Jakub Wątor

Napisz do autora:
jakub.wator@agora.pl

RSS


RSS
piątek, 22 lipca 2016

Polski oddział globalnej firmy z rynku finansowego zamówił u pewnej firmy informatycznej przeprowadzenie pentestu. Krótko mówiąc: poprosili informatyków, by spróbowali się włamać do ich sieci, a potem ocenili, co należy poprawić, by być bardziej bezpiecznym. Pentesterzy postanowili spróbować starego, sprawdzonego sposobu. Zamiast włamywać się przez sieć, porzucili zainfekowanego pendrive’a w łazience na terenie firmy.

Już po kilku minutach znalazł go jeden z pracowników i włożył do swojego służbowego komputera, czym zainfekował maszynę. - Bingo! - krzyknęli pentesterzy. Jakież było ich zdziwienie, gdy po chwili dostali komunikat, że zainfekowany jest kolejny komputer. I kolejny, i kolejny. W sumie w ciągu dwóch minut jednym pendrivem zainfekowali dziesięć urządzeń. Jakim cudem? - Nasz pendrive nic nie wyświetlał, więc pracownik, który go znalazł, myślał, że coś jest nie tak z jego komputerem. Poprosił więc kolegę, by sprawdził tego pendrive’a na swoim. Dalej nic. Poprosił kolejnego. W ten sposób włożył pendrive’a do wszystkich dziesięciu komputerów będących w sali, w której pracował - śmieje się specjalista IT, który przeprowadzał tamten pentest.

Badacze z Uniwersytetu Illinois postanowili sprawdzić, jak zachowają się ich studenci w podobnej sytuacji. Rozrzucili po miasteczku akademickim 297 zainfekowanych pendrive’ów. Pierwszy z nich znalazł się w czyimś komputerze już po 6 minutach (gdy ja robiłem podobny test w redakcji „Gazety Wyborczej”, od pierwszego „wpięcia” minęło 11 minut). Aż 291 z nich zostało przez znalazców podpiętych do urządzeń, a 45 proc. z tych osób próbowało włączyć znajdujące się na przenośnej pamięci pliki. Gdy to zrobili, wyświetlała im się ankieta. Zdecydowana większość z nich (68 proc.) przyznała, że w ogóle nie pomyślała, iż pendrive może mieć wirusa. Zaledwie 24 proc. zaufało swemu oprogramowaniu antywirusowemu. Najciekawsze jednak jest zachowanie ostatnich 8 proc. badanych. Otóż oni, owszem, zorientowali się, że pendrive może mieć wirusa, więc... zamiast sprawdzić, co na nim jest na swoim komputerze, zrobiło to na cudzym sprzęcie - należącym do znajomego lub do uczelni.

Podobne badanie przeprowadziła firma Palo Alto Networks. Tu wyniki też nie napawają optymizmem. 39 proc. z 800 pytanych menedżerów przyznało, że podłączyłoby znalezionego pendrive’a do swego komputera w pracy. A co ósmy z nich stwierdził, że nie przyznałby się potem do tego nikomu w firmie.

„Bezpańskie” pendrive’y mogą mieć wszelkiego rodzaju wirusy. Wirus zwykle uruchomi się automatycznie po włożeniu ich do komputera, ale na monitorze nic się nie wyświetli, a sam pendrive będzie wyglądał, jakby nie było na nim żadnych plików. Użytkownik pozostanie więc nieświadomy zagrożenia, jakie na siebie sprowadził.

11:34, eprzekret
Link Dodaj komentarz »
czwartek, 21 lipca 2016

_89138788_ransomware

Bardzo ciekawy raport wypuściła właśnie fińska firma F-Secure produkująca antywirusy. Jej analitycy sprawdzili zachowania czterech grup przestępczych, które zarabiają na ransomware. To wirusy szyfrujące pliki na komputerze ofiary. W zamian za odszyfrowanie przestępcy żądają zapłaty okupu w bitcoinach. Niestety, programy antywirusowe rzadko wykrywają tego typu oprogramowanie. Non stop powstają nowe mutacje wirusa ransomware, dlatego też bardzo rzadko możliwe jest odszyfrowanie zainfekowanych plików w inny sposób niż zapłata złodziejom za otrzymanie klucza deszyfrującego. Ransomware najłatwiej jest złapać poprzez e-mail. Cyberprzestępcy wysyłają zainfekowane pliki, które po otwarciu wyświetlają na komputerze komunikat mówiący o zaszyfrowaniu i konieczności zapłaty.

Firma F-Secure sprawdziła cztery najpopularniejsze odmiany ransomware - okazuje się, że internetowi złodzieje działają już jak prawdziwe firmy. Mają swoje działy obsługi „klienta”, potrafią odroczyć płatność, a nawet można z nimi negocjować jej obniżenie.

Autorzy badania założyli fikcyjne konto, pobrali próbki złośliwych oprogramowań i poprosili kobietę nie znającą się na technologii o poprowadzenie rozmów z przestępcami. Z badania wynikło kilka ciekawych wniosków.

Przede wszystkim „klient”, czyli ofiara, zazwyczaj nie jest pozostawiony sam sobie. Jak w każdym szanującym się przedsiębiorstwie, cyberprzestępcom zależy na porządnej obsłudze „klientów”. Mają swoje strony internetowe, na których publikują przydatne dla ofiary informacje: w jaki sposób kupić bitcoiny, jak przelać je na konto złodzieja, jak potem odszyfrować pliki. Ba - na stronach umożliwiają „testowe” odszyfrowanie jednego pliku za darmo - tak, aby ofiara miała pewność, że po zapłacie okupu rzeczywiście odzyska zaszyfrowane pliki. - Obsługa klienta oferowana przez cyberprzestępców wydaje się być skuteczna. Wiele legalnych sklepów internetowych i tradycyjnych firm mogłoby się od nich sporo nauczyć. Z przykrością stwierdzam, że oszuści wydają się dotrzymywać słowa. Można z nimi nawet negocjować. To przestępczość na masową skalę, prowadzona na zasadzie rutynowej działalności biznesowej - mówi Erka Koivunen, doradca ds. cyberzabezpieczeń w F-Secure.

Cerber - mistrz marketingu

Zdecydowanie najciekawszą i najzabawniejszą obsługę „klienta” oferują przestępcy rozsyłający wirusa o nazwie Cerber. Strona internetowa, na której można załatwić sprawę okupu, dostępna jest w... 12 językach. Jest na niej też formularz kontaktowy, sekcja FAQ (najczęściej zadawane pytania i odpowiedzi na nie) oraz „unikalna” podstrona dla ofiary z czasem odliczanym do końca terminu na płatność.

Wiele informacji ofiara może uzyskać już zaraz po zarażeniu się Cerberem. Dostaje ona na pulpicie plik tekstowy z wieloma wskazówkami. Złodzieje, którzy używają Cerbera musieli przejść jakieś kursy akwizytorów czy konsultantów sklepowych. Plik tekstowy rozpoczynają pytaniami do „klienta”: „Nie możesz odnaleźć potrzebnych ci plików? Zawartość plików, której szukasz, jest niemożliwa do odczytania?”. Potem proponują „pomoc”: „Jako jedyni dysponujemy sekretnym kluczem pozwalającym otworzyć twoje pliki”. I wyjaśniają płynące ze skorzystania z ich usług profity: „Po zakupie pakietu oprogramowania będziesz w stanie: odszyfrować wszystkie pliki, pracować ze swoimi dokumentami, wyświetlać zdjęcia i pliki multimedialne, kontynuować wygodne korzystanie z komputera”.

To jednak nie wszystko. Najlepsze autorzy Cerbera zostawiają na końcu pliku tekstowego. Tam bowiem tłumaczą swoje motywacje, przy których nie sposób się nie zaśmiać :D

Projekt Cerber Ransomware stworzono wyłącznie w celach instruktażowych związanych z bezpieczeństwem informacji. Weryfikuje też skuteczność oprogramowania antywirusowego w zakresie ochrony danych. Razem sprawiamy, że internet staje się lepszy i bezpieczniejszy.

Ciekawą wskazówkę podają też autorzy wirusa Shade. Informują oni, że jeśli ofiara będzie próbowała samodzielnie odszyfrować pliki, lepiej niech zrobi sobie ich kopie zapasowe. Odszyfrowanie stanie się bowiem niemożliwe w przypadku jakichkolwiek zmian wewnątrz plików. To rada, której warto trzymać się w przypadku zarażenia jakimkolwiek rodzajem wirusa ransomware.

Ransomware można negocjować

Analitycy, którzy prowadzili badania, momentami mogli czuć zaskoczenie. Kobieta (o imieniu Christine) rozmawiająca z przestępcami (za pomocą maila lub czatu na ich stronie) zdołała u trzech grup wynegocjować obniżkę okupu, choć w założeniu brak wpłaty w określonym terminie oznacza jej podwyżkę. Kobieta próbowała też oferować zamiast pieniędzy zaprojektowanie grafiki na stronę przestępców lub przekazać karty podarunkowe do Amazona. Na to złodzieje się nie zgadzali, jedyną walutą, jaką akceptują jest bitcoin.

