Aktualności

W ostatnim czasie zespół CERT Polska zaobserwował pojawienie się witryny hxxps://genialnykredyt[.]eu. Nasza analiza wykazała, że zarówno sama strona, jak i odsyłające do niej ogłoszenia publikowane w lokalnych tablicach, mogą stanowić element zorganizowanej kampanii, której celem są dane osobowe zainteresowanych pożyczką internautów. W poniższym artykule opisujemy również możliwości aplikacji mobilnej, która pojawia się w kontekście wskazanej nazwy.

Atakujący próbują oznaczać oraz wykorzystać do swoich celów coraz to nowsze obszary naszej cyfrowej aktywności. Przedstawiamy potencjalne konsekwencje przekazania niezaufanemu odbiorcy naszych danych, a także tłumaczymy co może wykonać na naszym urządzeniu aplikacja, którą zainstalowaliśmy w dobrej wierze.

 

“Okazyjne” pożyczki na portalach ogłoszeniowych

Na początku kwietnia w serwisie Gumtree pojawiło się następujące ogłoszenie:

Witam, chcielibyśmy zaproponować w imieniu naszej firmy, mozliwość wzięcia pożyczki nawet do 20000 PLN z minimalnym oprocentowaniem 2% na jeden miesiąc, np. pożyczając 20000 PLN na jeden miesiąc oddają Państwo 20400 i to są wszelkie koszta, nie sprawdzamy Bik, KRD, nie potrzebujemy żadnych zaswiadczeń o zarobkach. Proszę skladać wniosek na stronie https://genialnykredyt.eu ; pozytywne rozpatrzenie równoznaczne jest z otrzymaniem środków w ciągu 15 minut ( zależy to też w dużej mierze od Państwa banku ).

Genialnykredyt.eu

Dwa dni później niemal identyczna oferta opublikowana została na portalu ogłoszeniowym OLX:

Treść obu ogłoszeń oraz specyficzna interpunkcja, wskazują na przygotowanie ofert przy użyciu tego samego szablonu. Wątpliwości wzbudzają nieprofesjonalny język, literówki, a także publikacja treści przy użyciu różnych kont z odmiennych lokalizacji.

Analiza witryny

Po wejściu na podaną w treści ogłoszenia stronę https://genialnykredyt[.]eu, użytkownik odnosi wrażenie, że ma do czynienia z typowym serwisem umożliwiającym zaciągnięcie tzw. “chwilówki”. Wybór kwoty pożyczki oraz czasu kredytowania powoduje wyliczenie oprocentowania oraz całkowitego kosztu potencjalnego zobowiązania.

Nagłówek strony zawiera podstawowe dane adresowe: nazwę firmy, lokalizację oraz adres e-mail. Niepokoi natomiast brak informacji o numerze telefonu do kontaktu z usługodawcą.

 

Po przejściu do zakładki Jak to działa widzimy, że strona powołuje się na serwis pożyczkowy Kokos.pl. Wykorzystany szablon i układ treści usiłują wprowadzić w błąd odwiedzającego, sugerując że przebywa na stronie wiarygodnego serwisu lub zależnego usługodawcy.

 

 

Poniżej dla porównania publikujemy widok oficjalnej strony serwisu kokos.pl:

 

https://kokos.pl/jak-to-dziala

Mylące dla odwiedzającego może być posługiwanie się przez fałszywy serwis certyfikatem SSL, pochodzącym od tego samego wystawcy, z którego korzysta kokos.pl.

     

 

Pobieżna analiza treści na stronie ujawnia popełnione błędy językowe. Można odnieść wrażenie, że przegląda się witrynę tłumaczoną przy użyciu translatora. Jest to kolejny sygnał dla internauty, że może mieć do czynienia z phishingiem.

 

Wizyta w zakładce Wsparcie kieruje nas na pustą podstronę, co również nie wpływa pozytywnie na wiarygodność serwisu:

 

Regulamin serwisu powołuje się na spółkę Blue Media, krajowego dostawcę usług płatniczych, figurującego na stronie KNF także w charakterze pośrednika kredytowego. Uważna lektura pozwala jednak zauważyć, że dane spółki są niekompletne. Brakuje poprawnego adresu, numeru KRS, a także istotnego w przypadku instytucji pożyczkowych numeru RIP.

Tekst zawiera błędy w postaci literówek (np. ustawa z dnia 12 maja 20111 r.) i martwych linków, prowadzących do nieistniejących lokalizacji (hxxps://Genialnykredyt.eu/pliki-dopobrania/dokumenty). Fragmenty bloków tekstu wskazują, że został on skopiowany z serwisu kokos.pl, a następnie nieprofesjonalnie zmodyfikowany. Zdaje się to potwierdzać phishingowy charakter witryny genialnykredyt[.]eu.

W celu weryfikacji wiarygodności strony, skontaktowaliśmy się z usługodawcą, na którego powołuje się wątpliwy serwis. Odpowiedź od Pani Zuzanny Szybisty, ze współpracującej z Blue Media agencji Profeina potwierdziła, że Genialny Kredyt nie jest produktem Blue Media, oraz że spółka podjęła w związku z tym odpowiednie kroki prawne.

Również kontakt z działem bezpieczeństwa grupy OLX pozwolił ustalić, że kierujące do serwisu Genialny Kredyt ogłoszenie ofertowe zostało opublikowane przy użyciu przejętego konta użytkownika. W celu wzbudzenia u ofiary fałszywego poczucia bezpieczeństwa przejęto konto osoby obecnej na OLX od maja 2016 roku.

Wszystkie wyżej opisane elementy jednoznacznie wskazują, że organizator serwisu Genialny Kredyt skutecznie maskuje swoją tożsamość. Ponadto w sposób bezprawny, dla potrzeb uwiarygodnienia, używa wizerunku firm działających w tym obszarze. Każdy, kto zdecyduje się zawnioskować o tego typu pożyczkę, pozostawi zestaw swoich danych osobowych nieustalonemu podmiotowi.

 

Aplikacja mobilna powiązana z serwisem

Genialny Kredyt to także nazwa aplikacji, która została umieszczona w tzw. ”głębokim ukryciu”. Jest to aplikacja mobilna przeznaczona dla użytkowników urządzeń z systemem Android. Przeprowadzona analiza wykazała złośliwe działanie narzędzia, polegające na gromadzeniu wrażliwych danych przechowywanych na urządzeniu ofiary, a następnie przesyłaniu ich na wskazany serwer.

W dniu przeprowadzania analizy nie posiadaliśmy informacji o sposobie dystrybucji złośliwego narzędzia ani skali infekcji. Sposób funkcjonowania aplikacji wskazuje jednak, że mogła ona stanowić część większej kampanii, kierowanej do osób zainteresowanych uzyskaniem kredytu.

Poniżej prezentujemy przebieg procesu instalacji, a także ustalony zestaw funkcjonalności zarówno tych widocznych, jak i ukrytych przed użytkownikiem.

Widzimy, że standardowa konfiguracja zabezpieczeń w systemie Android nie zezwala na instalację aplikacji pochodzących spoza oficjalnego sklepu Google. Załóżmy jednak, że autorom kampanii udałoby się nakłonić właściciela urządzenia do zmiany ustawień bezpieczeństwa, a także uruchomienia pobranego instalatora.

 

 

Informacja o braku specjalnych wymagań na etapie instalacji ma na celu uśpienie czujności użytkownika. Dopiero uruchomienie aplikacji domaga się przyznania niebezpiecznych uprawnień…

…bez których zakończy ona swoje działanie:

 

Z chwilą przyznania uprawnień złośliwe narzędzie próbuje gromadzić informacje o nazwie urządzenia, numerze IMEI, zawartości skrzynki SMS i rejestrze połączeń, by następnie przesłać je w nieszyfrowanej postaci do zewnętrznego serwera:

 

Poniżej podgląd komunikacji:

 

W momencie eksfiltracji danych, nieświadoma ofiara widzi na swoim urządzeniu jedynie ekran powitalny uruchamianej aplikacji.

