Poročilo o kibernetski varnosti 2020
Kdo ali kaj so / je SI-CERT?
Slovenian Computer Emergency Response Team ali SI-CERT je nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij.
Sledite jim lahko na Facebooku: facebook.com/sicert ali na Twitterju: @sicert.
SI-CERT deluje že od leta 1995 in sicer pod okriljem javnega zavoda Arnes.
V letu 2020 so praznovali zavidljivh 25 let delovanja centra.
SI-CERT koordinira razreševanje incidentov, izdaja opozorila o okužbah, grožnjah na elektronskih omrežjih ter izvaja nacionalni program za ozaveščanje in izobraževanje imenovan Varni na internetu.
V primeru vdora ali druge omrežne zlorabe lahko prijavite incident na cert@cert.si ali izpolnite spletni obrazec na strani www.varninainternetu.si.
Dejavnosti SI-CERT
- Obravnavajo prijave varnostnih incidentov (vdori, okužbe, goljufije, zlorabe…)
- Opozarjajo na aktualne grožnje (zaradi izjemnega znanja, izkušenj… lahko ocenijo katerim tveganjem so/bodo izpostavljeni uporabniki računalniškega omrežja pri nas)
- Ozaveščajo in izobražujejo (delijo svoje znanje na različnih srečanjih, v šolah, univerzah, predavanjih, združenjih…)
- Analizirajo škodljivo kodo (analiza kode jim pove/poda pomembne podatke, ki jim pomagajo pri reševanju incidenta)
- Obravnavajo ranljivosti (z obveščanjem ponudnikov in proizvajalcev različne opreme skušajo
Kakšen incident lahko prijavite SI-CERT?
- Okužba računalnika (če ste prejeli izsiljevalski virus, bančnega trojanca, ste v ciljanem napadu)
- Vdor v strežnik (razobličenje, zloraba podatkovnih baz, namestitev prikritih orodij)
- Sumljiva elektronska pošta (phishing sporočila, ponudbe o hitrih zaslužkih, lažne ponudbe o hitrih kreditih)
- Napad onemogočanja (targetiran napad na storitev ali spletno aplikacijo z namenom da se jo onemogoči)
- Spletna goljufija (lažne spletne trgovine, lažni krediti, nigerijske prevare, ljubezenske prevare, loterijske prevare, prevare pri prodaji preko spletnih posrednikov)
- Kraja omrežne identitete in gesel (zloraba preko phishing-a ali okužbe računalnika)
- Ranljive ali izpostavljene storitve (vmesnik za upravljanje spletnih storitev, upravljanje naprav ali industrijskih procesov, spletnih kamer…, ranljiva omrežna infrastruktura, ki omogoča napade onemogočanja)
Incidenti v številkah
Leta 2019 je bilo skupaj obravnavanih 2724 incidentov, v letu 2020 jih je bilo skupaj obravnavanih 2766.
| Vrsta incidenta | 2019 (število incidentov) | 2020 (število incidentov) |
| Neprimerna vsebina | 67 | 97 |
| Zbiranje informacij | 40 | 31 |
| Zlonamerna koda | 304 | 295 |
| Poskusi vdora | 51 | 20 |
| Vdori | 45 | 93 |
| Razporožljivost | 40 | 40 |
| Goljufije | 1840 | 1848 |
| Varnost informacijskih virov | 24 | 26 |
| Ranljivost | 50 | 36 |
| Test | 3 | 1 |
| Drugo | 260 | 279 |
| Nerazvrščeno | 9 | 9 |
Povprečna oškodovanja v številkah
- Spletni nakup v lažni trgovini: 1.400 EUR
- Odkupnina za dešifriranje podatkov: 10.000 EUR
- Izguba pri investicijskih goljufijah: 20.000 EUR
- Izguba pri vrivanju v poslovno komunikacijo: 19.000 EUR
Information stealer
Gre za virus, ki se zažene v ozadju, med uporabo vašega računalnika. Med samo uporabo računalnika, virus pošilja nepridipravom gesla, ki jih imate shranjena v spletnih brsklanikih, različnih programih, digitalna potrdila ter gesla, ki jih vpisujete na različnih portalih in straneh.
Keylogger, ki ga namesti virus, beleži vse kar pišete in pošilja zaslonske slike napadalcem. Najbolj znana takšna t.i. Information stealer virusa sta Emotet in LokiBot. Oba sta bila v letu 2020 pri nas izjemno »popularna«.
Padec Emoteta
Emotet je trojanski konj, njegova prvotna različica pa sega vse v leto 2014. Izkazal se je za izjemno trdovratnega, saj se je konec leta 2019 »posodobil« in s tem pridobil možnost zlorabe predhodne legitimne komunikacije.
Vendar pa leto 2021 predstavlja njegov padec. Ukrajinska policija je v začetku leta 2021 aretirala upravljalce Emoteta, s tem so pridobili podatke o okuženih računalnikih iz celega sveta. Na SI-CERT so prejeli prošnjo, naj o okužbi obvestijo naročnike in jim s tem pomagajo odstraniti trdovratnega konja.
Europol Press Release:
https://www.europol.europa.eu/newsroom/news/world’s-most-dangerous-malware-emotet-disrupted-through-global-action
Slovenska podjetja je v letu 2020 ogrožal predvsem LokiBot
Trojanski konj LokiBot je v mesecu juniju bil usmerjen na slovenske uporabnike. Širil se je preko lažnega sporočila v imenu NIJZ. Sporočilo je vsebovalo okuženo priponko, cilj LokiBota je kraja informacij, ki lahko kasneje služijo tudi kot prvi korak naprednejšega napada.
LokiBot se je širil v dveh valih poslanih sporočil. V prvem valu je sporočilo prispelo na 31.558 različnih slovenskih naslovov.
Ribarjenje v Sloveniji še vedno priljubljeno
V letu 2020 se je zgodilo 488 phishing poiskusov na slovenske uporabnike ter 202 poiskusa phishinga na spletno mesto, gostovano v Sloveniji.
Kaj je phishing?
Phishing ali spletno ribarjenje katerega je namen na nezakonit (zavajajoč) način pridobiti od spletnih uporabnikov občutljive podatke (kot so gesla, podatke bančnih kartic…) s katerimi potem lahko v vašem imenu dostopajo do spletnih storitev.
Phishing se navadno širi preko elektronske pošte (napr. “banka” vam pošlje sporočilo, da morate zaradi neke zadeve ponovno vpisati uporabniško ime in geslo, to storite tako, da kliknete na link, ta vas preusmeri na ponarejeno spletno stran, kjer oddate potrebne podatke).
Vir: https://podpora.zgroup.si/en/baza-znanja/article/phishing
Phishing napadi na slovenske komitente
Od aprila naprej smo lahko opazovali phishing napade na slovenske komitente pod krinko Pošte Slovenije ali DHL dostavne službe – plačilo za dostavo paketa.
Nepridipravi so v obeh primerih ribarili za podatki o kreditnih karticah. V poznanem uspešnem primeru, so napadalci opravili v spletni trgovini več nakupov in žrtev oškodovali za več kot 1000 EUR.
Po podatkih SI-CERTA so bili napadi uspešno, saj so pridobili zajete podatke s strežnika in v določenih primerih identificirali podatke o več kot 100 različnih kreditnih karticah.
Phishig napadi so se dogajali tudi preko SMS sporočil in zasebnih sporočil v družbenih omrežjih.
Ciljani napadi na podjetja
V letu 2020 je bilo opaziti upad direktorskih (CEO) prevar ter porast BEC (Business email compromise) prevar. Prav tako je poraslo število vdorov preko RDP strežnikov, kar se povezuje s povečano uporabo storitev oddaljenega dostopa (delo od doma).
V letu 2019 je bilo BCE prevar 34, v letu 2020 je ta številka zrasla na 45, medtem ko je bilo v letu 2019 118 CEO prevar, v letu 2020 pa »samo« še 29.
Učilnice na daljavo največja tarča DDos napadov
Izsiljevalski DDos napadi niso prizanašali učilnicam na daljavo niti finančnemu sektorju.
Kaj je Ddos?
DDos ali distributed denial-of-service (porazdeljen napad onemogočanja)
Napad onemogočanja se izvaja prek posredniških sistemov, ki so pod nadzorom napadalca. Na njih napadalec običajno namesti bot program in posredniške sisteme poveže v botnet. Ob usklajenem napadu botneta se učinki napada seštevajo, zato so ti napadi zelo učinkoviti. Stranski učinek je lahko izpad dela omrežja ali prenosnih sistemov na njem.
Najobičajnejši so porazdeljeni napadi z odbojem, poplava velikih UDP-paketov, TCP SYN-napad in slowloris napad na spletne strežnike.
(SI-CERT, Poročilo o omrežni varnosti 2014, str; 29)
Spomladi (od marca do maja) smo lahko spremljali DDos napade na različne platforme, ki so nudile učenje na daljavo.
Jesen pa ni prizanesla finančnemu sektorju – bankam.
Spletne prevare
Leto 2020 so zaznamovale investicijske spletne prevare – oglasi za bajni zaslužek s kriptovalutam.
SI-CERT je obravnaval 89 takšnih primerov.
155.000 EUR je znašalo največje oškodovanje, pri 9. prijavljenih oškodovanjih je bil znesek večji kot 100.000 EUR.
Seveda razpolagajo samo s podatki oz. škodo, ki je prijavljena in kjer so oškodovanci navedli točen znesek oškodovanja.
Poročilo
Celotno poročilo vam je na voljo TUKAJ.
