Numărul fraudelor informatice, redus semnificativ la începutul pandemiei, a explodat în luna iunie

Numărul acţiunilor de fraudă informatică (phishing) pe teritoriul României a scăzut de la câteva mii în primele două luni ale anului 2020 la sub trei sute lunar, în perioada stării de urgenţă şi la începutul stării de alertă instituite în România, pentru ca acesta să explodeze în luna iunie, când s-au înregistrat în doar 30 de zile, peste 26.700 de acţiuni legate de înşelăciune prin intermediul sistemelor informatice, conform datelor făcute publice de serviciul Român de Informaţii (SRI). Pandemia de COVID-19 a fost folosită de unii utilizatori pentru activităţi ilegale de obţinere a datelor cu caracter personal sau beneficii financiare, mai notează SRI, citat de News.ro.
Economica.net - joi, 24 sept. 2020, 09:15
Numărul fraudelor informatice, redus semnificativ la începutul pandemiei, a explodat în luna iunie

Potrivit datelor publicate de SRI în buletinul semestrial privind securitatea cibernetică, statisticile arată că în prima lună a anului 2020 s-au înregistrat la nivel naţional 6291 activităţi de phishing, în luna februarie au fost 1609 astfel de infracţiuni, pentru ca debutul epidemiei în România să coincidă cu o scădere semnificativă. Astfel, în martie au fost constatate 243 activităţi de fraudă informatică, în aprilie numărul acestora a scăzut la 156, trendul s-a menţinut şi în luna mai când au fost 157 de fapte de phishing pentru ca numărul acţiunilor de tipul fraudelor online să explodeze în iunie 2002, când s-au înregistrat 26.774 astfel de fapte.

Din punctul de vedere al tipului de atacuri informatice, peste o treime, respectiv 33,7% dintre atacurile informatice din primul semestru al anului au avut la bază un virus de tip troian, peste 30% au fost de genul infostealer, peste 23% au fost de tipul exploit iar restul au fost atacuri informatice backdoor, tool sau worm.

Pandemia de COVID-19 care a dus la creşterea numărului utilizatorilor şi a frecvenţei folosirii spaţiului online a fost folosită de către hackeri pentru obţinerea de informaţii dar şi de profituri financiare.

„O serie de actori cibernetici au considerat contextul oportun pentru a derula activităţi ilegale de obţinere a datelor cu caracter personal sau beneficii financiare. Printre modalităţile de acţiune utilizate frecvent se numără: dezvoltarea unor aplicaţii aparent legitime, care prin utilizare infectau dispozitivele mobile cu malware; impersonarea unor aplicaţii oficiale, astfel încât prin accesarea acestora să se realizeze infectarea dispozitivului”, informează SRI în documentul citat.

În acest context a fost dezvoltată COVID 19 Tracker, o aplicaţie pentru terminalele mobile care rulează sistemul de operare Android.

„Aceasta conţine un malware de tip ransomware, CovidLock, care deţine capabilităţi de blocare a ecranului dispozitivului şi de criptare a fişierelor existente pe acesta. În schimbul deblocării / redobândirii accesului se solicită în termen de 48 de ore, suma de 0.011BTC (aproximativ 100$). În cazul neplăţii, atacatorul cibernetic ameninţă utilizatorul prin ştergerea datelor stocate pe dispozitiv (fişiere multimedia, agendă telefonică etc.) şi prin expunerea datelor personale în mediul online (credenţiale, conturi utilizate în social media etc.). Funcţionalitatea aparent legitimă a aplicaţiei vizează informarea utilizatorilor cu privire la posibile persoane infectate prezente în zona în care se află dispozitivul mobil. Odată deschisă aplicaţia, aceasta afişează două mesaje, prin care se cere permisiunea utilizatorilor de a primi alerte de la aplicaţie cât timp ecranul este blocat şi permisiunea de a oferi aplicaţiei acces în funcţia de Accesibilitate a device-ului pentru monitorizarea activă a statisticilor. În realitate, utilizatorul oferă atacatorului rolul de administrator al dispozitivului, fiind iniţiate automat operaţiile de blocare a ecranului şi criptare a fişierelor stocate” mai transmite SRI.

CovidLock a utilizat tactici, tehnici şi proceduri: Drive-by Compromise T1 (T1456) care presupune obţinerea accesului pe un dispozitiv prin accesarea unui website nelegitim; App Auto-Start Device Boot (T140) care asigură activarea funcţiilor unei aplicaţii mobile odată cu pornirea dispozitivului, fără să fie nevoie de accesarea acesteia de către utilizator, Device Lockout (T1446) – presupune indisponibilizarea dispozitivelor pentru o perioadă determinată de timp.
În plus, ransomware-ul CovidLock realiza interogări Domain Name Server (DNS), prin care se făceau trimiteri la două link-uri asociate platformei Pastebin (https://pastebin[.] com/zg6rz6qT şi https://pastebin[.]com/ GK8qrfaC ). În cadrul acestora se regăseau instrucţiunile pentru realizarea plăţii.

Experţii în securitate cibernetică au publicat cheia necesară decriptării („4865083501”) pe mai multe site-uri de specialitate.

„Contextul social actual a demonstrat încă o dată faptul că securizarea dispozitivelor şi aplicaţiilor mobile reprezintă o necesitate prin prisma evoluţiilor de la nivelul spaţiului cibernetic. În această perioadă, atacatorii cibernetici au exploatat deficienţele unor dispozitive devenite vulnerabile, atât din cauza factorului tehnologic, dar mai ales din cauza celui uman” mai notează SRI.

Te-ar mai putea interesa și
Starea de urgență în Republica Moldova a fost prelungită pentru 60 de zile
Starea de urgență în Republica Moldova a fost prelungită pentru 60 de zile
Parlamentul a adoptat joi hotărârea privind prelungirea stării de urgenţă în Republica Moldova cu 60 de zile, începând cu 6 decembrie. Documentul a fost aprobat la propunerea Guvernului......
Un binecunoscut politician pro-rus a ajuns șeful Serviciului de Informații din Serbia
Un binecunoscut politician pro-rus a ajuns șeful Serviciului de Informații din Serbia
Guvernul sârb l-a numit joi pe Aleksandar Vulin, un apropiat pro-rus al preşedintelui Aleksandar Vucic, în funcţia de ...
12 persoane rănite de poliție în timpul protestelor declașate după moartea lui George Floyd vor primi despăgubiri de 50.000 de dolari fiecare
12 persoane rănite de poliție în timpul protestelor declașate după moartea lui George Floyd vor primi despăgubiri de ...
Oraşul Minneapolis va plăti câte 50.000 de dolari pentru fiecare dintre cele 12 persoane rănite de poliţie în timpul ...
Lavrov: Rusia e pregătită să reia dialogul cu Occidentul, dar nu se va reveni la „business as usual”
Lavrov: Rusia e pregătită să reia dialogul cu Occidentul, dar nu se va reveni la „business as usual”
Rusia ar fi pregătită să reia dialogul cu Statele Unite şi NATO pe tema garanţiilor de securitate, dar până acum Moscova ...