Następnie wyświetlana jest strona logowania do serwisu: hxxp://genialnykredyt[.]eu/loginPage

 

 

Rola złośliwego narzędzia sprowadza się w dalszej kolejności głównie do bycia mobilnym interfejsem, umożliwiającym poruszanie się po witrynie genialnykredyt[.]eu. Rejestracja i zalogowanie w serwisie pozwalają uzyskać dostęp do formularza kredytowego. Jego treść, podobnie jak zawartość na zakładkach strony głównej, naszpikowana jest rażącymi błędami językowymi.

 

 

W jakim celu przygotowano serwis?

Jak przy każdej złośliwej kampanii powstaje pytanie o motywy towarzyszące jej powstaniu. Wyłudzone dane osobowe mogą posłużyć np. do utworzenia fałszywego dowodu tożsamości. Ten z kolei może zostać użyty do wyłudzenia rzeczywistego kredytu, chwilówki, czy otwarcia rachunku bankowego służącego dalszej działalności przestępczej. Dodatkowe dane pozyskane z formularza, takie jak stan cywilny, wykształcenie, informacje o zatrudnieniu czy miesięczny dochód, pozwalają na precyzyjne sprofilowanie ofiary. W połączeniu ze szkodliwą aplikacją, umożliwiającą pozyskanie przechowywanych na urządzeniu wiadomości wraz z pełnym rejestrem połączeń, mamy do czynienia z zestawem narzędzi pozwalającym na prowadzenie dalszych złośliwych działań.

Analizowana aplikacja nie monitorowała zawartości skrzynki SMS w sposób ciągły, co nie wyklucza takiego wykorzystania narzędzia w przyszłości. Pozyskanie danych logowania do konta bankowego ofiary połączone z dostępem do kodów SMS uwierzytelniających transakcje, umożliwiłoby przestępcom kradzież środków zgromadzonych na jej rachunku.

Kropką nad “i” wydaje się być otrzymany od jednego z anonimowych zgłaszających formularz, do którego link otrzymał od pracowników serwisu, zgłaszając zainteresowanie pożyczką. Pod adresem hxxp://genialnykredyt.eu/weryfikacja udostępniona była następująca formatka:

 

Skan dokumentu tożsamości, rachunek wystawiony na nasze dane czy selfie twarzy z określonym napisem (który w tym wypadku może zostać wyretuszowany i zmieniony na inny) to regularnie spotykane metody uwierzytelniania tożsamości, wykorzystywane np. przy rejestracji kont na giełdach kryptowalutowych. Te z kolei z powodzeniem można wykorzystać do dalszej odsprzedaży na czarnym rynku lub wytransferowywania środków z przejętych rachunków płatniczych.

Domena genialnykredyt[.]eu została zgłoszona jako złośliwa i jest w obecnie niedostępna. W dalszym ciągu obserwujemy jednak pojawiające się w kontekście nazwy oferty pracy, które jak można zauważyć – niedługo po publikacji stają się niedostępne.

 

 

Świadczy to o rozwijającym się charakterze grupy i wskazuje na mogące pojawić się w najbliższym czasie kolejne odsłony złośliwych kampanii.

 

IoC

Złośliwa domena:
genialnykredyt[.]eu

Rekord A przypisany do domeny (Apr 12 15:34:48 CEST 2019):
82.221.129.17

Aplikacja mobilna: kredyt.apk
SHA256: 8e0ee10a2173875d19534e45d8ecc320496a1d36aeb1616366ab0cc484454f55

Zgłoś incydent

W przypadku zauważenia niepokojących zdarzeń naruszających bezpieczeństwo w sieci, zachęcamy do kontaktu z naszym zespołem. Formularz zgłoszeniowy udostępniamy na stronie: incydent.cert.pl. Kontakt z nami możliwy jest także drogą mailową pod adresem: [email protected]

 

 

Rozpoczynamy poszukiwanie prelegentów na tegoroczną edycję konferencji SECURE. Jeżeli posiadasz wiedzę na interesujący temat i chciałbyś przedstawić go w gronie światowej klasy ekspertów ds. bezpieczeństwa IT, zachęcamy do zapoznania się z zasadami zgłoszeń poniżej.

