Nowy szef CERT Polska opowiada o wpadce Mety, psychologicznych chwytach scamerów i nowych narzędziach dla firm oraz internautów poprawiających bezpieczeństwo w sieci.
Pana awans przypadł na ciekawy moment. Meta usunęła wtedy z Facebooka post CERT Polska zawierający link do raportu dotyczącego oszustw na dużych platformach internetowych. Algorytmy Mety oceniły, że naruszacie w ten sposób standardy Facebooka.
Marcin Dudek, szef CERT Polska: Od dłuższego czasu planowaliśmy publikację raportu o mechanizmach dostępnych na platformie Facebook, których przestępcy używają do tworzenia fałszywych reklam. Jest szereg narzędzi, z których mogą korzystać. Publikacja zbiegła się w czasie z naszą branżową konferencją, na której rozmawialiśmy o zagrożeniach związanych ze scamem. Wrzuciliśmy wtedy post na Facebooka, żeby poinformować naszych obserwujących o tym problemie.
I Meta was zbanowała.
Nie całe konto, ale usunęła post. Kiedy ktoś chciał go podać dalej, post był automatycznie usuwany. Jeden z większych profili branżowych związanych z cyberbezpieczeństwem, który podał dalej nasz post, cały został zablokowany. Nie wiadomo dlaczego.
Wygląda na to, że mleko się rozlało. Dyskusja o tym, że algorytmy nie są wystarczająco skuteczne, toczy się od dawna. Platformy twierdzą, że robią wszystko, żeby przeciwdziałać oszustwom internetowym. Tymczasem, jak się okazuje, eliminują informacje, które ostrzegają ludzi przed scamami. Ten problem nie dotyczy tylko Mety. Kampanię reklamową naszej akcji Scamming Out! przyblokował Google.
Robiliśmy badania i zgłosiliśmy kilkadziesiąt reklam, które na 100 proc. były fałszywe, prowadziły do stron stworzonych do wyłudzania pieniędzy. 90 proc. z nich nie zostało zdjętych. Dostaliśmy odpowiedź, że to nie jest oszustwo. W tych przypadkach algorytmy nie zadziałały. Jednak w przypadku naszego raportu o wyłudzeniach na platformach społecznościowych algorytmy były tak skuteczne, że gdy moderatorzy próbowali przywrócić post, to system na to nie pozwalał. Gdy Meta się zorientowała, że coś takiego się wydarzyło, to przez kilka dni nie była w stanie wpisu przywrócić.
Jakie są efekty tego incydentu?
Wydaliśmy oświadczenie, że nie zgadzamy się z takimi praktykami. Dodam, że gdy zamieściliśmy post z naszymi oczekiwaniami na naszym profilu na Facebooku, to zasięgi zostały tak obcięte, że pewnie nikt go nie zobaczył. Choć nie został usunięty.
Nasze oczekiwania wobec Mety to cztery konkrety, których realizacja, w naszej ocenie, poprawi bezpieczeństwo użytkowników. Jest w nich mowa o koniecznej poprawie moderacji w języku polskim, a także o potrzebie integracji systemów Mety z naszą Listą Ostrzeżeń. Umieszczamy na niej domeny internetowe, które wyłudzają dane osobowe czy naciągają na fałszywe inwestycje. Jest aktualizowana na bieżąco, weryfikowana ręcznie przez ludzi, a nie automat. Oświadczenie, raport i oczekiwania można oczywiście znaleźć na naszej stronie internetowej.
Wideocast: Cyberbezpieczeństwo bez tajemnic: Rozmowa z szefem CERT Polska
W tym odcinku podcastu rozmawiamy z nowym szefem CERT Polska, Marcinem Dudkiem, o aktualnych zagrożeniach w cyberprzestrzeni.
W Australii Meta będzie od lutego weryfikować reklamodawców produktów finansowych. Będzie tego wymagać regulator.
Meta ma kilka rozwiązań do ograniczania oszustw, jak np. rejestr znaków towarowych. Firmy mogą zastrzec swoje nazwy, logo. W niektórych krajach również osoby indywidualne mogą zastrzec wizerunek, z czego korzystają celebryci. To jest jednak gaszenie pojedynczych pożarów, a nie rozwiązania systemowe. Przypadki wykorzystania przez przestępców wizerunków celebrytów są głośne, również w Polsce. Natomiast zauważamy także, że przestępcy zaczynają wykorzystać wizerunki lekarzy czy prawników, niekoniecznie bardzo znanych.
Z dużym zaskoczeniem przeczytałem waszą listę osób, które pojawiły się w oszukańczych reklamach od stycznia do sierpnia. Są tam politycy, celebryci, wielu dziennikarzy, duchownych. Niektórych musiałem sprawdzać w internecie, bo nazwiska nic mi nie mówiły.
Przestępcy stale zmieniają metody działania. Ostatnio odnotowaliśmy wzrost liczby oszustw związanych z odszkodowaniami. Przykładowo, ktoś miał wypadek samochodowy albo skradziono mu auto. Przestępcy dzwonią wtedy z ofertą pomocy w odzyskaniu pieniędzy lub uzyskania odszkodowania. Jestem pewny, że gdy działalność wykorzystująca ten motyw zostanie ukrócona, oszuści wpadną na kolejne pomysły. Walka z konkretnymi przypadkami nie rozwiązuje problemu.
Jak z tym walczyć systemowo? Zatrudnić więcej ludzi do stałej moderacji treści?
Przy takiej skali procederu nie da się wszystkiego zrobić bez pomocy technologii. Na pewno trzeba też zaangażować większe zasoby ludzkie. Ale jednym z naszych głównych postulatów jest integracja naszej Listy Ostrzeżeń z danymi Mety. Jeśli jest 50 różnych reklam wykorzystujących różnorodne motywy, ale kierujących do tej samej strony, która przekonuje do fałszywej inwestycji lub wyłudza dane, to blokując tę jedną stronę, automatycznie zdejmujemy wszystkie 50 reklam. To znacznie efektywniejsze.
Zbliża się koniec roku. Jaki był 2024 r. w cyberprzestrzeni związanej z cyberoszustwami.
Cały czas obserwujemy trend polegający na tym, że oszustwa są coraz mniej oparte na technice, a w coraz większym stopniu na psychologii i socjotechnice. Jeszcze kilka lat temu przestępcy wymyślali takie metody ataku, jak np. infekowanie komputerów czy skomplikowane phishingi z wyłudzaniem drugiego składnika logowania. Obecnie te oszustwa polegają na takim zmanipulowaniu człowieka, żeby to on sam wykonał przelew, żeby sam chciał te pieniądze gdzieś wpłacić. W tym roku jest to jeszcze bardziej widoczne niż w poprzednim.
To dla nas trudne, bo nie jesteśmy w stanie walczyć z takimi przestępstwami wyłącznie środkami technicznymi. Nawet najlepsze narzędzia wykorzystujące nowe technologie czy nawet Lista Ostrzeżeń, nie pomogą, gdy ktoś zadzwoni i przekona człowieka, żeby poszedł do banku i wysłał pieniądze na fałszywe konto. Długofalową metodą walki jest to, co robi NASK, czyli edukacja, uświadamianie ludzi o zagrożeniach.
Jaka jest skala cyberoszustw w 2024 r.?
Otrzymaliśmy ponad 500 tys. zgłoszeń o incydentach w sieci, z czego 100 tys. zostało zakwalifikowane jako incydenty komputerowe. Oznacza to sytuacje, w których doszło do oszustwa, wyłudzenia lub zidentyfikowano stronę wyłudzającą dane. W ubiegłym roku zgłoszeń było 370 tys.
Wzrost liczby zgłoszeń wynika z tego, że przestępstw jest więcej czy po prostu rośnie świadomość społeczna problemu i ludzie częściej zauważają scamy i je zgłaszają?
Na pewno CERT jest coraz lepiej widoczny i ludzie wiedzą, że mogą do nas wysłać zgłoszenie. Z rozmów z policją wynika, że osób poszkodowanych też jest dużo. Ciekawe wystąpienie miał niedawno pan Adam Cieślak, komendant Centralnego Biura Zwalczania Cyberprzestępczości, który powiedział, że w ponad 90 proc. przypadków utraty przez kogoś środków finansowych i zgłoszenia tego na policję przyczyną była reklama na platformach społecznościowych.
W pierwszej połowie grudnia policja zatrzymała w Warszawie trzy kobiety i trzech mężczyzn, który telefonicznie wyłudzali pieniądze od starszych Niemców. Zostali złapani, gdy próbowali odebrać 125 tys. EUR od oszukanej niemieckiej staruszki. Zarekwirowano sporo sprzętu elektronicznego i bazy danych potencjalnych ofiar.
Cały czas dochodzi do wycieków danych z różnych stron i serwisów. Ktoś robi zakupy w sklepie internetowym, a później dochodzi do złamania zabezpieczeń i kradzieży bazy danych klientów. Imiona, nazwiska, adresy zostają upublicznione przez cyberprzestępców. Przestępcy zbierają takie bazy, agregują w większe zbiory i wykorzystują do szukania potencjalnych ofiar.
Niedawno pojawiły się badania, z których wynika, że osoby starsze, ze względu na zmiany neurologiczne zachodzące z wiekiem w mózgu, są bardziej podatne na cyberataki.
