Krzysztof Majdan, money.pl: Nie ma tygodnia, by nie wpadła mi w ręce depesza prasowa, że ktoś stracił sporo pieniędzy na oszustwie. Jak wygląda skala zagrożeń z perspektywy Kowalskiego? Rośnie? Maleje?
Piotr Konieczny, niebezpiecznik.pl: Oczywiście, że rośnie. W ciągu ostatnich lat coraz bardziej nasze życie przenosi się do internetu, wszyscy trzymamy pieniądze w bankach, które mają dostęp do sieci czy to poprzez aplikacje mobilne, czy serwis internetowy, mało kto korzysta z tradycyjnego, marmurowego banku. Nie tylko pieniądze mamy w internecie, ale i dane, a te także są cenne. Cyberprzestępcy, złodzieje internetowi doskonale zdają sobie sprawę, że pewne cyfrowe dobra w postaci danych czy pieniędzy mogą nam za pomocą środków elektronicznych wykraść. Często prościej niż w realnym świecie, gdzie trzeba podejść do ofiary, pobić, wreszcie zabrać portfel. W internecie wystarczy czasem, że nakłonimy kogoś do wykonania pewnych kroków, które on w pełni nie rozumie.
Dalsza część artykułu pod materiałem wideo
Jakie to kroki? Co w pierwszej kolejności cyberprzestępcy wyciągają z arsenałów?
Proste metody. I ta prostota powoduje, że nie każda działa. W zasadzie prawie nigdy nie działają, udaje się w przypadku promila prób, jakie podejmują przestępcy. Trzeba mieć jednak świadomość masowości wysyłki np. fałszywych SMS-ów. Można je rozesłać w liczbie kilkudziesięciu tysięcy w ciągu kilku minut. Na kilkadziesiąt tysięcy potencjalnych ofiar, znajdzie się jedna, dwie, trzy, które dojdą do wniosku po marce użytej w takim SMS-ie, np. dostawcy energii, z którego usług korzystają, że może faktycznie nie opłaciłem tego rachunku. Później następuje wśród tych osób kolejny podział, mniejsza część wejdzie na fałszywą stronę podstawioną w SMS-ie, a tam po nitce do kłębka przestępcy prowadzą ich w bardzo naiwny co prawda sposób, ale niestety skuteczny i działający.
Wyobraź sobie, że chcielibyśmy okraść kogoś w ten sposób w rzeczywistym świecie. Musielibyśmy zastukać do kilkudziesięciu tysięcy domów i spróbować przekonać kogoś do jakiejś czynności. W internecie, przy masowości takich wysyłek, to tylko kilka minut, dlatego codziennie widzimy, jak różne grupy w ten sam lub podobny sposób masowo kontaktują się z Polakami, nakłaniając ich do kliknięcia w link i podania na fałszywej stronie danych, najczęściej związanych z bankowością.
Nie każdy zwraca uwagę na małym ekranie na to, pod jakim adresem internetowym się znajduje, ludzie są wzrokowcami, ale nie literek w adresie, a wyglądu strony. Jeśli ta przypomina bramkę płatności, z której korzystamy na co dzień, sporo osób nie reaguje, podaje dane i w ten sposób przestępcy mogą np. nasze karty płatnicze podpiąć pod swoje telefony i za pomocą usług Google czy Apple Pay płacić w sklepach. To jeden z najpopularniejszych rodzajów oszustw obecnie.
Dużym problemem jest podszywanie się pod numer telefonu banku. Jak to działa i dlaczego w ogóle działa?
To jest "cudowny" przypadek. Informowaliśmy o tym ataku na niebezpiecznik.pl trzy lata temu, wtedy pojawiały się pierwsze próby. Grupy przestępców, zazwyczaj ze wschodnim akcentem, dzwoniły do Polaków, mając ich numery telefonów, szczątkowe informacje o adresie czy nawet fragmenty numerów kart płatniczych. Te dane miały dzięki różnego rodzaju wyciekom.
W ramach tego ataku przestępcy podszywają się pod pracowników banku, nakłaniają swojego rozmówcę, żeby okradł się sam, nawet nie wyłudzają poszczególnych kodów dostępowych. Mówią, że np. pana czy pani środki są zagrożone, trzeba je przelać na rachunek techniczny, ja dzwonię z banku, proszę mi zaufać, wiem, jak się pan/pani nazywa, jaki ma pan czy pani numer karty. W ten sposób następowało uwierzytelnienie, a jeśli ktoś wciąż wątpił, padała prośba, np. proszę zobaczyć, z jakiego numeru telefonu ja dzwonię, proszę wejść na stronę banku i porównać, to ten sam numer.
Wynika to z tego, że rozmowy telefoniczne można spoofować, podszywać się. Można zadzwonić z dowolnego numeru lub wysłać SMS z dowolnej nazwy, co więcej, te SMS-y w naszych telefonów powiążą się z poprzednimi, prawdziwymi wiadomościami, które z tej samej nazwy, nadpisu fachowo mówiąc, otrzymaliśmy. Dlatego są tak szalenie wiarygodne, ponieważ większość osób, która nie ma wiedzy technicznej, nie rozumie, że można do nich zadzwonić z numeru ich matki, szefa czy infolinii banku.
To wystarczy, by nakładając element socjotechniczny, czyli dobrą gadkę, przekonać takie osoby do tego, by okradły się same. To istotne podkreślenie. Okradły się same, bo taka ofiara wpłaca pieniądze w inne miejsce. Dlaczego istotne? Bo utrudnia reklamację w banku. Nie doszło przecież do naruszenia systemów bezpieczeństwa banku, ofiara sama wykonała operację, którą mogła wykonać, po prostu była pod mylnym wrażeniem, że rozmawiał z kimś z banku. Systemy bankowe nie wykrywają podejrzanego logowania z dziwnego miejsca na świecie, bo czegoś takiego nie było, ofiara loguje się ze swoich urządzeń. Ten atak niestety nie słabnie.
Dlaczego?
Po 3 latach wciąż mamy z nim do czynienia, bo prawo i operatorzy ograniczają nieco tę możliwość filtracji podrobionych połączeń, które przychodzą zza granicy. Żeby było śmieszniej, politycy zainteresowali się tym tematem dopiero wtedy, kiedy ktoś tę samą technikę wykorzystał nie do okradania, tylko wysyłania obelżywych wiadomości. Albo nawiązywania połączeń z syntezatorem mowy, które informowały, że żona czy córka polityka nie żyją bądź uczestniczyły w wypadku. Dopiero to wywołało reakcję, niejako męczenie przez jakiegoś dowcipnisia polityków i ich rodzin.
Spotkałem się z opiniami, że banki nie chcą zgłaszać spoofingu na policję, bojąc się kontroli.
Nie sądzę, by były wiarygodne. To poszkodowany zgłasza sprawę do organów ścigania. Banki i KNF są świadome tego, co się dzieje w branży, to nie jest tajemnica. To nie jest tak, że banki się boją czegoś i nie zgłaszają. Musimy zrozumieć, że strasznie ciężko ściga się takie ataki. Z wielu różnych powodów, choćby współpracy między organami ścigania czy też poprzez techniczne niuanse związane z routingiem ruchu telefonicznego pomiędzy operatorami na całym świecie.
Polscy operatorzy, nawet jeśli prawo by im na to pozwoliło, mogliby odfiltrowywać możliwość podszywania się pod pewne numery, natomiast wciąż mamy ruch wchodzący z zagranicy do sieci telekomunikacyjnych. Nawet gdybyśmy poradzili sobie lokalnie z tym problemem, to tak naprawdę musielibyśmy kontrolować cały świat i każdego operatora, aby nie pozwolił swojemu klientowi końcowemu wejść do sieci z numerem telefonu ustawionym na infolinie polskich banków. Jedyne, co tak naprawdę nam coś daje, to zapamiętanie dwóch rad.
Jakich?
Pierwsza - jeśli dzwoni ktoś z banku, jak najszybciej musimy się rozłączyć. Nie ufać, nawet jeśli to prawdziwe połączenie, zignorować. Wtedy sami zadzwońmy do banku, zapytajmy, czego od nas chcieli. Jeśli to było coś związanego z bezpieczeństwem, przy naszym nazwisku będzie odpowiednia notatka, każdy konsultant udzieli nam tej odpowiedzi. Jeśli to był telefon marketingowy, mogą o tym nie wiedzieć, tak czy inaczej, niczego nie tracimy.
Druga rada - musimy być wyczuleni na różnego rodzaju nowe warianty tych oszustw. Wyewoluowały w tę stronę, że to nie infolinia banku się z nami kontaktuje, a fałszywy pracownik Biura Informacji Kredytowej, z informacją, że pożyczka została nam przyznana, tylko pojawił się drobny problem z adresem. Ten wariant bazuje na tym, że ludzie przecież nie wnioskowali o pożyczkę, sami chcą, by pracownik banku pomógł rozwiązać problem. Oczywiście "pracownik" BIK z chęcią przełączy do takiego banku, oczywiście podstawionego. Ofiara będąca pod wrażeniem, że coś się właśnie dzieje, że ktoś próbuje mnie oszukać, zrobi często bardzo dużą głupotę, której normalnie w tym stresie by nie wykonała.
Od paru tygodni przeglądam aplikację "Cyberalerty", którą zrobiliście z ekipą niebezpiecznik.pl. Fajna sprawa, niczego nie sprzedaje, nie zasypuje powiadomieniami, odzywa się tylko, gdy coś się dzieje i podaje informacje w przystępny sposób. Jaka jest geneza jej powstania?
Trochę egoistyczna. Zawsze byliśmy zainteresowani tym, by żyło się bezpieczniej. Im mniej Polaków jest oszukiwanych, tym mniej zgłoszeń mamy na skrzynce kontaktowej i tym mniej czasu tracimy na wyjaśnianie pewnych niuansów czy namierzanie grup przestępczych. Przez ostatnie dwa lata używaliśmy newslettera, ale maile mają to do siebie, że wpadają do spamu. Każdy ma smartfona w kieszeni, ten kanał komunikacji jest najlepszy. Aplikacja nic nie kosztuje, jedyne co robi, to wysyła powiadomienie, co się dzieje, na co uważać, kogo ostrzec.
Jakie obecnie kampanie są prowadzone w Polsce? Aplikacja podpowiada, że oszustwo na biznes.gov.pl.
Chciałbym powiedzieć, że to sprytny atak, ale nie jest, natomiast sprytnie wykorzystuje mechanizm spoofingu, o którym mówiliśmy wcześniej, nie telefonicznego, a mailowego. Przestępcy w poprzednich dniach wysyłali wiadomość, podszywając się pod adres email ministerstwa. (...) Jeśli ktoś był uczony, żeby sprawdzać, od kogo dostaje wiadomości, tu zobaczy, że adres rządowy wyświetla się poprawnie, odwołuje się do jakiegoś potwierdzenia, w zasadzie nie wiadomo czego, ale wiemy, że nasza informatyzacja państwa nie działa zbyt dobrze, więc może chodzić o jakieś potwierdzenie z jakiegoś mObywatela, z ePUAP, z PUE ZUS, z dodatku do węgla...
Jako odbiorcy nie wiemy, ale chcemy sprawdzić, by nie być stratnym albo nie ponieść konsekwencji, o których taka wiadomość wspomina. Dołączony jest do niej załącznik, otworzenie go na systemie Windows spowoduje zainfekowanie komputera. W przypadku tego naszego ostrzeżenia, z aplikacji idzie prosty komunikat, uważaj na biznes.gov.pl, przestępcy się podszywają, nie otwieraj załącznika, a jeśli otworzysz, zrób to, to i to.
Jesteś weteranem. Czy ciebie coś jeszcze dziwi? Jest przykład ataku bądź oszustwa, przy którym zrobiłeś wielkie oczy?
Był atak, który nie do końca był związany z internetem. Wykorzystywał element korzystania z paczek pobraniowych. Był starszy człowiek, który do kopert, paczek i tekturowych pudeł pakował zakrętkę od słoika, starą koszulkę, trochę piasku, guziki, różne dziwne rzeczy. Szedł na pocztę z dziesiątkami tych paczek i wysyłał do firm, których adresy wziął z internetu, na recepcje lub do poszczególnych pracowników. To były paczki pobraniowe, co znaczy, że za odebranie takiej paczki trzeba było zapłacić w granicach 100 zł. Co się okazało?
W przypadku wielu, koleżanki czy koledzy na recepcji, chcąc pomoc znajomym z pracy, których nie było akurat pod ręką, odbierali je, czyli płacili 100 zł. Tylko ta przesyłka nie była przez nikogo zamawiana. A ten człowiek wzbogacał się, bo koszt przygotowania paczki nie był wysoki. Może nie super dochodowy interes, ale bardzo pomysłowy.
Jeszcze inny przykład. Był człowiek, który kłódki na szyfr zakładał na klamki samochodowe. Ciężkie kłódki, które rysowały karoserię, jeśli się ruszały. Przy nich były kartki: skontaktuj się ze mną na Messengerze albo Whatsapp, przekażę ci kod do otwarcia za drobną opłatą. Mały haracz fizyczny, zanim ktoś odjedzie spod parkingu i kłódka będzie mu się telepała, być może będzie chciał wpłacić tę kwotę, zamiast szukać sklepu i przecinaka do metalu. Przestępcy są pomysłowi, warto trzymać rękę na pulsie, by wiedzieć, jak poprawnie zachować się w różnych sytuacjach.
Krzysztof Majdan, redaktor prowadzący money.pl