Numărul acțiunilor de fraudă informatică (phishing) pe teritoriul României a scăzut de la câteva mii în primele două luni ale anului 2020 la sub trei sute lunar, în perioada stării de urgență și la începutul stării de alertă instituite în România, pentru ca acesta să explodeze în luna iunie, când s-au înregistrat în doar 30 de zile, peste 26.700 de acțiuni legate de înșelăciune prin intermediul sistemelor informatice, conform datelor făcute publice de serviciul Român de Informații (SRI). Pandemia de COVID-19 a fost folosită de unii utilizatori pentru activități ilegale de obținere a datelor cu caracter personal sau beneficii financiare, mai notează SRI.
23 aprilie - Profit News TV - Maratonul de Educație Financiară. Parteneri: 123 Credit, ARB, BCR, BRD, CEC Bank, PAID, XTB
25 aprilie - MedikaTV - Maratonul Sănătatea Digestiei
27 mai - Eveniment Profit.ro Real Estate (ediţia a IV-a) - Piața imobiliară românească sub aspectul crizei occidentale
Potrivit datelor publicate de SRI în buletinul semestrial privind securitatea cibernetică, statisticile arată că în prima lună a anului 2020 s-au înregistrat la nivel național 6291 activități de phishing, în luna februarie au fost 1609 astfel de infracțiuni, pentru ca debutul epidemiei în România să coincidă cu o scădere semnificativă. Astfel, în martie au fost constatate 243 activități de fraudă informatică, în aprilie numărul acestora a scăzut la 156, trendul s-a menținut și în luna mai când au fost 157 de fapte de phishing pentru ca numărul acțiunilor de tipul fraudelor online să explodeze în iunie 2002, când s-au înregistrat 26.774 astfel de fapte.
Din punctul de vedere al tipului de atacuri informatice, peste o treime, respectiv 33,7% dintre atacurile informatice din primul semestru al anului au avut la bază un virus de tip troian, peste 30% au fost de genul infostealer, peste 23% au fost de tipul exploit iar restul au fost atacuri informatice backdoor, tool sau worm.
Pandemia de COVID-19 care a dus la creșterea numărului utilizatorilor și a frecvenței folosirii spațiului online a fost folosită de către hackeri pentru obținerea de informații dar și de profituri financiare.
„O serie de actori cibernetici au considerat contextul oportun pentru a derula activități ilegale de obținere a datelor cu caracter personal sau beneficii financiare. Printre modalitățile de acțiune utilizate frecvent se numără: dezvoltarea unor aplicații aparent legitime, care prin utilizare infectau dispozitivele mobile cu malware; impersonarea unor aplicații oficiale, astfel încât prin accesarea acestora să se realizeze infectarea dispozitivului”, informează SRI în documentul citat.
În acest context a fost dezvoltată COVID 19 Tracker, o aplicație pentru terminalele mobile care rulează sistemul de operare Android.
„Aceasta conține un malware de tip ransomware, CovidLock, care deține capabilități de blocare a ecranului dispozitivului și de criptare a fișierelor existente pe acesta. În schimbul deblocării / redobândirii accesului se solicită în termen de 48 de ore, suma de 0.011BTC (aproximativ 100$). În cazul neplății, atacatorul cibernetic amenință utilizatorul prin ștergerea datelor stocate pe dispozitiv (fișiere multimedia, agendă telefonică etc.) și prin expunerea datelor personale în mediul online (credențiale, conturi utilizate în social media etc.). Funcționalitatea aparent legitimă a aplicației vizează informarea utilizatorilor cu privire la posibile persoane infectate prezente în zona în care se află dispozitivul mobil. Odată deschisă aplicația, aceasta afișează două mesaje, prin care se cere permisiunea utilizatorilor de a primi alerte de la aplicație cât timp ecranul este blocat și permisiunea de a oferi aplicației acces în funcția de Accesibilitate a device-ului pentru monitorizarea activă a statisticilor. În realitate, utilizatorul oferă atacatorului rolul de administrator al dispozitivului, fiind inițiate automat operațiile de blocare a ecranului și criptare a fișierelor stocate” mai transmite SRI.
CovidLock a utilizat tactici, tehnici și proceduri: Drive-by Compromise T1 (T1456) care presupune obținerea accesului pe un dispozitiv prin accesarea unui website nelegitim; App Auto-Start Device Boot (T140) care asigură activarea funcțiilor unei aplicații mobile odată cu pornirea dispozitivului, fără să fie nevoie de accesarea acesteia de către utilizator, Device Lockout (T1446) – presupune indisponibilizarea dispozitivelor pentru o perioadă determinată de timp.
În plus, ransomware-ul CovidLock realiza interogări Domain Name Server (DNS), prin care se făceau trimiteri la două link-uri asociate platformei Pastebin (https://pastebin[.] com/zg6rz6qT și https://pastebin[.]com/ GK8qrfaC ). În cadrul acestora se regăseau instrucțiunile pentru realizarea plății.
Experții în securitate cibernetică au publicat cheia necesară decriptării ("4865083501") pe mai multe site-uri de specialitate.
„Contextul social actual a demonstrat încă o dată faptul că securizarea dispozitivelor și aplicațiilor mobile reprezintă o necesitate prin prisma evoluțiilor de la nivelul spațiului cibernetic. În această perioadă, atacatorii cibernetici au exploatat deficiențele unor dispozitive devenite vulnerabile, atât din cauza factorului tehnologic, dar mai ales din cauza celui uman” mai notează SRI.
