Jakub Wątor

Napisz do autora:
jakub.wator@agora.pl

RSS


RSS
piątek, 27 listopada 2015
Cyberprzestępcy nie ustają w próbach naciągania internautów. Od dwóch dni wysyłają maile z zaległą fakturą VAT do zapłacenia, która w rzeczywistości jest wirusem.
Phishing to oszustwo stosowane przez cyberprzestępców, które kończy się wyłudzeniem pieniędzy. Złodzieje podszywają się pod zaufaną osobę lub instytucję i nakłaniają do ściągnięcia wirusa lub wykupienia płatnej usługi. Zaledwie kilka dni temu ostrzegaliśmy przed fałszywymi mailami od PKP, a teraz internauci dostali kolejną porcję maili od oszustów.

Tym razem złodzieje wykupili domenę platformaprawna.pl i to z niej wysyłają wiadomości. Jest ona łudząco podobna do serwisu platformaprawa.pl, na której można znaleźć wiele prawniczych artykułów. Nadawca w mailu od oszustów podpisany jest jako "Wąsokowski i Wspólnicy Kancelaria Prawna". Sprawdziliśmy - taka kancelaria nie istnieje. Tytuł maila brzmi zaś: "Zaległa faktura VAT - przedsądowe wezwanie do zapłaty".

Faktura VAT i wirus

A co jest w samej wiadomości? Informacja o zaległości w opłatach za rzekomą usługę, którą potencjalna ofiara miała w kancelarii zamówić. Cały mail wygląda tak:

Szanowni Państwo,

zgodnie z zaakceptowanymi przez Państwo warunkami umowy dotyczącej naszych usług zobowiązali się Państwo do opłacenia zamówionej usługi w terminie 7 dni od dnia zawarcia umowy. Z uwagi na to, że dotychczas nie odnotowaliśmy wpłaty, doręczamy niniejsze wezwanie do zapłaty.

Jednocześnie informujemy, iż dalszy brak zapłaty za zamówioną usługę spowoduje konsekwencje prawne co wiąże się z dodatkowymi kosztami. W stosunku do osób uchylających się od zapłaty możliwe jest przekazanie sprawy zewnętrznej firmie prawno-windykacyjnej lub natychmiastowe postępowanie sądowe i egzekucja komornicza należności.

Niniejszym prosimy o dobrowolne uregulowanie należności w kwocie 1,200 zł w nieprzekraczalnym terminie 5 dni od momentu otrzymania niniejszej wiadomości. W załączniku przesyłam zaległą fakturę VAT.

Faktura jest zabezpieczona hasłem: wezwanie7321

W załączniku znajduje się rzekoma faktura VAT - spakowana w formacie "rar". Jeśli ktoś go rozpakuje, nadzieje się na pułapkę oszustów i sam sobie zainstaluje na komputerze konia trojańskiego - oprogramowanie, które może uruchomić na komputerze ofiary np. programy szpiegujące. Dlatego należy pamiętać, by nigdy nie otwierać załączników z maili pochodzących od nieznanych lub podejrzanie wyglądających źródeł. Zwykle to oszustwo.
Serwis "Zaufana Trzecia Strona" sporządził listę programów antywirusowych, które tego konia trojańskiego wykrywają. Dostępna jest ona pod tym linkiem.

czwartek, 26 listopada 2015

security_fenceKevin Mitnick, najsłynniejszy haker w historii, mówi: - Łamałem ludzi, nie hasła. Choć przestępczą karierę zaczął 36 lat temu, do dziś jego słowa są prawdą. Dowodem jest konferencja "Cyber Security", która odbyła się w warszawskim hotelu Marriott.

Inne słynne słowa Mitnicka, dotyczące tego samego procederu: - Nie trzeba łamać haseł, wystarczy poprosić ludzi, by sami je podali.

O tym, jak Mitnick wyciągał od ludzi interesujące go dane, można przeczytać w jego pasjonującej autobiografii "Duch w sieci". Natomiast warszawska konferencja "Cyber Security - bezpieczeństwo ponad granicami" miała pokazać, jak ważne jest cyberbezpieczeństwo i jak wiele zabezpieczeń przed oszustami trzeba stosować. I pokazała, ale niespodziewanie jej uczestnicy dowiedzieli się czegoś jeszcze. Ale o tym później.

Banki i służby zaczynają się rozumieć

Wśród wielu znakomitych prelekcji (swoje prezentacje miało kilkudziesięciu specjalistów od IT z najważniejszych w Polsce instytucji publicznych i firm komercyjnych), dwie warto wyróżnić szczególnie.

Dr Mieczysław Groszek, wiceprezes Związku Banków Polskich, opowiedział, jak instytucje finansowe bronią się przed cyberprzestępcami. Szczerze przyznał: - Zapomnijmy o starej bankowości. Wizyty klienta w oddziale z papierami w ręku, ta "bankowość analogowa", to już tylko jeden z elementów prawdziwej współczesnej bankowości - elektronicznej.

I nawiązał do historii włamania do Plus Banku, choć samej nazwy banku nie podał. Bez nadzwyczajnej dumy, za to z satysfakcją przyznał, że w tym przypadku bank i służby współpracowały znakomicie. - Analizowaliśmy przypadek na wielu wewnętrznych spotkaniach ze specjalną jednostką policji. Nie było tak, że my prosimy ich o pomoc, a oni mówią "najpierw zgłoście podejrzenie o popełnieniu przestępstwa". Podobnie było z prokuraturą. Tam też pracują już specjaliści, którzy nie muszą zastanawiać się, który paragraf zastosować do konkretnego przypadku cyberprzestępstwa.

To dało efekty. Po czterech miesiącach śledztwa sprawca włamania do Plus Banku wpadł w ręce policji. Grozi mu 10 lat więzienia.

Coraz częstsze i coraz groźniejsze cyberataki na banki doprowadziły też do tego, że Związek Banków Polskich wprowadził nowy system informacji o zagrożeniach i incydentach. Jak tłumaczył na konferencji dr Groszek, wcześniej wszystkie komunikaty wpadały do wielkiego worka. Panował chaos informacyjny i trudno było odróżnić te naprawdę groźne przypadki od błahych. Teraz system informacji pomiędzy bankami i zrzeszającym je związkiem dzieli informacje na trzy kategorie. Pierwsza to komunikat od administratorów danego systemu bankowego o zagrożeniu lub incydencie (próbie ataku - nieważne, czy skutecznej). Druga, wyższa, kategoria to komunikat analityczny, w którym specjaliści wyjaśniają, dlaczego ryzyko istnieje lub dlaczego bank poniósł jakieś straty. Trzecia kategoria - już o najwyższym priorytecie - to informacja pochodząca od sztabu kryzysowego. Jest on złożony zwykle z członków zarządu banku, którzy decydują o wyłączeniu systemu lub wstrzymaniu danych operacji. Wszystkie te komunikaty i usprawniony system ich przyjmowania służy także do wymiany informacji pomiędzy poszczególnymi bankami. Bo to, że jeden padnie ofiarą cyberataku, innego wcale nie cieszy - może być następny.

Czajnik, który pogrążył Rosjan

Zresztą niedługo wszyscy możemy co chwilę padać ofiarą - ostrzegał Grzegorz Sowa, specjalista IT z firmy Comarch na kolejnej prezentacji w trakcie konferencji. Skupił się na "internecie rzeczy" (IoT - Internet of Things), czyli na przyszłości. Z IoT mamy do czynienia już dziś - nosząc zegarki, które odbierają maile czy okulary, które mogą robić zdjęcia. W ciągu kilku lat zaś "myśleć" będą nawet nasze ubrania. A to ogromnie zagraża naszej prywatności.

I podał przykład. Otóż niektóre chińskie firmy używają "myślących" czajników, które wiedzą, kiedy pracownicy przychodzą do firmy i odpowiednio wcześniej same się włączają, by zagotować wodę. Zainteresowała się tym jedna z rosyjskich ambasad i kupiła takie urządzenia. Czajnik, żeby zrozumiał, że o tej i o tej godzinie ma zagotować wodę, musi skomunikować się z chipem. A chip w chińskich czajnikach nie był zabezpieczony. Można się było do niego włamać i zdalnie nim sterować. Ktoś z tej luki skorzystał. Grzegorz Sowa co prawda nie zdradził, jakie były tego skutki, ale można je sobie wyobrazić.

Skoro czajnik - za pomocą wbudowanego weń chipu - łączy się z wi-fi to znaczy, że do tego wi-fi zna hasło. A że stosowanie cyberzabezpieczeń do czajników nie jest jeszcze najwyższym priorytetem, to i te chińskie zabezpieczeń nie miały. Wystarczy więc zagłuszyć wi-fi danej firmy (są do tego odpowiednie narzędzia), stworzyć fałszywą sieć wi-fi o tej samej nazwie, co firmowa i już przejmujemy czajnik. A czajnik ma przecież zapisane hasło do prawdziwej sieci wi-fi. Teraz wystarczy je tylko przechwycić i już można podłączyć się do sieci firmy. A co dalej? To zależy od umiejętności włamywacza - wykraść można w zasadzie wszystko.

Ile czasu potrzeba na wymianę żarówki?

W 2017 roku na jedną osobę na ziemi będą przypadały cztery urządzenia, które łączą się z internetem. Każde z nich - według badań przytoczonych przez Grzegorza Sowę - będzie miało co najmniej 25 miejsc, przez które można się do nich włamać. Jedna osoba będzie zatem narażona na średnio 107,5 różnego rodzaju luk, przez które można naruszyć jej prywatność. Mało? Przyjmijmy, że statystyczna rodzina składa się z czterech osób, a więc każda rodzina będzie w swoich urządzeniach nosiła 430 podatności na włamania.

- Kiedyś wymiana żarówki oznaczała jej wykręcenie i wkręcenie nowej. Niedługo wymiana żarówki nie będzie polegała na ich zamianie, tylko na zaprogramowaniu tej nowej tak, by nikt się do niej nie włamał. I będzie to trwało wiele dłużej, niż w starym świecie - mówi Sowa.

Człowiek najsłabszym ogniwem?

Metoda łamania ludzi stosowana przez Kevina Mitnicka polegała na głębokim rozpoznaniu danej firmy, a potem na kłamstwie. Jeśli Mitnick chciał się dostać do sieci firmy telefonicznej, najpierw zapoznawał się z panującym w niej żargonem, potem poznawał nazwiska konkretnych pracowników i systemów informatycznych, w których pracują. W końcu wybierał numer telefonu do swojej ofiary, która miała możliwość śledzić rozmowy telefoniczne klientów firmy. Przedstawiał się prawdziwym nazwiskiem pracownika, sypał firmowym slangiem, a na koniec pytał: - Mamy tu jakiś problem przy aktualizacji systemu. Czy "47895" to twoje hasło dostępu do konta? - Nie, moje hasło to "448a0".

- Nie mów "podaj hasło". Sam podaj jakieś wymyślone. Wtedy ofiara pomyśli, że rzeczywiście aktualizujesz system - wyjaśnia Mitnick. I powtarza w kółko frazę, że to człowiek jest najsłabszym elementem całego systemu. Ma rację - według najnowszego raportu EY "Budowanie zaufania w cyfrowym świecie" ankietowani specjaliści IT z firm z całego świata uznali, że to nieostrożny i nieświadomy człowiek [pracownik firmy], nie luka w systemie czy nieaktualne oprogramowanie jest najbardziej podatny na ataki cyberprzestępców.

Udowodnił to Grzegorz Sowa z Comarch. Podczas jednej z przerw pomiędzy panelami dyskusyjnymi przeszedł się wśród popijających właśnie kawę i zajadających się ciastkami specjalistów IT - gości konferencji Cyber Security oraz dwóch pozostałych konferencji odbywających się w tym samym czasie na 3. piętrze warszawskiego Marriottu . Miał przy sobie laptopa ze specjalnym oprogramowaniem i małą antenką. - Przeskanowałem tym programem wszystkie telefony na tym piętrze. Aż 225 telefonów udostępniało publicznie prywatne dane swoich właścicieli. My, specjaliści od IT, mamy edukować ludzi z zakresu cyberbezpieczeństwa, a sami zapominamy o niektórych zasadach! - zakończył swe wystąpienie Sowa.

20:06, eprzekret
Link Dodaj komentarz »
poniedziałek, 02 listopada 2015

„Zmieniamy na łączach i jest prośba, by po zakończeniu wpisał pan kod” - mówi oszust podszywający się pod... Telekomunikację Polską. Specjalny „kod” to w rzeczywistości przekierowanie połączeń.

Taka sytuacja spotkała Adama Freya, jednego z naszych czytelników, który opisał to potem na Facebooku. Siedział sobie akurat w pracy, gdy zadzwonił jego firmowy telefon stacjonarny.

- Dobry! Telekomunikacja Polska, zmieniamy na łączach i jest prośba, żeby po zakończeniu tego połączenia wpisał pan kod, który za chwilę panu podyktuję, uwaga dyktuję kod: *21*503977934*. (...) Jak pan go wpisze, to u mnie zapali się kontrolka i już wszystko będzie OK.

Pan Adam na szczęście kodu nie wpisał, postanowił najpierw pogrzebać w internecie. Okazało się, że ów kod to przekierowanie połączeń na numer telefonu podany po drugiej gwiazdce. Kilka chwil później telefon znów zadzwonił.

-Halo, to jeszcze raz ja, wpisał pan kod?
-Nie.
-A mogę prosić o wpisanie?
-A dlaczego chce pan, żebym przekierował połączenia przychodzące na jakiś obcy numer komórkowy?
-Yyyy... <sygnał zerwania połączenia>

Pan Adam próbował dzwonić na numer telefonu, na który miał przekierować swój telefon, ale nikt nie odbierał.

Co to za przekręt?

Hipotez pojawiło się kilka. Nie ma jednoznacznej odpowiedzi. Internauci, którzy szybko zaczęli komentować wpis pana Adama, sugerowali próbę wyłudzenia pieniędzy.

Potwierdza to jeden z redaktorów serwisu o bezpieczeństwie w sieci „Zaufana Trzecia Strona”: - Raczej nie widzę bezpośredniej szkody dla abonenta - oprócz utraty kontroli nad połączeniami przychodzącymi. Potencjalne korzyści dla atakującego to zdobyta niewielkim kosztem linia stacjonarna przekierowana na komórkę. Np. wyłudzenia chwilówek, które mogą dla większej wiarygodności weryfikować połączeniem na stacjonarny.

Miałoby to wyglądać tak: oszust wypełnia przez internet wniosek o udzielenie chwilówki, jako miejsce zatrudnienia podaje firmę pana Adama. Firma pożyczkowa dzwoni, by potwierdzić, że oszust pracuje w tym przedsiębiorstwie. Oszust - dzięki przekierowaniu połączeń ze stacjonarnego telefonu na swój - sam odbiera i potwierdza swoje zatrudnienie. Problem polega na tym, że nawet aby zaciągnąć chwilówkę przez internet, trzeba mieć skan dowodu osobistego, a zwykle wykonać także przelew weryfikacyjny (przelew z innego konta bankowego założonego na nazwisko osoby, która chce zaciągnąć pożyczkę). Czyli oszust musiałby mieć: konto bankowe na słupa, skan dowodu osobistego słupa i przekierowany z przedsiębiorstwa numer telefonu. To dużo zachodu, a mały zysk.

- Pomyślałem sobie, że może to konkurencja chce przechwycić nasze rozmowy i poznać tajemnice biznesowe albo podkupić kontrahentów - zastanawia się pan Adam. To ma sens, ale sposób na szpiegowanie też jest mało wyrafinowany - przynajmniej dziś, gdy sposobów nieuczciwej walki z konkurentami biznesowymi są dziesiątki, a większość z nich opiera się na wiedzy informatycznej, a nie topornej socjotechnice pt. „pan wpisze kod, jesteśmy z Telekomunikacji Polskiej” (która nota bene pod tą nazwą od 2012 roku nie funkcjonuje).

Trzecia (i chyba najbardziej prawdopodobna) hipoteza mówi o przekierowaniu połączeń na numer premium. Czyli: oszust założył sobie numer telefonu premium, czyli taki z wysokimi opłatami za połączenie (niegdyś słynne 0-700). Namówił ofiarę, by wpisała kod, czyli przekierowała swoje połączenia przychodzące na ten numer premium. Teraz każdy, kto dzwoni do ofiary, tak naprawdę dzwoni na numer premium i nabija sobie wysokie opłaty. Popularne jest zakładanie takich numerów w krajach na drugim końcu świata, dzięki czemu opłaty (i prowizje dla oszustów) są jeszcze wyższe. Tyle tylko, że numer, który podał oszust panu Adamowi, to zwykły numer na kartę w Orange...

Jeśli macie propozycje, jak oszust mógł wykorzystać przekierowania połączeń pana Adama, piszcie w komentarzach.