Zgodnie z założeniami walki z cyberprzestępczością phishing powinien być zgłaszany do CERT (Computer Emergency Response Team). Zgłoszenie tego rodzaju incydentów pomaga w szybszym reagowaniu na zagrożenia i ochronie innych użytkowników. CERT zajmuje się analizą, monitorowaniem oraz neutralizacją cyberzagrożeń, w tym również ataków phishingowych. A jak jest w rzeczywistości? Najpierw kilka słów o phishingu.
Phishing to rodzaj cyberprzestępstwa, w którym oszuści próbują wyłudzić poufne informacje, takie jak:
– hasła,
– dane logowania,
– numery kart kredytowych lub inne wrażliwe lub poufne dane,
podszywając się pod zaufane instytucje lub osoby.
Nazwa pochodzi od angielskiego słowa „fishing” (łowienie), co dobrze oddaje istotę tego oszustwa: cyberprzestępcy „zarzucają przynętę”, by ofiary dały się złapać.
Jak działa phishing?
Podszywanie się: oszust tworzy wiadomość e-mail, SMS, fałszywą stronę internetową lub kontaktuje się telefonicznie, udając pracownika banku, firmy technologicznej, dostawcy usług, a nawet znajomego.
Przynęta: oszust przesyła wiadomość zawierającą:
– alarmujące ostrzeżenie, np. o zagrożeniu dla konta bankowego,
– atrakcyjną ofertę, np. wygraną w konkursie.
-prośbę o potwierdzenie tożsamości lub uaktualnienie danych.
Link lub załącznik: wiadomość zawiera link prowadzący do fałszywej strony (często wyglądającej jak prawdziwa), gdzie ofiara proszona jest o podanie danych. Alternatywnie załącznik może zawierać złośliwe oprogramowanie.
Typowe cechy phishingu:
– nieznany nadawca: e-maile lub wiadomości pochodzą od osób/firm, z którymi nie miałeś wcześniej kontaktu.
-podejrzane linki: adresy URL często różnią się od oficjalnych stron, np. mają literówki lub dziwne domeny (np. zamiast example.com, examp1e.com).
– nacisk na pośpiech: prośby o natychmiastowe działanie, np. „Twoje konto zostanie zablokowane za 24 godziny”.
– błędy językowe: w treści mogą występować błędy gramatyczne i stylistyczne.
Jak się chronić przed phishingiem?
– nie klikać linków w podejrzanych wiadomościach: najpierw upewnij się, że wiadomość pochodzi z wiarygodnego źródła.
– weryfikować nadawcę: sprawdź dokładnie adres e-mail lub numer telefonu.
-nie podawać danych osobistych: nigdy nie podawaj danych przez e-mail, SMS czy telefon bez sprawdzenia, czy żądanie jest autentyczne.
-używać oprogramowania antywirusowego: aktualne oprogramowanie może wykryć fałszywe strony i niebezpieczne załączniki.
– dwuetapowa weryfikacja (2FA): korzystanie z dodatkowego zabezpieczenia może pomóc w ochronie kont.
Phishing jest jednym z najczęściej stosowanych narzędzi cyberprzestępców, dlatego warto być czujnym i świadomym zagrożeń.
To tyle z teorii, teraz przykład z życia.
Od kilku lat urzędy i sądy w całym kraju regularnie zasypywane są przez osobę lub podmiot obszernymi wnioskami o informację publiczną a dotyczącymi bezpieczeństwa i cyberbezpieczeństwa. Wnioskodawca korzysta z jednego adresu mailowego, czasem wysyła z innych prosząc by odpowiedzi kierować na ten główny. Wnioski pisane są różnymi czcionkami o różnym formatowaniu. Zawierają oprócz kilkudziesięciu stron formatu A4 pytań, także pogróżki, podpierając się wyrokami sądowymi i kontrolami NIK.
Zbiorcza analiza odpowiedzi przy uwzględnieniu siatki geograficznej kraju, wnioski wysyłano do urzędów w całym kraju, na przestrzeni kilku lat prowadzi do stworzenia kompleksowego raportu o stanie bezpieczeństwie sektora finansów publicznych w Polsce.