To, jak wyglądają negocjacje i sposób działania złodziei w zorganizowanych grupach świetnie przedstawia zapis rozmów kobiety z przestępcami, którzy zarazili jej komputer wirusem Jigsaw. Agent grupy przestępczej nie tylko prowadził Christine niemal za rękę po kolejnych etapach płatności, ale i na koniec... polecił jej najlepsze programy antywirusowe chroniące przed ransomware.

Agent (w odpowiedzi na kilka wiadomości przesłanych poprzez formularz internetowy): Witam. Aby odblokować swoje pliki, musisz dokonać płatności w bitcoinach. Wiesz, jak kupić bitcoiny?

Christine Walters: Cześć. Nie, nie wiem, jak kupić bitcoiny. Co się stało z moimi plikami? Dlaczego musiałam tak długo czekać na odpowiedź? Nie mogę pracować na moich plikach! Ile muszę zapłacić?

Agent: Napisaliśmy do Ciebie trzykrotnie z innego adresu e-mail i za każdym razem wiadomość powracała do nas jako niemożliwa do dostarczenia. Twoje pliki zostały zaszyfrowane. Wejdź na stronę www.localbitcoins.com i kup bitcoiny za 125 USD. Możesz za nie zapłacić poprzez przelew bankowy, wpłatę na konto, gotówką itp. Wyślij bitcoiny na poniższy adres. Napisz do nas wtedy wiadomość e-mail, a my prześlemy Ci hasło umożliwiające odszyfrowanie plików i wejdziemy na czata, aby w razie potrzeby Ci pomóc. Wprowadzenie hasła i odzyskanie wszystkich plików zajmie Ci 5 minut. Po dokonaniu płatności napisz do nas wiadomość e-mail. Jesteśmy online przez najbliższe 12 godzin.

Christine: Nigdzie nie zamawiałam szyfrowania plików, to musi być jakaś pomyłka. Sprawdźcie, proszę, swoją dokumentację, ponieważ wydaje mi się, że zaszyfrowaliście pliki niewłaściwej osoby. Proszę o przywrócenie moich plików, bo ich brak jest dla mnie dużym problemem. Czy jest jakiś numer telefonu, pod który mogę zadzwonić, aby porozmawiać z Waszym przedstawicielem i wyjaśnić całą sprawę?

Agent: Zaszyfrowanie plików jest efektem działania wirusa, a nie usługi. Kliknęłaś jakieś łącze lub pobrałaś program, który spowodował zaszyfrowanie plików. Teraz musisz zapłacić za ich odzyskanie. To nie jest coś, co zamówiłaś. Pobrałaś wirusa, teraz musisz więc zapłacić. Po upływie 24 godzin wysokość opłaty za odszyfrowanie zostanie podniesiona do 225 USD. Wcześniej kontaktowaliśmy się z Tobą kilkakrotnie, już teraz powinniśmy więc obciążyć Cię kwotą 225 USD. Ponieważ jednak widzę, że nie wiesz, czym jest wirus żądający okupu, dziś zostaniemy jeszcze przy 125 USD. Od jutra okup wyniesie 225 USD.

Christine: Hmm, to miło z Waszej strony. Dziękuję za pozostanie przy kwocie 125 USD, zwłaszcza że nie otrzymałam wcześniejszych wiadomości. Poszperałam trochę w Google i dowiedziałam się, czym jest ransomware. Dlaczego to robisz? Rozumiem, że po prostu dla pieniędzy, ale to bardzo nie w porządku. Może powinieneś zająć się jakąś inną działalnością? Czymś, co pozwoli Ci poczuć się dobrze? Jestem przekonana, że jesteś bardzo utalentowaną osobą. Jak nazywa się to oprogramowanie ransomware? Czy to Cryptowall?

Agent: Nie, to nie Cryptowall. Cryptowall działa całkiem inaczej. Nasze oprogramowanie nie ma nazwy. Napisz do nas wiadomość e-mail po dokonaniu płatności, a wtedy prześlemy Ci klucz do odszyfrowania plików. Przywrócenie Twojego komputera do stanu normalności zajmie Ci 5 minut.

Christine: Czy to Jigsaw? A może TorrentLocker? Weszłam na stronę localbitcoins.com, skąd jednak mam wiedzieć, którą pozycję na liście wybrać? Skąd się biorą te różne ceny?

Agent: Oprogramowanie nie ma nazwy, to kod prywatny. Różnice w cenach wynikają z różnic między poszczególnymi sprzedawcami. Podaj kraj, z którego piszesz, wtedy poszukam dla Ciebie sprzedawcy.

Christine: Jestem w Finlandii. A Ty skąd piszesz?

Agent: Twoja najlepsza opcja to ... (łącze do sprzedawcy bitcoinów w Europie). To sprzedawca, który akceptuje karty paysafecard. Kupujesz kartę, przesyłasz kod lub zdjęcie, a gdy klikniesz nazwę sprzedawcy, zobaczysz czas transakcji. Ten sprzedawca udostępnia bitcoiny średnio w ciągu 5 minut. Jeśli skorzystasz z przelewu SEPA, potrwa to 1–2 dni. 125 USD to 110 EUR.

Christine: Dziękuję za znalezienie dla mnie sprzedawcy. Skąd mam jednak wziąć kartę paysafecard? Nie wiem, co to.

Agent: Sprawdź placówki w swojej najbliższej okolicy. Kartę kupisz zwykle na stacji paliw lub w supermarkecie. Idziesz do kasy, płacisz, a w zamian otrzymujesz rachunek z kodem PIN. Wysyłasz zdjęcie sprzedawcy z localbitcoins. Wtedy on weryfikuje dostępność środków i natychmiast umieszcza bitcoiny w Twoim profilu. Miejsca, w których kupisz paysafecard, to — zgodnie ze znalezionymi przeze mnie informacjami — sklepy R-Kioski i Siwa.

Christine: OK, to wydaje się dość proste. Ale skąd mam wiedzieć, że naprawdę odzyskam pliki, gdy już Wam zapłacę? A co, jeśli po prostu weźmiecie moje pieniądze, a nie naprawicie moich plików? I czy zabierzecie to okropne roznegliżowane zdjęcie z mojego pulpitu?

Agent: Odblokowujemy każdy komputer, na 100%. Czy zrobisz to dziś? Wtedy będę mógł zostać online i Ci pomóc?

Christine: Nie mogę! Miałam bardzo pracowite popołudnie w pracy. Teraz muszę odebrać synka z przedszkola, bo zamykają je za pół godziny. Przez cały wieczór będę zajęta. Muszę zrobić to jutro. Mam nadzieję, że cena nie pójdzie w górę. A co z plikami, które wirus usunął — czy je również odzyskam?

Agent: Wszystkie pliki zostaną odszyfrowane, a wirus zniknie. Postaraj się. Nie mogę zagwarantować ceny. Nie mam nad tym kontroli. Jeśli nie, zobaczymy, co stanie się jutro.

Christine: Chodzi o to, które pliki zostaną odszyfrowane? WSZYSTKIE pliki na moim komputerze? Czy wszystkie pliki, które usunęliście?

Agent: Zaszyfrowane pliki programów, które blokują używane zwykle przez Ciebie programy, zostaną odszyfrowane. Programy, które wydają Ci się usunięte, tak naprawdę nie zniknęły. Zostały przeniesione do innej lokalizacji na Twoim komputerze i zaszyfrowane w kilku folderach. Zostaną one odszyfrowane i przeniesione do lokalizacji pierwotnej. Będę online jeszcze przez 2 godziny.

Christine (następnego dnia): Czy cena wciąż jest taka sama?

Agent: Cena wynosi 110 EUR. Tylko zrób to dziś. Sprzedawca bitcoinów, o którym pisałem wczoraj, dziś ich nie sprzedaje. Kurs bitcoina rośnie i ten sprzedawca chyba wyczerpał swoje zapasy. Kup kartę paysafecard i napisz do mnie wiadomość e-mail, znajdę dla Ciebie innego sprzedawcę. Daj znać, czy zrobisz to dziś. Znajdujemy się w całkiem różnych częściach świata, mogę więc poprosić kogoś online, żeby Ci pomógł.

Christine: Problem w tym, że u mnie w ten weekend mamy przerwę świąteczną i sklepy są pozamykane. Miałam mnóstwo na głowie przez dzieci i pracę, a mój mąż jest bardzo zajęty i nie może pomóc. Na której jesteś półkuli, zachodniej?

Agent: Jestem w Kanadzie. Odszyfrujemy Twoje pliki za 125 USD, o ile zapłacisz nam do północy 24 dnia tego miesiąca. Potem cena wzrośnie do 225 USD. Gdy tylko płatność do nas dotrze i otrzymamy powiadomienie, napiszemy do Ciebie wiadomość e-mail lub wejdziemy na czata, aby odblokować Twoje pliki. Na localbitcoins możesz kupić bitcoiny za pomocą karty paysafecard lub płatności Western Union albo Moneygram. Daj znać.

