ANDROID.COM.PL – społeczność entuzjastów technologii
2 lata listy niebezpiecznych stron

Facebook, OLX, InPost — pod te marki oszuści w sieci podszywają się najczęściej

Autor: Mateusz Nowak Kategoria: Artykuły

Niedługo miną 2 lata od uruchomienia przez CERT Polska listy niebezpiecznych stron internetowych. To źródło wiedzy m.in. dla operatorów telekomunikacyjnych i narzędzie, które poprawia poziom bezpieczeństwa w sieci. Wczoraj zespół CERT Polska podzielił się ciekawymi statystykami związanymi z funkcjonowaniem listy.

2 lata listy niebezpiecznych stron internetowych

źródło: CERT Polska

Od kiedy funkcjonuje lista ostrzeżeń przed niebezpiecznymi stronami, trafiło na nią blisko 42 tysiące złośliwych domen. Co ciekawe, aż 33 tysiące z nich zostało dodanych w 2021 roku. Każda z nich była dokładnie weryfikowana przez naszych pracowników przed wpisaniem, dzięki czemu stworzyliśmy jedno z najbardziej wiarygodnych źródeł tego typu danych, które może być przetwarzane w sposób automatyczny — wyjaśnia CERT Polska. W wyniku współpracy z operatorami telekomunikacyjnymi korzystającymi z listy udało się zapobiec 4 milionom prób wejścia na witryny, które mogły wyłudzać dane.

W 2021 roku zespół CERT Polska wpisywał na listę średnio 93 domeny tygodniowo. To wzrost o 250% w porównaniu do 2020 roku. Na powyższym wykresie można zobaczyć, jak liczba nowych domen zmieniała się w zależności od danego tygodnia. Warto jednak pamiętać, że wzrost lub spadek nie zawsze wynika z aktywności oszustów. Czasem powodem zmiany trendu są różnice w skuteczności wykrywania szkodliwych kampanii w danym okresie.

źródło: CERT Polska

Jeśli chodzi o TDL (domeny najwyższego poziomu), oszuści najczęściej stosowali domeny .com oraz .xyz. Wykorzystanie domen jak .com, .pl, czy .net nie dziwi, ale na szczególną uwagę zasługuje liczne wykorzystanie domen cieszących się mniejszą reputacją, jak .xyz, .site, czy .me — komentuje CERT Polska. Według zespołu na decyzję o zakupie takich domen przez oszustów mogą mieć wpływ takie czynniki, jak niższa cena, aktualne promocje u różnych sprzedawców i większa łatwość anonimowego zakupu. Oszuści często rejestrowali dziesiątki podobnych domen w krótkim okresie czasu, różniących się tylko numerkiem, np.:

  • inpost-pl.kurier-dostawa-id788615[.]xyz
  • inpost-pl.kurier-dostawa-id876578[.]xyz
  • inpost-pl.kurier-dostawa-id9645613[.]xyz

Pod kogo najczęściej podszywali się oszuści?

źródło: CERT Polska

Cyberprzestępcy przygotowują kampanie phishingowe, podszywając się pod znane podmioty i tworząc podrobione witryny internetowe. Chcą wykorzystać w ten sposób zaufanie ludzi np. do znanego portalu lub firmy kurierskiej. Następnie skłaniają ich, by podali swoje dane. Statystyki CERT Polska pokazują jasno, że oszuści najczęściej podszywali się pod Facebooka. Kolejne miejsca zajmują OLX, InPost oraz Orlen. Choć wyłudzanie danych logowania do Facebooka już w 2020 roku było najpopularniejszą formą phishingu, to liczba takich przypadków w 2021 roku wzrosła trzykrotnie. Najczęściej wykorzystywany był motyw wyłudzenia danych logowania celem rzekomej weryfikacji wieku, niezbędnej do obejrzenia filmu z drastycznego wydarzenia — wyjaśnia CERT Polska.

źródło: CERT Polska

Pod OLX, InPost i Allegro oszuści najczęściej podszywają się, by wyłudzać dane kart płatniczych. Od połowy roku 2021 roku CERT Polska obserwuje jednak spadek tego typu oszustw. W drugiej połowie 2021 roku pojawił się jednak nowy trend. To fałszywe strony inwestycyjne korzystające z wizerunków różnych spółek. Cyberprzestępcy podszywają się m.in. pod Orlen, Lotos, PGNiG. Bardzo duży spadek w minionym roku odnotowano w liczbie oszustw wykorzystujących wizerunek operatorów płatności, takich jak Dotpay i PayU.

Zablokowane wejścia na złośliwe witryny

źródło: CERT Polska

Powyższy wykres pokazuje liczbę zablokowanych wejść na strony umieszczone na liście niebezpiecznych witryn. Liczby dotyczą tylko unikalnych adresów IP. Ponieważ z listy korzystają już najwięksi operatorzy komórkowi i nie odnotowaliśmy dołączenia żadnych nowych dużych podmiotów, od połowy roku liczba zablokowanych wejść utrzymuje się na podobnym poziomie — wyjaśnia CERT Polska. W połączeniu ze spadkiem liczby zablokowanych domen pod koniec roku, stały poziom zablokowanych wejść może oznaczać większy stopień wykorzystania listy lub większe dotarcie pojedynczych ataków.

Czytaj także: Kosowo zakazuje wydobywania kryptowalut, sytuacja w kraju jest krytyczna

Wykres bierze pod uwagę tylko blokady, w których adres złośliwej witryny jest podmieniany na jeden z serwerów CERT Polska. Nie zawiera np. wejść zablokowanych przez listę taką jak AdBlock, przez antywirusy korzystające z listy lub sieci obsługiwanych przez operatorów korzystających z własnych stron informujących o blokadzie strony. CERT Polska szacuje więc, że rzeczywista liczba zablokowanych wejść dla domen z listy może być dwukrotnie większa.

źródło: CERT Polska

Sprawdź najnowsze wpisy