Nasz raport za 2021 r. jest już gotowy, ale przechodzi jeszcze przez ścieżkę korekty i składu. Do czasu jego wydania postanowiliśmy publikować wybrane rozdziały w formie artykułów. W pierwszej kolejności przedstawiamy statystyki z działalności zespołu CERT Polska w 2021 r.

Obsługa zgłoszeń i incydentów

Sukcesywnie każdego roku CERT Polska rejestruje coraz większą liczbę zgłoszeń oraz incydentów cyberbezpieczeństwa. W 2021 r. CERT Polska zarejestrował 116 071 zgłoszeń. Spośród wszystkich zgłoszeń nasi specjaliści wytypowali 65 586, na podstawie których zarejestrowano łącznie 29 483 unikalnych incydentów cyberbezpieczeństwa.

Zgłoszenia incydentów trafiają do nas następującymi drogami:

  • mailowo na adres [email protected],
  • poprzez formularz na stronie incydent.cert.pl
  • formularz na stronie incydent.cert.pl/domena
  • telefonicznie +48 22 380 82 74,
  • listownie korzystając z formularza dostępnego na stronie bip.nask.pl

CERT Polska odnotował wzrost obsłużonych incydentów na poziomie 182 proc. w porównaniu do roku ubiegłego. Przypomnijmy, że w 2020 r. CERT Polska obsłużył 10 420 unikalnych incydentów cyberbezpieczeństwa.

Incydenty w podziale na kategorie wg taksonomii eCSIRT.net

Najpopularniejszym typem incydentów w 2021 r. był phishing – stanowiący aż 76,57 proc. wszystkich obsłużonych incydentów. Liczba incydentów zaklasyfikowanych jako phishing w porównaniu do roku poprzedniego wzrosła o 196 proc. i osiągnęła wartość 22575 incydentów. Tak samo jak w roku poprzednim, fundamentalny wpływ na zwiększenie liczby zarejestrowanych incydentów phishingowych miała wprowadzona w marcu 2020 r. Lista Ostrzeżeń przed stronami niebezpiecznymi. Najpopularniejszym phishingiem w 2021 r. było podszywanie się pod serwis społecznościowy Facebook4852 incydentów. Drugim typem incydentów pod względem popularności jakie CERT Polska zarejestrował i obsłużył było szkodliwe oprogramowanie. Tego typu incydentów w 2021 r. zarejestrowano 2847, co stanowi 9,66 proc. wszystkich obsłużonych incydentów. Liczba ta w porównaniu do roku ubiegłego wzrosła o 281 proc.

Trzecie miejsce w rankingu liczby zarejestrowanych incydentów w ubiegłym roku przypada kategorii obraźliwych i nielegalnych treści, w tym spamu. Odsetek tego typu incydentów wyniósł 1,05 proc. Tak niewielki procent wynika z faktu, iż do jednego incydentu zespół CERT Polska często przypisuje wiele zgłoszeń. Jest to szczególnie zauważalne dla tej kategorii incydentów, gdzie za 311 incydentów odpowiadało aż 21522 zgłoszeń. Dodatkowo incydenty z kategorii obraźliwych i nielegalnych treści są obsługiwane przez dedykowany do tego celu zespół Dyżurnet.pl, który również działa w strukturach NASK. Popularnymi obsługiwanymi tego typu incydentami były ataki tzw. sextortion scam, polegające na masowym rozsyłaniu wiadomości mailowych informujących o rzekomym przejęciu kontroli nad urządzeniami ofiary oraz posiadaniu przez nadawcę materiałów prezentujących ofiarę w kontekście erotycznym. W zamian za zapłacenie żądanego okupu, atakujący oferuje wykasowanie kompromitujących materiałów.

W poniższej tabeli przedstawiono obsłużone incydenty w 2021 r. w podziale na kategorie wg taksonomii eCSIRT.net.

