CERT Orange Polska ujawnił, że lwia część domen wykorzystywanych do ataków phishingowych rejestrowana jest w Polsce przez jednego rejestratora.

Niemal każdy z internautów spotkał się chyba z próbą oszustwa, którą można dopisać do phishingu, czyli metodę oszustwa, która polega pod podszywanie się pod inną osobę lub instytucję w celu wyłudzenia danych. Atakujący, przestępcy liczą w tym przypadku na to, że klikniemy w przesłany przez nich link prowadzący do strony łudząco podobnej do strony naszego banku, facebooka czy jakiejkolwiek innej instytucji i, myśląc, że jesteśmy na bezpiecznej stronie, wpiszemy swoje dane, login i hasło. W ten sposób przestępca uzyska dane do logowania do naszego konta, a następnie, za pośrednictwem innych metod manipulacji, lub też zwykłej dedukcji, będzie mógł uzyskać kody autoryzacyjne do transakcji lub też dane logowań do innych kont. Żeby takie oszustwo uskutecznić atakujący rejestrują przeróżne domeny, których nazwy czasem do złudzenia mogą przypominać te z których faktycznie chcemy skorzystać. CERT Orange Polska odkrył, że w naszym kraju większość tych domen zarejestrowana jest przez jednego operatora – jest nim nazwa.pl. Warto też zaznaczyć, że znaczna cześć z blokowanych przez Orange domen to domeny europejskie .eu.

Dlaczego przestępcy upodobali sobie nazwa.pl?

Badacze z CERT Orange Polska wskazują, że głównym powodem takiego stanu rzeczy mogą być po prostu procedury, a raczej brak odpowiednich procedur oraz niedobór dobrze wyszkolonych konsultantów lub też zwyczajnie brak dobrej woli. Specjaliści z Orange wskazują także, że wiele takich domen wykorzystywanych później do działalności przestępczej rejestrowanych jest na realnie działające w Polsce firmy z tym zastrzeżeniem, że przedstawiciele tych firm nie mają o tym pojęcia. Dane podmiotów gospodarczych, które są wystarczające do zarejestrowania (przynajmniej w teorii) domeny są dostępne przecież bez jakiejkolwiek trudności. 

Jak wykryć phishing?

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) albo nakłonienia ofiary do określonych działań. Jest to rodzaj ataku opartego na inżynierii społecznej.

Wbrew pozorom taki atak jest do wykrycia dość łatwy, ponieważ z reguły nie są one zbyt dobrze przygotowane – być może ze względu na skalę i czas ich żywotności. Warto, przede wszystkim, zwracać uwagę na adres strony na której zamierzamy wpisać swoje dane logowania – w wielu przypadkach są one jedynie podobne do stron prawdziwych usługodawców, wykorzystują sprytne sztuczki wizualne, podobieństwo do siebie liter i znaków. Strony wykorzystywane do phishingu wykorzystują także ludzką skłonność do ciekawości – bazują na skandalu, nierzadko wykorzystując do tego wizerunki gwiazd kina, czy celebrytów, oczywiście bez ich zgody. Wiele z ataków wykorzystywało także elementy skandalu lub strachu, czy współczucia lub też próżność czy chęć zdobycia jakiejś nagrody. Stąd takie kampanie phishingowe jak porwanie dziecka w centrum handlowym, Adam Małysz stracił cały majątek lub też Adam Małysz zarobił na tym miliony czy też wszelkiego rodzaju loterie, które gwarantują bony do przeróżnych sklepów.

Nierzadko również sami przyczyniamy się do rozprzestrzeniania fałszywych stron w Internecie poprzez udostępnienia jakiejś niesprawdzonej informacji w portalach społecznościowych. Ileż razy ja już to widziałem? Według statystyk CERT Orange Polska blokują oni nawet kilkadziesiąt takich szkodliwych witryn dziennie.

Jak sprawdzić gdzie i (w pewnych przypadkach na kogo) zarejestrowana jest domena?

Oczywiście, nie wszystkie domeny zarejestrowane w nazwa.pl są domenami wykorzystywanymi do działalności przestępczej. Nie mając jednak pewności co do strony internetowej na której zamierzamy dokonać jakiejś interakcji możemy sprawdzić ją na kilka sposobów. Jednym z nich jest usługa who.is za pomocą której sprawdzimy w rejestrach DNS kiedy i u jakiego operatora taka domena została zarejestrowana. Czy zrobimy zakupy na stronie, którego domena została zarejestrowana dwa dni wcześniej, nawet jeśli cena jest wyjątkowo atrakcyjna? W bazie who.is, w niektórych przypadkach, jeśli abonent nie użył opcji, które mogą blokować te informacje, dostępne będą tam także dane właściciela domeny – osoby fizycznej lub firmy.

 

PS. Czym jest zespół CERT? CERT to skrót od Computer Emergency Response Team. W tym konkretnym przypadku mowa jest o zespole reagowania na incydenty bezpieczeństwa komputerowego firmy Orange Polska. Zespoły CERT mają jednak także instytucje państwowe – CERT/ CSIRT GOV.PL prowadzony jest np. przez szefa ABW, CERT Polska przez Naukową i Akademicką Sieć Komputerową, a MIL-CERT działa w sferze militarnej.

PS2. Zapytałem nazwa.pl o to, jak ustosunkowują się do powyższych zarzutów oraz jakie ewentualnie planują podjąć kroki na przyszłość w celu zminimalizowania opisywanego procederu. Żadnej odpowiedzi jednak nie uzyskałem.