Nasz raport za 2021 r. jest już gotowy, ale przechodzi jeszcze przez ścieżkę korekty i składu. Do czasu jego wydania postanowiliśmy publikować wybrane rozdziały w formie artykułów. W pierwszej kolejności przedstawiamy statystyki z działalności zespołu CERT Polska w 2021 r.
Obsługa zgłoszeń i incydentów
Sukcesywnie każdego roku CERT Polska rejestruje coraz większą liczbę zgłoszeń oraz incydentów cyberbezpieczeństwa. W 2021 r. CERT Polska zarejestrował 116 071 zgłoszeń. Spośród wszystkich zgłoszeń nasi specjaliści wytypowali 65 586, na podstawie których zarejestrowano łącznie 29 483 unikalnych incydentów cyberbezpieczeństwa.
Zgłoszenia incydentów trafiają do nas następującymi drogami:
- mailowo na adres cert@cert.pl,
- poprzez formularz na stronie incydent.cert.pl
- formularz na stronie incydent.cert.pl/domena
- telefonicznie +48 22 380 82 74,
- listownie korzystając z formularza dostępnego na stronie bip.nask.pl
CERT Polska odnotował wzrost obsłużonych incydentów na poziomie 182 proc. w porównaniu do roku ubiegłego. Przypomnijmy, iż w 2020 r. CERT Polska obsłużył 10 420 unikalnych incydentów cyberbezpieczeństwa.
Incydenty w podziale na kategorie wg taksonomii eCSIRT.net
Najpopularniejszym typem incydentów w 2021 r. był phishing – stanowiący aż 76,57 proc. wszystkich obsłużonych incydentów. Liczba incydentów zaklasyfikowanych jako phishing w porównaniu do roku poprzedniego wzrosła o 196 proc. i osiągnęła wartość 22575 incydentów. Tak samo jak w roku poprzednim, fundamentalny wpływ na zwiększenie liczby zarejestrowanych incydentów phishingowych miała wprowadzona w marcu 2020 r. Lista Ostrzeżeń przed stronami niebezpiecznymi. Najpopularniejszym phishingiem w 2021 r. było podszywanie się pod serwis społecznościowy Facebook – 4852 incydentów. Drugim typem incydentów pod względem popularności jakie CERT Polska zarejestrował i obsłużył było szkodliwe oprogramowanie. Tego typu incydentów w 2021 r. zarejestrowano 2847, co stanowi 9,66 proc. wszystkich obsłużonych incydentów. Liczba ta w porównaniu do roku ubiegłego wzrosła o 281 proc.
Trzecie miejsce w rankingu liczby zarejestrowanych incydentów w ubiegłym roku przypada kategorii obraźliwych i nielegalnych treści, w tym spamu. Odsetek tego typu incydentów wyniósł 1,05 proc. Tak niewielki procent wynika z faktu, iż do jednego incydentu zespół CERT Polska często przypisuje wiele zgłoszeń. Jest to szczególnie zauważalne dla tej kategorii incydentów, gdzie za 311 incydentów odpowiadało aż 21522 zgłoszeń. Dodatkowo incydenty z kategorii obraźliwych i nielegalnych treści są obsługiwane przez dedykowany do tego celu zespół Dyżurnet.pl, który również działa w strukturach NASK. Popularnymi obsługiwanymi tego typu incydentami były ataki tzw. sextortion scam, polegające na masowym rozsyłaniu wiadomości mailowych informujących o rzekomym przejęciu kontroli nad urządzeniami ofiary oraz posiadaniu przez nadawcę materiałów prezentujących ofiarę w kontekście erotycznym. W zamian za zapłacenie żądanego okupu, atakujący oferuje wykasowanie kompromitujących materiałów.
W poniższej tabeli przedstawiono obsłużone incydenty w 2021 r. w podziale na kategorie wg taksonomii eCSIRT.net.