SECURE to odbywająca się w dniach 22 oraz 23 października 2019 r. w Warszawie konferencja, poświęcona w całości bezpieczeństwu teleinformatycznemu. Adresowana jest do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny. Cechą wyróżniającą SECURE spośród innych konferencji jest przede wszystkim chęć dostarczania rzetelnych i merytorycznych informacji o tym, co naprawdę istotne i aktualne, głównie z pierwszej ręki – od najlepszych praktyków i ekspertów. Zapewnia to swoim wieloletnim doświadczeniem organizator wydarzenia: działający w ramach NASK zespół CERT Polska. Tematyka konferencji koncentruje się przede wszystkim na rozwiązaniach praktycznych, najnowszych trendach w przeciwdziałaniu zagrożeniom oraz istotnych zagadnieniach prawnych. Uczestnicy mają dostęp do najnowszej wiedzy, zyskując przez to możliwość podnoszenia swoich kwalifikacji, jak również cennej wymiany doświadczeń.

Scenariusze dotyczące podszywania się pod pośredników płatności, stały się na przestrzeni 2018 roku najpopularniejszym atakiem na użytkowników bankowości elektronicznej. Aktualnym wyzwaniem pozostaje ewolucja złośliwego oprogramowania, coraz częściej wymierzonego w posiadaczy urządzeń mobilnych i internet rzeczy. Standardem staje się wykorzystywanie przez grupy APT nieznanych wcześniej podatności 0-day, a przypadek VPNFilter pokazuje, że zaawansowane ataki mogą również dotyczyć przeciętnego użytkownika. Jak wobec powyższych problemów zadbać o swoją prywatność i bezpieczeństwo? Na te i inne pytania chcemy poszukać odpowiedzi w trakcie SECURE 2019.

Jeśli chciałbyś podzielić się z innymi wiedzą na któryś ze wspomnianych tematów, lub czujesz się ekspertem w jednej z dziedzin wymienionych poniżej, kierujemy niniejsze zaproszenie właśnie do Ciebie.

SECURE 2019 odbędzie się w dniach 22-23 października w Warszawie. Tematykę konferencji wyznaczać będą trzy główne nurty:

• techniczny – ze szczególnym uwzględnieniem nowatorskich i praktycznych rozwiązań
• organizacyjny – ze szczególnym naciskiem na dostrzeganie nowych trendów w zagrożeniach
• prawny – zwracający uwagę na rzeczywiste możliwości ścigania sprawców przestępstw

Prezentacje

Poszukujemy osób gotowych do wygłoszenia prezentacji, która porusza przynajmniej jeden z poniższych tematów:

• ewolucja i analiza złośliwego oprogramowania (wirusy, trojany, robaki, botnety, itp)
• monitorowanie bezpieczeństwa w sieci i wykrywanie włamań
• nowatorskie zastosowania systemów sandbox i systemów honeypot
• ataki APT
• ataki na sieci przemysłowe i bezpieczeństwo systemów SCADA
• bezpieczeństwo smartfonów i aplikacji mobilnych
• techniki wizualizacji zdarzeń bezpieczeństwa
• wczesne ostrzeganie o zagrożeniach w sieciach teleinformatycznych
• obsługa incydentów bezpieczeństwa
• standardy wymiany informacji dotyczących bezpieczeństwa
• ataki DDoS i techniki obrony przed nimi
• skuteczność narzędzi w zwalczaniu nowych technik ataków
• narzędzia open source w bezpieczeństwie
• ochrona tożsamości w sieci
• bezpieczeństwo rozwiązań IoT
• bezpieczeństwo sprzętowe
• zapewnienie bezpieczeństwa w łańcuchu dostaw
• prywatność, poufność i anonimowość w sieci
• czynnik ludzki w bezpieczeństwie
• prawo polskie i europejskie w odniesieniu do bezpieczeństwa teleinformatycznego
• działania organów ścigania w zakresie zwalczania przestępczości teleinformatycznej
• projekty naukowe z dziedziny bezpieczeństwa teleinformatycznego