Christine: Jesteś w Kanadzie? Szukałam informacji o ransomware i odniosłam wrażenie, że wszystkie ataki są przeprowadzane z Rosji. To ciekawe. Czy to Twoje główne źródło dochodów? Północ 24 dnia miesiąca — w jakiej strefie czasowej?

Agent: Północ w Twojej strefie czasowej. Najlepiej będzie, jeśli zrobisz to rano. To ja czekałem w gotowości na Twoją odpowiedź 3 dni temu, bo wydało mi się dziwne, że napisałem do Ciebie wiadomość, a Ty odpowiadasz dopiero po 8 godzinach. Zrób to do piątku do północy, lecz jeśli zrobisz to rano (wg Twojego czasu), czyli ok. 4 lub 5 rano u mnie, otrzymam wiadomość, gdy napiszesz do mnie e-maila, a wtedy wstanę i rozwiążę Twój problem. Zwykle nawet nie negocjujemy ceny, ale rozumiem, że nie dostałaś naszych pierwszych wiadomości. Wiem, że osoba, która będzie dyżurować jutro, będzie niezadowolona, gdy zobaczy, że cena dla Ciebie wynosi w dalszym ciągu 125 USD. Postaraj się więc zrobić to rano, żebym mógł załatwić całą sprawę, a Ty nie będziesz już wtedy miała problemu. A jeśli chodzi o Twoje pytanie o dochody... nie mam pojęcia, skąd takie pytanie. Zostaliśmy zatrudnieni przez pewną korporację w celu zakłócenia codziennej działalności jej konkurencji przez cyberataki. Nigdy nie robiliśmy nic w Finlandii, a Ty wydajesz się być użytkownikiem indywidualnym, który otworzył niewłaściwą wiadomość, dlatego staram się utrzymać cenę na minimalnym poziomie.

Christine: To ciekawe. Czyli to dlatego okup jest taki niski — bo jesteście już opłacani przez jakąś korporację, więc najbardziej interesuje Was utrudnianie komuś działalności biznesowej, a nie zarobienie mnóstwa pieniędzy na okupach? To jakiś obłęd. Czy ta korporacja to jakaś legalna, znana firma? Spróbuję znaleźć otwarty sklep R-Kioski lub Siwa, choć może to być trudne podczas tego świątecznego weekendu. Najprostsza byłaby dla mnie płatność Paysafe.

Agent: Okup jest niski, ponieważ zaatakował Cię wirus o najmniejszym zasięgu. Celem było tylko zablokowane plików w celu spowolnienia produkcji pewnej korporacji, co pozwoliłoby naszemu klientowi z wyprzedzeniem wprowadzić na rynek podobny produkt. Chodzi tylko o zaszyfrowanie plików. Nic więcej. Żadne pliki nie zostały przeniesione, uszkodzone ani usunięte. Na dyskach twardych nie są wykonywane żadne polecenia autodestrukcji. Tak, to znana korporacja. Firma z listy Fortune 500. W dalszym ciągu nie rozumiem, jakim sposobem Ty i jeszcze jedna osoba z Finlandii dostałyście naszą wiadomość e-mail, skoro cel znajduje się w USA, a klient zawsze podaje nam kontaktowe adresy e-mail. Musisz znajdować się na czyjejś liście mailingowej. Ta druga osoba już zapłaciła za pomocą karty paysafecard. Kupiła ją w sklepie Siwa. Dostanę powiadomienie, gdy napiszesz do mnie wiadomość e-mail, daj mi więc znać, żebym mógł odblokować Twoje pliki.

Christine (3 dni później): Nie było nas przez cały weekend z powodu świątecznego weekendu. Pojechaliśmy do domku letniskowego znajomych na wsi, w którym nie ma prądu ani Internetu. W dalszym ciągu nie powiedziałam o niczym mężowi, bo zdenerwuje się, gdy się dowie, że mam wirusa na naszym komputerze i muszę za to zapłacić. Zresztą on rzadko korzysta z tego komputera. Zapłacę w tym tygodniu. Czy takie ataki hakerskie na inne firmy są bardzo powszechne wśród wielkich korporacji? Słyszałam, że takie rzeczy robią rządy państw, nie wiedziałam jednak, że przedsiębiorstwa również.

Agent: Tak. Ataki na korporacje mają miejsce każdego dnia. Postaraj się załatwić sprawę jak najszybciej. Jeszcze nigdy nie trwało to tak długo. Dziękuję.

Christine (następnego dnia): Poszłam dziś rano do R-Kioski, żeby kupić kartę paysafecard, lecz gdy powiedziałam pracownikowi, po co ją kupuję, odmówił mi sprzedania takiej karty. Hmm. Będę chyba musiała spróbować w innym miejscu. W pobliżu nie ma sklepu Siwa. Czy cena wciąż wynosi 125 USD? To, co przytrafiło się mojemu komputerowi i moim plikom, jest oczywiście bardzo nieprzyjemne, ale miło, że chociaż Ty jesteś tak pomocny.

Agent: Tak, zapłać 125 USD. Chcemy mieć to już za sobą. Nigdy nie słyszałem o odmowie sprzedaży karty. Skoro dajesz pracownikowi pieniądze, powinien Ci ją sprzedać. Postaraj się załatwić to dziś, bo bitcoiny są notowane jak akcje, a ich kurs wzrasta. Postaraj się.

Christine: Mam dobre wieści! Porozmawiałam ze znajomym znajomego, który nieźle zna się na technologii i pomógł mi odnaleźć sporo zdjęć na moim koncie Google. Nie zdawałam sobie sprawy, że tam są! Nie wiedziałam, że część moich plików jest kopiowana na konto Gmail, ponieważ rzadko go używam. Wydaje mi się, że te odnalezione pliki to w zasadzie większość tego, co jest mi tak naprawdę potrzebne, nie muszę się więc już martwić o odszyfrowanie danych z komputera. Nie mogę uwierzyć, że to mówię, ale byłeś bardzo pomocny — choć to przecież Wy ukradliście moje pliki. Potrafisz rozmawiać z ludźmi, mógłbyś pracować w jakiejś bardziej przyzwoitej branży i świetnie się spisywać. Tak z czystej ciekawości: czy Twoja firma działa jak prawdziwe, legalne przedsiębiorstwo, z normalną stroną internetową i wszystkim, co trzeba? Nie potrafię sobie wyobrazić, jak publicznie reklamujecie usługi tego typu.

Agent: Cieszę się, że odzyskałaś swoje pliki. Ja sam nie widzę klucza odszyfrowującego do chwili pojawienia się płatności w portfelu z bitcoinami. To takie zabezpieczenie w systemie. Nie promujemy naszych usług. Wielkie korporacje zawsze mają dział techniczny. Zwykle w jednym z ich działów pracuje haker, który kontaktuje się z nami, aby sprawdzić ich zabezpieczenia. Przy okazji takich kontaktów informują nas o swoich potrzebach. To zresztą nie tylko korporacje. Politycy, rządy, mężowie, żony... Ludzie ze wszystkich środowisk zlecają nam włamywanie się na komputery, telefony komórkowe itp. Jeszcze raz zaznaczę, że moim zdaniem znalazłaś się na niewłaściwej liście kontaktowej, ponieważ nie mamy klientów w Finlandii, a naszym celem nie są użytkownicy indywidualni, którzy przechowują na swoich komputerach zdjęcia rodzinne czy muzykę. Zwykle jest to znacznie bardziej skomplikowane. Miałaś sporo szczęścia. Gdyby wirus miał funkcję autodestrukcji, Twój komputer uległby całkowitej awarii. Zaopatrz się w dobry program antywirusowy.

Christine: OK, to teraz zadam pewnie głupie pytanie, ale jaki program antywirusowy polecasz?

Agent: Jeśli chodzi o program antywirusowy, to nie ma wątpliwości, że żadne oprogramowanie nie daje takiej ochrony jak eset nod32. Avast, Malwarebytes, AVG — w porównaniu z nim to wszystko słabe narzędzia.

Należy z rezerwą podchodzić do wszystkich słów "Agenta" - to mimo wszystko przestępca.

 

Ransomware - jak się chronić?

  1. Rób backup danych na zewnętrzne urządzenia lub do chmury - nigdy nie będziemy do końca pewni innych zabezpieczeń. Każdy system, firewall, antywirus, wtyczka itd. może zawieść. Uwaga! Nośniki zewnętrzne podłączone do komputera podczas infekcji również zostaną bezpowrotnie zaszyfrowane. Backup do chmury jest najlepszym rozwiązaniem, gdyż realizuje się automatycznie - nie trzeba o nim pamiętać.
  2. Unikaj logowania się na konto z uprawnieniami administracyjnymi do komputera. Pracuj na koncie użytkownika, a konta administratora używaj tylko wtedy, kiedy jest to konieczne, np. do instalacji programów.
  3. Systematycznie i często aktualizuj system operacyjny i programy - niwelujesz w ten sposób luki bezpieczeństwa wykryte przez twórców oprogramowania.
  4. Unikaj wchodzenia na strony zawierające niebezpieczne treści, klikania w podejrzane linki i używania nieznanych narzędzi.
  5. Bardzo ostrożnie otwieraj załączniki e-mail, nawet od zaufanych nadawców. Adres nadawcy w wiadomości e-mail łatwo jest podmienić i podać się za dowolną osobę. Znane są też sztuczki, dzięki którym plik wyglądający np. na PDF czy ZIP faktycznie jest plikiem z wirusem.
  6. Jeśli musisz otworzyć załącznik, a wydaje ci się on podejrzany, możesz bezpłatnie przeskanować go w serwisie www.virustotal.com. Pamiętaj jednak, by nie przesyłać plików zawierających poufne dane.
14:38, eprzekret
Link Dodaj komentarz »
środa, 13 lipca 2016

jigsawRansomware to jeden z najpopularniejszych rodzajów wirusów stosowanych przez cyberprzestępców. Jego ofiarami padają zarówno firmy, jak i prywatne osoby. Wyjaśniamy, na czym polega to zagrożenie.

„Pliki w twoim komputerze zostały zaszyfrowane - twoje dokumenty, zdjęcia, filmy, etc. Ale nie martw się - jeszcze ich nie usunąłem. Masz 24 godziny na zapłacenie 150 dolarów w Bitcoinach aby otrzymać klucz deszyfrujący. Co godzinę będę kasować kolejne pliki z twojego dysku. Za 72 godziny wszystkie znikną bezpowrotnie” - takim komunikatem i twarzą znanej postaci z horrorów wita się z użytkownikami wirus Jigsaw. To jeden z przykładów coraz częściej stosowanego oprogramowania typu ransomware (od angielskiej zbitki ransom i software - okup i oprogramowanie).

Sama opłata jest na tyle niska, by użytkownikowi bardziej opłacało spełnić żądania przestępców, niż płacić firmie profesjonalnie odzyskującej dane. Jednocześnie jest na tyle wysoka, by wysyłka przynosiła oszustom zyski przy dość niskich kosztach własnych (oprogramowanie do ataku można w sieci kupić za kilkadziesiąt dolarów, więc atakującym może być każdy). Zależnie od tego, kto pada ofiarą, okup wynosi zwykle od 200 do 10 tys. dol.

Przykłady ofiar są często dość spektakularne. W grudniu 2013 roku departament policji w Swansea w stanie Massachusetts zapłacił 750 dol. autorom wirusa CryptoLocker. To jeden z najbardziej znanych wirusów typu ransomware. Według McAfee Labs na jednej wysyłce CryptoLockera przestępcy zarobili 325 milionów dolarów. Ataku i zapłaty okupu nie ustrzegło się nawet FBI...

W maju lokalne media w Lubelskiem donosiły, że ofiarą ransomware padli pracownicy Urzędu Gminy z tamtejszego... Urzędowa. Nie wiadomo, czy instytucja zapłaciła okup. Choć polskie firmy nie lubią się przyznawać do szkód, jakie wyrządzają im wirusy, specjaliści od IT nieoficjalnie podają wiele takich przypadków. Na ransomware złapał się jeden z czołowych ubezpieczycieli specjalizujących się w ubezpieczeniach komunikacyjnych w Polsce, dwa sklepy internetowe plasujące się w czołowej dziesiątce polskiego e-commerce czy kilka prywatnych zakładów opieki medycznej. - Niemal codziennie dostajemy zgłoszenia od firm, które padły ofiarą ataku. Niestety w większości przypadków było już za późno - mówi Jakub Wychowański z firmy Vecto.

Ransomware - jak to działa?

Najczęściej zaczyna się od otwarcia załącznika z maila. Oszuści podszywają się na przykład pod pocztę, informując o nieodebranej przesyłce. W ten sposób namawiają do otwarcia załącznika z niebezpiecznym oprogramowaniem. - 60 proc. wirusów ukrywa się w normalnych plikach multimediów. Najczęściej antywirusowe programy nie zwracają na nie uwagi. Przez luki w oprogramowaniu można dostać się do komputera - tłumaczy Michał Jarski z firmy Trend Micro. Wirusa można tez złapać z innych źródeł: przez złośliwe reklamy wyskakujące w przeglądarce internetowej, strony www z treściami pornograficznymi czy na zewnętrznych nośnikach USB.
Potem złośliwe oprogramowanie w ciągu kilku minut szyfruje dysk i wyświetla informację z żądaniem okupu. Podczas szyfrowania na naszym komputerze wykonywana jest na nim duża ilość operacji, przez co urządzenie może zwolnić. Może to potrwać od 5 do 10 minut. Często w tym czasie wyłączenie sprzętu i odłączenie go od sieci może zablokować proces szyfrowania. Nie pomoże to w usunięciu samego oprogramowania, ale może uratować nasze dane.

Pieniądze z oszustwa trafiają na konta „słupów”, a potem do osób rozsyłających takie oprogramowanie. Okup wypłacany jest najczęściej w bitcoinach lub w kodach serwisów przedpłaconych takich jak PaySafeCard. W ten sposób łatwiej jest „upłynnić” i wyprać pieniądze - na przykład w kasynach (podobnie jak cyberwłamywacze, którzy okradli bank centralny Bangladeszu).

Jeszcze kilka lat temu cyberprzestępcy tylko straszyli. Logo policji, informacja o znalezionej przez nią pornografii dziecięcej, blokada możliwości zrobienia czegokolwiek na komputerze i prośba o zapłacenie okupu w zamian za rezygnację ze śledztwa. Wystarczyło więc podłączyć dysk do innego sprzętu i skopiować pliki. Dziś pliki są szyfrowane - bez podania klucza właściwie nie mamy szans na odzyskanie danych. - To odwrócenie klasycznych form ataku. Zamiast wynosić dane na zewnątrz, atakujący zużywają je po stronie użytkownika. To tak jakby zamknąć komuś sejf i za dwieście dolarów podać klucz - mówi Jarski.

Ransomware - czy warto płacić?

Zdaniem Jarskiego - nie. - Atakujący wie już, że znalazł czuły punkt, w który może uderzyć po raz kolejny. A każdy okup finansuje kolejne ataki. Poza tym zapłacenie okupu nigdy nie oznacza końca problemów. Oprócz ransomware na naszym komputerze znaleźć się bowiem mogło oprogramowanie na przykład śledzące wszystkie wpisane z klawiatury znaki (dzięki któremu przestępcy będą mogli zdobyć nasze hasła) lub takie, które wyświetli na naszym komputerze spreparowaną stronę banku, by przekonać nas do wykonania przelewu na ich konto. Często po takiej infekcji konieczne jest całkowite sformatowanie dysku (usunięcie z niego wszystkich plików) i odzyskanie plików z kopii zapasowej - mówi.

Z kolei Arkadiusz Krawczyk z Intel Security zwraca uwagę na jeszcze inne skutki ataku ransomware: - Oczywiście cyberprzestępcom zależy na tym, aby ich biznes przynosił jak największe zyski, dlatego w większości przypadków po opłaceniu okupu przesyłają użytkownikowi klucz do odszyfrowania plików. Gdyby tego nie zrobili, ludzie przestaliby im płacić. Sprawę może rozwiązać dobry backup, który sprawi, że stracone dane będzie można odzyskać bez konieczności wpłacania okupu. Ale i to zabezpieczenie cyberprzestępcy potrafią dziś obejść, strasząc nie tylko zaszyfrowaniem danych, ale i - tak jest w przypadku ataków na urządzenia mobilne - przesłaniem historii wyszukiwania użytkownika do wszystkich kontaktów.

Ransomware - jak uniknąć zarażenia? (porady przygotowane przez firmę Vecto)

  1. Rób backup danych na zewnętrzne urządzenia lub do chmury - nigdy nie będziemy do końca pewni innych zabezpieczeń. Każdy system, firewall, antywirus, wtyczka itd. może zawieść. Uwaga! Nośniki zewnętrzne podłączone do komputera podczas infekcji, również zostaną bezpowrotnie zaszyfrowane. Backup do chmury jest najlepszym rozwiązaniem gdyż realizuje się automatycznie - nie trzeba o nim pamiętać.
  2. Unikaj logowania się na konto z uprawnieniami administracyjnymi do komputera. Pracuj na koncie użytkownika, a konto administratora używaj tylko wtedy, kiedy jest to konieczne, np. do instalacji programów.
  3. Systematycznie, często aktualizuj system operacyjny i programy - niwelujesz w ten sposób luki bezpieczeństwa wykryte przez twórców oprogramowania.
  4. Unikaj wchodzenia na strony zawierające niebezpieczne treści, klikania w podejrzane linki i używania nieznanych narzędzi.
  5. Bardzo ostrożne otwieraj załączniki e-mail, nawet od zaufanych nadawców. Adres nadawcy w wiadomości e-mail łatwo jest podmienić i podać się za dowolną osobę. Znane są też sztuczki, dzięki którym plik wyglądający np. na PDF czy ZIP faktycznie jest plikiem z wirusem.
  6. Jeśli musisz otworzyć załącznik, a wydaje ci się on podejrzany, możesz bezpłatnie przeskanować go w serwisie www.virustotal.com. Pamiętaj jednak, by nie przesyłać plików zawierających poufne dane.

Poniższy artykuł napisałem razem z Arkiem Przybyszem z "Gazety Wyborczej".

13:35, eprzekret
Link Dodaj komentarz »

28-letni Edward Majerczyk z Chicago przyznJennifer Lawrenceał się do tego, że wykradał gwiazdom Hollywood nagie zdjęcia z ich kont internetowych. Grozi mu 5 lat więzienia.

O wycieku nagich zdjęć celebrytek głośno było jesienią dwa lata temu. Do sieci trafiły fotografie kilkuset gwiazd z pierwszych stron gazet - m.in. gwiazdy tabloidów Kim Kardashian, laureatki Oscara Jennifer Lawrence, laureatki Złotej Palmy Kirsten Dunst, piosenkarek Rihanny, czy serialowej gwiazdki Victorii Justice. Autentyczność zdjęć potwierdziła m.in. Lawrence. Internauci szybko zaczęli kopiować pliki i można je było znaleźć w tysiącach miejsc w sieci. O sprawie pisały media na całym świecie.

Początkowo specjaliści podejrzewali, że włamywacz wybierał konta gwiazd i potem metodą prób i błędów zgadywał prawidłowe hasła. Ale Apple (to do niego należy usługa iCloud, z której pochodziła większość zdjęć) zaprzeczył temu, twierdząc, że jego zabezpieczenia nie zostały złamane.

Dziś wszystko jest już jasne. Apple miał rację - nikt nie próbował odgadywać haseł celebrytek. Za włamaniami stało dwóch mężczyzn i posłużyli się oni metodą phishingu. Ryan Collins i Edward Majerczyk przyznali się do zarzucanych mu czynów. O Majerczyku niewiele wiadomo poza tym, że ma 28 lat, mieszka w Chicago i - sądząc po imieniu i nazwisku - jest Polakiem. Collins zaś ma 36 lat i pochodzi z Pensylwanii.

Obaj używali prostego oszustwa - wysyłali gwiazdom fałszywe maile, które wyglądały jak komunikaty o naruszeniu bezpieczeństwa na kontach w iCloud lub poczcie Gmail. W wiadomości był link, który ofiara miała kliknąć, by „zabezpieczyć swoje konto”. Ale skutek był odwrotny - link prowadził do stron identycznie wyglądających, jak wyżej wspomniane usługi, ale wyłudzających loginy i hasła do iCloud oraz Gmaila. A mając hasła, przestępcy mogli swobodnie buszować po prywatnych danych gwiazd i wykradać ich sekretne zdjęcia.
Ryan Collins w marcu poszedł z amerykańskim sądem na ugodę i musi odsiedzieć 18 miesięcy. Edward Majerczyk dopiero będzie sądzony - grozi mu 5 lat więzienia.

Przed tego rodzaju włamaniem, jakiego ofiarą padły celebrytki, można się łatwo zabezpieczyć. Wystarczy - wszędzie, gdzie to możliwe - włączyć tzw. dwuskładnikowe uwierzytelnianie (kliknij, by zobaczyć, jak to się robi).

Tagi: włamanie
13:29, eprzekret
Link Dodaj komentarz »
środa, 25 maja 2016

z17829862Q,Jak-na-razie-oszusci-z-metoda-na--pracownika-Micro

Nowy sposób wyłudzania pieniędzy przez sieciowych oszustów. Tym razem blokują internautom dostęp do komputera i udają pracowników firmy Microsoft.
 
Sposób oszustwa jest nietypowy i oparty na mechanizmie ransomware. To rodzaj złośliwego oprogramowania, które blokuje użytkownikowi dostęp do komputera lub szyfruje mu pliki. Aby internauta odzyskał do nich dostęp, musi zapłacić okup. Wtedy cyberprzestępca podaje internaucie odpowiedni klucz, którym można pliki lub dostęp do komputera odzyskać. To nic innego jak wprowadzenie szyfru do sejfu w domu ofiary, a potem żądanie pieniędzy za ujawnienie tego szyfru. W przypadku oszustwa na pracownika Microsoftu różnica polega na tym, że ofiary nie wiedzą, iż mają zapłacić okup. Ale po kolei.

Fałszywy komunikat o licencji Windowsa

Wszystko zaczyna się w momencie, gdy komputer ofiary zostaje zarażony robakiem rozprowadzanym jako dodatek do aplikacji wyświetlających reklamy adware na stronach internetowych. Robak napisany jest oczywiście przez cyberprzestępców. Gdy ofiara po raz kolejny włączy komputer, złośliwe oprogramowanie blokuje go i wyświetla fałszywe okno o aktualizacji systemu Windows. Informuje w nim, że licencja Windowsa wygasła i konieczny jest kontakt telefoniczny ze wsparciem technicznym Microsoftu.

Ofiara wykręca więc numer widoczny w komunikacie i słyszy w słuchawce "konsultanta", czyli oszusta. Ten tłumaczy, że owszem, da się odblokować komputer, uaktualnić licencję, ale za 250 dol. Oszust używa jeszcze jednej sztuczki, by się uwiarygodnić jako pracownik Microsoftu. Firma Malwarebytes, która przeanalizowała kod złośliwego oprogramowania, wykryła, że wbudowany jest w nim program TeamViewer. To bardzo popularne na całym świecie narzędzie do zdalnego przejęcia komputera. Używane jest w wielu firmach i przez wiele zespołów technicznych w firmach IT. Ofiara widzi więc, że "konsultant Microsoftu" przejął jej komputer i "próbuje" jej pomóc, omijając blokadę. To sprawia, że ofiara jest pewna, że ma do czynienia z pracownikiem technicznym i że bez zapłaty 250 dol. się nie obejdzie. - Wyłudzenia "na support" będą stopniowo ewoluować - mówi Hubert Walnik, starszy specjalista ds. technicznych firmy ANZENA - Dlaczego? Bo iluzja uzyskiwania wsparcia w trudnej, niezawinionej przez użytkownika sytuacji ("jakiś problem z Windows") jest z oczywistych względów atrakcyjniejsza, niż uczucie "właśnie zrobiłem coś głupiego" i strach wywołany zaszyfrowaniem danych.

Microsoft ostrzega

Jak na razie oszuści z metodą na pracownika Microsoftu celują głównie w internautów z Wysp Brytyjskich, Stanów Zjednoczonych i Kanady. Sam Microsoft już ostrzegł przed jakimikolwiek telefonami z żądaniem opłaty za rzekomą pomoc od osób podających się za jej pracowników czy współpracowników.

Jak się przed takim zagrożeniem chronić? Aktualizować swoje przeglądarki internetowe, programy antywirusowe, używać programów blokujących reklamy i robić kopie zapasowe swoich danych.
Tagi: Przekręty
13:26, eprzekret
Link Dodaj komentarz »
z17074173Q,Szef-NIK-Krzysztof-KwiatkowskiBrak odpowiednich zabezpieczeń, strategii, koordynacji prac i wysokie ryzyko utraty danych przez instytucje publiczne. Najwyższa Izba Kontroli opublikowała kolejny alarmujący raport.
 
Inspektorzy skontrolowali sześć instytucji - resorty skarbu państwa, spraw wewnętrznych i sprawiedliwości oraz Komendę Główną Straży Pożarnej, NFZ i KRUS. Tylko tę ostatnią byli w stanie ocenić pozytywnie. KRUS wprowadził wszystkie procesy wymagane dla zabezpieczenia danych, bo chciał uzyskać międzynarodowy certyfikat bezpieczeństwa ISO 27001. Co prawda przy wprowadzaniu tych procesów nie ustrzegł się błędów inżynieryjnych, ale to i tak nic strasznego w porównaniu z pozostałymi instytucjami.

U innych chwalić nie było czego. - Procesy zapewnienia bezpieczeństwa informacji realizowane były chaotycznie. Stwierdziliśmy też ograniczoną wiedzę kierownictwa o wymogach bezpieczeństwa informacji - mówi prezes Najwyższej Izby Kontroli Krzysztof Kwiatkowski. W instytucjach w zasadzie nie było żadnych strategii cyberbezpieczeństwa. Pracownicy opierali się wyłącznie na nieformalnych zasadach wynikających z dotychczasowego doświadczenia. Zajmowali się tym głównie pracownicy IT, a pozostała część kadry cyberbezpieczeństwem się nie martwiła.

Słaby punkt: człowiek

To poważny błąd, bo obecnie największa liczba ataków opiera się na słabościach człowieka. Za pomocą socjotechniki i maili, których nadawcy czy instytucje (tzw. phishing) manipulują ofiarą, by ta wgrała na swój komputer wirusa lub udostępniła im swoje dane logowania do danego systemu. Z raportu NIK wynika, że instytucje publiczne, owszem, inwestowały w ochronę, ale bardziej w oprogramowanie niż w uświadamianie ludzi o zagrożeniach. Samo oprogramowanie było kupowane na chybił trafił. Urzędnicy kupowali np. programy chroniące infrastrukturę IT, bo... wydawało im się, że akurat taki, a nie inny obszar może zostać zaatakowany. Nie zawsze wiedzieli, gdzie naprawdę może się kryć zagrożenie. - Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem przetwarzanych informacji - mówi Kwiatkowski.

A zagrożenia mogą przyjść z każdej strony i mieć ogromne skutki. Przykłady można mnożyć. W czerwcu zeszłego roku z amerykańskiego Urzędu ds. Zarządzania Kadrami cyberprzestępcy wykradli dane 21,5 mln osób: nazwiska, daty urodzenia, adresy domowe, numery ubezpieczenia, a w ponad 5 mln przypadków nawet skany linii papilarnych! W grudniu w wyniku ataku hakerskiego doszło do zakłóceń pracy jednej z elektrowni ukraińskich i odcięcia 700 tys. mieszkańców na kilka godzin od prądu. Zaledwie cztery miesiące temu przestępcy przejęli zaś skrzynkę pocztową premiera Czech Bohuslava Sobotki. A w niej? Korespondencja dotycząca migracji, rokowań koalicyjnych, kampanii prezydenckiej, wyboru prezesa czeskiego radia publicznego, czeskiej ropy, dialogu z Niemcami sudeckimi czy prywatnej hipoteki premiera. Mnóstwo materiałów, by przewrócić życie polityczne w kraju i na arenie międzynarodowej.

Chronione minimum

Polskie instytucje zabezpieczają jedynie te informacje, które nakazuje ustawa. Ale co z tego, że pod ochroną są dane osobowe czy informacje niejawne, skoro pozostałe są dla cyberprzestępców niemal na wyciągnięcie ręki? A wyciągną ją po wszelkie dane, które mogą potem wykorzystać na setki sposobów: np. do szantażu (informacje o życiu prywatnym), wyłudzenia (nie trzeba mieć hasła do banku ofiary, czasem wystarczy trochę socjotechniki, by je zmienić lub pozyskać), ośmieszenia itd. Wymieniać można długo.

Aż dziw, że w Polsce do tak drastycznych ataków na infrastrukturę krytyczną jeszcze nie doszło. "Istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce" - pisze NIK w pokontrolnym komunikacie.

To zresztą nie pierwszy raz, gdy Izba o tym ostrzega. Podobne badanie przeprowadziła niemal równo rok temu i wnioski także były druzgocące. "Działania podmiotów państwowych były rozproszone i prowadzone bez spójnej wizji systemowej. Sprowadzały się one do doraźnego, ograniczonego reagowania na bieżące incydenty oraz biernego oczekiwania na regulacje unijne. W Polsce brakuje jednego ośrodka koordynującego działania innych instytucji w zakresie ochrony cyberprzestrzeni" - alarmował wtedy NIK.

Alarmuje także Ministerstwo Cyfryzacji, które już odniosło się do najnowszego raportu Izby. Obie instytucje rekomendują stworzenie na szczeblu centralnym jednolitych przepisów obowiązujących wszystkie podmioty publiczne w kwestii cyberbezpieczeństwa. Resort dodatkowo chce także stworzyć Rządowy Klaster Bezpieczeństwa, który nadzorowałby przez 24 godziny na dobę bezpieczeństwo systemów instytucji publicznych.

Na razie od zeszłorocznego raportu NIK w instytucjach publicznych nic się w cyberbezpieczeństwie nie zmieniło.
12:57, eprzekret
Link Dodaj komentarz »
czwartek, 12 maja 2016

retro5_250x250Patryk S., ostatni z czwórki ludzi stojących za aferą 66procent.pl i RetroButa, odnalazł się na boiskach śląskiej ligi okręgowej. Ale prokuratura nie postawiła mu zarzutów.

32-letni S. i Michał B. byli kierownikami biura sklepu internetowego 66procent.pl. Pierwszy odpowiadał za organizację pracy, drugi za sprawy informatyczne. Całym biznesem natomiast zawiadywali Mateusz G. i Rafał K. Ci dwaj ostatni stali też za takimi e-sklepami, jak Pilkasklep.pl, 66prezent.pl i RetroBut.pl. We wszystkich mieli ten sam sposób działania: wystawiali markowe buty i ubrania w bardzo atrakcyjnych cenach. Sklepy reklamowali na największych polskich portalach, co sprowadzało do nich dziesiątki tysięcy klientów. Zbierali od nich zamówienia, ale nie wysyłali towaru. Gdy o podejrzanym sklepie robiło się głośno, zakładali następny. Klienci swych pieniędzy nie odzyskiwali. W ten sposób Mateusz G. i Rafał K. wyłudzili ponad 20 mln zł.

Obaj ukrywają się w Azji. Według naszych informacji na przełomie 2012 i 2013 roku Michał B. i Patryk S. zerwali współpracę z szefami całego biznesu i wyjechali za granicę. Michał B. został pół roku temu zatrzymany przez w Niemczech. Złożył obszerne zeznania i usłyszał zarzut pomocnictwa w oszustwie, za co grozi mu do 8 lat więzienia. Prokurator zabrał mu paszport, zakazał wyjeżdżania z kraju i zarządził dozór policyjny. O Patryku S. natomiast nie było ani widu, ani słychu. To on razem z B. założył w lutym 2013 roku na Seszelach spółkę za pośrednictwem kancelarii Mossack Fonseca, znanej na całym świecie dzięki wyciekowi tzw. Panama Papers.
Patryk S. od 2013 roku ukrywał się w Tajlandii. I taka wersja utrzymywała się do tej pory. „Wyborcza” dotarła jednak do nowych informacji - S. od niecałego roku znów przebywa w Polsce. Przez nikogo niepokojony gra w jednym z klubów w śląskiej klasie okręgowej - to szósta klasa rozgrywek w polskiej piłce nożnej. Jest obrońcą, w ostatnim meczu, w środę, rozegrał pełne 90 minut. Kolejny raz wyjdzie na murawę w sobotę.

Wie o tym także prokuratura w Płocku, która prowadzi śledztwo w sprawie wspomnianych e-sklepów. Patryk S. nie ma statusu podejrzanego, ani nie jest poszukiwany. - Był kilkakrotnie przesłuchiwany w charakterze świadka i składał obszerne zeznania. Natomiast z wiedzy prokuratora referenta wynika, że prawdopodobnie jest podejrzanym w postępowaniach prowadzonych przez inne jednostki prokuratury. Sprawy te nie są związane z naszym śledztwem - mówi Iwona Śmigielska-Kowalska, rzecznik prasowy płockiej prokuratury. Dlaczego nie usłyszał w Płocku zarzutów? Na podstawie dotychczas zebranych dowodów prokurator uznał, że jego zachowanie nie wypełniało znamion przestępstwa. - Prokurator ocenił, że podejmowane przez niego działania stanowiły realizację obowiązków wynikających z jego umowy o pracę. Ponieważ postępowanie trwa, a materiał dowodowy jest uzupełniany, nie można wykluczyć, że status Patryka S. ulegnie zmianie - wyjaśnia Śmigielska-Kowalska.

Patryk S. nie odpowiedział na pytania, które mu przesłaliśmy. Całe śledztwo lada moment po raz kolejny zostanie przedłużone. Śledczy wciąż gromadzą materiał dowodowy, by ustalić liczbę pokrzywdzonych i rozmiary szkody. Przesłuchali już kilkanaście tysięcy osób, które nabrały się na lewe e-sklepy.

Tagi: Przekręty
15:53, eprzekret
Link Komentarze (1) »

Ludzie stojący za aferą RetroButa uciekli do Azji, ale nowe tropy prowadzą do rajów podatkowych.

Sprawa RetroButa to największy przekręt w historii polskiego internetu, na którym klienci stracili ponad 20 mln zł. E-sklepy oferowały markowe towary w cenach o 70-80 proc. niższych. Klienci - mamieni "jedyną taką okazją" - kupowali po kilka par butów czy sztuk ubrań. Towar w większości przypadków nie dochodził, a jeśli już - okazywał się tanim szmelcem z Azji. Pieniędzy klienci także nie odzyskiwali.

Proceder rozpoczął się równo cztery lata temu, przed Euro 2012, i ciągnął się do 2014 r. Gdy wokół jednego sklepu zaczynała krążyć zła sława, oszuści zakładali następny. Wyłudzili ponad 20 mln zł kolejno w sklepach: Pilkasklep.pl, 66procent.pl, 66prezent.pl i RetroBut.pl. Serwisy były rejestrowane w Azji.

Kolejne sklepy

Mózgiem procederu był 29-letni dziś Mateusz G., jego prawą ręką o rok młodszy Rafał K. Kolejne osoby w hierarchii to 32-letni były piłkarz Patryk S. i 24-letni informatyk Michał B. Najgorętszy okres ich działalności to 12 miesięcy między jesienią 2012 r. i jesienią 2013 r. We wrześniu 2012 r. startuje 66procent.pl, Mateusz G. i Rafał K. zakładają biuro w Katowicach i zatrudniają 18 osób. "Kierownikami" biura są Patryk S. i Michał B. To ich nazwiska pojawiają się w "Panama papers", ale żeby zająć się kwitami, trzeba przybliżyć kalendarium ich procederu.

Od jesieni 2012 r. biuro pracuje na pełnych obrotach. Apogeum nadchodzi przed mikołajkami. Od 25 października do 5 grudnia sklep notuje ponad 25 tys. zamówień na niemal 7 mln 100 tys. zł. Ale kilka dni później dochodzi do rozłamu. Dwaj główni autorzy procederu Mateusz G. i Rafał K. są już w Azji, a w Katowicach Patryk S. i Michał B. oznajmiają w biurze: - Pokłóciliśmy się z G. i K., odchodzimy z firmy. A wy lepiej poszukajcie sobie pracy.

Pracownicy w środku świątecznej gorączki zakupowej zostają pozostawieni sami sobie. - Po odejściu Michała i Patryka skontaktował się z nami Rafał K. z Azji. Zapytał: "To Michał nie wspomniał, że rąbnął nam z konta 400 tys.?" - mówi "Wyborczej" pracująca wtedy w biurze 66procent.pl kobieta.

Jest luty 2013 r. Mateusz G. i Rafał K. ukrywają się w Azji, po Michale i Patryku ślad ginie. Odnajdujemy go w materiałach "Panama papers", wielkiego wycieku z panamskiej kancelarii prawnej Mossack Fonseca, który zatrząsł światem polityki i pokazał, jak wielkim problemem jest przenoszenie środków do rajów podatkowych. Michał B. i Patryk S. kontaktują się wtedy z Pawłem Banasiem. To pośrednik, który od 1994 r. załatwiał - przez panamską kancelarię - zakładanie firm w rajach podatkowych. Banaś ma swoją firmę w tym się specjalizującą, jest też... masażystą i pełnomocnikiem salonu masażu na warszawskiej Białołęce. W lutym rejestruje spółkę Mike & Dick Co. Udziałowcy? Michał B. i Patryk S. - obaj mają po 25 tys. akcji na okaziciela.
z14841953Q,Strona-internetowa-retrobut-pl
Paweł Banaś w e-mailach wymienianych z Mossack Fonseca nie tłumaczy, komu potrzebna jest spółka ani czym ma się zajmować. Formalnie działała ona do 2014 r., jej ostateczna likwidacja nastąpiła 19 stycznia 2015 r. Spółka została powołana w momencie, gdy B. i S. odcięli się (jeśli wierzyć relacjom pracowników) od Mateusza G. i Rafała K. Po co więc była im firma w raju podatkowym? Być może chcieli tam ukryć pieniądze, które wy- ciągnęli z internetowych sklepów. Ale mogło być i tak, że rozłam w grupie był zmyślony. Jak mówią "Wyborczej" byli pracownicy całej czwórki, często podawali oni kilka wersji wydarzeń, zmieniali zdanie i starali się mącić w głowach podwładnym. Po 66procent.pl w połowie 2013 r. Mateusz G. i Rafał K. założyli ostatni ze swoich wielkich lewych biznesów - RetroBut.pl. Czy pieniądze z tego sklepu także trafiły na Seszele? Odpowiedzi na to pytania w "Panama papers" nie ma.

Nieskuteczny pościg

Ale jest ciąg dalszy historii grupy. Z całej czwórki w ręce policji wpadł na razie tylko najmłodszy z nich - Michał B. - Zatrzymany został w listopadzie na terenie Niemiec na podstawie europejskiego nakazu aresztowania. Podejrzany złożył obszerne wyjaśnienia - mówi rzeczniczka prasowa płockiej prokuratury Iwona Śmigielska-Kowalska. Prokurator Andrzej Tokarski, prowadzący śledztwo, potwierdza: - Wiemy o spółce na Seszelach. Michał B. sam nas o niej poinformował. Ci mężczyźni mieli wiele takich spółek o egzotycznych nazwach, zakładanych przez pośredników - w Tajlandii, Hongkongu, na Seszelach. Palców jednej ręki nie starczyłoby na ich policzenie. Nie mogę jednak zdradzić szczegółów dotyczących śledztwa.

Nie wiadomo, co się dzieje z Patrykiem S. Wygląda na to, że najskuteczniej się ukrył. A co z głównymi ojcami wielkiego przekrętu Mateuszem G. i Rafałem K.? Ich adwokat Robert Grzegorczyk... nie wie, gdzie są: - Dawno nie miałem z nimi kontaktu, ale z drugiej strony nie było też takiej potrzeby. Na ten moment nie jestem nawet w stanie powiedzieć, gdzie oni przebywają. Są bardzo mobilni, więc cokolwiek na temat miejsca ich pobytu bym powiedział, może być nieaktualne.

Z kolei płocka prokuratura jest przekonana, że nadal przebywają w Azji. Mateusz G. - w Tajlandii, gdzie ma rodzinę, Rafał K. - w Chinach. - Oczywiście są za nimi wdrożone poszukiwania międzynarodowe, ale do dzisiaj nieskuteczne - mówi Iwona Śmigielska-Kowalska. "Wyborcza" dotarła do nowego tropu - Mateusza G. i Rafała K. można odnaleźć w... Krajowym Rejestrze Sądowym. Pół roku temu pod krakowskim adresem, w którym mieści się wirtualne biuro, zarejestrowali Centrum Reklamacji. - Założyli firmę? To wykracza poza zakres mojego pełnomocnictwa - ucina od razu mec. Robert Grzegorczyk.

Jak udało nam się dowiedzieć, G. i K. założyli spółkę przez innego swojego pełnomocnika, nie pojawili się w Polsce osobiście. Są poszukiwani przez polską policję. Michałowi B. postawiono zarzut pomocnictwa w przestępstwie oszustwa. Prokurator uchylił wobec niego areszt tymczasowy, zabrał mu paszport, zarządził zakaz opuszczania kraju, dozór policyjny i poręczenie majątkowe. Grozi mu do ośmiu lat więzienia.

Międzynarodowe śledztwo dziennikarskie "Kwity z Panamy" ("Panama Papers")
Opisuje klientów rajów podatkowych, a wśród nich: głowy państw i ich rodziny, działacze polityczni i sportowi, miliarderzy i pospolici przestępcy. Tropem ich pieniędzy przez blisko rok podążali reporterzy "Süddeutsche Zeitung" oraz 108 innych redakcji z 76 krajów pod egidą Międzynarodowego Konsorcjum Dziennikarzy Śledczych (International Consortium of Investigative Journalists, ICIJ), do którego obok "Le Monde", "Guardian", BBC czy "Wiedomosti" należy również "Gazeta Wyborcza". Spośród 11,5 mln dokumentów, które wyciekły z panamskiej kancelarii podatkowej Mossack Fonseca, niektóre pośrednio lub bezpośrednio wskazują, że z rajów podatkowych korzystał tuzin obecnych i byłych głów państw oraz 128 polityków i urzędników państwowych. Dane obejmują okres od 1977 r. aż do grudnia 2015 r.
Tagi: Przekręty
14:28, eprzekret
Link Dodaj komentarz »
środa, 13 kwietnia 2016

(Poniższy tekst stworzyłem na podstawie wypowiedzi specjalistów na Polskim Forum Cyberbezpieczeństwa Cybersec, które odbyło się 8 kwietnia na Stadionie Narodowym w Warszawie. Foto: Piotr Droździk.)

26337359051_4274071133_bPolska miałaby duży problem, gdyby doszło do sieciowych ataków na infrastrukturę krytyczną. Minister cyfryzacji Anna Streżyńska zapowiedziała, że jeszcze w tym roku powstanie Strategia Cyberbezpieczeństwa. Z kolei prokurator krajowy Bogdan Święczkowski obiecuje powołanie zespołów do walki z cyberprzestępczością we wszystkich prokuraturach.

