Jakub Wątor

Napisz do autora:
jakub.wator@agora.pl

RSS


RSS
wtorek, 22 grudnia 2015

Największe polskie forum internetowych przestępców zostało przejęte przez innych cyberprzestępców. W sieci dostępna jest cała baza danych, a policja złapała kolejną osobę - to 23-letnia kobieta.

Na forum ToRepublic, które funkcjonowało w tzw. ciemnej sieci (ang. Darknet - internet niewidoczny dla zwykłych użytkowników - można go znaleźć w sieci TOR, która powstała, aby zapewnić internautom anonimowość) przesiadywała większość polskich złodziei grasujących po sieci. To tam swoje „dokonania” ogłaszali m.in. ludzie wiązani z włamaniem do Plus Banku. Na ToRepublic odbywał się handel wszystkim co nielegalne - kradzionymi bazami danych, kontami bankowymi zakładanymi na słupy, narkotykami, bronią, złośliwym oprogramowaniem etc. Tam także złodzieje umawiali się na wspólne skoki w cyberprzestrzeni.

W poniedziałkowy wieczór w sieci pojawiła się baza danych użytkowników tego forum zawierająca numery ID, loginy, zaszyfrowane hasła i przypisany do konta adres e-mail - w sumie dane ponad 2 tys. kont użytkowników. Dodatkowo znajdują się w niej także prywatne wiadomości użytkowników. To oznacza, że każdy, kto łamał prawo na ToRepublic i w prywatnych wiadomościach napisał coś, co może zdradzić jego tożsamość, nie może teraz spać spokojnie.

Kolejne zatrzymania cyberprzestępców

Nie wiadomo, czy policja miała wcześniej tę bazę danych, ale wiadomo, że użytkownicy ToRepublic już wcześniej byli w rękach funkcjonariuszy. W połowie października zatrzymany został jeden z jego administratorów - „Polsilver” - który miał być odpowiedzialny za włamanie do Plus Banku. Kilkanaście dni przed tym zdarzeniem funkcjonariusze złapali dwóch innych mężczyzn - ich internetowe ksywki to "Kyber" i "Venom" - którzy okradali urzędy miasta. Za pomocą złośliwego oprogramowania podmieniali oni numery kont bankowych, na które urzędnicy wysyłali pieniądze. W ten sposób wykradli ok. 2 mln zł.

Z kolei na początku grudnia w ręce śledczych wpadła 23-latka, która na ToRepublic posługiwała się nickiem „MalaMi” i w hierarchii forum była wysoko postawioną osobą. Policja podejrzewa ją o kradzież 1,7 mln zł z kont bankowych. Miała tego dokonać metodą phishingu (wyłudzanie tożsamości i informacji, w tym haseł dostępu do kont bankowych, PIN-ów kart, haseł jednorazowych przez podszywanie się pod zaufaną osobę lub instytucję). „MalaMi” nie jest jedyną osobą podejrzewaną o ten proceder. Według policji w sprawę zamieszani są także Brytyjczycy. Kobieta usłyszała już zarzut prania brudnych pieniędzy pochodzących z wyłudzeń. Sąd aresztował ją na 3 miesiące. Grozi jej 8 lat więzienia, a jeśli działała w grupie - nawet do 10 lat.

W związku z wyciekiem bazy danych ToRepublic można się spodziewać kolejnych zatrzymań.

poniedziałek, 14 grudnia 2015

Szykuje się fajna zabawka dla wszystkich zainteresowanych cyberbezpieczeństwem. W styczniu swoją premierę będzie miała pierwsza w Polsce mapa ukazująca cyberataki DDoS w czasie rzeczywistym. Będzie można podejrzeć, z jakich regionów kraju i świata idą ataki i w kogo są skierowane.

DDoS to jeden z najpopularniejszych, najprostszych i najskuteczniejszych w ostatnich latach cyberataków. Polega na zapchaniu serwera czy strony internetowej przez skierowanie w jego stronę sztucznego ruchu sieciowego z tysięcy komputerów na całym świecie.

Można to porównać do oblężenia hipermarketu (np. gdy rzucone są najnowsze Crocsy w superprzecenie). Tysiące ludzi próbują wejść do sklepu, ochrona musi ich pilnować i pomału wpuszczać, ma ręce pełne roboty. Już w środku te same setki osób biegną w kierunku stoiska z nową kolekcją butów, ale każdy się przepycha, wyrywa sobie buty z rąk. Panuje chaos, a działanie całego sklepu jest zupełnie sparaliżowane. Sklep staje w miejscu.

Te tysiące osób to właśnie masowy ruch sieciowy z tysięcy komputerów internautów skierowany w jednym momencie na daną stronę czy adres IP. Sklepowa ochrona to „firewall” - program komputerowy chroniący przed intruzami, który w momencie naporu tysięcy osób sam się gubi i nie nadąża z ochroną. Wnętrze sparaliżowanego sklepu to internetowa witryna lub serwer, które przez tak ogromny tłok po prostu przestają działać. Różnica między paraliżem sklepu, a paraliżem strony czy aplikacji internetowej polega na tym, że w tym drugim przypadku oblegający ją ludzie nie są tego świadomi. Zmasowany ruch pochodzi z tysięcy komputerów z całego świata zainfekowanych złośliwym oprogramowaniem. Kieruje nimi zwykle jeden lub kilku cyberprzestępców.

W czerwcu ofiarą DDoS-a padły linie lotnicze LOT. Przez kilka godzin samoloty były uziemione, bo serwery LOT-u zostały wykorzystane jako narzędzie w tego typu ataku. W sierpniu rosyjscy hakerzy wyłączyli w ten sposób stronę warszawskiej Giełdy Papierów Wartościowych.