Ważne informacje o prezentacjach

• zgłoszenia należy przesyłać wyłącznie przez stronę https://easychair.org/conferences/?conf=secure2019
• do zgłoszenia wymagane jest przygotowanie tytułu prezentacji, krótkiego abstraktu oraz informacji o autorze
• pytania dotyczące procesu zgłaszania oraz selekcji prezentacji należy kierować na adres: [email protected]
• przewidywany czas na prezentację wynosi 45 minut, w tym czas na pytania i odpowiedzi
• prezentacja nie może mieć charakteru reklamowego – materiały należy nadsyłać w formatach OpenOffice, Microsoft Office lub PDF
• prezentacje zostaną udostępnione uczestnikom konferencji w formie elektronicznej, a także – w miarę możliwości – w formie nagrań audiowizualnych
• organizatorzy zapewniają bezpłatny, pełny udział w całej konferencji (nie dotyczy warsztatów) oraz imprezie wieczornej 22 października 2019 r.; organizatorzy nie pokrywają kosztów podróży i zakwaterowania

Ważne terminy

• nadsyłanie zgłoszeń – do 22 lipca 2019 r.
• wybór prezentacji – do 12 sierpnia 2019 r.
• nadsyłanie prezentacji – do 14 października 2019 r.

Krótkie wystąpienia
Zapraszamy uczestników konferencji SECURE do dzielenia się na gorąco swoimi ideami, pytaniami oraz problemami. Podczas jednego z bloków konferencji zaprosimy do przedstawiania krótkich wystąpień, dotyczących dowolnego tematu związanego z bezpieczeństwem teleinformatycznym.

Ważne informacje o krótkich wystąpieniach

• maksymalny czas jednego wystąpienia to 5 minut. Łączny czas na wszystkie wystąpienia będzie ograniczony
• zgłoszenia chęci krótkiego wystąpienia można dokonać w dowolnym momencie po zarejestrowaniu się jako uczestnik konferencji, także w trakcie jej trwania
• organizatorzy zastrzegają sobie prawo ostatecznej decyzji o dopuszczeniu do wystąpienia

Wielkimi krokami zbliża się publikacja corocznego raportu CERT Polska. Prace redakcyjne i edytorskie idą pełną parą, a w międzyczasie chcemy podzielić się z czytelnikami naszego bloga statystykami z zeszłego roku. Są one pewnym przybliżeniem krajobrazu bezpieczeństwa teleinformatycznego w Polsce, jak również obserwacją pewnych trendów pod względem liczby zarejestrowanych incydentów w podziale na kategorie. Zespół CERT Polska od wielu lat posługuje się klasyfikacją eCSIRT.net (obecnie jej szóstą wersją oznaczoną jako mkVI)¹, która dość dobrze precyzuje poszczególne rodzaje incydentów.

W 2018 roku operatorzy z zespołu CERT Polska przyjęli 19439 zgłoszeń, które zostały dokładnie przeanalizowane i odpowiednio zaklasyfikowane. Spośród nich 5675 było podstawą do założenia incydentu. Odnotowaliśmy w sumie 3739 incydentów bezpieczeństwa, czyli średnio ponad 10 rejestrowanych incydentów dziennie. Pozostałe kilkanaście tysięcy zgłoszeń nieprzypisanych do żadnego incydentu to zgłoszenia nieistotne lub automatyczne alerty pochodzące z różnych systemów ostrzegania. W przypadku tych drugich nasze działania polegały najczęściej na zasileniu danymi platformy n6² lub innych, wewnętrznych systemów analitycznych.

W wielu przypadkach jeden incydent jest powiązany z kilkoma zgłoszeniami (np. trzy różne osoby zgłaszają tę samą stronę phishingową).

Poniższa tabela zawiera liczbę obsłużonych incydentów ze szczegółowym podziałem na poszczególne kategorie według klasyfikacji eCSIRT.net.

Typ incydentu	Liczba incydentów	%
Obraźliwe i nielegalne treści	431	11,53
Spam	419	11,21
Dyskredytacja, obrażanie	5	0,13
Pornografia dziecięca, przemoc	0	0
Niesklasyfikowane	7	0,19
Złośliwe oprogramowanie	862	23,05
Wirus	4	0,11
Robak sieciowy	0	0
Koń trojański	117	3,13
Oprogramowanie szpiegowskie	0	0
Dialer	1	0,03
Rootkit	1	0,03
Niesklasyfikowane	739	19,76
Gromadzenie informacji	101	2,7
Skanowanie	80	2,14
Podsłuch	1	0,03
Inżynieria społeczna	7	0,19
Niesklasyfikowane	13	0,35
Próby włamań	153	4,09
Wykorzystanie znanych luk systemowych	30	0,8
Próby nieuprawnionego logowania	37	0,99
Wykorzystanie nieznanych luk systemowych	0	0
Niesklasyfikowane	86	2,3
Włamania	125	3,34
Włamanie na konto uprzywilejowane	11	0,29
Włamanie na konto zwykłe	21	0,56
Włamanie do aplikacji	35	0,94
Bot	4	0,11
Niesklasyfikowane	54	1,44
Dostępność zasobów	49	1,31
Atak blokujący serwis (DoS)	7	0,19
Rozproszony atak blokujący serwis (DDoS)	35	0,94
Sabotaż komputerowy	0	0
Przerwa w działaniu usług (niezłośliwe)	1	0,03
Niesklasyfikowane	6	0,16
Atak na bezpieczeństwo informacji	46	1,23
Nieuprawniony dostęp do informacji	21	0,56
Nieuprawniona zmiana informacji	13	0,35
Niesklasyfikowane	12	0,32
Oszustwa komputerowe	1878	50,23
Nieuprawnione wykorzystanie zasobów	1	0,03
Naruszenie praw autorskich	8	0,21
Kradzież tożsamości, podszycie się	43	1,15
Phishing	1655	44,26
Niesklasyfikowane	171	4,57
Podatne usługi	69	1,85
Otwarte serwisy podatne na nadużycia	14	0,37
Niesklasyfikowane	55	1,47
Inne	25	0,67

Tabela 1. Incydenty obsłużone przez CERT Polska według typów

 

W zeszłym roku odnotowaliśmy 17,5% więcej incydentów w stosunku do 2017 roku. Najwięcej zarejestrowanych zdarzeń dotyczyło phishingu, złośliwego oprogramowania oraz spamu. W odniesieniu do statystyk z 2017 roku nastąpiła zmiana na najniższym stopniu podium w tym niechlubnym rankingu, ponieważ wtedy pierwsza trójka kształtowała się następująco: phishing, złośliwe oprogramowanie, włamania komputerowe. Jednak to phishing jest kategorią zdecydowanie dominującą i wyraźnie odstającą od reszty incydentów. Odsetek incydentów phishingowych utrzymał się na podobnym poziomie w porównaniu do 2017 roku, oscylując na poziomie ok. 44%. Najczęściej spotykane scenariusze dotyczyły phishingów na zagraniczne serwisy takie jak Netflix lub PayPal umieszczonych na skompromitowanych, polskich serwerach, jak również phishingów na polskie instytucje (głównie banki), znajdujących się w zagranicznych hostingach. Wiodącym motywem takich ataków było pozyskanie danych uwierzytelniających w celu dostępu do płatnych usług lub kradzieży środków pieniężnych z konta. Wiele wariantów scenariuszy dotyczyło także sprzedaży towarów po bardzo atrakcyjnych cenach w serwisach z ogłoszeniami. Celem było skłonienie użytkowników do skorzystania z fałszywych stron imitujących serwisy z szybkimi płatnościami online.

