Phishing rośnie jak szalony

47% – to wzrost zagrożeń phishingowych w pierwszym kwartale 2021 w stosunku rok do roku. Tak wynika z raportu firmy Phish Labs „Threat trends & intelligence”. Co ciekawe, 12 miesięcy temu oszuści również „zainwestowali” w ten wektor ataku, korzystając z naszego zaniepokojenia i niepewności, związanych z pandemią koronawirusa. Jak widać, przyniosło to spore efekty, skoro liczba ataków w tym roku tak znacząco wzrosła.

Spora część wniosków z raportu Phish Labs pokrywa się z naszymi obserwacjami, dotyczącymi sieci Orange Polska. W badaniach internautów z USA po raz pierwszy na prowadzenie wśród fałszywych witryn wysunęły się media społecznościowe, wyprzedzając instytucje finansowe. W naszej sieci w ścisłej czołówce – być może nawet rywalizując o niechlubne pierwsze miejsce – znalazłby się również sektor e-commerce (przede wszystkim OLX i Allegro), w USA znajdujący się tuż za pierwszą trójką.

Oszust płacić nie lubi

Skąd atakowali oszuści? Mniej więcej po 1/4 z darmowych domen, darmowych hostingów i przejętych witryn (w tej, liderującej, kategorii przypadków było nieco więcej). W Orange Polska jest nieco inaczej, dominują bowiem domeny, wykupowane na pierwszy rok za darmo. A potem? Nie ma żadnego potem, często phishingowe witryny znikają po kilku godzinach od rozpoczęcia kampanii.

Niemal połowa (46,9%) ataków w raporcie Phish Labs była dokonywana z domeny .com. To oczywiste, biorąc pod uwagę, iż dla Amerykanów jest ona tym, czym dla nas adresacja .pl. Stąd też endemiczne dla nas .eu (ze względu na łatwość rejestracji adresów w tej domenie na fałszywe dane). Ciekawy jednak jest brak w tamtejszym raporcie tak egzotycznych TLD jak *.cyou, .online, .site, czy .xyz, grających dość istotną rolę w przypadkach, wykrywanych u nas.

Co ciekawe, za oceanem od 4 kwartału 2020 nieznacznie zmalała liczba witryn phishingowych, używających ruchu szyfrowanego (tj. stron, rozpoczynających się na https). Wciąż jest ich jednak niemal 83%, co znacząco dowodzi, iż popularna przed laty rada: „Przede wszystkim sprawdź, czy strona ma zieloną kłódeczkę!” w dzisiejszych czasach nie ma racji bytu. Faktycznie jeszcze 6 lat temu phishing http stanowił 99,5% ruchu, by 4 lata później ustąpić miejsca ruchowi https. W CERT Orange Polska też widzimy znaczący wzrost ruchu szyfrowanego, choć nie wydaje się, by jego poziom wynosił tak dużo.

Popularny, bo prosty i tani

Wydaje się, iż wzrost phishingu związany jest z łatwością użycia tego wektora do przeprowadzenia szeregu ataków – od przesłania złośliwego kodu, poprzez kradzież poświadczeń logowania do systemów bankowych, skończywszy na loginach i hasłach do sieci korporacyjnych (i sporo innych możliwości). Dodatkowo w kampanii phishingowej łatwo osiągnąć „zwrot z inwestycji” – przy zerze kosztów infrastrukturalnych odpowiednio przygotowana masowa kampania niestety zawsze zakończy się oszukaniem jakiejś grupy użytkowników. Informacje i pytania, które trafiają do CERT Orange Polska, a także te, które krążą po sieci, dowodzą, że mimo stawiania od lat na edukację pod względem świadomości zagrożeń bezpieczeństwa w sieci, wciąż znajdują się internauci, łapiący się na prostą socjotechnikę?

Co robić? Edukować, edukować, edukować. Albo nie korzystać z internetu, ale to wydaje się nierealne. W końcu, gdy pojawiły się automobile, tylko nieliczni – na niezbyt długo – zdecydowali się pozostać przy koniach.