Mapa DDoS w Polsce

Nie wiadomo, do ilu takich ataków dziennie dochodzi w Polsce. Ale niedługo skalę tego zjawiska będzie można zobaczyć na interkatywnej mapie naszego kraju, która będzie pokazywała ataki w czasie rzeczywistym. Pracuje nad tym zespół specjalistów w toruńskiej firmie Data Space. - Brakuje wiarygodnych informacji nt. skali ataków DDoS na terytorium Polski. Z naszego doświadczenia wynika, że raporty globalne tworzone przez międzynarodowe firmy w niewielkim stopniu oddają to, co dzieje się u nas. Między innymi dlatego pracujemy nad własną mapą. Chcemy skupić się na atakach, które z Polski wychodzą i tutaj trafiają - mówi prezes firmy Krzysztof Surgut.

Każdy będzie mógł włączyć sobie mapę i zobaczyć, skąd w danym momencie idą w Polsce ataki DDoS oraz kto jest atakowany - podane będą lokalizacje serwerów i aplikacji internetowych, na które przypuszczany jest atak. Będzie to pierwsza tego typu usługa w Polsce. Dane nanoszone na mapę będą pochodziły od klientów Data Space. Oferuje ona usługę Anty DDoS innym firmom technologicznym (w tym m.in. dostawcom internetu) oraz ma swoje data center, które udostępnia firmom miejsce na swych serwerach. Data Space nie zdradza, ilu w sumie ma klientów.

Co powstanie takiej mapy oznacza? Na pewno będzie można poznać panujące w polskiej sieci trendy - kto kogo i skąd atakuje. Na pewno też pokaże skalę ataków DDoS. Nie będzie można jednak wyciągnąć wniosków na temat tego, czy polska infrastruktura krytyczna jest zagrożona, bo wśród klientów Data Space niekoniecznie muszą być instytucje rządowe. Ale taka mapa z pewnością wielu osobom otworzy oczy na to jak ważne jest cyberbezpieczeństwo, co udowadniają już istniejące mapy.

Mapy cyberataków

Bo kilka takich map już działa, tyle że na skalę światową. Na przykład tę ze skrina poniżej prowadzą Google i Arbor Networks - jedna z największych na świecie firm zapewniających internetowe zabezpieczenia. Pokazuje ona jednak ataki nie w czasie rzeczywistym, a historycznym - jako podsumowanie każdego dnia.

digital

Inna firma specjalizująca się w IT - Norse Corp, złożona z byłych pracowników NSA i amerykańskiego wojska - udostępnia z kolei mapę cyberataków różnego rodzaju, także przeprowadzanych w czasie rzeczywistym. Norse Corp dane na temat ataków zbiera, monitorując tysiące własnych honeypotów. To odpowiednio zaprogramowane wirtualne serwery rozrzucone po całym świecie, które wystawiają się na atak. Innymi słowy: to tak, jakby zostawić dom kuszący złoconymi klamkami i czekać, aż wejdą do niego złodzieje. W środku domu porozstawiane są kamery nagrywające, jak do domu się włamano (łom, przez okno, a może podrabiając zamek do drzwi wejściowych?) i kto to zrobił (Chińczycy, Polacy, Amerykanie?). Potem informacje przesyłane są do centrum danych, a tam nanoszone na interaktywną mapę. Właśnie tak działa usługa Norse Corp, obrazująca aktualne trendy w cyberatakach z podziałem na ich rodzaje, siłę, źródło i cel.
z19344244Q,Mapa_cyberatakow_firmy_Norse_Corp
Bardzo rozbudowaną mapę - wyszczególniającą osiem rodzajów ataków - udostępnia też Kaspersky, który dane zbiera ze swoich programów zainstalowanych na komputerach prywatnych i biznesowych klientów na całym świecie (za ich dobrowolną zgodą).
z19344243Q,Mapa_cyberatakow_firmy_Kaspersky
Mapa firmy Data Space zostanie uruchomiona na początku przyszłego roku.

Tagi: DDoS
16:54, eprzekret
Link Dodaj komentarz »
czwartek, 10 grudnia 2015

Miałem nic nie pisać na temat filmiku o kradzieży 40 tys. zł z konta mBanku. Po pierwsze, nie jestem specem od cyber, po drugie analizę zrobił już prawdziwy spec - Piotr Konieczny z Niebezpiecznika. Ale jednak napiszę dosłownie kilka zdań, bo po drodze do sieci wpadł drugi równie zabawny filmik, jak pana od 40 tys. zł, który skarży się, że "mBank ma kłódeczkę w pasku adresu", a mimo to jemu ukradziono te 40 tys. zł. A skoro nagle są dwa filmiki inspirujące do wspomnienia o e-wykluczeniu, to czemu nie napisać?

Na początek historia nr 1. Kto nie zna, oto filmik ofiary złodzieja:

A tutaj wyjaśnienie Niebezpiecznika. Pozwalam sobie przekleić fragment ich podsumowania, choć tę stronę każdy z Was powinien mieć w ulubionych:

(...) przerażające jest, jak niezrozumiałe jest dla ludzi to, od czego zależy bezpieczne korzystanie z bankowości internetowej. Nie tylko od przeciętnych zjadaczy chleba, ale także od osób, które “jakoś w internecie potrafią się poruszać”. Przykładem niech będą komentarze niektórych czytelników Wykopu — są to osoby raczej z ponadprzeciętną wiedzą na temat komputerów, ale jak widać, wciąż nie wszyscy i nie do końca rozumieją jak mogło dość do ataku, na jakim etapie i czy np. certyfikat SSL (tzw. zielona kłódka) może ujawnić fakt ataku… Może banki powinny mocniej akcentować konieczność weryfikacji numeru rachunku w SMS z numerem rachunku z dokumentu, który się opłaca? Albo uprościć komunikat w SMS-ie? Przynajmniej te z banków, które wysyłają takie SMS-y?