 

 

W 2018 roku zauważalnie rozwinął się także proceder zakładania fałszywych sklepów internetowych. Porównując z 2017 rokiem, zespół CERT Polska zaobserwował ponad trzykrotny wzrost liczby incydentów związanych z działalnością tak zwanych fake sklepów. Duża w tym zasługa wzrostu świadomości użytkowników sieci, którzy częściej i chętniej zgłaszali nam tego typu oszustwa. Przestępcy starali się pozyskiwać jak największą liczbę ofiar na przykład poprzez pozycjonowanie reklam swoich witryn w popularnych wyszukiwarkach internetowych oraz mediach społecznościowych.

 

 

Druga najpopularniejsza kategoria zdarzeń to wszelkiego rodzaju złośliwe oprogramowanie. W tym przypadku bardzo często zaznaczaliśmy typ incydentu jako „niesklasyfikowane”. Po pierwsze dlatego, że w wielu scenariuszach używane były różne typy oraz rodziny złośliwego oprogramowania, wykorzystujące szerokie spektrum stosowanych metod i technik ataku. Uniemożliwiało to jednoznaczne przypisanie do konkretnej kategorii malware’u. Po drugie bardzo często zgłaszany był do nas również ransomware, który nie posiada osobnej kategorii w klasyfikacji eCSIRT.net (a szkoda!). Pod tym względem klasyfikacja jest jeszcze niedoskonała i pozostaje mieć nadzieję, że w kolejnej iteracji się to zmieni.

Przeważająca większość zgłoszeń, które otrzymaliśmy w związku ze wszystkimi rodzajami złośliwego oprogramowania, dotyczyła ataków na polskich użytkowników. Popularnym scenariuszem ataku pozostały maile z fałszywą fakturą, nakazem zapłaty (lub dopłaty) albo informacją o przesyłce od kuriera, zawierające plik ze skryptem, dokumentem z makrami lub linkiem odsyłającym do strony dystrybuującej złośliwe oprogramowanie (np. malware ukierunkowany na użytkowników bankowości elektronicznej oraz mobilnej).

 

 

W tym roku pierwszy raz publikujemy również klasyfikację incydentów obsłużonych przez nasz zespół w podziale na sektory gospodarki. Szczegółowy podział znajduje się w tabeli poniżej. Na pierwszy rzut oka wyraźnie widać bardzo wysoki odsetek incydentów oznaczonych jako Inne (3 z 4 incydentów dotyczyły właśnie tej kategorii podmiotów). Są to głównie zgłoszenia dotyczące osób fizycznych lub podmiotów prywatnych. Na kolejnych miejscach znalazły się incydenty, które dotknęły sektor bankowy oraz sektor publiczny. Tych ostatnich w porównaniu do kategorii Inne było jednak niewiele. Zdajemy sobie sprawę, że przedstawiona klasyfikacja nie jest idealna. Stworzyliśmy ją, zanim zespół CERT Polska, na mocy ustawy o Krajowym Systemie Cyberbezpieczeństwa został wyznaczony na jeden z trzech CSIRTów poziomu krajowego. Teraz, gdy ustawa już obowiązuje, będziemy mogli doprecyzować klasyfikację tak, aby w kolejnych latach jak najlepiej oddawała obraz bezpieczeństwa teleinformatycznego kraju w ujęciu sektorowym.

Sektor gospodarki	Liczba incydentów	%
Infrastruktura cyfrowa	29	0,78
Służba zdrowia	13	0,35
Bankowość	643	17,2
Finanse	62	1,66
Energetyka	20	0,53
Transport	51	1,36
Sektor publiczny	85	2,27
Wodociągi	2	0,05
Inne	2834	75,8
Razem	3739	100

Tabela 2. Incydenty obsłużone przez CERT Polska według klasyfikacji ze względu na sektor gospodarki

 

Więcej obserwacji znajdziecie już wkrótce w naszym raporcie rocznym. Zachęcamy do śledzenia bloga CERT Polska oraz naszych profilów w mediach społecznościowych, aby być na bieżąco z doniesieniami dotyczącymi publikacji raportu.

