Końcówka roku pokazała, że cyberprzestępcy potrafią uderzać z niespotykaną dotąd siłą. W sieci Orange Polska odnotowano rekordowy atak DDoS, którego natężenie sięgnęło 1,5 terabita na sekundę, a moment kulminacyjny przypadł na Wigilię. To symboliczna data – czas, gdy wielu specjalistów jest na urlopach, a ruch w internecie naturalnie rośnie, co dodatkowo utrudnia szybkie wykrycie i neutralizację nietypowej aktywności.
Zestawienia przygotowywane przez zespół CERT Orange Polska pokazują bardzo wyraźny trend: z każdym rokiem maksymalna moc największych ataków rośnie. W 2019 r. sięgała niespełna 240 Gb/s, w 2020 r. przekroczyła 300 Gb/s, w 2021 r. zbliżyła się do 401 Gb/s, rok później osiągnęła około 476 Gb/s, w 2023 r. przebiła 540 Gb/s, a w 2024 r. zanotowano już niemal 587 Gb/s. Skok do poziomu 1,5 Tb/s w 2025 r. pokazuje, jak szybko zmienia się skala zagrożeń – dziś są to wartości stanowiące wyzwanie dla całych sieci operatorskich, a nie tylko pojedynczych firm.
Przeciętny użytkownik internetu nie ma realnego wpływu na to, czy sieć operatora stanie się celem tak potężnego ataku DDoS. Może natomiast zadbać o własne bezpieczeństwo tam, gdzie przestępcy aktywnie polują na dane i pieniądze zwykłych ludzi – między innymi w wiadomościach SMS. CERT Orange Polska zwraca uwagę, że w ostatnich miesiącach szczególnie nasiliły się próby wyłudzeń podszywających się pod znane marki i instytucje.
Jednym z popularnych scenariuszy są wiadomości rzekomo pochodzące od PGE. Takie SMS-y zazwyczaj wysyłane są ze zwykłych numerów telefonicznych, a w treści pojawiają się wzmianki o rozliczeniu, nadpłacie, zwrocie środków czy konieczności dopłaty niewielkiej kwoty. Do wiadomości dołączany jest odnośnik prowadzący do podejrzanej strony – często korzystającej z usług skracania linków lub domen wyglądających neutralnie, które w żaden sposób nie są związane z prawdziwymi adresami wykorzystywanymi przez PGE. Kliknięcie w taki link może zakończyć się przechwyceniem danych logowania lub danych karty.
Podobny mechanizm wykorzystywany jest w kampaniach podszywających się pod Santander. W tym wypadku nadawca często wyświetla się z nazwą „Santander”, co na pierwszy rzut oka przypomina legalne powiadomienia bankowe. Kluczową rolę odgrywa tu adres strony – zazwyczaj zawiera fragment kojarzący się z marką, na przykład „santander” z dodatkowymi literami, myślnikami czy dopiskami. Ludzki mózg automatycznie dopasowuje rozpoznawalny element, a resztę adresu łatwo przeoczyć. To właśnie na tej automatyzacji percepcji bazują cyberprzestępcy.
Efekt obu scenariuszy jest zbliżony. Ofiara trafia na witrynę do złudzenia przypominającą stronę operatora energii czy banku, gdzie proszona jest o uzupełnienie danych karty płatniczej, danych logowania lub autoryzację drobnej transakcji pod pozorem dopłaty czy odebrania zwrotu. W rzeczywistości formularz trafia wprost do oszustów, którzy następnie wykorzystują skradzione informacje, by obciążyć kartę do kwoty dostępnego limitu lub przenieść środki na swoje rachunki.
Eksperci CERT proponują, aby początek roku potraktować jako dobry pretekst do przeprowadzenia przeglądu własnych nawyków i ustawień związanych z bezpieczeństwem cyfrowym. Pierwszy krok to weryfikacja haseł do najważniejszych kont – poczty elektronicznej, bankowości, mediów społecznościowych czy usług chmurowych. Warto sprawdzić, czy nie korzystamy wciąż z tych samych, prostych kombinacji w wielu miejscach, i wymienić je na unikalne, długie hasła lub passphrase.
Drugim elementem jest włączenie uwierzytelniania dwuskładnikowego tam, gdzie tylko jest to możliwe. Kod SMS, aplikacja uwierzytelniająca lub klucz sprzętowy potrafią zdecydowanie utrudnić przejęcie konta, nawet jeśli hasło wpadnie w niepowołane ręce. Kolejny obszar to profile powiązane z ekosystemami Google i Apple. Dobrą praktyką jest okresowe sprawdzanie listy urządzeń, które są obecnie zalogowane, oraz aplikacji mających dostęp do konta. Sprzęt, którego już nie używamy, i programy, których nie rozpoznajemy, warto natychmiast odłączyć.
Osobną kategorią jest prywatność w mediach społecznościowych. Publicznie widoczne dane – takie jak miejsce pracy, data urodzenia, numer telefonu, informacje o rodzinie czy aktualnych wyjazdach – mogą zostać wykorzystane w atakach z użyciem socjotechniki. Ograniczenie widoczności profilu tylko dla znajomych, przemyślane udostępnianie informacji oraz regularne przeglądanie ustawień prywatności znacząco utrudniają przestępcom przygotowanie spersonalizowanego ataku.
Operator przypomina także, że sieci komórkowe i dostawcy internetu oferują dodatkowe usługi poprawiające bezpieczeństwo codziennego korzystania z sieci. Przykładem mogą być rozwiązania monitorujące wycieki haseł w znanych bazach danych. Tego typu usługa – jak chociażby powiadomienia o potencjalnym ujawnieniu loginu i hasła – informuje użytkownika, gdy jego dane pojawią się wśród informacji wykradzionych z serwisów internetowych. Otrzymanie takiego alertu powinno być sygnałem do natychmiastowej zmiany hasła wszędzie tam, gdzie mogło ono zostać wykorzystane.
Drugim typem usług są systemy ochrony ruchu sieciowego, działające na poziomie operatora. Mogą one filtrować połączenia z domenami znanymi z oszustw, blokować podejrzane strony lub ostrzegać użytkownika przed wejściem na witrynę wykorzystywaną do phishingu. Rozwiązania tego rodzaju bywają dostępne zarówno dla sieci domowych, jak i dla smartfonów, chroniąc użytkownika nie tylko przed złośliwymi linkami w SMS-ach, lecz także przed pułapkami w przeglądarce czy aplikacjach.
Rosnąca skala ataków DDoS oraz coraz bardziej wyrafinowane kampanie wyłudzania danych pokazują, że cyberprzestępcy stale podnoszą poprzeczkę. Z jednej strony inwestują w infrastrukturę pozwalającą generować ogromny wolumen ruchu, z drugiej – doskonalą metody manipulacji psychologicznej, licząc na pośpiech, rutynę i nieuwagę użytkowników. Świadome zarządzanie własnym bezpieczeństwe