Inne równie zabawne wideo obejrzałem kilka dni temu na stronie poznańskiej "Wyborczej". W roli głównej wystąpił Krzysztof Rutkowski. Otóż w sprawie zaginionej Ewy Tylman przesłuchała go policja. No i Rutkowski skarży się, że policja "sparaliżowała pracę jego biura", bo "nie ma kontaktów" z telefonów, które mu zabrała ta zła policja. A przecież - podkreślał Rutkowski na konferencjach prasowych - jego praca "opiera się na kontaktach i telefonach komórkowych".

Sprawa Ewy Tylman. Krzysztof Rutkowski o zatrzymaniu przez policję i zarzucie dla swojego współpracownika

No jeśli Rutkowski - człowiek medialny, prowadzący tak rozległe biznesy i akcje w wybitnie wrażliwych dla jego klientów sprawach, trzyma dane i kontakty tylko na jednym iPhonie czy czymś tam, to pogratulować, panie detektywie (bez licencji). To pokazuje, jak niska jest świadomość technologiczna czy jakkolwiek ją nazwać nawet tak wydawałoby się poważnych ludzi, a przynajmniej prowadzących poważne sprawy, jak Rutkowski. Skoro nie miał żadnego backupu chociażby swych kontaktów (nie mówiąc już o backupie innych ważnych informacji i materiałów), to nie poleciłbym jego usług ani jednej osobie.

Ostatnio byłem na seminarium dotyczącym e-cyfryzacji. Padło tam ważne zdanie: wykluczeni cyfrowo to niekoniecznie ci, którzy nie mają dostępu do internetu czy urządzeń, ale przede wszystkim ci, którzy nie potrafią z nich korzystać. Witajcie w klubie e-wykluczonych, panie Rutkowski i panie kliencie mBanku.

PS. Ten post nie ma w żadnym stopniu kogokolwiek obrazić, pokazuje jedynie me rozgoryczenie stanem (nie)świadomości Polaków nt. technologii.
22:32, eprzekret
Link Dodaj komentarz »
poniedziałek, 07 grudnia 2015

W internecie furorę robi hiperpromocja na zakupy w sieci H&M. Wystarczy wysłać SMS, by dostać aż 90 proc. zniżki. W rzeczywistości to perfidne oszustwo.

Zaraza rozprzestrzenia się na Facebooku. Internauci masowo udostępniają post z grafiką informującą o "świątecznej wyprzedaży w sklepach H&M". Ma ona polegać na aż 90-procentowej obniżce na wszystkie towary. Warunków do jej zdobycia jest niewiele. Wystarczy udostępnić post (w poniedziałkowy poranek zrobiło to już tysiąc osób), napisać w nim komentarz i pobrać specjalny kod upoważniający do odbioru karty rabatowej.

z19304964Q,Oszustwo_naciagajace_na_sms_premium

Kod jest dostępny na zewnętrznej stronie www.fulibox.pl. Żeby było śmieszniej, po wejściu na nią wyświetla się fałszywe okienko informujące, jakoby plik z kodem był przeskanowany przez antywirusa i czysty.

z19304990Q,Oszustwo_naciagajace_na_sms_premium

Po kliknięciu "pobierz" wyświetla się komunikat o konieczności wysłania SMS, aby pobrać promocyjny kod:

z19304991Q,Oszustwo_naciagajace_na_sms_premiumTo pułapka. Wystarczy zajrzeć w regulamin, który można odkryć na dole strony. Żadnej promocji nie ma, to zwykłe naciąganie na płatne SMS-y. "Serwis Pobierz jest usługą subskrypcyjną umożliwiającą dostęp do plików. Aktywacja tej usługi daje użytkownikowi dostęp do serwisu Fulibox.pl. Koszt tej usługi to 4,00 zł netto/4,92 zł brutto za każdy odebrany SMS. Tygodniowo będzie wysyłane do trzech takich SMS'ow" - czytamy w nim. Czyli "promocja w H&M" to koszt 14,76 zł tygodniowo, 59,04 zł miesięcznie itd.

Strona Fulibox.pl należy do firmy White Group z siedzibą w Jabłonce. Według Centralnej Ewidencji i Informacji o Działalności Gospodarczej jej założycielem jest Damian Pardel. Zapytaliśmy go o tę sprawę. Twierdzi, że jego firma jedynie wynajmuje innym firmom możliwość założenia numeru SMS premium. Po założeniu takiego numeru u Pardela, firma może prowadzić akcje subskrypcyjne, czyli zachęcać użytkowników do kupowania płatnych SMS-ów. Ale Damian Pardel twierdzi, że jego firma nie ma bezpośredniego związku z "promocją w H&M". - My nie oszukujemy, tylko świadczymy usługi naszym partnerom. Zdajemy sobie sprawę, że to oszustwo. Zablokujemy partnera, który prowadzi tę akcję i zgłosimy do Facebooka, by usunął ten post. Nasi partnerzy od każdego SMS-a premium dostają prowizję, dlatego czasem próbują ludzi naciągać - tłumaczy szef White Group.

Sama sieć H&M także zareagowała na to oszustwo. - To nie jest nasza promocja, ktoś wykorzystuje nasz znak towarowy. Zgłosiliśmy to już do Facebooka, powinno być niedługo usunięte. Nasze promocje publikujemy tylko na naszym oficjalnym fanpage'u i nie wykorzystujemy w nich wysyłania jakichkolwiek SMS-ów - mówi Ewa Jarzemska, rzeczniczka prasowa sieci H&M.

A co by było gdyby...

Jak wygląda mechanizm oszustwa?

Na fanpage'u "Swiateczna radosc" [pisownia oryginalna] pojawia się post z logo H&M i informacją o superpromocji. To złamanie dwóch przepisów prawa: wykorzystania znaku towarowego i wprowadzenia klientów w błąd. Ale nie wiadomo, kto prowadzi fanpage, więc nie wiadomo, kogo ścigać. A zapytanie o takie rzeczy Facebooka, który siedzibę ma w Stanach Zjednoczonych, często kończy się odmową ze względu na ochronę prywatności. Nawet jeśli Facebook poda IP osoby prowadzącej fanpage, zwykle się okazuje, że korzystała ona z oprogramowania, które uniemożliwia jej zlokalizowanie.