Przez ostatni rok współpracowaliśmy z Hatching.io nad rozwojem projektu Cuckoo Sandbox. Skupiliśmy się głównie na wdrożeniu zaawansowanych mechanizmów analizy pamięci, opracowanych przez nasz zespół w ciągu ostatnich lat. Opublikowanie narzędzia onemon jest ostatnim etapem naszej współpracy. Cieszymy się, że jej wyniki są teraz dostępne dla całego środowiska zajmującego się bezpieczeństwem informacji.
Czytaj więcej

Poniżej przedstawiamy rozwiązania do zadań, które pojawiły się na organizowanym przez CERT Polska CTF-ie organizowanym w ramach Europejskiego Miesiąca Cyberbezpieczeństwa. Przez przeczytaniem zachęcamy do próby samodzielnego zmierzenia się z nimi – zadania są dostępne w portalu https://hack.cert.pl/
Czytaj więcej

Zespół CERT Polska zaobserwował interesującą technikę phishingową zastosowaną wobec użytkowników popularnego polskiego agregatora treści. W sieci zrobiło się również głośno za sprawą pojawienia się nowego narzędzia Modlishka służącego do automatyzacji tego typu ataków. Artykuł opisuje mechanizm ataku oraz przedstawia nasze rekomendacje dla twórców stron internetowych.Czytaj więcej

Analiza bieżących zagrożeń w postaci złośliwego oprogramowania stanowi jedno z najczęstszych wyzwań stojących wobec niemal każdej organizacji zajmującej się cyberbezpieczeństwem. Z roku na rok staje się ona również coraz cięższym orzechem do zgryzienia, na co niewątpliwie wpływ ma rosnąca skala działań podejmowanych przez przestępców i stopień ich zaawansowania. W obliczu tej sytuacji, sprawna wymiana informacji pomiędzy analitykami stanowi kluczowe zagadnienie.Czytaj więcej

Przez kilka ostatnich dni obserwujemy kampanię e-mailową, w której fałszywi nadawcy podają się za firmę kurierską InPost. Wiadomości informują o przesyłce gotowej do odbioru w jednym z paczkomatów. Adres paczkomatu oraz pin potrzebny do odbioru przesyłki ma być dostępny po pobraniu pliku z linku widocznego w wiadomości. Do tej pory wyróżniliśmy dwa typy zagrożeń, które czekają na użytkowników po uruchomieniu pobranych plików. Jednym z nich jest trojan pozwalający na zdalny dostęp do komputera ofiary, a drugim oprogramowanie szyfrujące pliki – ransomware.

Osobom, których pliki zostały zaszyfrowane zdecydowanie odradzamy płacenia okupu. Prosimy takie osoby o bezpośredni kontakt pod adres [email protected], ponieważ jest szansa na odzyskanie Państwa plików.

Czytaj więcej

Problematyka podatności bezpieczeństwa dotyczy praktycznie wszystkich programów lub bibliotek wykorzystywanych w codziennej pracy. Proaktywność w tej kwestii jest jednym z kluczy do dostarczania wysokiej jakości oprogramowania, które zapewni spokojny sen osobom zajmującym się bezpieczeństwem IT.

W ciągu ostatnich dwóch lat firma Google za pomocą inicjatywy OSS-Fuzz, wykryła oraz zgłosiła ponad osiem tysięcy błędów w szerokim spektrum projektów open source, m.in. Tor Browser, ImageMagick czy FreeType2.
Czytaj więcej

Smoke Loader (znany także jako Dofoil) jest względnie małym, modularnym botem używanym do instalowania różnych rodzin złośliwego oprogramowania.

Mimo że został zaprojektowany głównie z myślą o pobieraniu oprogramowania, to posiada parę funkcji, które czynią go bardziej trojanem niż zwykłym dropperem.

Nie jest nowym zagrożeniem, ale nadal jest rozwijany i aktywny. W ostatnich miesiącach zaobserwowaliśmy jego udział w kampaniach malspamowych i RigEK.

W artykule pokażemy jak Smoke Loader rozpakowuje się i jak wygląda jego komunikacja z serwerem C2.

Czytaj więcej