W naszej ocenie wnioskodawcą mogą być wrogie służby. Korzystając z prawa do uzyskania informacji publicznej pozyskują mnóstwo danych o bezpieczeństwie urzędów, ich świadomości w zakresie zagrożeń i zabezpieczeń a także przeprowadzanych audytów i szkoleń. Oprócz pytań wnioskowano o dokumenty potwierdzające audyty KRI, raporty z szacowania ryzyk, polityki bezpieczeństwa.
Wysłaliśmy zawiadomienie do Agencji Bezpieczeństwa Wewnętrznego celem weryfikacji naszych przypuszczeń. Otrzymaliśmy taką oto odpowiedź:
Szanowny Panie
W odpowiedzi na Pańskiego e – maila z dnia 18 listopada 2024 r. dotyczącego kolejnych przykładów możliwego nadużywania przepisów ustawy o dostępie do informacji publicznej w celu sparaliżowania funkcjonowania administracji publicznej, uprzejmie dziękujemy za przekazanie informacji wskazujących na wiążące się z tym potencjalne zagrożenia dla bezpieczeństwa i porządku publicznego.
Jednocześnie uprzejmie zwracamy uwagę, iż wszelkie informacje w wyżej wymienionym zakresie winny zostać przez Pana równolegle przekazane do Prezesa Urzędu Ochrony Danych Osobowych jako organu właściwego w zakresie przyjmowanie zgłoszeń o naruszeniach ochrony danych osobowych i podejmowania czynności wobec osób dokonujących takich naruszeń.
Z poważaniem
Biuro Prawne
Agencji Bezpieczeństwa Wewnętrznego
Do UODO sprawa była przekazana w 2022 r. – odpowiedź można przeczytań naszym portalu. Jednocześnie ABW przekazało nasze zgłoszenie do CSIRT GOV – ich wewnętrznej komórki, która zajmuje się obsługą incydentów.
Skontaktował się z nami przedstawiciel Agencji Bezpieczeństwa Wewnętrznego, poprosił o przykłady wniosków. Dostarczyliśmy mu 8 z dwóch jednostek. Mogliśmy o wiele więcej, ale miało to wystarczyć by zdiagnozować problem. Następnego dnia kolejny telefon z ABW. Dowiedzieliśmy się, że jest to akcja phishingowa na niespotykaną skalę w Polsce. Pan z ABW poinformował, że jeszcze tego dnia wyśle do nas wiadomość. Poniżej jej treść:
[ 26 listopada, 2024 14:31]
Szanowni Państwo,
W nawiązaniu do rozmowy telefonicznej oraz przekazanych danych Zespół CSIRT GOV rekomenduje zgłoszenie przedmiotowej kampanii socjotechnicznej ukierunkowanej na wyłudzenie danych do Zespołu CSIRT NASK – Zespołu właściwego dla Państwa Instytucji zgodnie z Ustawą o krajowym systemie cyberbezpieczeństwa. Adres e-mail: cert@cert.pl, adres strony internetowej: https://cert.pl/.
W przypadku podejrzenia popełnienia przestępstwa zalecamy również powiadomić najbliższą jednostkę Policji.
Z wyrazami szacunku
Dyżurny CSIRT GOV
Departament Bezpieczeństwa Teleinformatycznego
Agencja Bezpieczeństwa Wewnętrznego
Zgodnie z rekomendacją wnioski i opis potencjalnego ataku phishingowego, przekazaliśmy do CERT-u. Jeszcze tego samego dnia otrzymaliśmy odpowiedź:
[28 listopada, 2024 13:39]
Dzień dobry,
dziękujemy za skontaktowanie się z naszym zespołem.