Post z Facebooka przekierowuje do strony założonej przez firmę Pardela. Tam nie ma już ani logo H&M, ani żadnego słowa o promocji. Jest po prostu komunikat o możliwości pobrania kodu. Co więcej, jest regulamin mówiący o tym, że kod służy aktywacji usługi SMS premium, więc z prawnego punktu widzenia wszystko jest zgodne z prawem.

Damian Pardel przekonuje, że nie ma nic wspólnego z fanpage'em "Swiateczna radosc".

Być może, ale tak czy inaczej właśnie ta strona zachęca wchodzącego, twierdząc, że jego znajomi z Facebooka już pobrali kody. To oszukiwanie. Są to tylko znajomi wchodzącego, którzy polubili serwis z żartami Kwejk.pl.


z19307758Q,Oszustwo_internetowe_na_fulibox_pl

Jak się tego pozbyć?

Kto nabrał się na "promocję", może zrezygnować z tej usługi.

W Play, aby to zrobić, należy wysłać SMS o treści STOP na numer 6000. Można też sprawdzić, jakie subskrypcje mamy aktywne (SMS o treści LISTA na numer 6000).

W Plusie należy wysłać wiadomość o treści START BLOKADA na numer 8888. I podobnie jak w Play można sprawdzić subskrypcje (LISTA na numer 8888).

W Orange trzeba się zalogować na swoje konto internetowe i wyłączyć subskrypcje pod tym linkiem.

W T-Mobile zaś wszystko należy załatwić, dzwoniąc na biuro obsługi abonenta na numer 602 900 000 lub (22) 413 69 96.

czwartek, 03 grudnia 2015

blokada

Tego jeszcze nie było! „Sklep zablokowany” - taki napis widnieje na stronie www.standardgsm.com. To efekt działań Urzędu Ochrony Konkurencji i Konsumentów.

Do tej pory prawdopodobnie nie zdarzyło się w polskim internecie, by sklep internetowy, który naciągał klientów, został zablokowany. A przynajmniej nie przypominają sobie takiej sytuacji ludzie z UOKiK-u. W polskiej sieci panoszy się mnóstwo naciągaczy, którzy tworzą fikcyjne sklepy, oferują mocno przeceniony markowy towar, a potem znikają z pieniędzmi. I do tej pory znikały także ich strony - ale to oni sami je zamykali, by zatrzeć ślady. Wystarczy przypomnieć choćby najsłynniejszy tego typu przypadek - czyli kilka sklepów Mateusza G. i Rafała K., którzy zarobili w ten sposób ponad 20 mln zł.

Teraz, gdy wejdziemy na stronę www.standardgsm.com, zobaczymy krótki ale dobitny komunikat: „Strona zablokowana”. Do blokady doprowadził Urząd Ochrony Konkurencji i Konsumentów. - Wysłaliśmy do hostingodawcy informację, że podejrzewamy ten sklep o praktyki naruszające zbiorowe interesy konsumentów, a być może i o oszustwo. Hostingodawca przyjął nasze zgłoszenie i zdecydował o zablokowaniu strony - mówi Paweł Ratyński z biura prasowego UOKiK. Hostingodawca to przedsiębiorca, który dostarcza sklepowi miejsca na swoim serwerze.

Zmiany w UOKiK
Skąd taka nagła zmiana procedur Urzędu? To efekt nowelizacji ustawy dotyczącej jego działania. Co prawda ma wejść ona sześć miesięcy od jej ogłoszenia - czyli na początku przyszłego roku - ale urzędnicy już rozpoczynają przygotowania do działania z nowymi uprawnieniami.

UOKiK będzie mógł szybciej reagować na praktyki zagrażające zbiorowym interesom konsumentów, wydając tzw. decyzje tymczasowe. Zobowiązywałyby one przedsiębiorcę do zaniechania określonych działań jeszcze w toku postępowania. Urząd zyska też możliwość publikowania bezpłatnych komunikatów i ostrzeżeń w publicznym radiu i telewizji, co ma pozwolić na szybkie i skuteczne ostrzeganie konsumentów o zachowaniach lub zjawiskach, które istotnie zagrażają ich interesom.

Klienci płacą, sklep towaru nie wysyła

A na czym bazują podejrzenia wobec standardgsm.com? To klasyka internetowego podejrzanego sklepu: reklamuje się bardzo atrakcyjnymi wyprzedażami, klienci wpłacają pieniądze, a sklep towaru nie wysyła. UOKiK badał go też pod kątem obowiązku informacyjnego z ustawy konsumenckiej. I sklep np. nie podawał nazwy przedsiębiorstwa, które go prowadzi, a w cenie sprzedawanego towaru nie zawierał kwoty podatku.

Co ciekawe, klienci, którzy teraz dobijają się do tego sklepu, w odpowiedzi dostają tłumaczenie od właściciela: „nie mogę realizować transakcji, bo... zablokowano mi stronę”.

Urząd Ochrony Konkurencji i Konsumentów rozważa także zgłoszenie tej sprawy do prokuratury.

16:18, eprzekret
Link Dodaj komentarz »

Sprawa Krzysztofa H., twórcy serwisów „De Lege Artis”, Alerty24.net i Oszuści.org, będzie miała swój finał w sądzie. Właśnie znalazł się tam akt oskarżenia. Pamiętacie go? Poświęciliśmy mu na tym blogu sporo miejsca.

Prokuratura zarzuca mu przestępstwa dokonane przy pomocy serwisów De Lege Artis i Alerty24.net. W tym pierwszym miał naciągnąć 1139 osób na kwotę prawie 1,4 mln zł. Wszystko przez wprowadzenie w błąd co do warunków zawarcia umowy przy wykorzystaniu e-maili. W tym drugim serwisie miał oszukać 95 osób na 111 tys. zł.

Co więcej, Krzysztof H. jest recydywistą. „Podejrzanemu zarzuca się, iż oba powyższe czyny popełnił w warunkach powrotu do przestępstwa, tj. w ciągu 5 lat po odbyciu co najmniej 6 miesięcy kary pozbawienia wolności za umyślne przestępstwo podobne (tzw. recydywa szczególna podstawowa określona w art. 64 § 1 kk). Podejrzany był uprzednio kilkakrotnie karany wyrokami sądowymi, w tym za oszustwo (art.286 § 1 kk), rozbój (art. 280 § 1 kk) oraz zmuszanie do określonego zachowania (art. 191 § 1 kk)” - czytamy w komunikacie prokuratury.

Krzysztof H. złożył wyjaśnienia, ale nie przyznał się do winy.

piątek, 27 listopada 2015
Cyberprzestępcy nie ustają w próbach naciągania internautów. Od dwóch dni wysyłają maile z zaległą fakturą VAT do zapłacenia, która w rzeczywistości jest wirusem.
Phishing to oszustwo stosowane przez cyberprzestępców, które kończy się wyłudzeniem pieniędzy. Złodzieje podszywają się pod zaufaną osobę lub instytucję i nakłaniają do ściągnięcia wirusa lub wykupienia płatnej usługi. Zaledwie kilka dni temu ostrzegaliśmy przed fałszywymi mailami od PKP, a teraz internauci dostali kolejną porcję maili od oszustów.

Tym razem złodzieje wykupili domenę platformaprawna.pl i to z niej wysyłają wiadomości. Jest ona łudząco podobna do serwisu platformaprawa.pl, na której można znaleźć wiele prawniczych artykułów. Nadawca w mailu od oszustów podpisany jest jako "Wąsokowski i Wspólnicy Kancelaria Prawna". Sprawdziliśmy - taka kancelaria nie istnieje. Tytuł maila brzmi zaś: "Zaległa faktura VAT - przedsądowe wezwanie do zapłaty".

Faktura VAT i wirus

A co jest w samej wiadomości? Informacja o zaległości w opłatach za rzekomą usługę, którą potencjalna ofiara miała w kancelarii zamówić. Cały mail wygląda tak:

Szanowni Państwo,

zgodnie z zaakceptowanymi przez Państwo warunkami umowy dotyczącej naszych usług zobowiązali się Państwo do opłacenia zamówionej usługi w terminie 7 dni od dnia zawarcia umowy. Z uwagi na to, że dotychczas nie odnotowaliśmy wpłaty, doręczamy niniejsze wezwanie do zapłaty.

Jednocześnie informujemy, iż dalszy brak zapłaty za zamówioną usługę spowoduje konsekwencje prawne co wiąże się z dodatkowymi kosztami. W stosunku do osób uchylających się od zapłaty możliwe jest przekazanie sprawy zewnętrznej firmie prawno-windykacyjnej lub natychmiastowe postępowanie sądowe i egzekucja komornicza należności.

Niniejszym prosimy o dobrowolne uregulowanie należności w kwocie 1,200 zł w nieprzekraczalnym terminie 5 dni od momentu otrzymania niniejszej wiadomości. W załączniku przesyłam zaległą fakturę VAT.

Faktura jest zabezpieczona hasłem: wezwanie7321

W załączniku znajduje się rzekoma faktura VAT - spakowana w formacie "rar". Jeśli ktoś go rozpakuje, nadzieje się na pułapkę oszustów i sam sobie zainstaluje na komputerze konia trojańskiego - oprogramowanie, które może uruchomić na komputerze ofiary np. programy szpiegujące. Dlatego należy pamiętać, by nigdy nie otwierać załączników z maili pochodzących od nieznanych lub podejrzanie wyglądających źródeł. Zwykle to oszustwo.
Serwis "Zaufana Trzecia Strona" sporządził listę programów antywirusowych, które tego konia trojańskiego wykrywają. Dostępna jest ona pod tym linkiem.

czwartek, 26 listopada 2015

security_fenceKevin Mitnick, najsłynniejszy haker w historii, mówi: - Łamałem ludzi, nie hasła. Choć przestępczą karierę zaczął 36 lat temu, do dziś jego słowa są prawdą. Dowodem jest konferencja "Cyber Security", która odbyła się w warszawskim hotelu Marriott.

Inne słynne słowa Mitnicka, dotyczące tego samego procederu: - Nie trzeba łamać haseł, wystarczy poprosić ludzi, by sami je podali.

O tym, jak Mitnick wyciągał od ludzi interesujące go dane, można przeczytać w jego pasjonującej autobiografii "Duch w sieci". Natomiast warszawska konferencja "Cyber Security - bezpieczeństwo ponad granicami" miała pokazać, jak ważne jest cyberbezpieczeństwo i jak wiele zabezpieczeń przed oszustami trzeba stosować. I pokazała, ale niespodziewanie jej uczestnicy dowiedzieli się czegoś jeszcze. Ale o tym później.

Banki i służby zaczynają się rozumieć

Wśród wielu znakomitych prelekcji (swoje prezentacje miało kilkudziesięciu specjalistów od IT z najważniejszych w Polsce instytucji publicznych i firm komercyjnych), dwie warto wyróżnić szczególnie.

Dr Mieczysław Groszek, wiceprezes Związku Banków Polskich, opowiedział, jak instytucje finansowe bronią się przed cyberprzestępcami. Szczerze przyznał: - Zapomnijmy o starej bankowości. Wizyty klienta w oddziale z papierami w ręku, ta "bankowość analogowa", to już tylko jeden z elementów prawdziwej współczesnej bankowości - elektronicznej.

I nawiązał do historii włamania do Plus Banku, choć samej nazwy banku nie podał. Bez nadzwyczajnej dumy, za to z satysfakcją przyznał, że w tym przypadku bank i służby współpracowały znakomicie. - Analizowaliśmy przypadek na wielu wewnętrznych spotkaniach ze specjalną jednostką policji. Nie było tak, że my prosimy ich o pomoc, a oni mówią "najpierw zgłoście podejrzenie o popełnieniu przestępstwa". Podobnie było z prokuraturą. Tam też pracują już specjaliści, którzy nie muszą zastanawiać się, który paragraf zastosować do konkretnego przypadku cyberprzestępstwa.

To dało efekty. Po czterech miesiącach śledztwa sprawca włamania do Plus Banku wpadł w ręce policji. Grozi mu 10 lat więzienia.

Coraz częstsze i coraz groźniejsze cyberataki na banki doprowadziły też do tego, że Związek Banków Polskich wprowadził nowy system informacji o zagrożeniach i incydentach. Jak tłumaczył na konferencji dr Groszek, wcześniej wszystkie komunikaty wpadały do wielkiego worka. Panował chaos informacyjny i trudno było odróżnić te naprawdę groźne przypadki od błahych. Teraz system informacji pomiędzy bankami i zrzeszającym je związkiem dzieli informacje na trzy kategorie. Pierwsza to komunikat od administratorów danego systemu bankowego o zagrożeniu lub incydencie (próbie ataku - nieważne, czy skutecznej). Druga, wyższa, kategoria to komunikat analityczny, w którym specjaliści wyjaśniają, dlaczego ryzyko istnieje lub dlaczego bank poniósł jakieś straty. Trzecia kategoria - już o najwyższym priorytecie - to informacja pochodząca od sztabu kryzysowego. Jest on złożony zwykle z członków zarządu banku, którzy decydują o wyłączeniu systemu lub wstrzymaniu danych operacji. Wszystkie te komunikaty i usprawniony system ich przyjmowania służy także do wymiany informacji pomiędzy poszczególnymi bankami. Bo to, że jeden padnie ofiarą cyberataku, innego wcale nie cieszy - może być następny.

Czajnik, który pogrążył Rosjan

Zresztą niedługo wszyscy możemy co chwilę padać ofiarą - ostrzegał Grzegorz Sowa, specjalista IT z firmy Comarch na kolejnej prezentacji w trakcie konferencji. Skupił się na "internecie rzeczy" (IoT - Internet of Things), czyli na przyszłości. Z IoT mamy do czynienia już dziś - nosząc zegarki, które odbierają maile czy okulary, które mogą robić zdjęcia. W ciągu kilku lat zaś "myśleć" będą nawet nasze ubrania. A to ogromnie zagraża naszej prywatności.

I podał przykład. Otóż niektóre chińskie firmy używają "myślących" czajników, które wiedzą, kiedy pracownicy przychodzą do firmy i odpowiednio wcześniej same się włączają, by zagotować wodę. Zainteresowała się tym jedna z rosyjskich ambasad i kupiła takie urządzenia. Czajnik, żeby zrozumiał, że o tej i o tej godzinie ma zagotować wodę, musi skomunikować się z chipem. A chip w chińskich czajnikach nie był zabezpieczony. Można się było do niego włamać i zdalnie nim sterować. Ktoś z tej luki skorzystał. Grzegorz Sowa co prawda nie zdradził, jakie były tego skutki, ale można je sobie wyobrazić.

Skoro czajnik - za pomocą wbudowanego weń chipu - łączy się z wi-fi to znaczy, że do tego wi-fi zna hasło. A że stosowanie cyberzabezpieczeń do czajników nie jest jeszcze najwyższym priorytetem, to i te chińskie zabezpieczeń nie miały. Wystarczy więc zagłuszyć wi-fi danej firmy (są do tego odpowiednie narzędzia), stworzyć fałszywą sieć wi-fi o tej samej nazwie, co firmowa i już przejmujemy czajnik. A czajnik ma przecież zapisane hasło do prawdziwej sieci wi-fi. Teraz wystarczy je tylko przechwycić i już można podłączyć się do sieci firmy. A co dalej? To zależy od umiejętności włamywacza - wykraść można w zasadzie wszystko.

Ile czasu potrzeba na wymianę żarówki?

W 2017 roku na jedną osobę na ziemi będą przypadały cztery urządzenia, które łączą się z internetem. Każde z nich - według badań przytoczonych przez Grzegorza Sowę - będzie miało co najmniej 25 miejsc, przez które można się do nich włamać. Jedna osoba będzie zatem narażona na średnio 107,5 różnego rodzaju luk, przez które można naruszyć jej prywatność. Mało? Przyjmijmy, że statystyczna rodzina składa się z czterech osób, a więc każda rodzina będzie w swoich urządzeniach nosiła 430 podatności na włamania.

- Kiedyś wymiana żarówki oznaczała jej wykręcenie i wkręcenie nowej. Niedługo wymiana żarówki nie będzie polegała na ich zamianie, tylko na zaprogramowaniu tej nowej tak, by nikt się do niej nie włamał. I będzie to trwało wiele dłużej, niż w starym świecie - mówi Sowa.

Człowiek najsłabszym ogniwem?

Metoda łamania ludzi stosowana przez Kevina Mitnicka polegała na głębokim rozpoznaniu danej firmy, a potem na kłamstwie. Jeśli Mitnick chciał się dostać do sieci firmy telefonicznej, najpierw zapoznawał się z panującym w niej żargonem, potem poznawał nazwiska konkretnych pracowników i systemów informatycznych, w których pracują. W końcu wybierał numer telefonu do swojej ofiary, która miała możliwość śledzić rozmowy telefoniczne klientów firmy. Przedstawiał się prawdziwym nazwiskiem pracownika, sypał firmowym slangiem, a na koniec pytał: - Mamy tu jakiś problem przy aktualizacji systemu. Czy "47895" to twoje hasło dostępu do konta? - Nie, moje hasło to "448a0".

- Nie mów "podaj hasło". Sam podaj jakieś wymyślone. Wtedy ofiara pomyśli, że rzeczywiście aktualizujesz system - wyjaśnia Mitnick. I powtarza w kółko frazę, że to człowiek jest najsłabszym elementem całego systemu. Ma rację - według najnowszego raportu EY "Budowanie zaufania w cyfrowym świecie" ankietowani specjaliści IT z firm z całego świata uznali, że to nieostrożny i nieświadomy człowiek [pracownik firmy], nie luka w systemie czy nieaktualne oprogramowanie jest najbardziej podatny na ataki cyberprzestępców.

Udowodnił to Grzegorz Sowa z Comarch. Podczas jednej z przerw pomiędzy panelami dyskusyjnymi przeszedł się wśród popijających właśnie kawę i zajadających się ciastkami specjalistów IT - gości konferencji Cyber Security oraz dwóch pozostałych konferencji odbywających się w tym samym czasie na 3. piętrze warszawskiego Marriottu . Miał przy sobie laptopa ze specjalnym oprogramowaniem i małą antenką. - Przeskanowałem tym programem wszystkie telefony na tym piętrze. Aż 225 telefonów udostępniało publicznie prywatne dane swoich właścicieli. My, specjaliści od IT, mamy edukować ludzi z zakresu cyberbezpieczeństwa, a sami zapominamy o niektórych zasadach! - zakończył swe wystąpienie Sowa.

20:06, eprzekret
Link Dodaj komentarz »
poniedziałek, 02 listopada 2015

„Zmieniamy na łączach i jest prośba, by po zakończeniu wpisał pan kod” - mówi oszust podszywający się pod... Telekomunikację Polską. Specjalny „kod” to w rzeczywistości przekierowanie połączeń.

Taka sytuacja spotkała Adama Freya, jednego z naszych czytelników, który opisał to potem na Facebooku. Siedział sobie akurat w pracy, gdy zadzwonił jego firmowy telefon stacjonarny.

- Dobry! Telekomunikacja Polska, zmieniamy na łączach i jest prośba, żeby po zakończeniu tego połączenia wpisał pan kod, który za chwilę panu podyktuję, uwaga dyktuję kod: *21*503977934*. (...) Jak pan go wpisze, to u mnie zapali się kontrolka i już wszystko będzie OK.

Pan Adam na szczęście kodu nie wpisał, postanowił najpierw pogrzebać w internecie. Okazało się, że ów kod to przekierowanie połączeń na numer telefonu podany po drugiej gwiazdce. Kilka chwil później telefon znów zadzwonił.

-Halo, to jeszcze raz ja, wpisał pan kod?
-Nie.
-A mogę prosić o wpisanie?
-A dlaczego chce pan, żebym przekierował połączenia przychodzące na jakiś obcy numer komórkowy?
-Yyyy... <sygnał zerwania połączenia>

Pan Adam próbował dzwonić na numer telefonu, na który miał przekierować swój telefon, ale nikt nie odbierał.

Co to za przekręt?

Hipotez pojawiło się kilka. Nie ma jednoznacznej odpowiedzi. Internauci, którzy szybko zaczęli komentować wpis pana Adama, sugerowali próbę wyłudzenia pieniędzy.

Potwierdza to jeden z redaktorów serwisu o bezpieczeństwie w sieci „Zaufana Trzecia Strona”: - Raczej nie widzę bezpośredniej szkody dla abonenta - oprócz utraty kontroli nad połączeniami przychodzącymi. Potencjalne korzyści dla atakującego to zdobyta niewielkim kosztem linia stacjonarna przekierowana na komórkę. Np. wyłudzenia chwilówek, które mogą dla większej wiarygodności weryfikować połączeniem na stacjonarny.

Miałoby to wyglądać tak: oszust wypełnia przez internet wniosek o udzielenie chwilówki, jako miejsce zatrudnienia podaje firmę pana Adama. Firma pożyczkowa dzwoni, by potwierdzić, że oszust pracuje w tym przedsiębiorstwie. Oszust - dzięki przekierowaniu połączeń ze stacjonarnego telefonu na swój - sam odbiera i potwierdza swoje zatrudnienie. Problem polega na tym, że nawet aby zaciągnąć chwilówkę przez internet, trzeba mieć skan dowodu osobistego, a zwykle wykonać także przelew weryfikacyjny (przelew z innego konta bankowego założonego na nazwisko osoby, która chce zaciągnąć pożyczkę). Czyli oszust musiałby mieć: konto bankowe na słupa, skan dowodu osobistego słupa i przekierowany z przedsiębiorstwa numer telefonu. To dużo zachodu, a mały zysk.

- Pomyślałem sobie, że może to konkurencja chce przechwycić nasze rozmowy i poznać tajemnice biznesowe albo podkupić kontrahentów - zastanawia się pan Adam. To ma sens, ale sposób na szpiegowanie też jest mało wyrafinowany - przynajmniej dziś, gdy sposobów nieuczciwej walki z konkurentami biznesowymi są dziesiątki, a większość z nich opiera się na wiedzy informatycznej, a nie topornej socjotechnice pt. „pan wpisze kod, jesteśmy z Telekomunikacji Polskiej” (która nota bene pod tą nazwą od 2012 roku nie funkcjonuje).

Trzecia (i chyba najbardziej prawdopodobna) hipoteza mówi o przekierowaniu połączeń na numer premium. Czyli: oszust założył sobie numer telefonu premium, czyli taki z wysokimi opłatami za połączenie (niegdyś słynne 0-700). Namówił ofiarę, by wpisała kod, czyli przekierowała swoje połączenia przychodzące na ten numer premium. Teraz każdy, kto dzwoni do ofiary, tak naprawdę dzwoni na numer premium i nabija sobie wysokie opłaty. Popularne jest zakładanie takich numerów w krajach na drugim końcu świata, dzięki czemu opłaty (i prowizje dla oszustów) są jeszcze wyższe. Tyle tylko, że numer, który podał oszust panu Adamowi, to zwykły numer na kartę w Orange...

Jeśli macie propozycje, jak oszust mógł wykorzystać przekierowania połączeń pana Adama, piszcie w komentarzach.

 

środa, 21 października 2015

z12108636Q,Falszywa-informacja-o-zablokowaniu-komputera

Hasło do twojego konta mailowego kosztuje 20 groszy, skan twego dowodu osobistego - 10 zł. Handel kradzionymi danymi w sieci trwa w najlepsze.

Podane wyżej kwota za hasło to cena uśredniona. Sprzedawane są one w paczkach. Wystarczy spojrzeć na kilka najświeższych ofert z polskiego darknetu (tzw. ciemna sieć - internet niewidoczny dla zwykłych użytkowników - można go znaleźć w sieci TOR, która powstała, aby zapewnić internautom anonimowość). Pewien przestępca chce sprzedać 1000 haseł do maili za 200 zł. Inny dowody osobiste sprzedaje na sztuki po 10 zł, a zestaw skan dowodu plus skan prawa jazdy tej samej osoby kosztuje 30 zł. Nabywca takich danych ma wiele możliwości oszustwa, co potem odbija się na naszej kieszeni. Na przykład na kradzione dane cyberprzestępca może zaciągnąć szybką pożyczką lub zakładać konta w innych serwisach internetowych, by robić kolejne przekręty.

Zlecenie dużo droższe

Jeśli twoje hasło mailowe jest wystawione na sprzedaż w większej paczce, ma mniejszą wartość. Jeśli jednak jakiś twój wróg zagiął na ciebie parol, masz pecha. Wróg może zlecić cyberprzestępcy złamanie twojego hasła mailowego, a za zlecenie na konkretny adres mailowy stawki są kilkanaście lub nawet kilkadziesiąt razy droższe. Stawka może też wzrosnąć, jeśli twój wróg wie, że na twojej poczcie znajdzie jakieś kompromitujące materiały lub dodatkowe dane (np. skan dowodu osobistego). Oczywiście cyberprzestępca najpierw sam przeczesze twoje konto i może stawkę podnieść.

Podobnie sytuacja wygląda w przypadku jakichkolwiek innych danych. Za komplet danych karty kredytowej (a właściwie paczkę 20 takich kompletów) przyjdzie nam zapłacić od 2 do 200 dolarów. Ale i tutaj wszystko zależy od rodzaju karty, szacowanego limitu dostępnych na niej środków, sposobu i czasu pozyskania danych oraz kraju jej pochodzenia. Jeśli do oszustwa potrzebna jest konkretna karta z Nowej Zelandii, a numerów nowozelandzkich kart jest jak na lekarstwo, ich cena będzie większa od kart np. z USA.

Karty najdroższe w Unii

Zespół badawczy McAfee Labs (należący do Intel Security) stworzył raport pokazujący, jak kształtują się ceny kradzionych danych na świecie. - Podobnie jak każda niepodlegająca regulacjom gałąź gospodarki, cyberprzestępczość stała się prężnie działającym ekosystemem, który dla zaangażowanych w niego osób wypracował liczne narzędzia i usługi. To właśnie dynamiczny rozwój tej branży jest odpowiedzialny za tak wysoki wzrost zakresu, częstotliwości i siły ataków w cyberprzestrzeni. Struktura cyberprzestępczości przypomina dziś dobrze zarządzaną korporację, która tworzy coraz nowsze modele biznesowe na potrzeby skradzionych danych i czerpanych zysków - mówi Raj Samani, dyrektor techniczny Intel Security na Europę, Afrykę i Bliski Wschód.

Najbardziej pożądanym towarem w darknecie są dane kart płatniczych. Sprzedawane są w różnych pakietach. Najtańsze obejmują numery karty, datę ważności oraz jej kod CVV2 (trzycyfrowy numer wydrukowany na karcie na pasku podpisu, używany m.in. do weryfikowania internetowych transakcji). Oczywiście im więcej informacji o danej karcie płatniczej i jej posiadaczu, tym cena rośnie. Najdroższy, pełny pakiet zawiera m.in. numer rachunku bankowego, numer PIN, nazwę użytkownika i hasło oraz imię i nazwisko właściciela rachunku, jego datę urodzenia czy nazwisko panieńskie jego matki. - Przestępca posiadający cyfrowy odpowiednik fizycznej karty może dokonywać zakupów lub pobierać środki aż do momentu, gdy właściciel zorientuje się, że to nie on zlecił dane transakcje, i skontaktuje się ze swoim bankiem. Jeśli dodatkowo ma dostęp do kompletu danych osobowych – straty finansowe znacznie wzrastają - mówi Arkadiusz Krawczyk z Intel Security Poland.

Sprzedać można wszystko

W raporcie podane zostały także ceny za inne dane. Choćby konta na serwisach płatniczych. Tu cena zależy od tego, ile pieniędzy ma na koncie ofiara. Jeśli saldo wynosi od 400 do 1 tys. dol. to trzeba za nie zapłacić 20-50 dol. Ale gdy saldo ma od 5 do 8 tys. dol., cena u cyberprzestępcy rośnie do 200-300 dol. Analitycy z McAfee Labs znaleźli też oferty kupna kont do serwisów udostępniających treści premium. Np. za dane do konta ze streamingiem filmów trzeba zapłacić od 0,5 do 1 dol., za serwis z kanałami telewizyjnymi - 7,5 dol.

A na koniec jeszcze jeden przykład z polskiego podwórka, czyli konto bankowe założone na słupa. „Konto nowe, czyste, bez zajęć komorniczych, nie klonowane, założone w oddziale. Słupy nie weryfikowane w BIK, nie posiadam informacji czy figurują. Cena: 1300 zł płatne w bitcoinach. Do konta dorzucam skan umowy, skan dowodu, tokeny. Wiek słupa wynosi ponad 40 lat” - czytamy w jednym z ogłoszeń.

Cały raport Intela dostępny jest pod tym linkiem.

13:09, eprzekret
Link Dodaj komentarz »
1 , 2 , 3 , 4 , 5 ... 11