Operator telekomunikacyjny opublikował kolejną edycję dorocznego raportu, w którym podsumował najważniejsze zagrożenia cybernetyczne wykryte w 2024 roku. Wyniki nie pozostawiają złudzeń – cyberprzestępczość nie tylko nie słabnie, ale staje się coraz bardziej zorganizowana i technologicznie zaawansowana.
Nieprzerwanie od lat najczęstszym zagrożeniem pozostaje phishing, który w 2024 roku stanowił 45 proc. wszystkich incydentów zarejestrowanych przez zespół ekspertów monitorujących bezpieczeństwo użytkowników w sieci Orange. Jak wynika z najnowszego raportu CERT Orange, zdecydowaną większość oszustw sieciowych stanowiły oszustwa związane z fałszywymi inwestycjami.
Przestępcy masowo zakładają w internecie oszukańcze strony zachęcające do przelewania środków na rzekome inwestycje w papiery wartościowe wielkich, rozpoznawalnych firm, np. koncernów energetycznych czy instytucji finansowych, bezprawnie wykorzystując nie tylko ich marki, ale i wizerunki celebrytów, którymi uwiarygadniają swoje poczynania.
Użytkownik, który zawita na taką stronę, na przykład klikając reklamę w serwisie społecznościowym lub link wyświetlający się w wyszukiwarce na hasło „inwestycje”, jest namawiany do przekazania danych kontaktowych na potrzeby realizacji procesu inwestycyjnego. Podszywający się pod doradcę inwestycyjnego oszust próbuje następnie wyłudzić od ofiary jej środki, pośrednio (gdy ofiara sama realizuje przelewy) lub bezpośrednio (gdy uda mu się przekonać ją do zainstalowania oprogramowania umożliwiającego zdalny dostęp do komputera).
W 2024 r. nastąpił gwałtowny wzrost liczby takich oszustw – stanowiły one już 60 proc. wszystkich zidentyfikowanych przez ekspertów Orange prób phishingu. Dla porównania, w 2023 r. odsetek ten wynosił tylko 28 proc.
30 proc. oszustw dotyczyło fałszywych płatności, w tym tzw. oszustwa „na kupującego”. Wzrosła również liczba przypadków smishingu, czyli phishingu przez SMS. Najczęściej dotyczyły one dostaw paczek, podszywania się pod banki, fałszywych konkursów, a także prób wyłudzania danych logowania do giełd kryptowalut.
CyberTarcza Orange – mechanizm, który działa w sieci Orange i bezpłatnie chroni jej użytkowników – zablokowała 305 tysięcy fałszywych stron internetowych. Ochroniła blisko 4,85 miliona użytkowników, którzy kliknęli prowadzące do nich niebezpieczne linki. CERT Orange Polska aktywnie współpracuje z użytkownikami, którzy mogą zgłaszać niespodziewane wiadomości i linki na numer 508 700 900. W 2024 roku zespół otrzymał prawie 4 tysiące zgłoszeń tego typu, co istotnie przyczyniło się do szybszego identyfikowania nowych zagrożeń.
To jest dla nas naprawdę świetne źródło dodatkowych informacji. Często dzięki tym zgłoszeniom dowiadujemy się o zdarzeniach, o których nie mieliśmy pojęcia z żadnych innych źródeł – powiedział Robert Grabowski, szef CERT Orange Polska. Co ciekawe – to nie są tylko przypadki klasycznego phishingu czy malware’u. – Czasami trafiają się zgłoszenia, które na pierwszy rzut oka wyglądają dość nietypowo, wręcz dziwacznie. Ale jak się człowiek zagłębi, zrobi porządny research, to nagle okazuje się, że pod tym kryje się coś naprawdę poważnego – dodał.
