Evoluția atacurilor cibernetice de tip phishing în România
Szabo Alexia-Gabriela
(Membru susținător al Asociației Ofițerilor în Rezervă din România și voluntară la Grupul de Lucru pentru Securitate și Apărare Cibernetică)
Responsabilitatea conținutului, interpretărilor și opiniilor exprimate revine exclusiv autorului.
- Introducere
Phishing-ul reprezintă o metodă de atac cibernetic, ,,o încercare frauduloasă de a fura datele utilizatorilor, cum ar fi acreditările de autentificare, informațiile despre cardurile de credit sau chiar banii, utilizând tehnici de inginerie socială. Acest tip de atac este de obicei lansat prin mesaje e-mail, care par să fie trimise de la o sursă de încredere, cu intenția de a convinge utilizatorul să deschidă un atașament malițios sau să urmeze un URL fraudulos’’ (Cisco, 2023). Totodată, această infracțiune se poate desfășura prin mesaje text (smishing), apeluri telefonice (vishing) sau site-uri web.
Studierea atacurilor de tip phishing este de o importanță majoră, având în vedere impactul semnificativ asupra confidențialității și integrității informațiilor. Acestea nu doar că generează pierderi financiare considerabile și reprezintă un risc major de furt de identitate, dar înțelegerea evoluției lor este esențială pentru dezvoltarea unor strategii eficiente de apărare cibernetică.
Obiectivul analizei este de a examina evoluția atacurilor cibernetice de tip phishing în România de-a lungul anilor 2021, 2022, 2023 și prima parte a anului 2024. Aceasta include identificarea schimbărilor în frecvența și natura acestor atacuri, principalele tehnici abordate, precum și evaluarea impactului asupra utilizatorilor individuali, organizațiilor sau economiei în ansamblu și măsuri de contracarare. Pentru realizarea studiului, au fost utilizate diverse surse de date, inclusiv rapoarte de securitate cibernetică, statistici oficiale, studii de caz și articole academice. Statisticile au fost colectate de la autorități naționale privind incidentele de phishing raportate. Studiile de caz detaliate au fost analizate pentru a înțelege mai bine incidentele semnificative care au avut loc în România în perioada studiată. De asemenea, au fost conspectate publicații academice și de cercetare relevante pentru phishing și metodele de apărare împotriva acestuia.
- Context european
Europa rămâne una dintre regiunile cele mai afectate de atacurile de phishing. Statisticile europene sunt adesea comparate cu cele globale pentru a evalua impactul acestor incidente în regiune. Deși există variații între țările europene, trendurile generale indică o creștere a atacurilor în majoritatea regiunilor, cât și a unor noi forme precum spear-phishing, whaling, smishing și vishing. ,,E-mailul continuă să fie mecanismul principal pentru acest tip de înșelăciune, dar se observă o creștere în utilizarea mesajelor pe social media, WhatsApp sau alte platforme’’ (ENISA, 2020, pg. 2).
- Prezentarea generală a atacurilor phishing în România: 2021-2024
În anul 2021, România a înregistrat o scădere semnificativă a fraudelor digitale prin phishing, fiind raportate 45.984 de incidente, cu aproximativ o treime mai puțin față de anul anterior, 2020. Majoritatea au fost inițiate prin intermediul e-mailurilor, dar au implicat și site-uri web false, atașamente insidioase sau mesaje distribuite pe rețelele de socializare, vizând, în principal, obținerea de date bancare. ,,Țintele au fost atât indivizii, cât și instituțiile din toate domeniile. Infractorii obțineau acces neautorizat folosind două tipuri de malware: la nivelul sistemelor informatice (calculator, laptop etc.) prin intermediul Agent Tesla, iar la nivelul dispozitivelor de tip smartphone prin intermediul FluBot’’ (Serviciul Român de Informații, 2022, pg. 3).
,,Referitor la frecvența lunară a activităților de tip phishing identificate pe parcursul anului 2021, s-a remarcat tendința hackerilor de a crește exponențial numărul atacurilor în luna decembrie, creștere generată de exploatarea contextelor oferite de perioada de sărbători și apariția variantei Omicron al virusului SARS-CoV-2’’ (Serviciul Român de Informații, 2022, pg. 18). Atacatorii au folosit tehnici avansate de inginerie socială și au colectat date personale pentru a crea campanii de phishing bine țintite. Acestea erau concepute pentru a părea autentice și personalizate, crescând șansele ca victimele să cadă în capcană. Conform rapoartelor săptămânale ale Directoratului Național de Securitate Cibernetică (DNSC), infractorii cibernetici promiteau să vândă echipamente de protecție personală, cum ar fi măști sau dezinfectanți la prețuri reduse sau gratuite, solicitau donații pentru organizații caritabile false sau inexistente, trimiteau mesaje care pretindeau să fie de la colegi sau superiori, solicitând informații sensibile sau făcând tranzacții financiare și utilizau informațiile personale furate pentru a solicita beneficii de șomaj sau alte forme de asistență COVID-19 în numele altor persoane.
În anul 2022, România a asistat la o creștere accelerată a încercărilor de fraudare digitală prin phishing față de anul precedent, înregistrându-se 280.050 de cazuri. Potrivit Buletinului Cyberint al Serviciului Român de Informații (SRI), semestrul I – 2023, s-a distins o formă mai avansată de spear-phishing, denumită whaling. Atacurile de tip spear-phishing se diferențiază de phishing-ul tradițional prin faptul că sunt extrem de personalizate. Whaling-ul vizează persoane cu funcții de rang înalt, cum ar fi directorii executivi, directorii financiari sau alți membri ai conducerii. ,,E-mailurile utilizate au fost concepute pentru a părea că provin de la alte persoane importante din cadrul organizației’’, adăugând astfel un strat suplimentar de credibilitate și un sentiment de urgență (Serviciul Român de Informații, 2023, pg. 5-7).
,,Frecvența lunară ridicată a activităților de phishing a fost cauzată de intensificarea operațiunii unor actori cibernetici în contextul conflictului militar dintre Federația Rusă și Ucraina’’ (Serviciul Român de Informații, 2023, pg. 14). ,,Incursiunile auto-asumate de gruparea pro-rusă Killnet asupra unor site-uri web din România, au fost motivate de acțiunile de sprijin ale României pentru Ucraina, în contextul invaziei acestui stat. Atacatorii cibernetici utilizau diverse platforme de comunicare precum e-mail, WhatsApp, Signal, Telegram, Messenger și Slack pentru a trimite mesaje pretinzând că sunt surse sau persoane de încredere’’ (DNSC, 2022).
Analizând anul 2023, s-au remarcat 77.934 de atacuri cibernetice de tip phishing. ,,Cu toate că din perspectiva frecvenței acestea au fost la un nivel mai scăzut față de 2022, amenințarea cibernetică la adresa unor infrastructuri informatice și de comunicații de interes s-a menținut pe un trend ascendent’’ (Serviciul Român de Informații, 2024, pg. 22). Domeniul diplomatic a fost unul dintre țintele preferate ale actorilor, deoarece furnizează informații vitale legate de politica externă a statelor.
Incidentele de securitate cibernetică cu metoda de phishing asupra domeniului diplomatic sunt facilitate și de surplusul de informații disponibile despre personalul diplomatic al statelor, care trebuie să fie accesibile publicului pentru informarea propriilor cetățeni. Printre subiectele preferate de hackeri, incluse în mesajele de spear-phishing, se numără invitații la diverse evenimente, programul de lucru al ambasadelor sau note de comunicare între entități guvernamentale.
În primele luni ale anului 2024, atacurile de phishing au continuat să reprezinte o amenințare semnificativă în România. Infractorii au intensificat campaniile lor, creșterea utilizării serviciilor online fiind considerate oportunități suplimentare pentru a obține acces neautorizat la informațiile sensibile ale utilizatorilor.
,,Conform previziunilor Organizației Națiunilor Unite, se anunță a fi un moment rar în istorie, cu aproximativ jumătate din populația globală chemată la vot. Această masivă implicare electorală creează un teren propice pentru potențialele interferențe din partea actorilor externi ostili. Atacatorii ar putea să încerce să profite de această situație pentru a trimite e-mailuri sau mesaje frauduloase care pretind să vină de la partide politice, candidați sau organizații guvernamentale implicate în procesul electoral, în încercarea de a fura date personale sau financiare. Incidentele ar putea să vizeze diverse ținte, inclusiv cetățeni obișnuiți, activiști politici, jurnaliști sau chiar oficiali guvernamentali’’ (Serviciul Român de Informații, 2024, pg. 8-9).
- Analiză comparativă și evolutivă
Analizând perioada conturată, 2021-2024, s-au remarcat atât creșteri, cât și descreșteri în numărul de fraude digitale de tip phishing, după cum este prezentat:
Totodată, s-au remarcat schimbări în tehnicile și metodologiile de atac. În perioada studiată, s-a observat o evoluție a acestora. În anul 2021, phishing-ul în România a fost dominat de atacuri prin e-mailuri și site-uri web false, cu accent pe obținerea datelor bancare. Începând cu anul următor, s-a observat o creștere a unor forme mai avansate de phishing, cum ar fi spear-phishing-ul și whaling-ul. În anul 2023, atacurile de phishing au continuat să evolueze, cu accent pe diversificarea canalelor de atac și intensificarea operațiunilor în contextul conflictelor, utilizând platforme de comunicare precum WhatsApp sau Telegram. În prima parte a anului 2024, proiecțiile indică apariția unor noi tendințe și evoluții în tactici de phishing, odată cu creșterea utilizării mesajelor pe social media și a tehnologiilor de inteligență artificială (AI). Schimbările în tehnicile și metodologiile de atac au fost influențate de o serie de factori interconectați, precum evoluția tehnologică accelerată, schimbarea comportamentului utilizatorilor și reglementările adoptate de autorități, contextul economic, politic și social, respectiv exploatarea evenimentelor curente.
Un aspect crucial al evoluției tehnologice este dezvoltarea continuă a uneltelor și tehnologiilor de automatizare. Hackerii au acces la unelte automate și scripturi complexe care pot genera și distribui mii sau chiar milioane de mesaje phishing într-un timp incredibil de scurt. Un alt mod de operare este utilizarea inteligenței artificiale. Infractorii folosesc algoritmi pentru a analiza și înțelege modelele de comportament ale utilizatorilor și pentru a genera mesaje personalizate și credibile. Aceștia utilizează și tehnologii de criptare și anonimizare pentru a-și ascunde identitatea și a face mai dificilă urmărirea și identificarea lor. Astfel, ,,infractorii lansează atacuri pe scară largă care vizează un număr mare de potențiale victime folosind forme de phishing cu efort redus și ușor de învins, în principal prin e-mail, dar din ce în ce mai mult prin mesaje text (smishing) sau telefon (vishing). Un consens a apărut din interviuri în jurul ideii că aceste tehnici sunt învechite și puțin probabil să funcționeze bine pe majoritatea piețelor. Din această cauză, s-au dezvoltat atacurile înguste care vizează grupuri specifice sau indivizi folosind forme de phishing complexe și cu efort ridicat, încă în principal prin e-mail, dar încorporând informații relevante pentru a face sursa atacului mai credibilă și probabilitatea de succes mai mare’’ (Ghazi-Tehrani, Adam Kavon, Pontell, Henry N, 2021, pg. 324-325).
Schimbarea comportamentului utilizatorilor a avut un impact semnificativ asupra evoluției phishing-ului. Aceștia devin din ce în ce mai conștienți de amenințările cibernetice și mai precauți în interacțiunile lor online. Ca răspuns, atacatorii au trebuit să își ajusteze strategiile și să adopte tactici mai subtile și mai persuasive pentru a-și atinge obiectivele. Factorii de rezistență (educație, proceduri, tehnologii) împotriva atacurilor cibernetice conduc infractorii spre elaborarea unor noi metode și tehnologii de atac. ,,Una dintre aceste metode este încercarea de a păcăli nu numai clientul, dar și infrastructura tehnologică a instituției bancare, prin intermediul impersionării la nivel tehnic a clientului, prin intermediul unui API de comunicare/ interceptare/ menținere, astfel încât serverul băncii să mențină legătura cu ceea ce crede că este dispozitivul clientului, în timp ce atacatorul are acces deplin în contul clientului’’ (DNSC, 2022, pg. 4). Infractorii folosesc diverse tehnici de inginerie socială pentru a convinge victimele de legitimitatea e-mailurilor falsificate. Dacă la început phishing-ul în România se baza pe mesaje e-mail nesofisticate care imitau comunicările bancare sau comerciale și includeau greșeli gramaticale evidente și cereri directe de informații sensibile, cum ar fi parole sau date, acum acestea includ crearea de scenarii false, cum ar fi solicitări de actualizări de cont sau upgrade-uri de securitate, și imitarea vizuală a e-mailurilor legitime prin utilizarea imaginilor, logo-urilor și a altor elemente grafice ale instituțiilor bancare. Un alt truc comun este inducerea unui sentiment de urgență prin subiecte de e-mail alarmante („foarte important / urgent”), menite să declanșeze o reacție emoțională și să grăbească decizia de a da click pe linkurile incluse. Chiar dacă site-urile și aplicațiile bancare au implementate protocoale de securitate solide, elementul uman rămâne adesea cea mai slabă verigă. Lipsa cunoștințelor elementare de etică digitală și securitate cibernetică face ca utilizatorii să fie vulnerabili la aceste atacuri.
Pandemia de COVID-19 și războiul din Ucraina au furnizat atacatorilor cibernetici un teren fertil pentru evoluția și intensificarea fraudelor digitale de tip phishing în România. Pandemia a determinat o migrare masivă către munca de la distanță, educația online și utilizarea serviciilor digitale. Infractorii au profitat de această creștere a traficului online pentru a lansa atacuri de phishing care imitau comunicări oficiale legate de COVID-19, cum ar fi informații despre vaccinare, teste de diagnostic sau ajutoare financiare. Mesajele erau deseori concepute pentru a părea urgente și vitale, solicitându-le utilizatorilor să facă click pe linkuri sau să descarce atașamente pentru a obține informații cruciale despre sănătatea lor sau despre situația lor financiară. Companiile și instituțiile care au trecut rapid la munca de la distanță au fost adesea nepregătite din punct de vedere al securității cibernetice. Lipsa de protecții adecvate și educația insuficientă a angajaților în materie de securitate cibernetică au făcut ca aceste organizații să fie ținte atractive pentru atacurile de phishing. Un alt aspect exploatat de atacatorii cibernetici a fost empatia și dorința de a ajuta victimele conflictului din Ucraina. Hackerii au inclus apeluri false pentru donații umanitare, solicitând utilizatorilor să contribuie financiar pentru a sprijini victimele războiului. Războiul a adus și un accent sporit pe atacurile cibernetice asupra infrastructurilor critice, inclusiv sectorul financiar și energetic.
Adițional, conform incidentelor raportate în mass-media, în România, în perioada 2021-2024, sectorul financiar a fost cel mai afectat din cauza fraudelor digitale, urmând sectorul public și administrația, sectorul educațional, sectorul comerțului electronic și sectorul diplomatic. Unul dintre cele mai frecvente obiective ale atacatorilor de phishing în România a fost obținerea informațiilor financiare. Aceasta a inclus datele de autentificare pentru serviciile bancare online, numerele de cont bancar, codurile PIN și detaliile cardurilor de credit. Prin accesul neautorizat la aceste informații, infractorii au reușit să sustragă bani direct din conturile bancare ale victimelor sau să efectueze tranzacții frauduloase. Totodată, în această perioadă, furtul de identitate a devenit un alt obiectiv major pentru atacatorii de phishing. Aceștia au căutat să obțină informații personale, cum ar fi numele complet, adresele, CNP-urile și alte date de identificare, pe care le-au folosit ulterior pentru a crea conturi false sau pentru a comite fraude. În unele cazuri, hackerii amenințau că vor dezvălui informații sensibile sau că vor publica date personale dacă nu primeau o sumă de bani. Aceste metode de șantaj au creat o presiune suplimentară asupra victimelor, generând pierderi financiare și stres emoțional.