Zaledwie tydzień temu do sieci trafiły dane (imię, nazwisko, imiona rodziców, data i miejsce urodzenia, adres zameldowania oraz turecki odpowiednik numeru PESEL) prawie 50 mln obywateli Turcji. Cały kraj zamieszkuje 78 mln osób. Z takim pakietem informacji można przeprowadzić setki oszustw i wyłudzeń. Turcja nie potwierdziła jeszcze, czy dane są prawdziwe, ale dziennikarze, którzy mają do nich dostęp, sprawdzili je wyrywkowo i potwierdzili ich autentyczność. Informacje te zostały wykradzione - prawdopodobnie z serwerów rządowych - kilka lat temu, ale opublikowano je dopiero teraz. Dane prezydenta i premiera Turcji hakerzy umieścili wyróżnione, na samej górze listy. - Jeśli to się potwierdzi, to będzie to atak stulecia - ocenia minister cyfryzacji Anna Streżyńska.

To niejedyny przykład cyberwojny. W lutym rosyjscy przestępcy zablokowali stronę fińskiego ministerstwa obrony. Atakowano też strony rządu i innych tamtejszych resortów: finansów, spraw socjalnych i zdrowia, rolnictwa i leśnictwa. W styczniu z kolei hakerzy zaatakowali ukraińskie elektrownie i doprowadzili do tego, że 700 tys. osób przez sześć godzin nie miało prądu.

Internetowa Estonia sparaliżowana

Polska na razie nie była celem cyberterroryzmu, a przynajmniej rządy nigdy o takiej sytuacji nie informowały opinii publicznej. Żeby łatwiej sobie wyobrazić, jak mógłby wyglądać taki cyberatak na tzw. infrastrukturę krytyczną, wystarczy sobie przypomnieć, czego doświadczyła Estonia w 2007 roku. Hakerzy przez trzy tygodnie atakowali serwery w tym państwie. Nie działały dwa największe banki, strony parlamentu, ministerstw, partii politycznych, policji, a nawet szkół. W efekcie problem mieli nie tylko rządzący, ale i zwykli ludzie, którzy nie mogli na przykład dokonać przelewów internetowych. Estonia jest jednym z najlepiej scyfryzowanych krajów w Unii Europejskiej, więc ataki były tym bardziej uciążliwe dla zwykłego obywatela. - W obecnych czasach nie potrzeba pocisków, żeby zniszczyć infrastrukturę. Można to zrobić online - mówił wtedy prezydent kraju Toomas Hendrik Ilves. Ataki były zorganizowane przez rosyjskich hakerów i miały być protestem przeciw usunięciu z centrum Tallinna pomnika żołnierzy radzieckich. Przestępcy użyli prostej, ale skutecznej metody - ataków DDoS, czyli zapchania serwerów zmasowanym ruchem internetowym.

CyberGROM i specjaliści ochotnicy

Gdyby hakerzy chcieli zaatakować polską infrastrukturę, prawdopodobnie nie mieliby z tym większego problemu. - Jeśli szykujemy się do pokoju, jesteśmy dobrze przygotowani. Ale do wojny w ogóle - ocenia prof. Konrad Świrski z Politechniki Warszawskiej, zajmujący się m.in. technologiami informatycznymi dla energetyki, gazownictwa i przemysłu. W niebezpieczeństwie są też zwykli obywatele, a nie tylko instytucje państwa. - Musimy pamiętać, że bezpieczeństwo wirtualne jest ściśle powiązane z tym realnym. Przykładem są próby nadużyć w programie 500+. Tylko w pierwszych dniach jego działania wychwyciliśmy 150 serwisów podszywających się pod strony rządowe - mówi minister Streżyńska.

Czego brakuje? - Nie mamy specjalnych oddziałów do walki z tym zjawiskiem, nie mamy "cyberGROM-u" ani planów konkretnych działań. Pamiętajmy, że za pomocą ataków hakerskich można zdalnie zrzucać samoloty - podkreśla Mirosław Maj, prezes fundacji Bezpieczna Cyberprzestrzeń. To m.in. za sprawą jego fundacji powstało stowarzyszenie Polska Obywatelska Cyberochrona. To grupa specjalistów IT ochotników, która wykorzystuje swe umiejętności i wiedzę, by w razie cyberterroryzmu pomóc państwu się obronić. W grupie są polscy specjaliści zatrudniani także przez światowe koncerny technologiczne. Podobny zespół ma wspomniana Estonia. - W tamtejszej Lidze Obrony są oddziały cybernetyczne. To cywile, ludzie z przedsiębiorstw czy urzędów, którzy na czas wojny mają przypisane zadania z zakresu cyberochrony - opowiada Grzegorz Poznański, dawniej ambasador w Estonii, obecnie dyrektor departamentu polityki bezpieczeństwa w MSZ.

Rządowa strategia i cyberprokuratorzy

O braku procedur i zabezpieczeń wiedzą też politycy z pierwszych stron gazet. Jak zapowiada minister cyfryzacji Anna Streżyńska, jeszcze w tym roku powstanie rządowa strategia cyberbezpieczeństwa i ustawa o krajowym systemie bezpieczeństwa. Strategia ma być zestawem standardów i planów ochrony państwa w wirtualnej przestrzeni. - Obecnie nawet w systemach ochrony infrastruktury krytycznej nie ma wymogów ani standardów co do przeprowadzania kontroli czy audytów - przyznaje Robert Kępiński, który w PGNiG odpowiada za ochronę infrastruktury krytycznej. Prace nad aktualizacją strategii w tym obszarze trwają także w Kancelarii Prezydenta. Tu też ma ona być gotowa do końca roku.

Większe zaangażowanie w walkę z cyberprzestępczością zapowiada też prokurator krajowy Bogdan Święczkowski. - Mamy w prokuraturach pełnomocników ds. walki z mową nienawiści, zaś od cyberprzestępczości już nie - mówi. W prokuraturach na wszystkich poziomach mają powstać do tego specjalne komórki. Prokuratury rejonowe zajmą się najmniej skomplikowanymi cyberprzestępstwami, a więc choćby pojedynczymi oszustwami internautów. Okręgowe i regionalne - większymi atakami, mogącymi doprowadzić do wielomilionowych strat.

15:51, eprzekret
Link Dodaj komentarz »
czwartek, 17 marca 2016

Aż o 73 proc. wzrosła liczba cyberataków w ubiegłym roku, a Polska jest jednym z najczęściej atakowanych krajów - wynika z raportu Dell Security.

Atakowane są firmy, banki, administracja publiczna i indywidualni użytkownicy sieci. W sumie w zeszłym roku doszło do 8,2 mld ataków na całym świecie, co jest wzrostem aż o 73 proc. względem 2014 roku. Do tak ogromnego wzrostu przyczynił się szybki rozwój internetu rzeczy, czyli inteligentnych urządzeń otaczających nas na co dzień. Hakowane były także elektryczne pojazdy oraz akcesoria wearables, czyli ubrania i gadżety do noszenia z technologicznymi udogodnieniami, np. inteligentne zegarki. W Stanach Zjednoczonych na przykład w ubiegłym roku cyberprzestępcy włamali się do... kamery amerykańskiego policjanta, którą miał przyczepioną do munduru.

Sektor bankowy z kolei miał duże kłopoty z wirusem Dyre Wolf. Infekował on komputery internautów i - gdy ci logowali się do banku - podmieniał stronę banku. Ta fałszywa informowała o przerwie w usługach i konieczności zadzwonienia pod podany numer telefonu. Gdy internauta dzwonił, by odblokować swoje konto bankowe, oszust podszywający się pod biuro obsługi klienta banku wyłudzał od niego dane do logowania, a potem szybko czyścił konto ofiary. W kwietniu 2015 roku grupa złodziei z Europy Wschodniej wykradła w ten sposób ponad milion dolarów osobom z całego świata.

W sumie instytucje finansowe straciły kilkanaście milionów dolarów przez tego wirusa. A dochodziły do tego jeszcze inne sposoby ataków. Włamywacze mają cały zestaw metod do ataków. Ewelina Hryszkiewicz z Atmana, największego polskiego operatora centrum danych wymienia: oprócz wysyłania wirusów, to też tzw. ransomware, czyli blokowanie stron internautów i wymuszanie okupu czy ataki DDoS - wysyłanie masowego ruchu na serwer, by zablokować go i wyłączyć daną usługę.

Dell w swym raporcie pokazuje też, jak rozkładają się ataki w podziale na państwa. Najczęściej atakowane są firmy i internauci ze Stanów Zjednoczonych. W samym tylko listopadzie doszło tam według różnych szacunków od miliona do dziesięciu milionów infekcji złośliwym oprogramowaniem. W tym samym czasie podobnie było w Holandii. Francja doświadczyła w listopadzie od 500 tys. do miliona infekcji. A Wielka Brytania, Włochy i Polska od 100 do 500 tys. To pięć najwyższych wyników w Europie.

Serwery przedsiębiorstw były bezapelacyjnym celem numer 1 ataków, a ogólna liczba prób wszelkiej cyberagresji (także tej nieskutecznej) wymierzonej w aplikacje firmowe wyniosła w 2015 roku 96 trylionów.

11:25, eprzekret
Link Komentarze (1) »
 
1 , 2 , 3 , 4 , 5 ... 10