Lista ostrzeżeń przed niebezpiecznymi stronami

Data publikacji: 23/03/2020, CERT Polska

Wspólnie z operatorami telekomunikacyjnymi rozpoczynamy walkę ze stronami wyłudzającymi dane osobowe, dane uwierzytelniające do kont bankowych i serwisów społecznościowych. Lista ostrzeżeń rozpoczyna funkcjonowanie w odpowiedzi na znaczący wzrost liczby wyłudzeń danych w związku z treściami dotyczącymi epidemii koronawirusa. W ramach współpracy będziemy publikować listę domen wykorzystywanych do nadużyć – każdy może ją pobrać i wdrożyć w swoich systemach bezpieczeństwa do blokady złośliwych treści. Operatorzy, którzy przystąpili do współpracy, będą uniemożliwiali dostęp do zidentyfikowanych i przeanalizowanych przez nas domen.

Strony wyłudzające dane osobowe oraz dane uwierzytelniające są obecnie zjawiskiem masowym, dotykającym różne grupy użytkowników Internetu w Polsce. Linki do nich przesyłane są różnymi kanałami: przez SMS, e-mail lub media społecznościowe. Strony te są rejestrowane w dużych ilościach i wykorzystywane w dość krótkim czasie od rejestracji, po czym są porzucane na rzecz nowych adresów. Adresy te mogą znajdować się w różnych domenach, nie tylko w domenie krajowej *.pl. Z tego powodu bardzo ważne jest szybkie rozpoznawanie, raportowanie oraz współdzielenie informacji o złośliwych domenach, tak by można było jak najszybciej zablokować do nich dostęp.

Każde zgłoszenie podejrzanej strony będzie weryfikowane ręcznie przez co najmniej dwie osoby zajmujące się w CERT Polska obsługą zgłoszeń. W przypadku, gdy mimo starannej weryfikacji strona zostanie niesłusznie wpisana na listę, jak najszybciej zrewidujemy pierwotną decyzję i strona zostanie usunięta z listy ostrzeżeń. Chcemy podkreślić, że lista obejmuje tylko strony wykorzystywane do wyłudzeń oraz jest publicznie dostępna w różnych formatach. Jej główne cele to sprawne dzielenie się informacjami o złośliwych stronach z wszystkimi zainteresowanymi podmiotami oraz ochrona użytkowników polskiego Internetu.

Współpraca z operatorami bazuje na Porozumieniu podpisanym pomiędzy Ministrem Cyfryzacji, Dyrektorem NASK PIB oraz Prezesem Urzędu Komunikacji Elektronicznej a Orange Polska S.A., Polkomtel Sp. z o.o., P4 Sp. z o.o., T-Mobile Polska S.A. Treść porozumienia została opublikowana na stronie Urzędu Komunikacji Elektronicznej. Operatorzy telekomunikacyjni przystąpili do Porozumienia dobrowolnie i mogą w dowolnej chwili je wypowiedzieć. Porozumienie nie ingeruje w prawa i obowiązki Operatorów wynikające z przepisów ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne. Porozumienie będzie funkcjonować w okresie stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej. Porozumienie obowiązuje do dnia jego odwołania przez Ministra Cyfryzacji lub odwołania stanu nadzwyczajnego, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej, nie dłużej jednak niż przez 3 miesiące od dnia jego podpisania.

Zgłaszanie podejrzanych stron

Każdy może zgłosić stronę, która może wyłudzać dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych, za pomocą formularza dostępnego na https://incydent.cert.pl/phishing.

Lista ostrzeżeń

Lista ostrzeżeń zawierająca wykaz witryn stanowiących zagrożenie dostępna jest jako następujące pliki:

Pliki są aktualizowane co 5 minut. Pełna specyfikacja naszego API dostępna jest tutaj.

Najczęściej zadawane pytania

Czy jako użytkownik domowy muszę za to płacić? Jak mam listę włączyć u siebie?
Lista może być wykorzystywana przez dostawców internetowych do blokowania stron wyłudzających dane w ich sieciach. Dostawca nie powinien pobierać z tego tytułu dodatkowych opłat. Zapytaj swojego dostawcę, czy korzysta z listy ostrzeżeń.

Którzy operatorzy używają listy ostrzeżeń do blokowania podejrzanych stron internetowych?
Sygnatariuszami porozumienia o stworzeniu listy są: Orange, Polkomtel (Plus), P4 (Play) i T-Mobile. Udział każdego z operatorów w programie jest dobrowolny.

Czy chodzi o cenzurę polskiego Internetu?
Zależy nam tylko i wyłącznie na ochronie polskich internautów przed nasilającymi się ostatnio zagrożeniami w postaci stron mogących wyłudzać dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych. Lista domen jest zbiorem adresów wykorzystywanych do nadużyć rekomendowanych do ograniczenia dostępu – nie wymuszamy ich blokady przez operatorów.

Czy lista ostrzeżeń przed niebezpiecznymi stronami jest dostępna publicznie?
Tak, dostępna jest publicznie powyżej.

Czy każdy może zgłosić podejrzaną stronę do blokady?
Tak, można to zrobić pod adresem https://incydent.cert.pl/phishing.

W jaki sposób zgłoszenia są oceniane i kto podejmuje decyzję o blokadzie? Kto odpowiada za niewłaściwą klasyfikację? Jak wygląda proces weryfikacji zgłoszeń?
Zgłoszenia oceniane są ręcznie przez analityków CERT Polska, którzy analizując stronę bazują na wieloletnim doświadczeniu w walce z występującymi nadużyciami w polskim internecie. W procesie wpisania adresu każdej strony do rejestru wymagane jest działanie przynajmniej dwóch analityków. Sama blokada wejścia na stronę dokonywana jest poprzez operatorów telekomunikacyjnych. W ramach funkcjonowania listy ostrzeżeń CERT Polska i operatorzy nie dokonują zmian w rejestrach domen ani serwerach, na których umieszczone są treści.

W jaki sposób działa blokada stron?
Blokada realizowana jest przez operatorów telekomunikacyjnych poprzez zmianę adresu złośliwej strony w systemie cache DNS operatora. Zamiast wyświetlenia oryginalnej strony nastąpi przekierowanie do strony ostrzegającej o zagrożeniu prowadzonej przez danego operatora telekomunikacyjnego albo CERT Polska (która wygląda tak).

Strona znajduje się na liście, ale nadal mogę na nią wejść i nie pojawia się żadne ostrzeżenie. Dlaczego?
Ponieważ rozwiązanie bazuje na zmianie adresu IP zwracanego przez serwer DNS operatora, domena może być nadal dostępna z niektórych urządzeń, pomimo jej zablokowania na liście ostrzeżeń.
Możliwe powody są następujące:

    • Twój dostawca internetu lub administrator Twojej sieci nie korzysta jeszcze z Listy Ostrzeżeń
    • Twoje urządzenie ma ustawione alternatywne serwery DNS np. 8.8.8.8 lub używa rozwiązania DNS over HTTPS
    • stary rekord DNS znajduje się jeszcze w pamięci podręcznej usługi DNS

Jestem właścicielem niesłusznie zablokowanej strony (np. moja strona została przejęta przez przestępców). Jak mogę się odwołać?
Prosimy o wysłanie wiadomości email na adres [email protected]

Jak długo może trwać weryfikacja odwołania o niesłuszne zablokowanie i jak szybko będę mógł znów używać mojej strony po pozytywnym jej rozpatrzeniu?
Dokładamy wszelkich starań, aby nastąpiło to jak najszybciej, jednakże rzeczywisty czas przywrócenia poprawnego rozwiązywania nazwy domenowej zależy od operatorów.

Czy ktoś może złośliwie zgłosić na listę moją domenę, np. konkurencja?
Każde zgłoszenie jest weryfikowane z najwyższą starannością i ostrożnością. Jeżeli na Twojej stronie nie ma treści, które służą do wyłudzania danych i środków finansowych internautów, nie powinieneś się niczego obawiać.

Jak mogę się bronić przed fałszywym zgłoszeniem mojej domeny?
Wszystkie zgłoszenia są ręcznie analizowane przez analityków CERT Polska, a fałszywe zgłoszenia będą odrzucane. W razie jakichkolwiek wątpliwości co do zasadności umieszczenia domeny na liście, prosimy o przesłanie informacji na [email protected]

Jestem właścicielem domeny *.pl, czy przed blokadą dostanę informację o tym fakcie?
Nie. Blokada realizowana jest dobrowolnie przez poszczególnych operatorów telekomunikacyjnych, a nie w ramach rejestru domeny .pl i jej regulaminu.

Jak często aktualizowana jest lista ostrzeżeń przed niebezpiecznymi stronami?
Po podjęciu decyzji o wpisaniu strony na listę, pojawi się na niej w ciągu 5 minut.

Czy ten mechanizm będzie wykorzystywany do walki z dezinformacją, fake newsami czy pornografią?
Nie. Programem objęte są tylko strony, które mogą wyłudzać dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych.

Na jak długo blokowana jest domena?
Domena może być usunięta z listy po ustaniu przesłanek do jej umieszczenia. W takim przypadku operatorzy powinni niezwłocznie zaprzestać jej blokowania. Każdy operator może niezależnie podjąć decyzję o wcześniejszym odblokowaniu domeny.

Jestem firmą i otrzymuję dużo niechcianej korespondencji – czy mogę zgłaszać automatycznie złośliwe domeny, np. poprzez API?
Nie. Prosimy o zgłaszanie stron wstępnie zweryfikowanych poprzez formularz dostępny na stronie https://incydent.cert.pl/phishing.

Czy lista ostrzeżeń będzie działać już zawsze?
Na chwilę obecną porozumienie z operatorami przy blokowaniu złośliwych stron przewiduje współpracę w okresach stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego. Udział operatorów w programie jest dobrowolny i nie wykluczamy możliwości jego kontynuowania w innych okresach.

Jak szybko od mojego zgłoszenia strona zostanie zweryfikowana i zablokowana?
Dokładamy najwyższej staranności, aby weryfikacja zgłoszenia trwała najkrócej jak to możliwe.

Czy mogę pobierać listę automatycznie i np. wykorzystywać ją, aby chronić moich pracowników?
Tak.