Phishing największym cyberzagrożeniem. Przestępcy będą coraz częściej sięgać po AI, by skutecznie docierać do potencjalnych ofiar

Choć liczba zablokowanych przez CyberTarczę fałszywych stron internetowych wyłudzających dane spadła w ubiegłym roku z 360 tys. do 305 tys., to wciąż najczęstszym typem ataku, po jaki sięgają cyberprzestępcy, jest phishing. Ten trend prawdopodobnie utrzyma się w najbliższych latach, m.in. dlatego że sztuczna inteligencja umożliwia hakerom dużo łatwiejsze podszywanie się pod cudzą tożsamość. Choć CyberTarcza działająca w sieci Orange Polska skutecznie chroni internautów przed atakami, to wciąż jednak to właśnie człowiek jest ich głównym celem. 

– Wśród cyberzagrożeń ostatni rok zdecydowanie był zdominowany przez phishing. Na czoło wysunęły się fałszywe inwestycje i kolportaż tego phishingu poprzez media społecznościowe, które są dosłownie zalewane tysiącami złośliwych reklam, czekających na użytkowników, żeby wprowadzić ich w błąd. Cały czas dużo ataków ransomware, złośliwego oprogramowania, cały czas są to dziesiątki tysięcy osób, które się nim infekują. I oczywiście niesłabnący udział ataków DDoS, czyli ataków odmowy dostępu do usługi. Wolumen tych ataków z roku na rok wzrósł praktycznie dwukrotnie – informuje w rozmowie z agencją Newseria Robert Grabowski z CERT Orange Polska.

Phishing jest rodzajem oszustwa opartego na socjotechnice. Ma na celu wyłudzenie poufnych danych lub skłonienie ofiary do podjęcia określonych działań. Służą temu np. spreparowane, fałszywe wiadomości i podszycie się pod nadawcę. Smishing to forma phishingu przeprowadzanego za pomocą wiadomości SMS lub podobnych narzędzi komunikacji tekstowej (np. komunikator WhatsApp).

Z raportu CERT Orange Polska wynika, że w samym tylko 2024 roku CyberTarcza miała na swoim koncie 305 tys. zablokowanych domen phishingowych i uchroniła 4,85 mln osób przed utratą wrażliwych danych czy pieniędzy. 45 proc. incydentów obsłużonych przez CERT Orange Polska w 2024 roku dotyczyło właśnie phishingu.

Jak piszą autorzy raportu, w minionym roku wiele interesujących scenariuszy dostarczania złośliwego oprogramowania kończyło się infekcją Lumma Stealerem, udostępnianym przestępcom w modelu subskrypcyjnym. To oprogramowanie jest rodzajem stealera, czyli malware’u, którego głównym celem jest kradzież danych ofiar. Dane ze stealerów są często sprzedawane innym atakującym w zbiorczych paczkach, co w ocenie CERT Orange Polska pokazuje specjalizowanie się grup przestępczych w konkretnych działaniach.

– Są np. „initial access brokers”, sprzedawcy początkowego dostępu, którzy zajmują się tylko tym. Są grupy specjalizujące się w eksfiltracji danych, w szyfrowaniu. To powoduje, że  ataki są trudniejsze do odparcia, ponieważ te grupy popełniają mniej błędów, są w tym bardzo dobrze wyspecjalizowane, powstała modułowość w atakach. W phishingu rozwój jest cały czas i to zarówno jeżeli chodzi o socjotechniczne sztuczki, jakie cyberprzestępcy tworzą, scenariusze – czasami mniej prawdopodobne, czasami bardziej, ale wciągające ofiary w jakąś interakcję. Również korzystają z narzędzi, ze sztucznej inteligencji, rejestrują setki, tysiące domen, unikając wykrycia. Modyfikują wiadomości tak, żeby uniknąć blokady – wymienia Robert Grabowski.

