Przestępcy wybierają polskich operatorów

Hakerzy coraz chętniej wykorzystują polskie bezpłatne subdomeny. Podszywają się na nich pod zaufane serwisy, aby wyłudzać poufne informacje.

21,2 mln

zgłoszeń napłynęło w roku 2011 do CERT Polska.

Takie wnioski płyną z raportu CERT Polska, poświęconego zagadnieniom bezpieczeństwa w 2011 roku. Działający w ramach Naukowej i Akademickiej Sieci Komputerowej CERT Polska to pierwszy zespół reagowania na incydenty, powstały w naszym kraju (nazwa pochodzi z ang. Computer Emergency Response Team).

Raport obejmuje informacje o atakach i zagrożeniach. Większość z nich dotyczyło platformy Windows. Jedynym wyjątkiem było wykrycie wersji oprogramowania ZeuS, która atakowała telefony komórkowe Symbian, BlackBerry i Windows Mobile. Był to drugi w pełni udokumentowany tego typu przypadek na świecie.

Więcej zgłoszeń z większej liczby źródeł

W roku 2011 do CERT Polska napłynęło ponad 21 mln zgłoszeń, w części pochodzących z systemów automatycznych. Przeważająca większość dotyczyła botów, skanowania i spamu. W stosunku do roku 2010 odnotowano bardzo duży wzrost zgłoszeń, ale wynika on przede wszystkim z faktu, że w drugim półroczu 2011 r. dodano nowe źródła informacji. Ponadto w niektórych kategoriach (np. botnety) CERT przedstawia dane o zgłoszeniach, a nie unikalnych adresach, jak robił to w poprzednich latach. Nowe źródła informacji umożliwiają oszacowanie poziomu zainfekowania systemów w Polsce i wykorzystywania ich do ataków.

Phishing ciągle modny, USA liderem

84%

wszystkich polskich domen wykorzystywanych w phishingu to bezpłatne subdomeny.

W 2011 r. zgłoszono 266 tys. informacji o tradycyjnym phishingu, czyli próbach podszywania się pod zaufane witryny, w celu wyciagnięcia od użytkowników poufnych danych, takich jak numery kart kredytowych. Zgłoszenia dotyczyły 222 tys. różnych adresów URL w 139 tys. domen na 40 tys. unikalnych adresów IP. Wśród domen liderem mającym największą liczbę zarejestrowanych adresów są Stany Zjednoczone. W czołówce zestawienia znajdują się także adresy z Hongkongu oraz Niemiec. Przestępcy korzystają z nich coraz częściej zamiast włamań na przygodne serwery Jest to zapewne spowodowane spadającymi kosztami usług hostingowych.

Niskie ceny sprawiają, że do zwrotu kosztów utrzymania witryny wystarczy bardzo krótki czas aktywności strony phishingowej, liczony od wysłania odnośników do niej w spamie aż do jej wykrycia, zgłoszenia i usunięcia. Ponieważ administratorzy usług hostingowych nie dają rady monitorować wszystkich treści umieszczanych w serwisach, usługa komercyjna stała się alternatywą dla niepewnego utrzymywania stron na przejętych serwerach. To zjawisko dotyczyło najczęściej adresów rejestrowanych w Czechach i Hongkongu (w Hongkongu na jeden raportowany adres IP przypadało średnio 25 serwisów phishingowych, w Czechach około 17).

Ponad 4 mln

zgłoszeń dotyczących źródeł spamu otrzymał CERT Polska w roku 2011

Można stwierdzić, że większość stron jest hostowanych w różnych oficjalnych serwisach. Serwisy te rejestrowano na bezpłatnych domenach, takich jak .co czy .tk, w tak masowy sposób, że wyniki zostały usunięte z wyszukiwarki Google.

Polskie bezpłatne subdomeny hostują ataki

Od kilku lat narasta problem serwisów oferujących bezpłatne subdomeny z nazwami generowanymi wedle uznania. Domeny takie jak .osa.pl czy .bij.pl używane były przez przestępców z całego świata do rejestracji adresów (np. 1tem.taebao.cem.d2wmj1o.osa.pl) i wykorzystywania ich do phishingu. Łącznie 5980 domen hostujących phishing (4,3%) znajdowało się w domenie .pl, przy czym aż 5033 (84%) z nich stanowiły bezpłatne subdomeny.

Przestępcy wybierają polskich operatorów
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200