Typy incydentu Liczba incydentów %
I. Obraźliwe i nielegalne treści 311 1,05%
Spam 262 0,89%
Dyskredytacja, obrażanie 9 0,03%
Pornografia dziecięca, przemoc 4 0,01%
Niesklasyfikowane 36 0,12%
II. Złośliwe oprogramowanie 2847 9,66%
Wirus 1 0,00%
Robak sieciowy 0 0,00%
Koń trojański 9 0,03%
Oprogramowanie szpiegowskie 0 0,00%
Dialer 0 0,00%
Rootkit 1 0,00%
Niesklasyfikowane 2836 9,62%
III. Gromadzenie informacji 27 0,09%
Skanowanie 19 0,06%
Podsłuch 0 0,00%
Inżynieria społeczna 3 0,01%
Niesklasyfikowane 5 0,02%
IV. Próby włamań 127 0,43%
Wykorzystanie znanych luk systemowych 2 0,01%
Próby nieuprawnionego logowania 15 0,05%
Wykorzystanie nieznanych luk systemowych 0 0,00%
Niesklasyfikowane 110 0,37%
V. Włamania 247 0,84%
Włamanie na konto uprzywilejowane 6 0,02%
Włamanie na konto zwykłe 118 0,40%
Włamanie do aplikacji 6 0,02%
Bot 2 0,01%
Niesklasyfikowane 115 0,39%
VI. Dostępność zasobów 148 0,50%
Atak odmowy usługi (DoS) 6 0,02%
Rozproszony atak odmowy usługi (DDoS) 74 0,25%
Sabotaż komputerowy 1 0,00%
Przerwa w działaniu usług (niezłośliwe) 53 0,18%
Niesklasyfikowane 14 0,05%
VII. Atak na bezpieczeństwo informacji 55 0,19%
Nieuprawniony dostęp do informacji 33 0,11%
Nieuprawniona zmiana informacji 3 0,01%
Niesklasyfikowane 19 0,06%
VIII. Oszustwa komputerowe 25472 86,40%
Nieuprawnione wykorzystanie zasobów 3 0,01%
Naruszenie praw autorskich 1 0,00%
Kradzież tożsamości, podszycie się 12 0,04%
Phishing 22575 76,57%
Niesklasyfikowane 2881 9,77%
IX. Podatne usługi 216 0,73%
Otwarte serwisy podatne na nadużycia 53 0,18%
Niesklasyfikowane 163 0,55%
X. Inne 33 0,11%
Razem 29483 100,00%

Incydenty w podziale na sektor gospodarki

CERT Polska rejestrując incydenty klasyfikuje i przypisuje je do odpowiednich sektorów, których dotyczyły. Specjaliści zespołu CERT Polska w 2021 r. zarejestrowali łącznie 8 339 incydentów, które wystąpiły w sektorze media. Taka liczba daje około 28,28 proc. wszystkich zarejestrowanych incydentów. Sektor ten obejmuje między innymi incydenty występujące w mediach społecznościowych, prasie czy telewizji. Wśród wszystkich incydentów zaklasyfikowanych w sektorze media, znaczna część czyli 91,73 proc. to incydenty typu phishing.

Kolejnym sektorem pod względem ilości zarejestrowanych incydentów był sektor handlu hurtowego i detalicznego. W sektorze tym zarejestrowano ogółem 17,38 proc. wszystkich incydentów, co daje liczbę 5 125 incydentów. Sektor ten obejmuje między innymi incydenty w serwisach aukcyjnych oraz sklepach internetowych. Podobnie jak w sektorze media, w tym przypadku również incydenty typu phishing stanowią znaczącą przewagę wszystkich incydentów – 89,17 proc.

Trzecim sektorem z wynikiem 4 338 incydentów jest sektor poczta i usługi kurierskie. W tym sektorze zarejestrowano 4 338 incydentów cyberbezpieczeństwa, 84,14 proc. z nich również dotyczą phishingu. Ten sektor obejmuje między innymi incydenty dotyczące firm spedycyjnych czy operatorów poczty elektronicznej.

W poniższej tabeli przedstawiono obsłużone incydenty w 2021 r. w podziale na sektory gospodarki.

