2

http://technowinki.onet.pl/internet-i-sieci/kazdy-z-nas-moze-stac-sie-wspolnikiem-internetowych-zlodziei-wystarczy-odrobina/z6sm5

Każdy z nas może stać się wspólnikiem internetowych złodziei. Wystarczy odrobina chciwości i nieuwagi

Gdy Marek Bar­czak, 32-la­tek z Po­zna­nia, wspo­mi­na ten gru­dnio­wy wie­czór, jesz­cze dziś prze­cho­dzą go dresz­cze. Siadł przed kom­pu­te­rem, żeby opła­cić fak­tu­rę za te­le­fon i in­ter­net. Tuż po za­lo­go­wa­niu się na konto ban­ko­we spo­strzegł, że nie jest tam sam. Kur­sor po­ru­szał się bez jego udzia­łu. Wła­śnie otwie­ra­ła się stro­na trans­ak­cyj­na, na któ­rej był już przy­go­to­wa­ny prze­lew na 2,3 tys. zł, czyli pra­wie wszyst­ko, co miał w tym mo­men­cie na ra­chun­ku.

Chwi­lę póź­niej w okien­ku do wpi­sy­wa­nia haseł au­to­ry­zu­ją­cych trans­ak­cję za­czę­ły się po­ja­wiać ko­lej­ne znaki. Jakby ta­jem­ni­czy gość miał je pod ręką tak samo jak Marek. – To było jak w fil­mie o du­chach! Szczę­ście, że od­ru­cho­wo sam klik­ną­łem w okien­ko do haseł. To spło­szy­ło zło­dzie­ja, a za mo­ment nie było już śladu po jego bu­szo­wa­niu na kon­cie – tłu­ma­czy roz­e­mo­cjo­no­wa­ny. To było tak, jakby na­krył wła­my­wa­cza w domu, a ten sal­wo­wał się uciecz­ką przez okno.

Za­cho­wa­łam się trosz­kę dzie­cin­nie

Marek przez ty­dzień wo­jo­wał z ban­kiem, żą­da­jąc, by ten wy­ja­śnił, jakim spo­so­bem do­szło do wła­ma­nia. Bał się, że nawet zmia­na lo­gi­nu i hasła nie za­gwa­ran­tu­je, że ów ktoś znów nie za­ata­ku­je konta i tym razem sku­tecz­nie go nie oczy­ści. Nic jed­nak nie wskó­rał. Do kra­dzie­ży prze­cież nie do­szło, a bank na­pi­sał, że ręczy za swój sys­tem ochro­ny przed ata­ka­mi ha­ker­ski­mi, i za­ape­lo­wał do Bar­cza­ka o prze­strze­ga­nie zasad bez­pie­czeń­stwa przy ko­rzy­sta­niu z konta.

Po otrzy­ma­niu tej wia­do­mo­ści wpadł we wście­kłość. Ale teraz – po dzie­siąt­kach go­dzin spę­dzo­nych na ban­ko­wych fo­rach in­ter­ne­to­wych i na roz­mo­wach na ten temat ze zna­jo­my­mi – nie dałby sobie uciąć ręki, że sam jest bez winy. Nie­raz prze­cież zda­rzy­ło mu się wyjść z konta w po­śpie­chu, bez wy­lo­go­wa­nia. A to oka­zja dla mo­ni­to­ru­ją­cych sieć ha­ke­rów. W po­dró­żach, zwłasz­cza za­gra­nicz­nych, zda­rza­ło mu się też od­wie­dzać ka­wia­ren­ki in­ter­ne­to­we i zle­cać prze­lew. W do­dat­ku, odkąd rok temu za­czął ko­rzy­stać z ban­ko­wo­ści mo­bil­nej, kody do­stę­pu ma za­pi­sa­ne w smart­fo­nie, z któ­re­go lo­gu­je się na konto w pierw­szej lep­szej sieci WiFi i na który do­sta­je z banku hasła do za­twier­dza­nia trans­ak­cji.

Chyba nie wy­ka­zał się czuj­no­ścią. Po­cie­sza się, że na fo­rach, przez które się prze­ko­pał, wy­czy­tał wy­zna­nia bar­dziej od sie­bie lek­ko­myśl­nych. Nie­któ­rzy od­pi­sy­wa­li na SMS-y, w któ­rych oszu­ści pod­szy­wa­ją­cy się pod bank pro­si­li o we­ry­fi­ka­cję da­nych oso­bo­wych, lo­gi­nu czy hasła. Zda­rza­ło się, że do­sta­wa­li je na ta­le­rzu. Inni dali się zła­pać na ha­czyk w po­sta­ci e-ma­ila z lin­kiem do fał­szy­wej (choć czę­sto bar­dzo sta­ran­nie od­wzo­ro­wa­nej) stro­ny swo­je­go banku.

