Zgłoś incydent
Zgłoś incydent

Statystyki z działalności listy ostrzeżeń przed niebezpiecznymi stronami
05 stycznia 2022 | CERT Polska | #raport, #phishing, #statystyki

Niedługo miną 2 lata odkąd działa prowadzona przez nas lista ostrzeżeń przed niebezpiecznymi stronami. Przez ten czas trafiło na nią blisko 42 tys. złośliwych domen, z czego aż 33 tys. w 2021 roku. Każda z nich była dokładnie weryfikowana przez naszych pracowników przed wpisaniem, dzięki czemu stworzyliśmy jedno z najbardziej wiarygodnych źródeł tego typu danych, które może być przetwarzane w sposób automatyczny.

W wyniku współpracy z operatorami telekomunikacyjnymi, którzy z niej korzystają, tylko w 2021 roku udało się powstrzymać blisko 4 miliony prób wejścia na strony oznaczone jako wyłudzające dane. Aby lepiej zobrazować skalę tego przedsięwzięcia, w poniższym artykule prezentujemy garść statystyk za zeszły rok, dotyczących funkcjonowania listy ostrzeżeń przed niebezpiecznymi stronami.

Liczba nowych domen umieszczonych na liście w ujęciu tygodniowym

W 2021 roku wpisywaliśmy na listę średnio 93 domeny dziennie, stanowi to wzrost o 250% w porównaniu do poprzedniego roku. Średnio liczby te rosły przez większość roku, za wyjątkiem ostatnich miesięcy kiedy zaobserwowaliśmy spadek. Należy zaznaczyć, że wzrost czy spadek nie zawsze bezpośrednio wynika ze zmian aktywności oszustów – może być skutkiem na przykład zwiększonej skuteczności w wykrywaniu danych kampanii.

Udział poszczególnych TLD w zablokowanych domenach

Wykorzystanie domen jak .com, .pl, czy .net nie dziwi, ale na szczególną uwagę zasługuje liczne wykorzystanie domen cieszących się mniejszą reputacją, jak .xyz, .site, czy .me. W niektórych przypadkach może na to wpływać ich niższa cena, aktualne promocje u różnych sprzedawców, czy większa łatwość anonimowego zakupu. Często obserwowaliśmy rejestracje dziesiątek tego typu domen w krótkim okresie czasu, różniących się jedynie numerkami na ich końcu, np.:

inpost-pl.kurier-dostawa-id788615[.]xyz
inpost-pl.kurier-dostawa-id876578[.]xyz
inpost-pl.kurier-dostawa-id9645613[.]xyz

Atakowane podmioty

Wybrane atakowane podmioty na przestrzeni roku

Najczęściej obserwowaliśmy phishingi wyłudzające dane logowania do Facebooka (7785 domen). Mimo że w roku 2020 też była to najpopularniejsza forma phishingu, to w 2021 ich liczba wzrosła ponad trzykrotnie. Najczęściej wykorzystywany był motyw wyłudzenia danych logowania celem rzekomej weryfikacji wieku, niezbędnej do obejrzenia filmu z drastycznego wydarzenia. Niektóre z przykładów tego typu ataków pokazywaliśmy w ostrzeżeniach z 2021-05-10, 2021-07-23 i 2021-10-11.

Nieodłącznym zjawiskiem są również kampanie podszywające się pod się pod portal OLX celem wyłudzenia danych kart płatniczych. Podobne motywy były używane również dla portali firmy InPost i Allegro, co opisywaliśmy w ostrzeżeniu z 2021-03-18. Warte zaznaczenia jest, że od połowy roku obserwujemy stały spadek tego typu oszustw.

Nowym trendem, który zaobserwowaliśmy w drugiej połowie roku okazały się fałszywe strony inwestycyjne korzystające z wizerunków różnych spółek. Najczęstszymi wykorzystywanymi polskimi markami są Orlen, PGNIG i Lotos, lecz przestępcy na bieżąco inkorporują nowe firmy.

Względem poprzedniego roku bardzo duży spadek zanotowały strony podszywające się pod operatorów płatności jak PayU czy Dotpay, tzw. bramki płatności. O ile w 2020 roku ataki z wykorzystaniem wizerunku Payu miały drugie miejsce pod względem liczby wystąpień, to w 2021 jest to już miejsce 13.

Liczba zablokowanych wejść na strony z listy

Liczba zablokowanych wejść pozwala nam szacować skuteczność listy w ochronie użytkowników. Na wykresie przedstawiono liczby tylko dla unikalnych adresów IP. Ponieważ z listy korzystają już najwięksi operatorzy komórkowi i nie odnotowaliśmy dołączenia żadnych nowych dużych podmiotów, od połowy roku liczba zablokowanych wejść utrzymuje się na podobnym poziomie. W zestawieniu ze spadkiem liczby zablokowanych domen pod koniec roku, stały poziom zablokowanych wejść może oznaczać wzrost w wykorzystaniu listy lub większe dotarcie pojedyńczych ataków.

Warto zaznaczyć, że wykres bierze pod uwagę tylko blokady w których adres złośliwej strony jest podmieniany na jeden z naszych serwerów. Dlatego nie zawiera on np. wejść zablokowanych przez listę w formacie adblock, antywirusów korzystających z naszej listy, czy sieci obsługiwanych przez operatorów korzystających z własnych stron informujących o blokadzie strony. Szacujemy, że liczba zablokowanych wejść dla domen znajdujących się na liście, może być nawet dwukrotnie wyższa.

W tym roku będziemy starali się przekonać do dołączenia do inicjatywy dostawców internetu stacjonarnego, wśród których nadal są duże braki. Na stronie https://lista.cert.pl/ każdy może sprawdzić czy jest chroniony przez naszą listę, do czego zachęcamy.

Liczba pobrań listy

Cieszymy się, że coraz więcej firm i użytkowników korzysta z listy ostrzeżeń przed złośliwymi stronami i że jest to stały trend narastający. Mamy nadzieję, że w tym roku uda nam się jeszcze bardziej poszerzyć zasięg listy i ochronić większą liczbę polskich użytkowników! Jak zawsze zachęcamy do zgłaszania incydentów pod adresem https://incydent.cert.pl/ i przekazywania złośliwych wiadomości SMS na numer 8080, to głównie dzięki waszym zgłoszeniom możemy skutecznie działać.

Udostępnij: