Według danych firmy F-Secure średnio 700 razy na godzinę podejmowane są próby przeprowadzenia
cyberataków na Polskę. Główne źródła zagrożeń w ostatnim roku to Stany Zjednoczone, Francja,
Rosja oraz Chiny.
W ciągu ostatniego roku podjęto ponad 6 milionów prób cyberataków
na Polskę 1 . Najczęściej ich źródłem były Stany Zjednoczone, a na kolejnych miejscach znalazły się
Francja, Rosja oraz Chiny. Informacje zostały uzyskane dzięki autorskiej sieci serwerów 2
należących do firmy F-Secure, które stanowią przynętę dla cyberprzestępców i udają łatwy cel.
Zaatakowane przez hakerów, umożliwiają pozyskanie cennych danych oraz opracowywanie
kolejnych metod walki z cyberzagrożeniami.
– Nasze systemy wykryły niemal 1,5 miliona prób cyberataków z USA w ciągu ostatniego roku. Co
ciekawe, aż jedną trzecią z nich przeprowadzono w Boże Narodzenie. 60% incydentów stanowił ruch
HTTPS oraz HTTP – oznacza to, że skanowano serwery w poszukiwaniu aplikacji internetowych,
których luki można wykorzystać do wykradania danych lub przejęcia kontroli nad konkretnym
urządzeniem – mówi Leszek Tasiemski, wiceprezes działu badań i rozwoju w firmie F-Secure.
Drugie miejsce, jeśli chodzi o podejrzany ruch sieciowy skierowany w stronę Polski, stanowią adresy
IP przynależne do Francji z liczbą ponad 900 tys. prób ataków przeprowadzonych w ciągu ostatnich
12 miesięcy.
– Większość wykrytych incydentów, które pochodziły z Francji, stanowiły ataki na port SMTP, co
wskazuje na aktywność związaną z phishingiem 3 . Ponad 90% cyberataków miało miejsce w drugiej
połowie sierpnia, a 12% z nich pochodziło tylko z trzech adresów IP – mogły one należeć do
większych organizacji, wykorzystujących wiele tysięcy komputerów. Wskazuje to na masową infekcję,
która w tym okresie dotknęła Francję. Należy pamiętać, że geografia w internecie jest kwestią ulotną,
a cyberprzestępcy często działają ponad granicami państw. Źródło to ostatni „przystanek", którego
użył atakujący i nie zawsze jest ono jednoznaczne z jego fizycznym położeniem. Urządzenia z Francji
mogły zostać wykorzystane przez hakerów z innego kraju do przeprowadzania dalszych ataków –
wyjaśnia Tasiemski.
Rosja jest trzecim największym źródłem ataków na Polskę – od czerwca poprzedniego roku podjęto
ponad 800 tys. prób cyberataków z adresów IP należących do tego kraju. Prawie 85% detekcji
dotyczyło protokołu SMB – hakerzy najprawdopodobniej rozprzestrzeniali wtedy oprogramowanie do
wyłudzania okupów, czyli ransomware. Był to równomierny ruch rozłożony w ciągu roku z wyraźnym
natężeniem w sierpniu.
Na czwartej pozycji znalazły się Chiny z liczbą niemal 600 tys. prób ataków.
– Cyberprzestępcy z Chin wyspecjalizowali się w poszukiwaniu i wykorzystywaniu
niezabezpieczonych serwerów baz danych (MySQL). Najczęściej używają ich do wykradania cennych
informacji, dokonywania wyłudzeń z użyciem systemów transakcyjnych (np. podszywając się pod
sklepy internetowe) lub przejmowania kontroli nad urządzeniami – mówi Tasiemski. – Wystawienie
jakiejkolwiek bazy danych bezpośrednio do publicznej sieci jest kardynalnym błędem administratora.
Hakerzy mogą się zatem spodziewać, że jeżeli tylko uda im się na nie natknąć, to najprawdopodobniej
będą kiepsko zabezpieczone i źle skonfigurowane. Z pewnością ten problem nie dotyczy banków i Podszywanie się pod osobę lub instytucję m.in. w celu wyłudzenia danych logowania innych dużych instytucji finansowych, więc pod tym kątem nasze pieniądze są bezpieczne – dodaje
Tasiemski.
Kolejne kraje, które znalazły się na liście głównych źródeł ataków na Polskę, to kolejno: Finlandia
(~470 tys. prób), Singapur (~410 tys.), Ukraina (~ 230 tys.), Argentyna (~150 tys.), Niemcy (~130
tys.) oraz Wielka Brytania (~125 tys.). Zdecydowana większość wykrytych cyberzagrożeń w
przypadku tych państw dotyczyła rozsyłania spamu i w efekcie mogła prowadzić do ataków
ransomware lub wykorzystujących phishing.
Duże miasta najczęstszym celem ataków
Dzięki sieci Honeypot możliwe było stworzenie mapy pokazującej najczęściej atakowane ośrodki w
Polsce – według danych są to kolejno Warszawa, Poznań, Kraków, Gdańsk oraz Wrocław.
Największe zagęszczenie cyberataków wynika z dużej liczby użytkowników aglomeracji, a co za tym
idzie – również urządzeń. W dużych miastach znajdują się też węzły komunikacyjne dostawców usług
internetowych, w związku z czym ruch sieciowy w tych miejscach jest zintensyfikowany.
– Liczba cyberataków skierowanych w stronę Polski w pierwszej połowie 2018 roku była dwukrotnie
wyższa niż w tym samym okresie poprzedniego roku. Dla nas największą niespodzianką jest spadek
aktywności Rosji. Dotychczas ten kraj absolutnie dominował na światowej mapie cyberzagrożeń.
Obecnie zauważamy, że liczba przeprowadzanych cyberataków jest częściej powiązana z wielkością
danego kraju, co tłumaczy bardziej aktywny udział Chin i USA – podsumowuje Leszek Tasiemski.
Wyraźnie dominujące globalne trendy dotyczące cyberzagrożeń to: phishing, ataki z użyciem
ransomware czy próby wykorzystania luk w zabezpieczeniach aplikacji – najczęściej w celu
przejęcia kontroli nad urządzeniami, w szczególności coraz bardziej powszechnymi inteligentnymi
rozwiązaniami z zakresu Internetu rzeczy (IoT).
Infografiki przedstawiają tzw. ataki nietargetowane – aby zdobyć informacje na temat tego, jakie
konkretnie instytucje są atakowane, konieczna byłaby bezpośrednia współpraca w celu zainstalowania
Honeypotów w ich sieciach.