Wspólna operacja europejskich jednostek do spraw cyberbezpieczeństwa zakończyła się wyłączeniem ponad trzystu domen obsługujących zautomatyzowane kampanie phishingowe; wśród nich znajdowało się 120 adresów działających w polskiej przestrzeni internetowej. Dzięki skoordynowanym działaniom organów ścigania i zespołów reagowania na incydenty udało się przerwać łańcuch ataków, które każdego miesiąca trafiały do milionów skrzynek pocztowych w całej Europie.
Europejska skala operacji i zaangażowane podmioty
Kluczową rolę w akcji odegrał Europol, który od miesięcy monitorował infrastrukturę służącą do masowego wyłudzania danych logowania. Po zebraniu materiału dowodowego do działań włączono Centralne Biuro Zwalczania Cyberprzestępczości, NASK oraz zespół CERT Polska. Zgodnie z komunikatami służb, w ciągu kilkunastu godzin od wydania nakazów hostingodawcy i rejestratorzy domen usunęli 330 adresów, z czego 36% stanowiły strony przygotowane specjalnie pod ataki na polskich użytkowników. Skuteczność operacji potwierdzają dane Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni, według których natychmiastowy spadek ruchu do zidentyfikowanych adresów wyniósł ponad 95%.
Analiza przeprowadzona przez Joint Cyber Action Taskforce pokazuje, że tylko w pierwszym kwartale bieżącego roku za pośrednictwem tych domen wysłano blisko 150 milionów wiadomości zawierających fałszywe formularze bankowe, podrobione panele logowania do portali społecznościowych oraz wezwania do dopłat za przesyłki. Koordynacja międzynarodowa była kluczowa – według przedstawicieli Europolu serwery wspierające kampanie znajdowały się w ponad dziesięciu jurysdykcjach, a część z nich wykorzystywała infrastrukturę chmurową opłacaną skradzionymi kartami płatniczymi.
Tycoon 2FA – narzędzie do obchodzenia dwuskładnikowego uwierzytelniania
Jednym z głównych elementów ekosystemu przestępczego była platforma sprzedawana w modelu cyber-as-a-service pod nazwą Tycoon 2FA. Oprogramowanie to umożliwiało podszywanie się pod strony logowania obsługujące kody SMS, aplikacje uwierzytelniające i klucze bezpieczeństwa. Po wprowadzeniu danych ofiara była automatycznie przekierowywana do prawdziwej witryny, co utrudniało wykrycie incydentu. Według badaczy z firmy Group-IB, którzy opublikowali niezależny raport o narzędziu Tycoon 2FA, w ciągu zaledwie sześciu miesięcy z jego pomocą przejęto dostęp do co najmniej 10 tys. kont firmowych należących do podmiotów z sektora zdrowia, edukacji oraz administracji publicznej.
Co istotne, usługa oferowała panel statystyk w czasie rzeczywistym i integrację z popularnymi pakietami do masowej wysyłki poczty. Dzięki temu nawet mało zaawansowani technicznie przestępcy mogli zbudować w pełni funkcjonalną kampanię phishingową, płacąc wyłącznie miesięczny abonament. W podobny sposób działają dziś również inne platformy, takie jak EvilProxy czy Greatness, co świadczy o rosnącej profesjonalizacji tego segmentu podziemia cyberprzestępczego.
Polskie doświadczenia i współpraca publiczno-prywatna
W krajowym wymiarze operację nadzorowało Centralne Biuro Zwalczania Cyberprzestępczości, wykorzystując dane telemetryczne od największych dostawców poczty elektronicznej oraz operatorów telekomunikacyjnych. Równolegle NASK i CERT Polska prowadziły działania analityczne, aby szybko rozsyłać sygnatury złośliwych domen do systemu DNS-firewall, z którego korzystają setki instytucji publicznych oraz komercyjnych. Dzięki temu już w pierwszej dobie po blokadzie odnotowano 480 tysięcy prób wejścia na wyłączone adresy, które zostały skutecznie zablokowane po stronie serwerów DNS.
W operację włączyli się również partnerzy z sektora prywatnego. Najwięksi rejestratorzy domen w Polsce deklarują, że przygotowują procedurę szybkiego zawieszania adresów powiązanych z atakami phishingowymi. Z kolei krajowe banki, poprzez Związek Banków Polskich, zapowiedziały usprawnienia w systemach monitorowania transakcji inicjowanych z geolokalizacji powiązanych z ujawnionymi serwerami C&C.
Konsekwencje i kolejne kroki na poziomie Unii Europejskiej
Choć zamknięcie setek stron znacząco utrudniło działalność konkretnych grup, eksperci ostrzegają, że podobna infrastruktura może zostać odtworzona w ciągu kilkudziesięciu godzin. Komisja Europejska pracuje już nad projektem regulacji Digital Resilience Act, który ma zobowiązać dostawców usług hostingowych do wprowadzania systemów wczesnego ostrzegania przed podejrzanymi masowymi rejestracjami domen. Rozważany jest również mechanizm blokad czasowych – odmowa publikacji nowo zarejestrowanych adresów w strefie DNS do momentu pozytywnej weryfikacji właściciela.
Według analityków ENISA, łączny koszt społeczny phishingu w Unii Europejskiej przekroczył w ubiegłym roku 1,4 mld euro, z czego jedną trzecią stanowiły straty poniesione przez małe i średnie przedsiębiorstwa. Wzrost liczby incydentów idzie w parze z rosnącą efektywnością oszustw opartych na inżynierii społecznej, dlatego unijne agencje naciskają na obowiązkowe szkolenia z cyberhigieny dla pracowników sektora publicznego i krytycznej infrastruktury.
Praktyczne rekomendacje dla użytkowników i organizacji
Specjaliści wskazują, że nawet najbardziej złożone kampanie phishingowe można przerwać na wczesnym etapie, jeśli stosowane są podstawowe zasady bezpieczeństwa: weryfikacja adresu URL przed logowaniem, wykorzystywanie sprzętowych kluczy U2F oraz unikanie klikania w linki otrzymane w niezamówionej korespondencji. Administratorzy powinni natomiast wdrożyć politykę ciągłej rotacji haseł, dwuskładnikowe uwierzytelnianie oparte na protokole FIDO2 i segmentację sieci, która ogranicza skutki ewentualnego przejęcia pojedynczego konta.
W przypadku podejrzenia, że dane uwierzytelniające zostały przechwycone, zaleca się niezwłoczną zmianę haseł, reautoryzację wszystkich aktywnych sesji oraz weryfikację ustawień przekierowań poczty. Gdy incydent dotyczy informacji finansowych, konieczny jest natychmiastowy kontakt z bankiem, zgłoszenie sprawy policji oraz, w razie potrzeby, poinformowanie Urzędu Ochrony Danych Osobowych. Organizacje zobowiązane dyrektywą NIS2 muszą dodatkowo powiadomić zespół CSIRT właściwy dla swojego sektora.
Źródła: komunikaty Europol, CERT Polska, ENISA, Group-IB, Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni
