Phishing, czyli podszywanie się pod osobę lub instytucję w celu wyłudzania informacji albo kradzieży tożsamości, był najczęstszą metodą stosowaną przez cyberprzestępców w 2016 r. - wynika z corocznego raportu CERT Polska.

CERT Polska (z ang. Computer Emergency Response Team) jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo użytkowników lub instytucji w internecie. Działa od 1996 r. przy NASK (Naukowej i Akademickiej Sieci Komputerowej). Co roku publikuje raport dotyczący cyberbezpieczeństwa.

W najnowszym raporcie "Krajobraz bezpieczeństwa polskiego internetu 2016 r." jego autorzy podkreślają, że w ubiegłym roku zespół CERT Polska otrzymał łącznie 722 tys. 584 zgłoszeń dotyczących phishingu.

Phishing polega na wyłudzaniu różnymi sposobami od internautów poufnych danych, takich jak loginy, hasła, numery kart kredytowych itp. Typowy atak phishingowy składa się z kilku kroków. Najpierw cyberprzestępcy wybierają, kogo zaatakują – mogą to być np. klienci określonego e-sklepu, platformy aukcyjnej albo banku. Tworzona jest witryna, która zazwyczaj przypomina oryginalną stronę logowania do konta. Wszystkie wprowadzone na niej dane są przekazywane cyberprzestępcom.

Najczęstszym sposobem przyciągnięcia internautów na fałszywe strony jest poczta elektroniczna. Fałszywe e-maile sprawiają wrażenie wiarygodnych, w związku z tym istnieje szansa, że ich odbiorcy klikną w podany link i spróbują zalogować się na podrobionej stronie, przekazując dane cyberprzestępcom.

Z raportu wynika, że liczba incydentów z związanych z kradzieżą tożsamości internautów wzrosła w 2016 r. w stosunku do 2015 r. o 106 proc. (495 w 2015 r., 1069 w 2016 r.).

Autorzy raportu wskazują, że głównym motywem przestępstw komputerowych w 2016 r. była, podobnie jak w latach poprzednich, chęć kradzieży pieniędzy.

"Przestępcy posługują się szerokim wachlarzem rozwiązań, szczególnie w przypadku kradzieży oszczędności z wykorzystaniem urządzeń mobilnych" - wskazali autorzy raportu.

Raport wskazuje, że poza phishingiem, wzrosła także liczba prób oszustwa w odniesieniu do klientów bankowości mobilnej.

"Nie można przemilczeć również kilku kampanii, które miały na celu podszycie się pod duże spółki z branży telekomunikacyjnej i energetycznej. W ramach tych kampanii rozsyłane były dobrze spreparowane maile, rzekomo zawierające e-fakturę za usługi. W praktyce, za ich pomocą rozpowszechniane były w postaci załącznika różne warianty oprogramowania szyfrującego dysk ofiary i wymuszającego niemałą opłatę za udostępnienie klucza odszyfrowującego (ransomware)" - podkreślili autorzy. Ofiarami tego typu ataków padały osoby prywatne, ale też kilka instytucji państwowych.

W ubiegłym roku zespół CERT Polska obsłużył 1926 incydentów związanych z cyberzagrożeniami - to o 32 proc. więcej niż w 2015 r. Autorzy raportu zwracają uwagę, że wzrost wynika z tego, że rośnie świadomość zagrożeń i coraz częściej są one zgłaszane.

Incydenty można zgłaszać przez stronę CERT Polska https://www.cert.pl/zglos-incydent/.