Telekom na wojnie z phishingiem

opublikowano: 29-04-2022, 06:30
Play icon
Posłuchaj
Speaker icon
Close icon
Zostań subskrybentem
i słuchaj tego oraz wielu innych artykułów w pb.pl

O metodach wyłudzania pieniędzy oraz o tym, jak może nas przed nimi chronić operator telekomunikacyjny, mówi Robert Grabowski, szef CERT Orange Polska

„PB”: CERT Orange opublikował ostatnio raport roczny, w którym m.in. przedstawił najczęstsze rodzaje ataków na użytkowników w sieci. Jakie są najczęstsze i czy pojawiły się nowe trendy w zagrożeniach?

Robert Grabowski: Ataków jest dużo. Głównym zagrożeniem dla użytkowników jest obecnie phishing, który stanowił blisko 40 proc. zarejestrowanych przez nas zagrożeń. Przybiera on wiele form. To są oszustwa „na kupującego”, czyli wystawiamy jakiś przedmiot na popularnym portalu aukcyjnym i możemy zostać wręcz zalani ofertami jego zakupu przez komunikatory, głównie WhatsApp. Wysyłają je oszuści, którzy chcą, żebyśmy skorzystali z wysłanego przez nich fałszywego linku, by odebrać nasze pieniądze. To w miarę nowa formuła, funkcjonuje od około dwóch lat. Formuła jest nietypowa, bo musimy podać dane naszej karty, żeby „odebrać" pieniądze, ale z punktu widzenia oszustów się sprawdza i ludzie tracą pieniądze. Jest też wiele ataków związanych z kryptowalutami czy kryptoinwestycjami. Tutaj dominują reklamy publikowane przez Google’a, YouTube’a czy Facebooka. Pojawiają się też fałszywe aplikacje typu „Inwestuj z Orlenem"...

Nawet my w „Pulsie Biznesu" mieliśmy z tym problem, bo już od dawna pojawiają się fałszywe treści wykorzystujące nasze logo i zachęcające do pseudoinwestycji. W praktyce możemy tylko przed tym ostrzegać, bo walczyć z tymi fejkami jest trudno...

Bardzo trudno z tym walczyć, bo sieci reklamowych jest mnóstwo, jedne to filtrują lepiej, inne gorzej. Samo to, że pojawia się to w Google Adsach czy popularnych serwisach społecznościowych świadczy o tym, że stosunkowo łatwo dotrzeć do potencjalnych ofiar z takimi reklamami. Sugerowanie się tymi treściami może skończyć się fatalnie. Zaczyna się np. od wpłat rzędu kilkuset złotych. Potem telefonicznie zgłasza się do nas nasz „prywatny doradca”, „makler”, który zachęca nas do zainstalowania aplikacji typu zdalny pulpit na komputerze, a następnie prosi nas o zalogowanie się do banku i próbuje wykonywać operacje lub definiować odbiorców.

Czy przy okazji rosyjskiego ataku na Ukrainę wzrosła liczba ataków lub pojawiły się jakieś nowe formy?

Dość nieoczekiwanie w pierwszych tygodniach po wybuchu wojny w Ukrainie te zagrożenia ucichły. Teraz już jednak wróciły niemal do poziomu przedwojennego. Bardzo specyficznych ataków, powiązanych z samą wojną, nie zaobserwowaliśmy. Sprowadza się to raczej do tego, że sensacyjne wiadomości, które mają nas np. skłonić do udostępnienia danych logowania do Facebooka, wykorzystują teraz tematykę wojenną, dotyczą ataków jądrowych itp. Ten motyw jest wykorzystywany właśnie po to, by wyłudzić od nas poświadczenie do Facebooka.

Jak to możliwe, że użytkownicy telefonii mobilnej otrzymują wiadomości, kierujące np. do fałszywych stron firm kurierskich i służące wyłudzaniu pieniędzy? Czy operator nie może tego zablokować?

Sytuacja jest mocno skomplikowana. Jako operator oczywiście z tym walczymy, ale często mamy związane ręce. Słowo historii. Najpierw ten tzw. smishing odbywał się bardzo sprytnie, poprzez wykorzystanie nadpisów — przyjaznych nazw nadawców, typu Poczta, InPost czy PGE. Z tym procederem całkiem nieźle udaje się walczyć. Pojawiły się więc nowe metody. Popularność zyskały esemesy peer-to-peer, czyli wysyłane z normalnych numerów abonenckich i zawierające standardowe oszukańcze informacje typu „dopłać do rachunku, bo wyłączymy prąd” albo „zapłać za dezynfekcję paczki”. W takim przypadku operator obecnie właściwie nic nie może zrobić, bo teoretycznie jest normalny nadawca.

Potrzebne są zmiany w przepisach?

Pewne możliwości być może uda się wypracować. Postulujemy o podobny mechanizm, jaki od wielu, wielu lat wykorzystują antywirusy, czyli mechaniczną, systemową analizę treści pod kątem złośliwej zawartości. To jest oczywiście temat kontrowersyjny, bo analiza treści esemesów kojarzy się z inwigilacją naszych wiadomości. Chodzi jednak o taki sam proces, jak na komputerze, gdzie prywatny dokument czy mejl jest skanowany przez antywirus. Na podstawie znanych phishingów i znanych wzorców operatorzy chcieliby takie wiadomości wychwytywać.

Jakie narzędzia macie jako operator sieci telekomunikacyjnej, by chronić użytkowników przed atakami i wyłudzeniami? Jakich narzędzi jeszcze potrzebujecie i jak w tym celu powinny zmienić się przepisy?

Naszym podstawowym narzędziem jest CyberTarcza. To natywny, sieciowy mechanizm używany w całej naszej sieci. Każdy nasz użytkownik ma taką ochronę wbudowaną w usługę dostępu do sieci. To jest prosta usługa w zamyśle. Z jednej strony jest zespół CERT i zewnętrzni dostawcy, z którymi współpracujemy, analizujemy złośliwe oprogramowanie i działania oszustów. Tworzymy tzw. sinkhole, czyli przekierowujemy cały złośliwy ruch na nasze serwery. Dzięki temu użytkownik po kliknięciu w link od oszustów będzie miał wyświetloną stronę CyberTarczy, informującą o tym, że padł ofiarą phishingu. Oprócz tego walczymy z nadpisami, o czym wspomniałem. Podobnie jak w bankach mamy też działy antyfraudowe — te zespoły dokonują analizy manualnej, wspieranej rozwiązaniami automatycznymi wykrywają potencjalnie niebezpieczne działania na naszych usługach.

Rozmawiał Marcel Zatoński

Szukaj Pulsu Biznesu do słuchania w Spotify, Apple Podcast, Podcast Addict lub Twojej ulubionej aplikacji

dziś: „Jak zablokować cyberoszustów”

goście: Witold Tomaszewski — Urząd Komunikacji Elektronicznej, Filip Marczewski — CERT Polska/NASK, Robert Grabowski — CERT Orange, Radosław Kaczorek — Grant Thornton

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane