W 2023 r. do CERT Polska w NASK wpłynęło w 2023 roku aż 371 089 zgłoszeń związanych z naruszeniami cyberbezpiezeństwa. Na ich podstawie zarejestrowano 80 267 unikalnych incydentów – ponad dwa razy więcej, niż rok wcześniej – wynika z corocznego raportu CERT Polska.
CERT Polska zastrzega, że choć same statystyki pozwalają uznać poprzedni rok pod tym względem za rekordowy i obraz ten może być mocno niepokojący, to olbrzymia skala zgłoszeń jest także efektem działań promocyjnych i uruchomienia nowego, bezpłatnego numeru 8080 do zgłaszania podejrzanych wiadomości SMS.
Bo też najczęściej rejestrowanym cyberoszustwem jest wciąż phishing. Zarejestrowano 41 423 ataki tego typu (blisko 52 proc. wszystkich incydentów). Dlatego NASK się cieszy, że od 16 kwietnia operatorzy telekomunikacyjni mają obowiązek wychwytywania i blokowania wiadomości SMS, które będą zgodne z wzorcem przygotowanym i przesłanym im przez CERT Polska.
Najpopularniejsze kampanie phishingowe wykorzystywały wizerunek serwisu aukcyjnego Allegro (11 161 przypadków), serwisu społecznościowego Facebook (5 308 przypadków) i serwisu sprzedażowego OLX (4753 przypadki).
Oszustwa komputerowe były drugą najczęściej notowaną odmianą cyberataków w 2023 r. Zarejestrowano ich 34 304 (ponad 42 proc. wszystkich zarejestrowanych incydentów). Często spotykane odmiany tego ataku to fałszywe sklepy internetowe oraz oszustwa finansowe, podszywające się pod koncerny paliwowo-energetyczne, firmy oraz instytucje.
Trzeci typ incydentów, które występowały najczęściej w 2023 r., to szkodliwe oprogramowanie. CERT Polska zarejestrował 1 650 incydentów, o połowę mniej niż w roku poprzednim. Obejmowały zarówno infekcje oprogramowaniem ransomware, jak i kampanie spamowe, dystrybuujące oprogramowanie Remcos i Agent Tesla.
Po raz pierwszy roczny raport CERT Polska omawia niektóre kampanie grup APT (zorganizowane jednostki realizujące wyrafinowane ataki w cyberprzestrzeni), związanych z Chinami, Białorusią, a przede wszystkim Rosją, wymierzone w bezpieczeństwo Polski, np. atak celowany w polskie firmy z sektorów transportu, energetyki i zbrojeniowego.
CERT Polska podaje, że w 2023 r. najbardziej aktywna była grupa UNC1151, powiązana z operacją Ghostwriter. Firmy Mandiant i Google, w swoich publikacjach wskazały, że grupa ta z dużym prawdopodobieństwem jest powiązana z rządem Białorusi, ale według innych publikacji ma również związek z rosyjskimi służbami specjalnymi. Celami ataków są głównie osoby związane z polityką i wojskowością oraz mogące mieć pośredni związek z Rosją i Białorusią, np. tłumacze przysięgli języka rosyjskiego, prawnicy, pracownicy organizacji pozarządowych, księża prawosławni czy dziennikarze. Atakowano nie tylko polskich obywateli, podobne ataki obserwowano również w Ukrainie, Litwie, Łotwie, czy w Niemczech. Motywacją była najczęściej kradzież informacji w celach wywiadowczych oraz prowadzenia kampanii dezinformacyjnych.
Zespołowi CERT dwukrotnie udało się pokrzyżować szyki grupie APT29/Midnight Blizzard, powiązanej z Rosyjską Służbą Wywiadu Zagranicznego (SVR). Pierwszy raz wspólnie ze Służbą Kontrwywiadu Wojskowego. Atak dotyczył kampanii szpiegowskiej, której celem było pozyskiwanie informacji z ministerstw spraw zagranicznych oraz placówek dyplomatycznych, znajdujących się w państwach należących do NATO i Unii Europejskiej. W drugiej operacji wymierzonej w tę samą grupę, brały udział także Federalne Biuro Śledcze (FBI), Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (UK NCSC) oraz polska Służba Kontrwywiadu Wojskowego (SKW).