- Evoluția phishing-ului în viitor
Una dintre principalele direcții în care phishing-ul va evolua este rafinarea tehnicilor de inginerie socială. Pe măsură ce utilizatorii devin mai conștienți de tacticile tradiționale, atacatorii vor dezvolta metode mai sofisticate pentru a înșela victimele. În viitor, se preconizează că atacurile de phishing vor deveni extrem de personalizate, folosind informații colectate de pe rețelele sociale și alte surse online. Utilizând inteligența artificială (IA), atacatorii vor putea analiza comportamentul online al unei persoane și vor crea mesaje de phishing foarte credibile și relevante pentru acea persoană. De exemplu, un atacator ar putea crea un e-mail care pare să provină de la un prieten sau coleg, bazându-se pe conversațiile anterioare ale victimei, ceea ce va face mult mai dificilă detectarea tentativei de phishing.
În prezent, multe atacuri se bazează pe e-mailuri sau mesaje text care conțin linkuri către site-uri web false. În viitor, atacatorii ar putea utiliza tehnici mai avansate, cum ar fi compromiterea directă a aplicațiilor legitime. Un scenariu posibil ar putea implica injectarea de cod malițios într-o aplicație populară de comunicare, determinând utilizatorii să descarce și să instaleze software periculos fără să bănuiască nimic.
Eforturile de combatere a phishing-ului vor continua să evolueze. Dezvoltarea de noi tehnologii de securitate, cum ar fi autentificarea multifactorială și utilizarea inteligenței artificiale pentru detectarea comportamentului suspect, va juca un rol crucial în protejarea utilizatorilor. De exemplu, IA poate fi utilizată pentru a analiza tiparele de comportament și a identifica activitățile neobișnuite care ar putea indica un atac de phishing. Cu toate acestea, aceste măsuri vor trebui să țină pasul cu tehnicile tot mai sofisticate ale atacatorilor. Educația și conștientizarea utilizatorilor vor rămâne esențiale pentru prevenirea phishing-ului, iar companiile și guvernele vor trebui să colaboreze pentru a dezvolta politici și reglementări eficiente în acest sens.
- Strategii de combatere
Educația utilizatorilor despre tehnicile de phishing este esențială în lupta împotriva criminalității cibernetice și protejarea indivizilor, organizațiilor și a informațiilor sensibile. Educarea utilizatorilor, precum ,,Siguranța Online”, contribuie la promovarea unei culturi a securității în cadrul organizațiilor și comunităților. Când indivizii sunt bine informați despre riscuri, sunt mai susceptibili să adere la protocoalele de securitate cibernetică, să raporteze prompt activitățile suspecte și să participe activ la eforturile de prevenire a amenințărilor cibernetice.
Autentificarea cu doi factori adaugă un strat suplimentar de securitate procesului de autentificare prin solicitarea utilizatorilor să furnizeze două forme de identificare: parola și un al doilea factor. Acest al doilea factor este de obicei ceva ce utilizatorul posedă, cum ar fi un cod generat de o aplicație de autentificare, un mesaj text cu un cod de verificare sau o cheie de securitate fizică.
