Jedną z form złośliwego oprogramowania, która powoduje znaczące straty instytucji finansowych, firm e-commerce
i ich Klientów to phishing. Jest to sposób wyłudzania metodami inżynierii społecznej poufnych informacji
osobistych (np. loginu i hasła) przez podszywanie się pod daną instytucję finansową.

Usługa ochrony przed phishingami polega na współpracy z Klientem wzdłuż pięciu ścieżek funkcjonalnych:
• Ścieżka Incydentów (Incident Track) [INT]
• Ścieżka Konsultacyjna (Consultancy Track) [CLT]
• Ścieżka Usuwania Zagrożenia (Threat Mitigation Track) [TMT]
• Ścieżka Technologiczna (Technology Track) [THT]
• Ścieżka Pozyskiwania Informacji (Information Acquisition Track) [IAT]

Schemat ścieżek funkcjonalnych w ramach usługi antyphishingowej (ORG jest Klientem):

 grafika_anti-phishing_small

1) Ścieżka Incydentów (Incident Track) [INT]

Podstawowa ścieżka współpracy, będąca równocześnie kanałem komunikacji wymiany danych, przez który odbywa się stały, bezpośredni kontakt Klienta z ComCERT SA.

2) Ścieżka Konsultacyjna (Consultancy Track) [CLT]

Jest to ścieżka realizacji usług konsultacyjnych będących stałym elementym współpracy (np. raporty miesięczne, spotkania kwartalne), jak również usługi wsparcia osobowego przez pracowników ComCERT SA przy oczekiwanych usługach konsultacyjnych.

3) Ścieżka Usuwania Zagrożenia (Threat Mitigation Track) [TMT]

Ścieżka pozwalająca na realizację usług związanych z blokowaniem, usuwaniem i minimalizacją skutków ataków phishingowych na infrastrukturę teleinformatyczną organizacji. Realizowana jest w oparciu o stałą i bliską współpracę ComCERT z zespołami reagującymi na incydenty (CERT), operatorami telekomunikacyjnymi oraz dostawcami treści w kraju i zagranicą oraz w ramach współpracy z podwykonawcami, w tym z Fundacją Bezpieczna Cyberprzestrzeń.

4) Ścieżka Technologiczna (Technology Track) [THT]

Ścieżka realizacji usługi bezpośredniej dla Klienta pozwalającej na dostęp przez pracowników lub system Klienta bezpośrednio do zasobów bazy danych ComCERT zawierającej informację o IP zarażonych złośliwym oprogramowaniem, w tym m.in. Zeus, SpyEye, Citadel.

5) Ścieżka Pozyskiwania Informacji (Information Acquisition Track) [IAT]

Jest to ścieżka wewnętrzna ComCERT, dzięki której odbywa się stałe pozyskiwanie informacji. Informacja ta w rezultacie trafia do organizacji
w ramach świadczenia usług we wszelkich innych ścieżkach, tj. INT, CLT, THT, jak również jest podstawą współpracy ComCERT z podmiotami
zewnętrznymi na rzecz organizacji, w ramach TMT.

Główny element współpracy z Klientem polega na wspólnym pozyskiwaniu informacji o pojawieniu się stron phishingowych kierowanych do użytkowników jego serwisów. Klient otrzymuje takie informacje od użytkowników swoich serwisów, a ComCERT wykorzystuje swoje źródła (IAT).

Strona phishingowa, której adres pozyskaliśmy od Klienta lub z własnych źródeł, podlega analizie. W ramach tej analizy ComCERT wykonuje następujące czynności:
udokumentowanie strony i jej kodu źródłowego, próba wykrycia innych stron phishingowych na serwerze, próba wykrycia śladów mogących wskazać na wykonawcę strony, zabezpieczenie tych danych, które mogą mieć wartość dla przyszłego ewentualnego postępowania procesowego.

Po wykonaniu powyższych czynności ComCERT podejmuje działania związane z zamknięciem strony. Strona jest zamknięta w ciągu kilkunastu – kilkudziesięciu godzin.  Około 90% stron zdejmowanych jest w ciągu 24 godzin. Typowy czas zdjęcia strony zależy przede wszystkim od strefy czasowej kraju, w którym umieszczono daną stronę oraz od operatora obsługującego daną domenę.

ComCERT udziela gwarancji na czas zdjęcia strony w postaci warunków SLA: za każdą stronę, która nie zostanie zdjęta w określonym czasie
koszt obsługi tej strony spada o określoną kwotę, rosnącą z czasem. Usługa anty-phishingowa jest często elementem całościowej ochrony instytucji finansowej, w skład której wchodzi szereg działań związanych z ochroną przed atakami APT, DDoS, skutkiem działania botnetów, itd., oraz analizami złośliwego oprogramowania i wykrywaniem zagrożeń i podatności.