V posledních třech letech jsme mohli pozorovat velký nárůst phishingových stránek, které byly nahlášeny národnímu bezpečnostnímu týmu CSIRT.CZ. Zatímco v roce 2018 jsme řešili 518 phihingových stránek, v roce 2019 to bylo „jen“ 483, o rok později se jednalo už o 738 stránek, v roce 2021 jsme překročili tisícovku (1 277) a v roce 2022 jsme skončili na čísle 1 425. Naše statistiky však odrážejí pouze malou část celkového počtu útoků, protože národní CSIRT funguje jako „last resort“ a je nám tak hlášena pouze malá část útoků.

S celkovým nárůstem phishingových útoků došlo také k nárůstu počtu útoků prováděných s využitím .CZ domén, které směřovaly na české uživatele. Tato skutečnost nás donutila častěji využít možnost zrušení delegace doménového jména, kterou nám umožňuje článek 17.1 Pravidel registrace jmen domén v ccTLD .cz.

V roce 2022 jsme na základě interní metodiky provedli zrušení delegace na základě článku 17.1. v celkem 110 případech. V osmi případech se jednalo o phishingové stránky přímo napodobující internetové bankovnictví, ve 21 případech jsme vyřadili domény napodobující vzhled stránek České pošty, které uživatele lákaly na údajnou daňovou vratku, a v 81 případech se jednalo o hojně mediálně probírané stránky nabízející údajný příspěvek na bydlení.

Při boji s nebezpečnými phishingovými doménami nejsme v případě .CZ domény odkázáni pouze na domény, které nám někdo nahlásí. Nicméně díky našim vlastním postupům dokážeme domény, které jsou po jejich registraci identifikovány jako potenciálně škodlivé, zařadit do sledování. Tento monitoring nás upozorní, pokud se na webu nebezpečný obsah ukáže. Základní informace o útoku pak doplňují data, která získáváme z projektu ADAM. Pro zajímavost uvádím statistiky ze zpracování dvou domén, které jsme řešili v uplynulém týdnu.

• prispevek-mpa-sv.cz

Registrace: 10:15
Zprovoznění: 16:19
SMS přišla: 16:36
Žádost o vyřazení podána: 17:12
Vyřazeno: 18:24
Nedostupnost: kolem 19:00
Úspěšně obsloužených DNS dotazů: 1 605
Neúspěšně obsloužených DNS dotazů (NXDOMAIN): 260

• prispevek-na-bydleni-online-mp-a-sv.cz

Registrace: 11:22
Zprovoznění: 16:53
SMS: nemáme
Žádost o vyřazení podána: 17:04
Vyřazeno: 18:24
Nedostupnost: kolem 19:00
Úspěšně obsloužených DNS dotazů: 1 489
Neúspěšně obsloužených DNS dotazů (NXDOMAIN): 2 879

V případě phishingových domén velmi záleží na rychlosti reakce, proto naše interní procesy stále zlepšujeme. Vždy dbáme na vyváženost mezi rychlostí reakce na phishingový útok a spolehlivostí procesu, který musí eliminovat možné lidské selhání.

Závěrem bych tak chtěl apelovat na všechny držitele doménových jmen, jejichž uživatelům může hrozit phishingový útok (např. banky, e-shopy) a na instituce, u nichž existuje potenciál ke zneužití jejich jména a služeb (např. ministerstva, úřady), aby zkontrolovali, že mají u jimi registrovaných domén uvedeny aktuální a funkční kontakty. V rámci procesu zrušení delegace phishingové domény dochází také ke kontaktování držitele napodobovaného webu, abychom vyloučili, že se nejedná o nějakou jeho legální aktivitu. Funkční kontakty tak proces vyřazení podvodné domény značně urychlí.