Již déle než půl roku provozuje CSIRT.CZ svou druhou komerční službu. Zatímco služba penetrační testování je tu již s námi několik let, službu Deny listy jsme uvedli v červnu 2024.
Projekt PROKI devět let poté
Projekt PROKI (více o projektu zde ve formě přednášky nebo zde ve formě článku) jsme uvedli do testovacího provozu v listopadu 2015 a od té doby prošel bouřlivým vývojem, který stále nekončí. Zatím posledním vylepšením bylo zapojení systému PROKI do generování seznamu škodlivých domén, který plánujeme využívat primárně v dalších projektech sdružení a který je dle dosavadních výsledků testování v podstatě bez false positive. Kromě toho využíváme data z PROKI i pro různé ad hoc potřeby.
Jak je důležité míti ADAMa
Koncem minulého roku jsme řešili incident na 95 .CZ doménách, které byly kompromitovány za účelem tzv. Black Hat SEO, o kterém jsme již v minulosti informovali. Právě vzpomínka na tento pradávný incident, která se mi vynořila v hlavě při kompletování Postřehů z bezpečnosti, vedla k odhalení těchto aktuálně kompromitovaných webů. Když jsme v roce 2014 původní incident řešili, nedotáhli jsme z kapacitních důvodů nápad na dohledání dalších stejně kompromitovaných webů. Až nyní jsme tedy zkusili dohledat kompromitované weby zneužívané k provozování pochybných SEO praktik pomocí Google vyhledávání. Kompromitovaných domén jsme ale touto cestou našli pouze několik. Potom ale někoho z kolegů napadlo využít nástroj DNS Crawler, který vyvinuli kolegové z Laboratoří CZ.NIC, a který je součástí projektu ADAM (Advanced DNS Analytics and Measurements). ADAM pravidelně prochází všechny .CZ domény a mimo jiné ukládá obsah jejich titulní stránky.
Máte blacklist? A mohl bych ho vidět?
Nedávno jsem zde na blogu popisoval naše letošní zkušenosti s vyřazováním domén a upozornil jsem na rozpor mezi našimi zjištěními a zjištěními organizace DNS Abuse Institute ohledně počtu zlovolných domén v doméně .CZ.
Internetové kšefty
Dnes se pro změnu podíváme na podvody při nákupech a prodeji zboží přes různé bazarové služby. Koukneme se na dva případy, kdy se podvodníci snažili okrást uživatele. Rozhodl jsem se, že se s vámi podělím o nevšední rozhovor, který jsem s jedním podvodníkem operujícím na Marketplace vedl již před nějakou dobou, ale zatím jsem neměl čas to zpracovat do lépe čitelného stavu. Vše začalo tím, že jsem se rozhodl prodat akvárium. Hned první reagující byl zjevný lump, ale protože jsem měl zrovna trochu času a chtěl jsem zjistit, zda bych mu to nemohl trochu znepříjemnit, rozhodl jsem se ním jeho hru hrát.
The Nightmare Before Christmas
Když v roce 1993 vznikl film Tim Burton’s The Nightmare Before Christmas, do češtiny překládaný jako Ukradené Vánoce, nikdo nemohl tušit, jak moc budou originální název i překlad vystihovat každoroční předvánoční dění na internetu. Uživatelé v této době čelí intenzivnímu náporu útočníků a podvodníků všeho druhu. Na co si dát pozor u e-shopů bych rád rozebral v tomto blogpostu, kde se podíváme na reklamu, která se nyní často zobrazuje uživatelům Facebooku – aktuálně se jedná o e-shop Amalie Praha.
Zlovolné domény v .CZ doméně
V tomto blogpostu bych rád volně navázal na starší článek o boji s phishingem v doméně .CZ, který shrnul situaci v uplynulém roce. Smutnou skutečností je, že počty útoků založených na různých formách sociálního inženýrství stále narůstají. Již nyní jsme v našich statistikách u položky Phishing překonali celkový počet roku předchozího.
Boj s phishingem v doméně .CZ
V posledních třech letech jsme mohli pozorovat velký nárůst phishingových stránek, které byly nahlášeny národnímu bezpečnostnímu týmu CSIRT.CZ. Zatímco v roce 2018 jsme řešili 518 phihingových stránek, v roce 2019 to bylo „jen“ 483, o rok později se jednalo už o 738 stránek, v roce 2021 jsme překročili tisícovku (1 277) a v roce 2022 jsme skončili na čísle 1 425. Naše statistiky však odrážejí pouze malou část celkového počtu útoků, protože národní CSIRT funguje jako „last resort“ a je nám tak hlášena pouze malá část útoků.
Další podvodná kampaň se snaží vystrašit uživatele
Koncem uplynulého týdne opět probíhala kampaň, která má jediný cíl – vystrašit uživatele a získat od nich peníze. Ačkoliv jsme nejen my již v minulosti na tyto podvody upozorňovali, jak prostřednictvím naší linky STOPonline, tak na webových stránkách CSIRT.CZ, jsou tyto kampaně stále částečně úspěšné. Ač se jednotlivé verze mohou lehce lišit, vždy obsahují pohrůžku uživateli, ve které údajný hacker tvrdí, že se dostal do jeho počítače a natočil jej při sledování pornografie.
Náš první FIRST onsite visit
Jako Národní bezpečnostní tým CSIRT.CZ jsme byli požádáni společností Accenture o podporu jejího členství v mezinárodní organizaci FIRST. Podpora bezpečnostních týmů v České republice je důležitou součástí naší činnosti, kterou navíc v rámci programu Connecting Europe Facility podporuje také Evropská unie. Proto jsme souhlasili, že kromě vyjádření naší podpory písemnou formou, tak jak je požadována organizací FIRST, provedeme ve společnost Accenture i takzvaný onsite visit.