CERT: ponad 40 proc. internautów pobrało złośliwe oprogramowanie (aktl.)

14.10. Warszawa (PAP) - Tylko w drugiej poł. sierpnia br. ponad 40 proc. internautów, którzy otrzymali e-maile od cyberprzestępców podszywających się pod Pocztę Polską, pobrało na swoje komputery złośliwe oprogramowanie - poinformował w środę w Warszawie Łukasz Siewierski z zespołu CERT Polska.

Zespół CERT Polska działa w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK) od 19 lat i monitoruje zagrożenia związane z cyberbezpieczeństwem użytkowników internetu w Polsce. Regularnie przygotowuje także raport będący podsumowaniem zagrożeń w internecie w danym roku.

Siewierski wspólnie z pozostałymi pracownikami zespołu CERT Polska przeprowadził analizę działań cyberprzestępców, a wyniki zaprezentował w środę na XIX Konferencji na temat bezpieczeństwa teleinformatycznego Secure 2015.

Pierwsze informacje o nowym ataku prowadzonym przez cyberprzestępców, w której wykorzystywany był logotyp i nazwa Poczty Polskiej, pojawiły się w mediach w maju br. E-maile informowały o rzekomo nieodebranej przesyłce, ale tak naprawdę zawierały link, który po przekierowaniach prowadził użytkowników, w zależności od wykorzystywanej przez nich przeglądarki internetowej, do pliku o rozszerzeniu .exe bądź .apk. Następnie komunikat zawarty na stronie internetowej prosił o pobranie pliku w wersji pdf, uruchomienie go na komputerze, a w dalszej kolejności zaniesienie wydrukowanej wersji dokumentu do punktu odbioru przesyłek. W rzeczywistości internauci pobierali na swoje urządzenia złośliwe oprogramowanie o nazwie TorrentLocker, które szyfrowało pliki na dysku użytkownika, a za ich odszyfrowanie żądało okupu.

"Tylko w drugiej połowie sierpnia z fałszywą stroną połączyło się ponad 15 tysięcy unikalnych adresów IP, z których większość pochodziła z Polski. Z dużym prawdopodobieństwem możemy powiedzieć, że liczba 15 tys. dotyczy poszczególnych użytkowników. Spośród nich, aż 6388 pobrało szkodliwe oprogramowanie" - powiedział Siewierski.

Oznacza to, że prowadzone ataki miały skuteczność powyżej 41 proc. "Stanowi to niezwykle wysoką liczbę jak na atak tego typu, szczególnie biorąc pod uwagę fakt, że już w maju media szeroko informowały o występowaniu takiego zagrożenia w internecie" - wskazał ekspert.

Dodał, że w tym przypadku, - co było pewną nowością - atakowani byli zarówno użytkownicy urządzeń stacjonarnych, jak i mobilnych. Siewierski powiedział PAP, że za atakami najprawdopodobniej stoi międzynarodowa grupa przestępcza, która odpowiada za podobne działania przeprowadzone m.in. w Hiszpanii, Wielkiej Brytanii czy Australii. Eksperci z CERT-u roboczo nazwali ją "Grupą Pocztową".

"Nazwa grupy jest pochodną przyjętego przez nią schematu atakowania, który był podobny w wielu innych krajach. W każdym z państw cyberprzestępcy podszywali się pod przedsiębiorstwo świadczące usługi pocztowe, wykorzystując jego logo, i inne charakterystyczne elementy" - wyjaśnił ekspert. Wskazał, że o tym, iż ataki wydają się być dokonane przez tę samą grupę świadczy nie tylko sposób działania, lecz także wykorzystanie podobnej infrastruktury sieciowej i podobnego złośliwego oprogramowania.

Siewierski dodał, że grupa jest aktywna, co najmniej od 2013 roku i pozostaje odpowiedzialna za przeprowadzenie w wielu państwach kampanii rozprzestrzeniających złośliwe oprogramowanie. Ekspert podkreślił, że przed tego typu atakami można się jednak uchronić. "Wystarczy przed otwarciem załącznika sprawdzić, skąd przyszedł do nas mail, jaki jest adres, czy zamawialiśmy jakąś paczkę czy firma, która przesyła nam w załączniku fakturę świadczy dla nas usługi"- wyliczył Siewierski.

Organizatorem konferencje Secure poświęconej bezpieczeństwu teleinformatycznemu jest NASK.

NASK jest wiodącym polskim operatorem sieci transmisji danych. Oferuje nowoczesne rozwiązania teleinformatyczne dla klientów biznesowych, administracji i nauki. W dotychczasowej formie organizacyjnej, jako jednostka badawczo-rozwojowa, działał od grudnia 1993 r. do 1 października 2010 r. Obecnie zgodnie z ustawą z dnia 30 kwietnia 2010 r. O instytutach badawczych Naukowa i Akademicka Sieć Komputerowa funkcjonuje jako instytut badawczy.