V posledních třech letech jsme mohli pozorovat velký nárůst phishingových stránek, které byly nahlášeny národnímu bezpečnostnímu týmu CSIRT.CZ. Zatímco v roce 2018 jsme řešili 518 phihingových stránek, v roce 2019 to bylo „jen“ 483, o rok později se jednalo už o 738 stránek, v roce 2021 jsme překročili tisícovku (1 277) a v roce 2022 jsme skončili na čísle 1 425. Naše statistiky však odrážejí pouze malou část celkového počtu útoků, protože národní CSIRT funguje jako „last resort“ a je nám tak hlášena pouze malá část útoků.
S celkovým nárůstem phishingových útoků došlo také k nárůstu počtu útoků prováděných s využitím .CZ domén, které směřovaly na české uživatele. Tato skutečnost nás donutila častěji využít možnost zrušení delegace doménového jména, kterou nám umožňuje článek 17.1 Pravidel registrace jmen domén v ccTLD .cz.
V roce 2022 jsme na základě interní metodiky provedli zrušení delegace na základě článku 17.1. v celkem 110 případech. V osmi případech se jednalo o phishingové stránky přímo napodobující internetové bankovnictví, ve 21 případech jsme vyřadili domény napodobující vzhled stránek České pošty, které uživatele lákaly na údajnou daňovou vratku, a v 81 případech se jednalo o hojně mediálně probírané stránky nabízející údajný příspěvek na bydlení.
Při boji s nebezpečnými phishingovými doménami nejsme v případě .CZ domény odkázáni pouze na domény, které nám někdo nahlásí. Nicméně díky našim vlastním postupům dokážeme domény, které jsou po jejich registraci identifikovány jako potenciálně škodlivé, zařadit do sledování. Tento monitoring nás upozorní, pokud se na webu nebezpečný obsah ukáže. Základní informace o útoku pak doplňují data, která získáváme z projektu ADAM. Pro zajímavost uvádím statistiky ze zpracování dvou domén, které jsme řešili v uplynulém týdnu.
-
prispevek-mpa-sv.cz
Registrace: 10:15
Zprovoznění: 16:19
SMS přišla: 16:36
Žádost o vyřazení podána: 17:12
Vyřazeno: 18:24
Nedostupnost: kolem 19:00
Úspěšně obsloužených DNS dotazů: 1 605
Neúspěšně obsloužených DNS dotazů (NXDOMAIN): 260
-
prispevek-na-bydleni-online-mp-a-sv.cz
Registrace: 11:22
Zprovoznění: 16:53
SMS: nemáme
Žádost o vyřazení podána: 17:04
Vyřazeno: 18:24
Nedostupnost: kolem 19:00
Úspěšně obsloužených DNS dotazů: 1 489
Neúspěšně obsloužených DNS dotazů (NXDOMAIN): 2 879
V případě phishingových domén velmi záleží na rychlosti reakce, proto naše interní procesy stále zlepšujeme. Vždy dbáme na vyváženost mezi rychlostí reakce na phishingový útok a spolehlivostí procesu, který musí eliminovat možné lidské selhání.
Závěrem bych tak chtěl apelovat na všechny držitele doménových jmen, jejichž uživatelům může hrozit phishingový útok (např. banky, e-shopy) a na instituce, u nichž existuje potenciál ke zneužití jejich jména a služeb (např. ministerstva, úřady), aby zkontrolovali, že mají u jimi registrovaných domén uvedeny aktuální a funkční kontakty. V rámci procesu zrušení delegace phishingové domény dochází také ke kontaktování držitele napodobovaného webu, abychom vyloučili, že se nejedná o nějakou jeho legální aktivitu. Funkční kontakty tak proces vyřazení podvodné domény značně urychlí.
Dobrý den, otevřel jsem sms z telefonu +33763108938 odesílatel Slovenska pošta a vyplnil údaje jméno, adresu, telefon a mail. Psali, že je problém s doručením balíčku. Co mi hrozí?
Dobrý den, pokud jste vyplnil pouze uvedené osobní údaje, můžete se v budoucnu stát terčem pokusu o útok na bázi sociálního inženýrství s využitím takto získaných informací. Můžou Vám například zavolat z „Vaší“ banky nebo se Vám může ozvat například nějaká „technická podpora“. Horší situace by nastala, pokud byste vyplnil i nějaké přihlašovací nebo platební údaje.
Co znamená u těch případů atribut „SMS“ ? Neco s overenim ? Cz doménu nemám,neznám proces? A co konrétně neznáme v 2.příkladu? Pokud neznáme,proč i přesto byla registrovace dokončena?
Vždy mě pobaví ty chyby jako “ k dispozicí“ „získání vrácení“
.
Jaké je vysvětelní? Jsou dvě hypotézy:
– schválně, aby o to odfiltrovalo *horních* 80% populace(z hlediska IQ), „takový člověk, kdo to odhalí, se nenapálí, nemá cenu ho posílat do dalsí fáze phisgingu“
– strojový nebo špatný překlad „nekompetentnich překladatelů-copywritrů-podvodníků“. – většinou neovládajících nativně češtinu