Na taką sztucz­kę na­bra­ła się latem ze­szłe­go roku Zofia Ław­ry­no­wicz, po­słan­ka PO. Otwo­rzy­ła link z e-ma­ila, który przy­szedł na jej sej­mo­wą pocz­tę. – Zna­ko­mi­cie pod­ro­bi­li stro­nę banku i do­ku­ment­nie wy­czy­ści­li mi konto. Ale przy­zna­ję się do błędu, za­cho­wa­łam się trosz­kę dzie­cin­nie – tłu­ma­czy­ła potem w Radiu Szcze­cin.

Wśród klien­tów ban­ko­wo­ści elek­tro­nicz­nej są nawet tacy, któ­rzy nie od­mó­wi­li proś­bie „banku” o po­da­nie np. dwóch ko­lej­nych haseł do au­to­ry­za­cji prze­le­wu pie­nię­dzy. Te pie­nią­dze wę­dru­ją potem, dla za­tar­cia śla­dów, przez sznu­rek kont aż do ja­kie­goś banku na Se­sze­lach lub Ma­le­di­wach. Albo po pro­stu w Rosji lub na Ukra­inie, bo tam coraz czę­ściej urywa się ślad.

Atak to ta­jem­ni­ca ban­ko­wa

W e­dług ra­por­tu firmy Sy­man­tec za 2012 rok, cy­ber­prze­stęp­czość kosz­tu­je pol­skich kon­su­men­tów ponad 4 mld zł. Ale to suma wszyst­kich oszustw w sieci, głów­nie w han­dlu. Kra­dzie­że z kont ban­ko­wych to drob­na ich część. Po­li­cja, któ­rej po­krzyw­dze­ni muszą je zgło­sić – i to zanim jesz­cze złożą re­kla­ma­cję w banku – nie ma tu wielu suk­ce­sów. Pół­gęb­kiem mówi o kil­ku­dzie­się­ciu przy­pad­kach kra­dzie­ży mie­sięcz­nie na kwoty od kil­ku­set zło­tych do kil­ku­dzie­się­ciu ty­się­cy. Eks­per­ci z firm za­ra­bia­ją­cych na opro­gra­mo­wa­niu typu spy­wa­re i pro­gra­mach an­ty­wi­ru­so­wych, jak Sy­man­tec czy Ka­sper­sky Lab, mnożą licz­bę ta­kich ata­ków przy­naj­mniej przez dzie­sięć.

Pra­cow­ni­cy ban­ków to kwe­stio­nu­ją. Mówią o in­cy­den­tal­nych przy­pad­kach i to, rzecz jasna, ra­czej u kon­ku­ren­tów niż u sie­bie. – Od dawna nie mie­li­śmy do czy­nie­nia z kra­dzie­ża­mi na kon­tach klien­tów – za­pew­nia dyr. Ry­szard Jur­kow­ski z de­par­ta­men­tu bez­pie­czeń­stwa Pekao SA, ak­tyw­ny też w Ra­dzie Ban­ko­wo­ści Elek­tro­nicz­nej Związ­ku Ban­ków Pol­skich.

W nie­ofi­cjal­nych roz­mo­wach można usły­szeć wię­cej. – Takie ataki, zwłasz­cza sku­tecz­ne, są dla ban­ków pro­ble­mem wi­ze­run­ko­wym. Nie chcą się do nich przy­zna­wać, bo grozi to od­pły­wem prze­stra­szo­nych klien­tów do kon­ku­ren­cji. Dla­te­go więk­szość woli się do­ga­dać z po­szko­do­wa­ny­mi i zre­kom­pen­so­wać im przy­naj­mniej część strat, by nie po­msto­wa­li na bank w me­diach i na fo­rach in­ter­ne­to­wych. Obec­nie ta­kich ugód jest wy­raź­nie wię­cej niż jesz­cze 2-3 lata temu – twier­dzi szef de­par­ta­men­tu bez­pie­czeń­stwa elek­tro­nicz­ne­go jed­ne­go z naj­więk­szych ban­ków.

– Pol­skie banki mają do­brze za­bez­pie­czo­ną in­fra­struk­tu­rę in­for­ma­tycz­ną – uważa Mi­ro­sław Maj, pre­zes Fun­da­cji Bez­piecz­na Cy­ber­prze­strzeń. I do­da­je: – Nie zna­la­zły jed­nak spo­so­bu, aby wy­raź­nie pod­nieść po­ziom bez­pie­czeń­stwa po stro­nie klien­tów.