Przestępcy mają tak dobrze dopracowane skrypty rozmów i są już tak sprofesjonalizowani, że każdy z nas może paść ich ofiarą. Sam świadomie stałem się celem ataku, ponieważ chciałem prześledzić scenariusz scamowy.
Dostałem telefon, rzekomo z firmy pożyczkowej, że ktoś wziął na moje dane kredyt i próbował zaciągnąć pożyczkę. Przedstawiciel firmy powiedział, że o sprawie wie już policja i że za chwilę skontaktuje się ze mną pracownik banku, żeby wyjaśnić, na czym polega problem. Za chwilę faktycznie ktoś posługujący się naprawdę dobrą polszczyzną – bo wcześniej w tego typu oszustwach słychać było wyraźny wschodni akcent – zadzwonił, oferując pomoc w rozwiązaniu problemu. Mówił, że trzeba działać bardzo szybko, żeby nie doszło do oszustwa, i muszę konto zablokować. Że za chwilę zadzwonią do mnie z policji, która prowadzi sprawę.
Następnie zadzwonił ktoś udający policjanta, z innego numeru, i próbował mnie nakłonić, żebym poszedł do bankomatu i zrealizował przelew za pomocą Blika. Oszuści twierdzili, że pieniądze zostaną wpłacone na specjalny depozyt, żeby zabezpieczyć konto. Brzmi to wszystko naiwnie, a scenariusz wydaje się niedopracowany, ale muszę przyznać, że cała narracja, gra presją czasu i emocjami, była tak dobrze prowadzona, że gdybym nie wiedział, że takie oszustwa istnieją, z pewnością nieźle bym się zestresował i działając w stresie, nie zorientowałbym się, że to scam.
Jakie są pana plany w związku z objęciem funkcji szefa CERT Polska?
Na pewno kontynuacja, ponieważ moje myślenie jest zbieżne z linią Sebastiana Kondraszuka, byłego szefa CERT-u, z którym przez lata pracowałem. Są tematy, na które chcę położyć większy nacisk. W działaniach wewnętrznych, które mają znaczenie przy obsłudze incydentów, w większym stopniu wykorzystamy automatyzację, bo tych incydentów jest – jak wspomniałem – pół miliona. Chciałbym postawić na agregację danych, być może z elementami uczenia maszynowego. Realizowanie wszystkiego ręcznie jest już niemożliwe. Stworzenie automatycznego systemu wspomagającego to taki duży cel wewnętrzny.
Z działań, które będą bardziej widoczne na zewnątrz, wymieniłbym plan stworzenia systemu integrującego różne nasze, już dostępne publicznie, systemy. W pierwszej fazie system planowany jest jako narzędzie dla administratorów i osób zajmujących się cyberbezpieczeństwem w firmach, ale docelowo będzie też oferował usługi przydatne obywatelom. Chodzi o integrację m.in. systemu N6 służącego do zbierania danych o zdarzeniach w sieci, np. o tym, że jakaś firma została zainfekowana szkodliwym oprogramowaniem. Podmioty korzystające z systemu N6 już dziś otrzymają taką informację w sposób automatyczny.
Jest też system Artemis służący do skanowania stron internetowych. Często strony posiadają błędy czy podatności, które pozwalają przestępcom włamać się na taką stronę i wykraść bazy danych lub podmienić zawartość strony. Artemis to projekt, który na masową skalę skanuje strony internetowe w Polsce.
Celem tego nowego projektu jest stworzenie jednego miejsca, które będzie otrzymywać i zarządzać informacjami o bezpieczeństwie organizacji, które my mamy z różnych źródeł. Dzięki temu administratorzy domen będą mogli zlecać skanowanie stron, dostawać wyniki skanowania, powiadomienia. Tak naprawdę każdy obywatel, który ma jakąś infrastrukturę informatyczną, będzie mógł poprosić, żebyśmy sprawdzili, czy jest bezpieczna, lub będzie mógł uzyskać informacje o wyciekach danych. W przypadku kont w domenie firmowej możemy sprawdzić, czy nie ma np. wycieku danych pracowników.
Kiedy pojawi się to rozwiązanie?
W pierwszym kwartale przyszłego roku.
Wracając do początku rozmowy – czy Meta odpowiedziała na Wasze stanowisko?
Ministerstwo Cyfryzacji wspiera nas w naszych oczekiwaniach, dlatego wspólnie spotkaliśmy się z przedstawicielami Mety, by je przekazać i zapowiedzieć, że za trzy miesiące publicznie dokonamy weryfikacji, czy zostały podjęte działania w związku z realizacją naszych postulatów i poprawą bezpieczeństwa internautów. Przedstawiciele Mety wyrazili gotowość do współpracy.