę chroni Was (jeśli oczywiście jesteście użytkownikami sieci Orange Polska) przez cały czas. Sam ekran to efekt finalny, będący właśnie pokłosiem tego, co zaczęło się podczas „Czarnej Środy”, a CT to szereg naszych codziennych aktywności i działania naszych systemów bezpieczeństwa. To, że nawet w przypadku infekcji, złośliwe oprogramowanie nie połączy się z serwerem botnetu to właśnie efekt działalności CyberTarczy. Nasze systemy wykryły złośliwą aktywność, przeanalizowały (nierzadko przy wsparciu ekspertów) próbkę malware’u, by ostatecznie zablokować powiązane z nim adresy IP. „Kliknęło się Wam” w stronę phishingową, ale zamiast niej zobaczyliście nasze ostrzeżenie? To też CyberTarcza.

Kto za tym stoi?

W sumie z kilkadziesiąt osób. Główny architekt, w którego głowie powstała cała koncepcja CT. Zespół, który zajął się przełożeniem pomysłu na kod, a teraz go dogląda i regularnie update’uje. Nasi nieocenieni analitycy Counter Threat Intelligence, uczący sztuczną inteligencję coraz lepiej i dokładniej rozpoznawać złośliwe treści, eksperci od malware’u, rozbijający na czynniki pierwsze kolejne wpadające do nas próbki, no i ci, którzy o tym piszą, bo – to mogę bez ryzyka stwierdzić – w mojej prywatnej opinii mamy najbezpieczniejszy internet na rynku. Nie „bezpieczny”, bo bezpieczny jest jedynie komputer, który nigdy nie został podłączony do internetu. W mojej opinii jednak CyberTarcza jest jednym z wyróżników konkurencyjnych naszej oferty, a nagroda Światowego Forum Szerokopasmowego… No cóż – przyznacie, że raczej nie stoi w kontrze do tej tezy, co?

Strasznie się cieszę i jestem bardzo dumny z tego, że mam zaszczyt być częścią tego zespołu.