Cyberprzestępcy budują własne ekosystemy
Znacząco wzrosła intensywność ataków typu DDoS (ang. distributed denial of service), polegających na blokowaniu dostępu do witryn lub usług online poprzez kierowanie do utrzymujących je serwerów dużej ilości ruchu sieciowego w krótkim czasie. Najwięcej takich alertów zarejestrowano na przełomie września i października 2024 r. kiedy ich liczba dochodziła nawet do 10 tysięcy alertów dziennie.
Obserwowane były także bardziej wyrafinowane formy ataków – np. carpet bombing (dosłownie: naloty dywanowe) kiedy zamiast jednego adresu IP atakowane są całe podsieci. Coraz częściej też o skuteczności ataku decyduje nie tylko siła, ale także format i zawartość pakietów danych, dostosowana do celu. Eksperci CERT Orange Polska wskazują na rozwój zorganizowanego ekosystemu cyberprzestępczego.
– To, co mocno rzuca się w oczy, to rosnąca profesjonalizacja działań cyberprzestępców. Mówiąc wprost – mamy do czynienia z czymś na kształt łańcucha dostaw, tylko że w wersji przestępczej. Każda grupa czy osoba specjalizuje się w konkretnym etapie ataku, robi to, w czym jest najlepsza albo co się jej najbardziej opłaca – przekonuje Robert Grabowski, szef CERT Orange Polska.
Na przykład – mamy tzw. initial access brokers, czyli grupy, które zajmują się zdobyciem pierwszego dostępu do firmowej infrastruktury. Sprzedają ten dostęp dalej. Następna grupa wyciąga dane korzystając z pozyskanych wcześniej ciasteczek czy loginów i haseł. I wreszcie pojawia się kolejna ekipa, która przeprowadza typowy atak ransomware – szyfruje dane i żąda okupu.
Co ważne, zmieniły się też same mechanizmy wymuszeń. Kiedyś to była głównie opłata za odszyfrowanie danych – czyli zapłać, to oddamy ci klucze deszyfrujące. Potem pojawił się tzw. double extortion, czyli druga warstwa szantażu: płacisz nie tylko za dostęp do danych, ale też za to, żeby ich nie upubliczniono. Obecnie przestępcy stosują jeszcze bardziej złożone metody szantażu: potrójne oraz wtórne wymuszenia, w których dane z wcześniejszych wycieków są ponownie wykorzystywane do wymuszania okupu – wskazuje ekspert.
Walka w cyberprzestrzeni trwa
CERT Orange Polska prognozuje, że w nadchodzących latach kluczowymi trendami będą:
- Wykorzystanie AI do manipulacji informacją, automatyzacji ataków oraz generowania treści phishingowych;
- Zaawansowane ataki i cyberszpiegostwo na firmy strategiczne;
- Ataki na usługi chmurowe i łańcuchy dostaw;
- Rozwój cyberprzestępczości w obszarze kryptowalut, zarówno detalicznej, jak i zorganizowanej, przy użyciu malware-as-a-service.
– Już teraz staramy się wykorzystywać sztuczną inteligencję do rozpoznawania treści generowanych przez… inną sztuczną inteligencję. Pracujemy nad modelami, które mają nadzorować inne modele. I to jest super, tylko że wprowadzając te technologie do biznesu, trzeba mieć świadomość, że cyberprzestępcy też nie śpią – ocenił Robert Grabowski.
Zaczynają się pojawiać specjalne ataki ukierunkowane właśnie na sztuczną inteligencję – mówimy tu o takich zjawiskach jak zatruwanie zbiorów uczących modele językowe, wpływanie na odpowiedzi modeli, czy odkrywanie danych treningowych. To już nie są tylko teoretyczne zagrożenia, ale realne wektory ataków. – Tak jak kiedyś uczyliśmy się zabezpieczać chmurę – która dziś jest już całkiem dojrzała – tak teraz musimy nauczyć się chronić systemy oparte na sztucznej inteligencji. Ta technologia będzie się rozwijać, a my musimy być o krok przed zagrożeniami – podsumował ekspert.
Autor:
Artur Konieczny