Choć na pewno nie można powiedzieć, że pandemia koronowirusa (SARS-CoV-2/Covid-19) jest czymś dobrym, to przy tej okazji zdarzają się też małe jakby cuda. Okazało się, że nie tylko lekcje (częściowo) można prowadzić zdalnie. Nie tylko można bez wychodzenia z domu załatwić sprawę w urzędzie czy odbyć konsultację u lekarza (wraz z otrzymaniem e-recepty czy e-zwolnienia). Nawet sejm będzie mógł pracować i głosować zdalnie (choć to się jeszcze okaże, bo korytowirus cały czas chyba groźny). Ale okazało się również, że można było powołać lista ostrzeżeń przed niebezpiecznymi stronami, która w dodoatu – jak się wydaje – ma szansę faktycznie działać.

Rejestr stron phishingowych

Choć o oszustwach z fałszywymi stronami wyłudzającymi dane dostępowe do kont w bankach piszę ostatnio rzadko, bo musi mnie takie oszustwo czymś nowym zaskoczyć, zainteresować (np. ostatnio pisałem o ENEA, gdzie została użyta dodatkowa strona, o całkiem dobrze dobranym adresie strony), to nie oznacza to, że ich nie ma. Wręcz przeciwnie – co chwilę się pojawiają nowe, i choć powielają ciągle te same mechanizmy, to raczej osoby za nimi stojące na brak (nowych) „klientów” nie narzekają.

Ciężko też nie zauważyć, że przy okazji pandemii koronawirusa mieliśmy istną plagę tego typu oszustw. I zdaje się, że przestępcy przesadzili, bo do akcji postanowiły wkroczyć odpowiednie instytucje. I to – jak możemy przeczytać choćby na stronie CERT – tym razem rozwiązanie może być nie tylko skuteczne, ale i szybkie:

Czy lista ostrzeżeń przed niebezpiecznymi stronami jest dostępna publicznie?
Tak, dostępna jest publicznie powyżej.

Czy każdy może zgłosić podejrzaną stronę do blokady?
Tak, można to zrobić pod adresem https://incydent.cert.pl/phishing.

W jaki sposób zgłoszenia są oceniane i kto podejmuje decyzję o blokadzie? Kto odpowiada za niewłaściwą klasyfikację? Jak wygląda proces weryfikacji zgłoszeń?
Zgłoszenia oceniane są ręcznie przez analityków CERT Polska, którzy analizując stronę bazują na wieloletnim doświadczeniu w walce z występującymi nadużyciami w polskim internecie. W procesie wpisania adresu każdej strony do rejestru wymagane jest działanie przynajmniej dwóch analityków. Sama blokada wejścia na stronę dokonywana jest poprzez operatorów telekomunikacyjnych. W ramach funkcjonowania listy ostrzeżeń, CERT Polska i operatorzy nie dokonują zmian w rejestrach domen ani serwerach, na których umieszczone są treści.

W jaki sposób działa blokada stron?
Blokada realizowana jest przez operatorów telekomunikacyjnych poprzez zmianę adresu złośliwej strony w systemie cache DNS operatora. Zamiast wyświetlenia oryginalnej strony nastąpi przekierowanie do strony ostrzegającej o zagrożeniu prowadzonej przez danego operatora telekomunikacyjnego albo CERT Polska (która wygląda tak).

(…)

Jak często aktualizowana jest lista ostrzeżeń przed niebezpiecznymi stronami?
Po podjęciu decyzji o wpisaniu strony na listę, pojawi się na niej w ciągu 5 minut.

Na jak długo blokowana jest domena?
Domena może być usunięta z listy po ustaniu przesłanek do jej umieszczenia. W takim przypadku operatorzy powinni niezwłocznie zaprzestać jej blokowania. Każdy operator może niezależnie podjąć decyzję o wcześniejszym odblokowaniu domeny.

(…)

Jak szybko od mojego zgłoszenia strona zostanie zweryfikowana i zablokowana?
Dokładamy najwyższej staranności, aby weryfikacja zgłoszenia trwała najkrócej jak to możliwe.

Jeśli wierzyć w te zapewnienia – a chyba nie ma podstaw by niewierzyć – to taka blokada będzie nakładana na stronę najszybciej jak to możliwe. W czym prócz sprawnej analizy podejrzanych strona ma pomóc m.in. specjalny formularz, który umożliwia zgłoszenie takiej strony właściwie każdemu (oczywiście blokada będzie po ręcznej weryfikacji przez uprawnione osoby):

Po pozytywnym rozpatrzeniu zgłoszenia strona będzie blokowana. Blokowanie będzie odbywać się po stronie operatorów, którzy biorą udział w programie, czyli podpisali „porozumienie o współpracy w zakresie ochrony użytkowników internetu przed stronami wyłudzającymi dane, w tym dane osobowe oraz doprowadzających użytkowników internetu do niekorzystnego rozporządzenia ich środkami finansowymi w okresie stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej”:

Współpraca z operatorami bazuje na porozumieniu podpisanym pomiędzy Ministrem Cyfryzacji oraz Prezesem Urzędu Komunikacji Elektronicznej a Orange Polska S.A., Polkomtel Sp. z o.o., P4 Sp. z o.o., T-Mobile Polska S.A., a także Naukową i Akademicką Siecią Komputerową – Państwowym Instytutem Badawczym.

Jak widać jeśli chodzi o operatorów, to mamy tu na obecną chwilę operatorów komórkowych (choć Orange wykracza poza ten zakres), ale mam nadzieję, że szybko dołączą pozostali operatorzy – zwłaszcza kablówki.

Tak, by jak najwięcej potencjalnych ofiar w jak najkrótszym czasie, zamiast strony przygotowanej przez oszustów mogło zobaczyć specjalną stronę z ostrzeżeniem:

I choć jak cytowałem kilka akapitów wyżej, blokowanie odbywa się pod DNSach, to w tym przypadku powinno być to rozwiązanie dużo bardziej skuteczne, niż np. w przypadku blokady stron hazardowych. Choćby dlatego, że osoby, które zapewne najczęściej padają ofiarą tego typu oszust (np. na dopłatę), zapewne nawet nie wiedzą, co to są DNSy. A jeszcze mniej prawdopodobne, że będą chciały obejść tego typu blokadę (np. korzystając z alternatywnych DNSów). Choć jak bierze w tym udział NASK, to dla domen krajowych można by pokusić się o blokadę już na poziomie samego rejestru.

Na obecną chwilę na liście znajduje się 6 domen:

  • e-bokpge.pl
  • e-platnosc.best
  • faktury3941.org
  • get-payment.pl
  • in-post.net
  • rachinfo.com
  • windykacjajagoda.org

I co ważne, lista ta jest nie tylko dostępna publicznie, ale można pobierać z niej dane w sposób zautomatyzowany:

Pliki są aktualizowane co 5 minut., i jest nawet API…

Mechanizm został wdrożony z powodu pandemii koronawirusa i ogłoszonego stanu pandemii (i licznych przypadków oszustw przy tej okazji):

Porozumienie obowiązuje do dnia jego odwołania przez Ministra Cyfryzacji lub odwołania stanu nadzwyczajnego, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej, nie dłużej jednak niż przez 3 miesiące od dnia jego podpisania.

Mam jednak nadzieję, że niezostanie porzucony po wszystkim, a stanie się istotnym elementem bezpieczeństwa „mniej świadomych” (czasem mam jednak wrażenie, że to spory eufemizm ;-)) użytkowników internetu…

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk