Jakub Wątor

Napisz do autora:
jakub.wator@agora.pl

RSS


RSS
wtorek, 16 czerwca 2015

z18128794Q,Logo-Plus-Banku

Przestępca, który - jak twierdzi - wykradł ok. miliona złotych z kont klientów Plus Banku, w rozmowie z "Wyborczą" zdradza kilka szczegółów włamania i planów co do dalszej "rozgrywki".

W trakcie zbierania materiałów do wtorkowego artykułu na temat włamania do Plus Banku skontaktowałem się z człowiekiem, który w sieci Tor opublikował w piątek pierwszą paczkę danych klientów biznesowych Plus Banku. Zadałem mu pięć pytań, które rzucają nieco nowego światła na całą sprawę.

1. Jak zaczęła się cała historia z Plus Bankiem? Jak udało się włamać? To wypatrzona ofiara czy przypadek?

- Przypadek. Więcej nie zdradzę.

2. Czy próbował pan włamań do innych banków przed lub po włamaniu do Plus Banku?

- "Po" nie próbowałem.

3. Jak ocenia pan poziom zabezpieczeń IT w bankach w Polsce?

- Nie znam wszystkich banków działających w Polsce. Plus Bank miał słabe zabezpieczenia IT szczególnie, jeśli chodzi o monitoring tego konkretnego serwera. Jakbym robił dalej tak, jak sobie założyłem na początku, to najprawdopodobniej nadal miałbym dostęp do serwera.

4. Czy zna pan podobne przypadki włamań do banków w Polsce? Czy pański włam jest pierwszym tak dużym w historii polskiej bankowości, czy tylko pierwszym ujawnionym?

- Pierwszym ujawnionym. Co do samej skali pozostałych - nie wiem.

5. Czy będzie pan udostępniał także dane klientów prywatnych Plus Banku?

- Jeszcze nie wiem. Zobaczę, jaka będzie reakcja Plus Banku. Nie znam się na prawie w Polsce, ale powinni wpłacić na ten dom dziecka. Wtedy przestanę to publikować. Bank będzie zadowolony, dzieci będą zadowolone, ja w sumie też, więc będzie sytuacja win-win-win.

Co wynika z wypowiedzi włamywacza? Wniosków można wysnuć kilka.

Po pierwsze - próbował on już wcześniej włamać się do innych banków, co potwierdza, że hakerzy nie ustąpią i będą próbowali łamać kolejne zabezpieczenia kolejnych instytucji. Potwierdza to zresztą Janusz Nawrat, dyrektor Departamentu Bezpieczeństwa Informacji i Systemów Informatycznych w Raiffeisen Polbank. W poniedziałek na moje pytania o poziom zabezpieczeń w polskich bankach odpowiedział (oczywiście jest to skrócona wersja jego odpowiedzi) tak: "Przyjmuje się wręcz obecnie za pewnik niemożność wyczerpującego i pełnego przetestowania nawet średnio złożonego systemu w rozsądnym czasie, tj. mierzonym nie w dziesiątkach lat. Zawsze więc pozostaje w systemie jakiś obszar niezbadany. Stąd też wynika, że podatności we wszystkich bez wyjątku systemach na całym świecie są stale wykrywane i ten proces zdaje się nie mieć końca, mimo ogromnego wzrostu wiedzy o bezpieczeństwie wśród deweloperów i ekspertów od tej tematyki, mimo wielkiej skuteczności narzędzi składających się na warsztat pracy testera bezpieczeństwa, mimo wielkiego postępu w dziedzinie standardów bezpiecznego tworzenia aplikacji, czy wreszcie mimo pojawienia się na rynku bardzo dobrych narzędzi do tworzenia dużo bezpieczniejszego niż niegdyś oprogramowania, które same już, w wielu sytuacjach, potrafią wymusić na kodzie aplikacji jego zgodność ze standardami bezpieczeństwa".

Równie niepokojąca jest odpowiedź na pytanie nr 4. Włamywacz doskonale wie, że tego typu incydenty zdarzyły się już innym polskim bankom. Specjaliści od cyberbezpieczeństwa w rozmowach ze mną także podkreślali, że sprawa Plus Banku jest pierwszą w Polsce tak dużą sprawą UJAWNIONĄ. Jak dużo i jak dużych włamań do naszych banków nigdy nie ujawniono, nie wiemy. Wystarczy wspomnieć, że śledczy z kilku krajów - przy pomocy specjalistów z Kaspersky'ego - cały czas prowadzą postępowanie ws. włamania grupy hakerów do kilkudziesięciu banków na świecie i wykradzenia niemal miliarda (!) dolarów. Wśród poszkodowanych są również polskie banki. Niestety, Kaspersky nie chciał mi zdradzić, które - póki nie skończy się całe śledztwo.

Kim jest włamywacz?

I wreszcie pytanie, kto stoi za włamaniem. Jeśli przestępca nie popełni żadnego błędu i nie zostawi gdzieś w sieci za sobą śladu (np. nie zaloguje się do swej skrzynki, pomijając użycie sieci anonimizujących), to wytropić go będzie śledczym wybitnie ciężko. Jak na razie nie wiadomo nawet, czy haker działa w pojedynkę. Całą sprawę jako pierwszy ujawnił serwis Zaufana Trzecia Strona.Haker kontaktował się z tym serwisem w tym samym czasie, co z Niebezpiecznikiem. W mailach do obu tych serwisów podpisywał się jako "Raz" i "Razor", natomiast posty w sieci Tor dotyczące włamania publikował człowiek podpisujący się jako "Polsilver".

"Raz" w mailach do specjalistycznych serwisów szukał pomocy. Pytał, czy (cyt. za Niebezpiecznikiem, pisownia oryginalna) "istnieje legalna droga, aby reprezentowac hakerow ktorzy chca otrzymac okup za nieujawnianie infomacji? Tak aby np. pozniej dostali odpowiedni procent z wynegocjowanej kwoty". Oraz "czy macie [Niebezpiecznik] jakas propozycje, jak podejsc do tematu aby przemowic tej firmie do rozsadku? Czy w razie czego opublikowalibyscie prywatny artykul (tylko widoczny z bezposredniego linka) o tym jak wizerunkowo moze ucierpiec firma po opublikowaniu posiadanych przeze mnie danych i informacji na temat strasznie slabych zabezpieczen?".

Takie pytania sugerują, że "Raz" to nowicjusz, który owszem, wszedł w posiadanie jakichś istotnych informacji, ale sam nie wie, co z nimi zrobić i jak zmusić bank do współpracy lub zapłaty. Haker o pseudonimie "Polsilver" z kolei w publikowanych na Torze postach doskonale wie, jak działać - tłumaczy, że będzie wrzucał do sieci paczki danych co tydzień, stawia wobec Plus Banku konkretne żądania. "Polsilver" nie jest żółtodziobem. Na forum "ToRepublic" w Torze jest od początku jego istnienia, czyli od czerwca 2013 roku, jest tam administratorem, czyli jedną z najważniejszych osób, a więc doskonale odnajduje się w oszustwach, sposobach działania i specyfice całego hakerskiego środowiska. Pytanie się autorytetów od cyberbezpieczeństwa o rady w takiej sprawie inni hakerzy - a i sam "Polsilver", stary wyjadacz - powinni uznać za blamaż. To wyklucza się per se. Takich głosów jednak nie ma. Z drugiej strony "Raz" też o takie "podstawy" nie pytałby się innych, skoro sam potrafił się do systemu Plus Banku włamać. To też wyklucza się samo przez się.

Prawdopodobnie więc za sprawą włamania do Plus Banku stoi więcej niż jedna osoba. Obstawiam, że "Raz" - "właściciel" danych z Plus Banku to jego były pracownik, który odchodząc z firmy lub będąc z niej wyrzuconym, z zemsty zabrał ze sobą bazy danych lub zachował sobie hasła, by później móc dalej w bazach buszować. "Polsilver" natomiast to doświadczony cyberprzestępca, który "Razowi" pomaga w rozkręcaniu całej akcji i uderzaniu w Plus Bank.

Kiedy się tego dowiemy? Nie wiadomo, czy prędko, skoro nad sprawą pracuje... policyjny wydział ds. przestępstw gospodarczych, a nie ds. cyberprzestępczości...

Tagi: Przekręty
23:29, eprzekret
Link Dodaj komentarz »
wtorek, 02 czerwca 2015

hab

Pamiętacie Krzysztofa H.? Oj, trochę mieliśmy z nim użerania się w zeszłe wakacje. Postanowiłem sprawdzić, co u niego słychać. A w zasadzie - co słychać w warszawskiej prokuraturze. I co się okazuje? Kilka dni temu H. obchodził dziewiątą miesięcznicę pobytu w areszcie. Z tej okazji prokuratura postanowiła odświeżyć zarzuty i przy okazji przedłużyć mu areszt ;) News ten to ekskluziw, co cieszy mnie podwójnie - media zapomniały już o Krzysztofie H., a tymczasem robi on coraz większą karierę za kratkami ;)

H., twórca serwisów „De Lege Artis”, oszusci.org i alerty24.net, został zatrzymany w sierpniu ubiegłego roku po tym, jak próbował przez internet wyłudzić pieniądze od setek osób. Warszawska prokuratura od tego czasu bada, jaka była skala procederu. Początkowo była mowa próbie wyłudzenia pół miliona złotych od 341 osób oraz o wyłudzeniu 1792 zł od trzech osób. Po miesiącach śledztwa liczby te mocno wzrosły. Kilka dni temu prokuratura odświeżyła zarzuty wobec Krzysztofa H. Jest on podejrzany, że wykorzystując serwis „De Lege Artis” od 1157 osób próbował wyłudzić co najmniej 1 mln 373 tys. zł. Na pewno udało mu się wyłudzić ponad 50 tys. zł. To jednak nie wszystko, bo był jeszcze serwis alerty24.net - ten zarzut prokuratura postawiła dopiero teraz. Krzysztof H. próbował poprzez alerty24.net wyłudzić ponad 111 tys. zł od 95 osób. Ilu internautów przelało mu pieniądze, nie wiadomo.

Oba zarzuty dotyczą art. 286 kodeksu karnego, czyli oszustwa. Maksymalna kara za ten paragraf to 8 lat więzienia. Krzysztof H. musi jednak liczyć się z tym, że dla niego kara może być jeszcze zaostrzona. - Obu czynów dopuścił się w warunkach powrotu do przestępstwa, czy recydywy - mówi rzecznik prasowy warszawskiej Prokuratury Okręgowej Przemysław Nowak. Krzysztof H. w latach 2011-2013 prowadził serwis kbiz.pl z teoretycznie darmowymi ogłoszeniami dla firm, które potem okazywały się płatne 123 zł.

H. nie przyznał się do stawianych mu zarzutów i odmówił składania wyjaśnień. Pod koniec maja przedłużono mu areszt tymczasowy do 27 sierpnia.

Krzysztof H. to nasz stary, dobry znajomy. Wiele miejsca na tym blogu zajmuje, więc przytoczę tylko trzy artykuły, w których opisywałem trzy jego flagowe "produkty":

Jedno kliknięcie i płacisz setki złotych, czyli De Lege Artis

Jak zostać za darmo oszustem, czyli oszusci.org

I na deser jeszcze raz naciągamy firmy, czyli alerty24.net

Zdjęcie pochodzi z materiału TVN. Jeszcze przed aresztowaniem dziennikarze odwiedzili H. pod jego domem, a ten... rzucił się na nich z nożem. Wideo dostępne tutaj.