I. Obraźliwe i nielegalne treści | 311 | 1,05% |
Spam | 262 | 0,89% |
Dyskredytacja, obrażanie | 9 | 0,03% |
Pornografia dziecięca, przemoc | 4 | 0,01% |
Niesklasyfikowane | 36 | 0,12% |
II. Złośliwe oprogramowanie | 2847 | 9,66% |
Wirus | 1 | 0,00% |
Robak sieciowy | 0 | 0,00% |
Koń trojański | 9 | 0,03% |
Oprogramowanie szpiegowskie | 0 | 0,00% |
Dialer | 0 | 0,00% |
Rootkit | 1 | 0,00% |
Niesklasyfikowane | 2836 | 9,62% |
III. Gromadzenie informacji | 27 | 0,09% |
Skanowanie | 19 | 0,06% |
Podsłuch | 0 | 0,00% |
Inżynieria społeczna | 3 | 0,01% |
Niesklasyfikowane | 5 | 0,02% |
IV. Próby włamań | 127 | 0,43% |
Wykorzystanie znanych luk systemowych | 2 | 0,01% |
Próby nieuprawnionego logowania | 15 | 0,05% |
Wykorzystanie nieznanych luk systemowych | 0 | 0,00% |
Niesklasyfikowane | 110 | 0,37% |
V. Włamania | 247 | 0,84% |
Włamanie na konto uprzywilejowane | 6 | 0,02% |
Włamanie na konto zwykłe | 118 | 0,40% |
Włamanie do aplikacji | 6 | 0,02% |
Bot | 2 | 0,01% |
Niesklasyfikowane | 115 | 0,39% |
VI. Dostępność zasobów | 148 | 0,50% |
Atak odmowy usługi (DoS) | 6 | 0,02% |
Rozproszony atak odmowy usługi (DDoS) | 74 | 0,25% |
Sabotaż komputerowy | 1 | 0,00% |
Przerwa w działaniu usług (niezłośliwe) | 53 | 0,18% |
Niesklasyfikowane | 14 | 0,05% |
VII. Atak na bezpieczeństwo informacji | 55 | 0,19% |
Nieuprawniony dostęp do informacji | 33 | 0,11% |
Nieuprawniona zmiana informacji | 3 | 0,01% |
Niesklasyfikowane | 19 | 0,06% |
VIII. Oszustwa komputerowe | 25472 | 86,40% |
Nieuprawnione wykorzystanie zasobów | 3 | 0,01% |
Naruszenie praw autorskich | 1 | 0,00% |
Kradzież tożsamości, podszycie się | 12 | 0,04% |
Phishing | 22575 | 76,57% |
Niesklasyfikowane | 2881 | 9,77% |
IX. Podatne usługi | 216 | 0,73% |
Otwarte serwisy podatne na nadużycia | 53 | 0,18% |
Niesklasyfikowane | 163 | 0,55% |
X. Inne | 33 | 0,11% |
Razem | 29483 | 100,00% |
Incydenty w podziale na sektor gospodarki
CERT Polska rejestrując incydenty klasyfikuje i przypisuje je do odpowiednich sektorów, których dotyczyły. Specjaliści zespołu CERT Polska w 2021 r. zarejestrowali łącznie 8 339 incydentów, które wystąpiły w sektorze media. Taka liczba daje około 28,28 proc. wszystkich zarejestrowanych incydentów. Sektor ten obejmuje między innymi incydenty występujące w mediach społecznościowych, prasie czy telewizji. Wśród wszystkich incydentów zaklasyfikowanych w sektorze media, znaczna część czyli 91,73 proc. to incydenty typu phishing.
Kolejnym sektorem pod względem ilości zarejestrowanych incydentów był sektor handlu hurtowego i detalicznego. W sektorze tym zarejestrowano ogółem 17,38 proc. wszystkich incydentów, co daje liczbę 5 125 incydentów. Sektor ten obejmuje między innymi incydenty w serwisach aukcyjnych oraz sklepach internetowych. Podobnie jak w sektorze media, w tym przypadku również incydenty typu phishing stanowią znaczącą przewagę wszystkich incydentów – 89,17 proc.
Trzecim sektorem z wynikiem 4 338 incydentów jest sektor poczta i usługi kurierskie. W tym sektorze zarejestrowano 4 338 incydentów cyberbezpieczeństwa, 84,14 proc. z nich również dotyczą phishingu. Ten sektor obejmuje między innymi incydenty dotyczące firm spedycyjnych czy operatorów poczty elektronicznej.
W poniższej tabeli przedstawiono obsłużone incydenty w 2021 r. w podziale na sektory gospodarki.
Energetyka | 4084 | 13,85% |
Transport | 220 | 0,75% |
Bankowość | 947 | 3,21% |
Infrastruktura rynków finansowych | 563 | 1,91% |
Służba zdrowia | 150 | 0,51% |
Wodociągi | 18 | 0,06% |
Infrastruktura cyfrowa | 1606 | 5,45% |
Inne | 68 | 0,23% |
Brak | 0 | 0,00% |
Administracja publiczna | 429 | 1,46% |
Budownictwo i gospodarka nieruchomościami | 89 | 0,30% |
Kultura i ochrona dziedzictwa narodowego | 11 | 0,04% |
Kultura fizyczna | 2 | 0,01% |
Oświata i wychowanie | 142 | 0,48% |
Rolnictwo | 2 | 0,01% |
Rybołówstwo | 0 | 0,00% |
Wyznania religijne i mniejszości narodowe | 6 | 0,02% |
Działalność ubezpieczeniowa | 3 | 0,01% |
Izby gospodarcze i handlowe | 4 | 0,01% |
Handel hurtowy i detaliczny | 5125 | 17,38% |
Produkcja | 421 | 1,43% |
Logistyka i dystrybucja | 18 | 0,06% |
Poczta i usługi kurierskie | 4338 | 14,71% |
Turystyka | 15 | 0,05% |
Gospodarka odpadami | 6 | 0,02% |
Hotele, restauracje, catering | 295 | 1,00% |
Media | 8339 | 28,28% |
Usługi inne | 118 | 0,40% |
Osoby fizyczne | 2464 | 8,36% |
Razem | 29483 | 100,00% |
Incydenty poważne
CSIRT NASK w ramach Ustawy o Krajowym Systemie Cyberbezpieczeństwa w 2021 r. obsłużył 36 incydentów, które zaklasyfikowano jako poważne, czyli takie, których wystąpienie ma istotny skutek zakłócający świadczenie usługi kluczowej. Zostało zarejestrowanych 31 incydentów poważnych z sektora bankowego, 3 z sektora energii oraz 2 z sektora ochrony zdrowia. CERT Polska zarejestrował o 4 incydenty poważne więcej niż w roku 2020. W 2021 r. CSIRT NASK obsłużył 512 incydentów dotyczących podmiotów publicznych. To wzrost o 11 proc. względem roku ubiegłego. Najczęstsze zarejestrowane incydenty zaklasyfikowane jako incydenty w podmiocie publicznym należały do sektora administracja publiczna – 288 przypadków. Kolejnym sektorem była oświata i wychowanie – 81 incydentów oraz sektor infrastruktura cyfrowa – 43 incydenty.
Zgłoszenia SMS
W połowie kwietnia 2021 r. odnotowaliśmy w Polsce pierwsze sygnały pojawienia się złośliwego systemu o nazwie Flubot. Ze względu na jego charakterystykę polegającą na rozprzestrzenianiu się z wykorzystaniem wiadomości SMS, uruchomiliśmy specjalny numer odbiorczy. Od 24 kwietnia na numer +48 799 448 084 można zgłosić do CERT Polska incydent, poprzez przekazanie otrzymanej wiadomości SMS zawierającej podejrzany link. Do końca roku na dedykowany numer telefonu otrzymaliśmy 23 308 zgłoszeń, w których treści znalazł się adres URL. 11 852 z nich, a więc 50,8 proc., znajdowało się w domenie umieszczonej na liście ostrzeżeń. Dzięki zgłoszeniom kanałem SMS zablokowanych zostało 3 588 złośliwych domen. Stanowi to 10,6 proc. wszystkich blokad z 2021 roku. Jest to zaskakująca liczba, biorąc pod uwagę, iż większość z nich trafiło na nią w listopadzie i grudniu.
Uruchomienie kanału zgłoszeń SMS pozwoliło nam również uzyskać lepszy pogląd na to, które oszustwa najczęściej rozprzestrzeniają się tą drogą. Bezapelacyjnie najwięcej, bo aż 10 693 złośliwych linków dotyczyło dystrybucji Flubota, który był przyczyną utworzenia numeru odbiorczego. Drugi w kolejności był phishing wykorzystujący wizerunek firm PGE oraz InPost. Zgłoszeń wpisujących się w schemat tej kampanii było 863. Podium zamykają oszustwa wycelowane w osoby sprzedające przedmioty na portalach aukcyjnych, takich było 403. Ze szczegółowym opisem wymienionych kampanii będzie można zapoznać się w pełnym raporcie.