Aby  walczyć  z tego typu atakami, Orange Polska stworzył 10 lat temu w swojej sieci CyberTarczę, która wychwytuje fałszywe strony, blokuje złośliwe linki wysyłane w SMS-ach czy e-mailach, zmniejsza ryzyko kradzieży danych i pieniędzy. Nie oznacza to jednak, że bezpieczeństwo nie zależy także od użytkowników sieci. To ich zachowania są wciąż kluczowe.

– Podstawa to jednak zawsze myślenie, zatrzymanie się, pauza, chłodny umysł. Szczególnie pomoże to na socjotechnikę. Nie klikajmy w te wszystkie linki bezmyślnie. Nie działajmy automatycznie: jest wiadomość, klikamy, wchodzimy. Często na platformie mobilnej jest ukryty adres URL, bardzo łatwo dać się zmanipulować. Nawet jeżeli temat z wiadomości nas dotyczy, czyli czekamy na przesyłkę, mamy subskrypcję platformy streamingowej, musimy uważać. Wejdźmy na daną stronę po prostu tak jak zawsze, czyli poprzez dodane strony w ulubionych czy wpisując adres w pasku przeglądarki, i zweryfikujmy, czy rzeczywiście dzieje się coś złego, i tam szukajmy informacji – radzi ekspert.

Również za pomocą linków najczęściej infekowane są urządzenia, z których korzystamy. 14 proc. zanotowanych przez CERT Orange Polska w ubiegłym roku incydentów dotyczyło złośliwego oprogramowania. Podobną skalę odnotowano rok wcześniej. Największą aktywność (10 proc. ataków) wykazało oprogramowanie Agent Tesla. To trojan zdalnego dostępu (RAT), który specjalizuje się w kradzieży wrażliwych informacji z zainfekowanych systemów, takich jak dane logowania czy klucze sesji. Atakujący dystrybuowali go za pomocą złośliwych załączników w mailach, często podszywając się pod znane firmy.  

– Złośliwe oprogramowanie jest nam dostarczane również za pomocą załącznika bądź złośliwego linku, który uruchamiamy lub ściągamy. Przyjrzyjmy się zawsze temu załącznikowi, czy nie zawiera nietypowych rozszerzeń. Jeżeli nie jesteśmy pewni, warto kogoś zapytać, zawsze można to zgłosić, np. do CERT Orange Polska, żeby uzyskać pomoc i ocenić szkodliwość. Jeżeli chodzi o firmy, to często powtarzam, że ważne są pryncypia cyberbezpieczeństwa, o których często zapominamy. Także spojrzenie na AI nie tylko z punktu widzenia biznesowego, ale również przez pryzmat cyberbezpieczeństwa i przez to, jakie zagrożenia te wszystkie nowe, rewolucyjne technologie nam dają – radzi Robert Grabowski.

Zdaniem ekspertów w najbliższych latach w kwestii cyberzagrożeń najbardziej rozwijającym się trendem będzie wykorzystywanie generatywnej sztucznej inteligencji. Autorzy raportu zauważają, że w 2025 roku cyberprzestępcy wykorzystają AI do bardziej efektywnego manipulowania opinią publiczną i realizacji celów geopolitycznych.

– Cały czas również kryptowaluty i ataki na giełdy są łakomym kąskiem dla cyberprzestępców. Te ataki nie ustaną, nie ustanie kradzież kluczy prywatnych do portfeli z kryptowalutami. Nie słabnie rynek podatności, cały czas odkrywane są nowe Zero Day. Bardzo niebezpieczne są luki w oprogramowaniu, za ich pomocą przestępcy mogą się dostać do wnętrza firmy – ostrzega ekspert.

Jak dodaje, każdą niepokojącą treść, złośliwy załącznik czy chociażby SMS-a można przekazać do CERT Orange Polska, wysyłając go na numer 508 700 900 lub przekazać zgłoszeniem przez stronę internetową. Analitycy ocenią każde takie zgłoszenie pod kątem szkodliwości.