4

W tydzień od uruchomienia rejestru stron phishingowych, nasi operatorzy zablokowali już 107 domen. To działa!

Pod koniec marca UKE, Ministerstwo Cyfryzacji i NASK w porozumieniu z operatorami Orange, Play, Plus i T-Mobile uruchomili rejestr stron phishingowych. Domeny, które się na nich znajdą są natychmiast blokowane przez wymienionych operatorów. Dziś lista tych domen jest już dość pokaźna.

Coś, czego nie dało się zrobić przez ostatnie wiele lat, odkąd to cyberprzestępcy stosują phishing, by wyłudzać dane osobowe i logowania do bankowości elektronicznej, udało się zrobić w kilka ostatnich tygodni.

Nie zabrzmi to dobrze, ale w końcu udało się to zrobić „dzięki” wybuchowi pandemii koronawirusa, przynajmniej tak tłumaczy to UKE:

W związku z epidemią wirusa SARS-CoV-2 coraz częściej pojawiają się domeny internetowe mające na celu wprowadzenie w błąd i wyłudzanie od użytkowników internetu ich danych osobowych, a także środków finansowych, w szczególności z wykorzystaniem wiadomości SMS i MMS. Sprzyja temu m.in. wzmożone korzystanie ze środków komunikacji elektronicznej podczas coraz powszechniej wdrażanego modelu pracy zdalnej oraz edukacji on-line.

Z uwagi na to, że wyłudzeń najczęściej dokonuje się przy wykorzystaniu wiadomości SMS, w pierwszej kolejności porozumienie podpisano z operatorami Orange, Play, Plus i T-Mobile. Osobiście mam jednak nadzieję, że i pozostali operatorzy do niego przystąpią, bo przecież ataki phishingowe również przeprowadzane są przy pomocy poczty e-mail, które odbieramy też na komputerach podłączonych do internetu stacjonarnego.

Niemniej dobre i to na początek, według raportu CERT Orange Polska, którym dzieliłem się z Wami wczoraj, ataki na urządzenia mobile stanowią już 40% wszystkich zagrożeń w sieci. Przestępcy wysyłają na numery naszych telefonów wiadomości SMS, które zawierają podobne do oryginalnych adresy stron, z których na co dzień korzystamy, na przykład allegrosklep.online, bok.epgnig.pl, 24platnosci.online, in-post.online czy express-dhl.com.

Od: OTOMOTO
Twoje konto w serwisie OTOMOTO zostalo zablokowane.
Oplac zalegle 0.76 PLN, by ponownie aktywowac
ogloszenie – hxxps://secure-pay24.pl/[…]
Od: Wezwanie24
Informujemy o rozpoczeniu egzekucji Sygn. Akt 8231/19
z tytulu zaleglosci skarbowej 9.80 PLN. Uruchomiliśmy
splate przez PayU https://wezwanie24.eu/[…]
Od: MediaM9583
MediaMarkt czeka na Twoje dane do przesylki.
Sprawdz tutaj: hxxp://y27.us/[…]. Numer przesylki: […]
Paczka na podany adres jest drozsza. Prosimy o doplate
1.79(PLN). Brak wplaty oznacza anulowanie
zamowienia – dhl-paczka.eu/zamowienie3354
Od: US e-PIT
Podpisz e-PIT od reki autoryzujac przelewem na 1.01zl.
hxxps://www.platnosciepity.com/[…] Brak zlozenia
podpisu do 30.04 moze grozic grzywna do 45000zl
Od: Alert
Przypominamy o zaleglosci na Twoim koncie
abonamentowym w wysokosci 2.09 PLN. Brak splaty
spowoduje blokadę numeru hxxps://oplac24.pl/[…]

 

Treść tych SMS-ów przymusza do otwierania tych linków nieświadomych zagrożeń użytkowników smartfonów, a tam najczęściej podstawiana jest fałszywa strona naszego banku. Po zalogowaniu się, przestępcy wchodzą w posiadanie naszych danych do logowania i wykradają znaczne sumy pieniędzy.

Niestety, ci mniej zaznajomieni z zagrożeniami użytkownicy klikają w te linki, według wspomnianego raportu CERT Orange aż 80% ofiar próbowało wejść na taką stronę phishingową w ciągu 15 minut od otrzymania SMS-a, a spora część zaledwie w ciągu minuty czy dwóch. Naturalne więc było, że aby chronić te osoby przed tego typu atakami trzeba zablokować takie domeny z poziomu operatora.

Przemysław Jaroszewski, kierownik CERT Polska w NASK:

Strony wyłudzające dane osobowe oraz dane uwierzytelniające są obecnie zjawiskiem masowym, dotykającym różne grupy użytkowników internetu w Polsce. Linki do nich przesyłane są różnymi kanałami: przez SMS, e-mail lub media społecznościowe. Adresy te mogą znajdować się w różnych domenach, nie tylko w domenie krajowej *.pl. Z tego powodu bardzo ważne jest szybkie rozpoznawanie, raportowanie oraz współdzielenie informacji o złośliwych domenach, tak by można było jak najszybciej zablokować do nich dostęp. Każdy ma prawo zgłosić stronę budzącą wątpliwości.

W końcu się udało, rejestr stron phishingowych powstał. W tydzień od uruchomienia eksperci NASK sprawdzili 1114 zgłoszonych domen, a 107 z nich już zostało zablokowanych przez operatorów. Po kliknięciu w jedną z takich zablokowanych domen, użytkownikom wyświetla się taka oto strona:

Aktualną listę zgłoszonych domen możecie podejrzeć pod tym linkiem. Co ważne, każdy użytkownik internetu może do niej zgłosić podejrzane domeny, formularz zgłoszenia znajdziecie pod tym adresem.

Źródło: NASK.