Sektor gospodarki Liczba incydentów %
Energetyka 4084 13,85%
Transport 220 0,75%
Bankowość 947 3,21%
Infrastruktura rynków finansowych 563 1,91%
Służba zdrowia 150 0,51%
Wodociągi 18 0,06%
Infrastruktura cyfrowa 1606 5,45%
Inne 68 0,23%
Brak 0 0,00%
Administracja publiczna 429 1,46%
Budownictwo i gospodarka nieruchomościami 89 0,30%
Kultura i ochrona dziedzictwa narodowego 11 0,04%
Kultura fizyczna 2 0,01%
Oświata i wychowanie 142 0,48%
Rolnictwo 2 0,01%
Rybołówstwo 0 0,00%
Wyznania religijne i mniejszości narodowe 6 0,02%
Działalność ubezpieczeniowa 3 0,01%
Izby gospodarcze i handlowe 4 0,01%
Handel hurtowy i detaliczny 5125 17,38%
Produkcja 421 1,43%
Logistyka i dystrybucja 18 0,06%
Poczta i usługi kurierskie 4338 14,71%
Turystyka 15 0,05%
Gospodarka odpadami 6 0,02%
Hotele, restauracje, catering 295 1,00%
Media 8339 28,28%
Usługi inne 118 0,40%
Osoby fizyczne 2464 8,36%
Razem 29483 100,00%

Incydenty poważne

CSIRT NASK w ramach Ustawy o Krajowym Systemie Cyberbezpieczeństwa w 2021 r. obsłużył 36 incydentów, które zaklasyfikowano jako poważne, czyli takie, których wystąpienie ma istotny skutek zakłócający świadczenie usługi kluczowej. Zostało zarejestrowanych 31 incydentów poważnych z sektora bankowego, 3 z sektora energii oraz 2 z sektora ochrony zdrowia. CERT Polska zarejestrował o 4 incydenty poważne więcej niż w roku 2020. W 2021 r. CSIRT NASK obsłużył 512 incydentów dotyczących podmiotów publicznych. To wzrost o 11 proc. względem roku ubiegłego. Najczęstsze zarejestrowane incydenty zaklasyfikowane jako incydenty w podmiocie publicznym należały do sektora administracja publiczna – 288 przypadków. Kolejnym sektorem była oświata i wychowanie – 81 incydentów oraz sektor infrastruktura cyfrowa – 43 incydenty.

Zgłoszenia SMS

W połowie kwietnia 2021 r. odnotowaliśmy w Polsce pierwsze sygnały pojawienia się złośliwego oprogramowania o nazwie Flubot. Ze względu na jego charakterystykę polegającą na rozprzestrzenianiu się z wykorzystaniem wiadomości SMS, uruchomiliśmy specjalny numer odbiorczy. Od 24 kwietnia na numer +48 799 448 084 można zgłosić do CERT Polska incydent, poprzez przekazanie otrzymanej wiadomości SMS zawierającej podejrzany link. Do końca roku na dedykowany numer telefonu otrzymaliśmy 23 308 zgłoszeń, w których treści znalazł się adres URL. 11 852 z nich, a więc 50,8 proc., znajdowało się w domenie umieszczonej na liście ostrzeżeń. Dzięki zgłoszeniom kanałem SMS zablokowanych zostało 3 588 złośliwych domen. Stanowi to 10,6 proc. wszystkich blokad z 2021 roku. Jest to zaskakująca liczba, biorąc pod uwagę, że większość z nich trafiło na nią w listopadzie i grudniu.

Uruchomienie kanału zgłoszeń SMS pozwoliło nam również uzyskać lepszy pogląd na to, które oszustwa najczęściej rozprzestrzeniają się tą drogą. Bezapelacyjnie najwięcej, bo aż 10 693 złośliwych linków dotyczyło dystrybucji Flubota, który był przyczyną utworzenia numeru odbiorczego. Drugi w kolejności był phishing wykorzystujący wizerunek firm PGE oraz InPost. Zgłoszeń wpisujących się w schemat tej kampanii było 863. Podium zamykają oszustwa wycelowane w osoby sprzedające przedmioty na portalach aukcyjnych, takich było 403. Ze szczegółowym opisem wymienionych kampanii będzie można zapoznać się w pełnym raporcie.

Udostępnij: