Tekst we współpracy z aplikacją upday.
Spotykamy się w Komendzie Wojewódzkiej Policji w Poznaniu. W niewielkim pomieszczeniu, służącym jako policyjny klub, śledczy zakłada maskę, by na zdjęciach nie było widać jego twarzy. Ten oficer zajmuje się śledczą policyjną pracą, ale w internecie. Opowiada o tym, że piesze patrole, które widzimy na ulicach, muszą już mieć swoje odpowiedniki w sieci. On jest cyfrowym śledczym, który ma coraz więcej pracy w tropieniu cyfrowych przestępców. Ci profesjonalizują się do tego stopnia, że tworzą korporacyjne, hierarchiczne struktury, z jasnym podziałem zadań. Oficer, z którym rozmawiam, bada je od miesięcy i już sporo o nich wie. Śledzenie ich jest niezwykle ważne, bo to właśnie te przestępcze, cyfrowe korporacje odpowiadają za popularne smsy i maile, które otrzymujemy, a które są próbą wyłudzenia. Wiadomości bywają bardzo różne. To np. smsy o niezapłaconym rachunku za prąd albo gaz, w którym znajduje się link do płatności, maile podszywające się nawet pod Netflixa, wiadomości w komunikatorach, gdy wystawimy jakiś przedmiot w serwisie aukcyjnym. Form jest wiele, wszystkie są niebezpieczne, w wielu przypadkach doprowadzają nawet do wyczyszczenia całego konta. Jak wygląda ten cyfrowy złodziejski świat? Opowie nam oficer wielkopolskiej policji, który ten świat infiltruje.
Oszustwa w serwisach ogłoszeniowych
Jan Józefowski: Złodzieje coraz częściej zamiast łomu mają komputer. Jak dziś wygląda półświatek cyberkradzieży?
Oficer wielkopolskiej policji: My jako policja mamy teraz bardzo duży problem z wyłudzeniami w serwisach aukcyjnych, serwisach sprzedażowych. Gdy wystawiane są produkty wiadomo, że trzeba podać numer kontaktowy i sprawcy potem bardzo łatwo dodają sobie ten numer do książki kontaktowej, sprawdzają czy jest na WhatsApp, kontaktują się ze sprzedającym z informacją, że są zainteresowani zakupem (często dostaje się wiadomości typu "Witaj, chciałbym kupić przedmiot, który wystawiłaś, chętnie od razu za niego zapłacę, żeby zrealizować płatność kliknij tylko w link" – przyp. red.). Następnie podsyłają link do płatności i sprzedający nieświadomy niczego w niego klika (a to dzieje się już poza platformą sprzedażową, która naszym zdaniem jest bezpieczna) i niestety efektem finalnym jest to, że poszkodowany traci dostęp do konta bankowego, konto jest czyszczone do zera, a sprawcy, jeżeli mają możliwość w ramach tego konta uruchomienia linii debetowej, kredytu, to też one są czyszczone. Banki nie poczuwają się do tego, żeby ponosić jakąkolwiek odpowiedzialność z tego tytułu, bo ich zabezpieczenia są bardzo dobre i przy tych atakach same zabezpieczenia banku nie zostają przełamane, bo to poszkodowany nieświadomie podaje swój login i hasło.
Jak poszkodowany podaje login, jak wygląda ten mechanizm?
W bardzo prosty sposób. Sprawcy podsyłają link do płatności, wtedy link przekieruje jakby do banku ofiary i ona myśli, że loguje się na swoje konto, czyli podaje login i hasło. Ale tak naprawdę jest to strona podstawiona. Atakujący przejmuje hasło i login. Często zdarza się, że te linki są bardzo wyspecjalizowane. Najpierw instaluje się aplikacja i jest to wirus, który przejmuje dostęp również do smsów, czyli atakujący ma dostęp do smsów, a co za tym idzie do kodów token, które przychodzą jako weryfikacja dwuetapowa przy logowaniu do banku.
Mechanizm działania korporacji cyfrowych złodziei
Jaka struktura stoi za tymi przestępstwami? Badał Pan to.
Tak, są to bardzo wyrafinowane, zorganizowane grupy przestępcze. Przede wszystkim są one zhierarchizowane. Mają swojego lidera. Są osoby odpowiedzialne za pozyskiwanie klientów - to ci przestępcy, którzy kontaktują się z ofiarami i podsyłają te linki. Potem te pieniądze przejmują i wpłacają na kolejne konta. Oni to nazywają „skrobaniem mamuta”. Inna grupa to osoby, które zajmują się wypłacaniem pieniędzy. Nigdy nie jest tak, że osoba, która przejęła pieniądze potem je wypłaca. Dalej są menadżerowie i szczyt zarządzający korporacją. A ludzie są werbowani do tej pracy w serwisach społecznościowych, na FB, na Instagramie - tam trafiają oferty pracy i bardzo dużo ludzi się na nie godzi.
To zorganizowana grupa przestępcza.
Zdecydowanie. Możemy to z pełną odpowiedzialnością dziś powiedzieć, że to zorganizowane grupy przestępcze. Z reguły grupy o charakterze międzynarodowym.
Z jakimi krajami są związane?
Najczęściej to kraje ściany wschodniej. Litwa, Łotwa, Estonia, Ukraina, Białoruś i Rosja.
Kradzież na kod BLIK
Czym jeszcze zajmują się te grupy?
Specjalizują się również w oszustwach typu BLIK. Przy udziale serwisu społecznościowego bardzo często zdarza się, że dostajemy poprzez Messenger - wydaje się, że od znajomego - wiadomość z prośbą, czy możemy pożyczyć jakąś kwotę przez kod BLIK, najczęściej podaje się jakiś nagły powód. Wysyłamy ten kod BLIK, a sprawca, który do nas pisze, wprowadza ten kod do bankomatu i również może wyczyścić nam konto. Proceder polega na tym, że zostaje przejęte najpierw konto w mediach społecznościowych. Sprawca nie zmienia hasła i loginu, więc właściciel konta nie wie, że coś się dzieje, dalej może korzystać ze swojego profilu. Ale równocześnie zaczyna z niego korzystać haker. Na wallu tego profilu np. publikuje artykuł, że na dworcu zostało uprowadzone dziecko, my oczywiście, jako ciekawscy, chcemy przeczytać ten artykuł i klikamy w link. Gdy klikamy w link pojawia się pierwszy kruczek: link kieruje nas do pierwszej sfałszowanej strony, która będzie do złudzenia przypominała jeden z bardzo popularnych serwisów informacyjnych w Polsce. Przeczytamy artykuł, dojedziemy do końca, a tam będzie informacja, że kamery z dworca zarejestrowały nagranie z porwania, trzeba tylko kliknąć w link. Chcemy zobaczyć, jak wyglądało porwanie i następuje krok drugi: po kliknięciu, link przekierowuje nas do strony, która wygląda jak Facebook. Pojawia się komunikat, że z uwagi na drastyczność materiału trzeba zweryfikować wiek i w tym celu zalogować się na swoje konto Facebooka. To jednak dalej podstawiona strona, a my wprowadzamy do niej prawdziwy login i hasło do naszego konta fejsbukowego, sprawcy przejmują dostęp do naszego konta. Maja dostęp do naszych znajomych, mogą rozsyłać w naszym imieniu kolejne informacje.
Przejęcie konta w mediach społecznościowych
A na co powinniśmy uważać?
Jeżeli ktoś wyśle w naszym imieniu taką informacje, powinniśmy poinformować wszystkich naszych znajomych, by nie klikali w link i nie pozwoli sobie przejąć konta. Warto wprowadzić weryfikację dwuetapową, bo wprowadzenie jej zwiększa nasze szanse. Trzecia rzecz: jeżeli nasze konto zostało przejęte i zorientowaliśmy się, że tak się stało, natychmiast zmieniamy hasło. Zmieniamy we wszystkich aktywnych sesjach. Najczęściej korzystamy z Facebooka nie tylko na jednym urządzeniu, ale na wielu. Wtedy musimy wylogować się ze wszystkich urządzeń. Zdarza się, że mamy jedno hasło do wielu serwisów, jeśli tak jest, to zmieniamy hasła wszędzie. Jeśli mamy takie samo hasło do maila, zmieniamy je. Jeżeli mamy to samo hasło do banku, zmieniamy je. Zmieniamy hasła wszędzie.
Fałszywe połączenia z banku
Jest jeszcze kolejny proceder, podszywanie się m.in. pod policję.
Do tego wykorzystywana jest telefonia VoIP, a ona daje możliwość - przed wykonaniem telefonu do ofiary - wprowadzenia dowolnej nazwy i dowolnego numeru. Tu sprawcy podszywają się pod policję, pod znane osoby, również wykorzystują to do przejęcia kont bankowych. Dzwoni telefon do ofiary, na wyświetlaczu pojawia się informacja, że dzwoni dział bezpieczeństwa jej banku, no i zaczyna się rozmowa, sprawcy mówią, że widzą dziwny ruch na koncie bankowym, że "wypływają środki więc prosimy w trybie pilnym o zablokowanie transakcji, ale my musimy znać pani login i hasło". Działa tu czynnik działania pod presją. Ofiara słyszy, że dzieje się coś złego i przestaje trochę myśleć, bezwiednie podaje login i hasło, na telefonie zobaczyła przecież nazwę połączenia jako dział bezpieczeństwa banku. Ale tak naprawdę są to przestępcy.
Telefonia VoIP może być technologią, która stwarza zagrożenia?
Niestety telefonia VoIP pozwala nie tylko na połączenia w ramach swojej technologii, ale również na styku routerów brzegowych VoIP w pewnym momencie może się zamieniać w technologię GSM, czyli z tej technologii możemy się połączyć z telefonem GSM i nadać sobie dowolną nazwę. I to sprawcy bardzo często wykorzystują, podszywając się pod banki, pod wiele instytucji.