Zgodnie z art 37 ust 1 ustawy o krajowym systemie cyberbezpieczeństwa, informacji publicznej nie stanowią „informacje o podatnościach, incydentach i zagrożeniach cyberbezpieczeństwa oraz o ryzyku wystąpienia incydentów”. Rozstrzygnięcie czy przekazanie w odpowiedzi informacji na przesłane pytania wpisują się w te definicje należy do podmiotu, który otrzymał wniosek. Nasz zespół nie posiada możliwości oceny zasadności przesłanych pytań pod kątem zgodności z ustawą o dostępie do informacji publicznej.
Jednocześnie opisany problem wykracza poza zakres naszych kompetencji, w związku z czym w przypadku podejrzenia, że sprawa może być związana z aktywnością szpiegowską, rekomendujemy zgłoszenie sprawy bezpośrednio do instytucji odpowiedzialnych za bezpieczeństwo kontrwywiadowcze (czyli właściwej miejscowo delegatury ABW).
Z poważaniem
Zespół CSIRT NASK / CERT Polska
Z powyższej korespondencji wynika, że mamy tu do czynienia z phishingiem, ale … ABW zajmuje się incydentami w obszarze organów centralnych. Właściwy Jednostkom Samorządu Terytorialnego CERT, nie zajmuje się oceną wniosków o informację publiczną, odsyła do ABW. Czyli koło się zamyka.
Zadaliśmy dwukrotnie pytania do CERT-u i z braku odzewu do Ministerstwa Cyfryzacji:
- Czy phishing skierowany do sektora finansów publicznych a dokładnie jednostek samorządu terytorialnego należy zgłaszać do CERT czy nie?
- Czy phishing może przybierać różne formy np. wniosku o informację publiczną?
Do dnia publikacji tekstu nie otrzymaliśmy odpowiedzi na żadne z w/w pytań! Trudno w tej sytuacji ocenić poziom skuteczności organów i instytucji powołanych do walki z cyberprzestępczością w Polsce. Urzędy, mogą być bezkarnie inwigilowane. Wystarczy, że przestępcy lub obce służby nazwą swoje techniki operacyjne „wnioskami o informację publiczną” lub „petycjami„.
Brak zaangażowania ze strony podmiotów powołanych do nadzoru nad bezpieczeństwem w sieci, można traktować jako legalizację takich poczynań.
Aktualizacja 12.12.2024 r. Poniżej odpowiedź z Ministerstwa Cyfryzacji:
[12 grudnia, 2024 8:51]
Dzień dobry,
zgodnie z art. 26 ust. 6 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, do zadań CSIRT NASK należy m.in. koordynacja obsługi incydentów zgłaszanych przez jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 2-6, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych. Oznacza to, że CSIRT NASK (CERT) koordynuje obsługę incydentów zgłaszanych przez jednostki samorządu terytorialnego.
Zgodnie z ww. ustawą incydent to zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Phishing skierowany w jednostki samorządu terytorialnego będzie zatem kwalifikowany jako incydent. Obowiązek jego zgłoszenia będzie zależał jednak od kwalifikacji (zgłoszeniu podlegają incydenty poważne, istotne, w podmiocie publicznym i krytyczne).
W przypadku podmiotów publicznych ustawa przewiduje obowiązek zgłoszenia incydentu w podmiocie publicznym nie później niż w ciągu 24 godzin od momentu wykrycia. Zwykłe incydenty nie podlegają natomiast obowiązkowi zgłoszenia, ale również należy je obsługiwać.
Niezależnie od kwalifikacji incydentu rekomendujemy jego zgłaszanie do właściwego CSIRT. Jak wyżej wskazano, w przypadku gdy incydent dotyczy jednostki samorządu terytorialnego właściwym CSIRT będzie CSIRT NASK.
Odpowiadając na drugie pytanie, phishing może przybierać różne formy. Oznacza to, że wniosek o udostępnienie informacji publicznej również może być phishingiem, w szczególności jeśli zawiera podejrzane linki, kody QR. Sam plik będący załącznikiem również może być zainfekowany i stanowić zagrożenie dla adresata pisma.
W przypadku potrzeby kontaktu z CERT sugerujemy korzystanie z adresu info@cert.pl, a przy zgłaszaniu incydentów cert@cert.pl lub https://incydent.cert.pl/.
Z poważaniem
