W 2021 roku zarejestrowano 762 tys. zgłoszeń o potencjalnym incydencie dotyczącym cyberbezpieczeństwa - aż trzy razy więcej niż tok wcześniej. W przypadku 27 tys. spośród tych zgłoszeń okazało się, że coś jest na rzeczy. Najczęściej atakowana była infrastruktura krytyczna, instytucje i urzędy. Ale raport, opisany przez "Rzeczpospolitą", przywołuje również maile, które otrzymali użytkownicy poczty w serwisie Onet.pl. Wiadomość mówiła o wykryciu podejrzanej aktywności na koncie - brzmiała profesjonalnie i bardzo poważnie. Kierowała wprost na stronę, na której trzeba było podać login i hasło do poczty.
"Za kampanią stała grupa cyberprzestępcza UNC1151, często przez fachowców kojarzona z białoruskimi władzami i znana z kampanii Ghostwriter, w ramach której m.in. spowodowała wyciek kompromitujących maili szefa KRPM Michała Dworczyka" - pisze w artykule Wiktor Ferfecki.
Grupa, o której mowa, należy do grup APT - advanced persistent threat, czyli grup stanowiących zaawansowane i trwałe zagrożenie. - Każda taka grupa dostaje numerek. Chodzi o to, by przy kolejnym ataku ustalić, czy już ją znamy - tłumaczył w rozmowie z Karoliną Głowacką Maciej Broniarz. Przyznał, że bardzo często są to grupy powiązane z mafią, tworzone przy wsparciu aparatu państwa - działające na zlecenie rządu lub przez niego finansowane, stworzone czy wspierane przez służby danego kraju. - Wchodzą do nich m.in. ludzie złapani na terenie kraju na popełnianiu przestępstwa, którzy dostają opcję bez wyboru - by robić to samo, ale szkodząc krajom ościennym - wyjaśniał ekspert.
Dodał, że często są to grupy wojskowe, korzystające z infrastruktury konkretnych jednostek. - Często, gdy członkowie są aresztowani, widać, że są rozproszeni. Niektórzy rezydują w Europie czy w USA - dodał. Są wśród nich ludzie o ogromnych kompetencjach i potencjalne, którzy wyszukują i wykorzystują luki w systemach. Ale są też ludzie, którzy korzystają z gotowych narzędzi, są wreszcie tacy, którzy po prostu masowo publikują fałszywe informacje zgodnie z wytycznymi.
Wojna przestawiła wajchę
Ostatnie lata pokazały, że aktywność cyberprzestępców rośnie. - Pandemia miała na to wpływ, ponieważ ludzie więcej korzystali z sieci. Pojawiła się więc przestrzeń do nadużyć. Jednak w ostatnim roku to pochodna przede wszystkim sytuacji międzynarodowej - mówił Broniarz.
Jednak nie chodzi tu tylko o cyberataki takie, jak opisane powyżej, ale również o działania dezinformacyjne. W czasie pandemii były one obliczone na destabilizację społeczeństwa np. w kontekście szczepionek albo nastawione na wywoływanie paniki zakupowej. - Teraz te same grupy przełączyły się na narrację dotyczącą wojny i dezinformację w tym zakresie. A to dowodzi, że to nie są działania oddolne, a wspierane przez konkretne rządy - mówił gość TOK FM.
Podał również przykład narracji, która pojawiła się w Polsce w styczniu 2018 roku, kiedy doszło do głośnej i ostro krytykowanej nowelizacji ustawy o IPN. - Pojawiły się w polskim internecie sformułowania "wojna graniczna 39" albo "incydent katyński". Nikt w Polsce tak nie mówi, więc widać było, że ktoś z zewnątrz próbował wprowadzać w narrację jakieś przekazy - wskazywał Maciej Broniarz.
Kto jest celem?
Zdaniem Macieja Broniarza na terenie Polski wiele ataków bazuje na niewiedzy, nieświadomości, technicznej nonszalancji ofiar, bo ludzie nie aktualizują oprogramowania albo lekceważą zagrożenia. Często wykorzystywany jest phishing, czyli wysyłanie spreparowanej wiadomości, która składania do popełnienia błędu i podania loginu i hasła. To właśnie przypadek ministra Dworczyka, z którego skrzynki wykradziono maile, które teraz mają być publikowane w internecie.
Broniarz wskazywał, że atakowanych za pomocą phishingu może uchronić dwuskładnikowe uwierzytelnianie - wówczas, by zalogować się do poczty, nie wystarczy wpisanie loginu i hasła. Właściciel konta musi jeszcze potwierdzić logowanie np. poprzez wpisanie kodu przysłanego SMS-em.
By uchronić się przed skutkami innego typu ataku - ransomware, kiedy dane na komputerze zostają zaszyfrowane, a przestępcy domagają się okupu - trzeba regularnie wykonywać kopię zapasową zgromadzonych danych albo raz na jakiś czas backup, który będzie np. na dysku zewnętrznym odpiętym od komputera albo w chmurze. A przede wszystkim trzeba aktualizować systemy, bo na celowniku zazwyczaj znajdują się starsze wersje systemów i oprogramowania.
Maciej Broniarz zwrócił uwagę, że obecnie coraz częściej obserwujemy albo ataki celowane - wymierzone w konkretną instytucję, a nawet osobę, albo szerokie, ale osadzone w tym, co się dzieje. Przykładowo: gdy zbliżał się termin złożenia przez firmy sprawozdania do KRS, na wielu skrzynkach pojawił się mail, że coś jest nie tak, oraz prośba o zalogowanie. Oczywiście po to, by wyłudzić dane ofiar.
- Były przypadki, w których maile podszywały się nawet pod program grantowy, w którym dana organizacja uczestniczy. Ktoś więc zrobił research, żeby rozeznać się, co skłoni ofiarę do popełnienia błędu - dodał ekspert.