În România, Strategia națională de securitate cibernetică pentru 2022-2027 a subliniat importanța consolidării capacităților de securitate cibernetică, inclusiv măsuri specifice pentru combaterea phishing-ului. Acesta a inclus dezvoltarea unui cadru legislativ și operațional robust pentru protejarea infrastructurilor critice și a serviciilor esențiale. De asemenea, Directoratul Național de Securitate Cibernetică (DNSC) are un rol central în detectarea, prevenirea și răspunsul la atacurile de phishing în România. Acesta oferă servicii de monitorizare și raportare a incidentelor cibernetice și organizează campanii de educație și conștientizare pentru publicul larg și sectorul privat, consolidând astfel prima linie de apărare împotriva acestui tip de atac cibernetic.
Parteneriatele public-privat au fost încurajate pentru a dezvolta soluții inovatoare și pentru a împărtăși informații despre amenințările cibernetice. Aceste parteneriate au facilitat schimbul de bune practici și implementarea de tehnologii avansate.
Directiva privind Securitatea Rețelelor și Sistemelor de Informație este una dintre principalele inițiative legislative ale UE pentru a asigura securitatea cibernetică. Aceasta obligă statele membre să adopte măsuri pentru protejarea rețelelor și sistemelor de informații și să raporteze incidentele de securitate semnificative. Scopul directivei este de a stimula cooperarea între statele membre și de a îmbunătăți reziliența cibernetică a UE. Totodată, Agenția Europeană pentru Securitatea Rețelelor și a Informațiilor (ENISA) publică periodic Raportul privind Peisajul Amenințărilor, care ,,identifică principalele amenințări, tendințele majore observate în ceea ce privește amenințările, actorii implicați și tehnicile de atac, și descrie de asemenea măsurile relevante de atenuare’’ (ENISA). De asemenea, ENISA furnizează ghiduri, instruiri și resurse pentru sectoarele publice și private, pentru a-și întări apărarea împotriva atacurilor de phishing.
- Concluzii
În ciuda eforturilor pentru contracararea acestor amenințări, este evident că există încă vulnerabilități și provocări semnificative în protejarea împotriva phishing-ului. Evoluția phishing-ului în România în perioada 2021-2024 a demonstrat necesitatea continuă a adaptării și a întăririi măsurilor de securitate cibernetică. Este esențială consolidarea eforturilor educaționale, investițiile în tehnologii de securitate avansate și promovarea colaborării între diferitele entități implicate în lupta împotriva phishing-ului. Numai printr-o abordare integrată și multidisciplinară se poate reduce eficient riscurile și impactul acestor atacuri cibernetice în viitorul digital.
Bibliografie
- Cisco, „What Is Phishing? Examples and Phishing Quiz”, https://www.cisco.com/c/en/us/products/security/email-security/what-is-phishing.html;
- ENISA, ,, Threat Landscape – Phishing’’, 2020, pg. 2,
https://www.enisa.europa.eu/publications/phishing;
- Serviciul Român de Informații, Buletin Cyber Semestrul 1, 2022, pg. 3,18, https://www.sri.ro/assets/files/publicatii/buletin-cyber-sem-1-2022-RO.pdf;
- Serviciul Român de Informații, Buletin Cyber Semestrul 1, 2023, pg. 5-7, 14, https://www.sri.ro/assets/files/publicatii/buletin-cyber-sem-1-2023-rom-online.pdf;
- „DNSC”, https://dnsc.ro/citeste/comunicat-atacuri-phishing-spear-phishing-propagate-pe-email-sau-platforme-de-mesagerie;
- Serviciul Român de Informații, Buletin Cyber Semestrul 1, 2024, pg. 8-9, 22, https://www.sri.ro/assets/files/publicatii/buletin-cyber-sem-1-2024.pdf;
- Ghazi-Tehrani, Adam Kavon; Pontell, Henry N., „Phishing Evolves: Analyzing the Enduring Cybercrime”, Victims & Offenders, vol. 16, nr. 3, 3 aprilie 2021, pp. 324–325;
- DNSC, Phishing-ul bancar, Propuneri de soluții pentru diminuarea numărului de victime ale atacurilor cibernetice de tip phishing, 2022, pg. 4;
- „Threat Landscape”, ENISA, https://www.enisa.europa.eu/topics/cyber-threats/threats-and-trends.
Lasă un răspuns