Ban­kie­rom po­zo­sta­je pre­wen­cja. Od kla­sycz­nych metod pro­wo­ko­wa­nia cy­be­ro­szu­stów jak słyn­ny honey pot (do­słow­nie: gar­nek z mio­dem), czyli in­sta­lo­wa­nie w wir­tu­al­nej prze­strze­ni zu­peł­nie nie­za­bez­pie­czo­nych kom­pu­te­rów, które po­ma­ga­ją na­mie­rzać bot­ne­ty i roz­szy­fro­wy­wać nowe, zło­śli­we apli­ka­cje, po mo­ni­to­ro­wa­nie kont i wy­ła­py­wa­nie nie­stan­dar­do­wych trans­ak­cji czy wręcz in­for­mo­wa­nie ich wła­ści­cie­li o tym, że na kom­pu­te­rze mają na przy­kład tro­ja­na ZeuS.

Zombi ata­ku­ją

Na wi­try­nach więk­szo­ści ban­ków ostrze­że­nia biją po oczach: „Uwaga na tro­jan Ba­nap­ter, pod­mie­nia­ją­cy nu­me­ry ra­chun­ków ban­ko­wych wkle­ja­nych ze »schow­ka«”!; „Pa­mię­taj, bank nigdy nie prosi o wy­ko­ny­wa­nie prze­le­wów te­sto­wych!”; „Ostrze­ga­my przed nową wer­sją tro­ja­na Zeus/Zbot ata­ku­ją­ce­go te­le­fo­ny ko­mór­ko­we!”.

To brzmi ni­czym ko­mu­ni­ka­ty wo­jen­ne. Bo to już wojna. W tej woj­nie każdy może stać się nie tylko ofia­rą, lecz także na­jem­ni­kiem – prak­tycz­nie wspól­ni­kiem prze­stęp­stwa. Setki ty­się­cy Po­la­ków do­sta­je ostat­nio na pocz­tę e-ma­ilo­wą spam z pro­po­zy­cja­mi atrak­cyj­nej fi­nan­so­wo i mało ab­sor­bu­ją­cej pracy. Ba, takie ofer­ty po­ja­wia­ją się nawet w lo­kal­nych urzę­dach pracy! Mało ab­sor­bu­ją­ca praca, rze­ko­mo w han­dlu czy ob­słu­dze klien­tów, spro­wa­dza się do za­ło­że­nia lub udo­stęp­nie­nia swego konta, z któ­re­go oka­zjo­nal­nie by­ły­by do­ko­ny­wa­ne płat­no­ści dla „kon­tra­hen­tów firmy”. W rze­czy­wi­sto­ści cho­dzi o zna­le­zie­nie słu­pów, na któ­rych ra­chun­ki przy­cho­dzi­ły­by pie­nią­dze kra­dzio­ne z kont w kraju czy za gra­ni­cą i któ­rzy prze­le­wa­li­by je na ko­lej­ne, po­ma­ga­jąc w za­tar­ciu śla­dów.

Jesz­cze 3-4 lata temu Po­la­cy byli na mar­gi­ne­sie za­in­te­re­so­wa­nia glo­bal­nych oszu­stów in­ter­ne­to­wych. Teraz jed­nak kusi ich po­dwo­je­nie licz­by ak­tyw­nie ko­rzy­sta­ją­cych z ban­ko­wo­ści elek­tro­nicz­nej, z któ­rych więk­szość chro­ni swe konto znacz­nie sła­biej niż miesz­ka­nie czy sa­mo­chód.

Dla­te­go dla cy­be­ro­szu­stów sta­je­my się swo­istym po­li­go­nem do­świad­czal­nym. – Naj­now­sze zło­śli­we opro­gra­mo­wa­nie, prze­zna­czo­ne do ata­ko­wa­nia ban­ko­wo­ści on­li­ne, bar­dzo czę­sto te­sto­wa­ne jest na pol­skich użyt­kow­ni­kach kont in­ter­ne­to­wych – twier­dzi Piotr Ki­jew­ski, kie­row­nik ze­spo­łu CERT Pol­ska, spe­cja­li­sta od bez­pie­czeń­stwa w sieci.

M amy już pra­wie 22 mi­lio­ny użyt­kow­ni­ków ban­ko­wo­ści in­ter­ne­to­wej, w tym po­ło­wę ta­kich, któ­rzy lo­gu­ją się na konto przy­naj­mniej kilka razy mie­sięcz­nie. Zda­niem Mi­ro­sła­wa Maja kom­pu­ter nawet co trze­cie­go z nich może być za­in­fe­ko­wa­ny. „Pol­skie kom­pu­te­ry są ma­so­wo wy­ko­rzy­sty­wa­ne przez cy­ber­prze­stęp­ców. Pod wzglę­dem licz­by ma­szyn »zombi« nasz kraj zaj­mu­je ósme miej­sce na świe­cie” – alar­mu­je firma Sy­man­tec w ra­por­cie za 2012 r.

Zombi to kom­pu­te­ry z róż­ny­mi wi­ru­sa­mi, m.​in. groź­ny­mi tro­ja­na­mi pro­du­ko­wa­ny­mi głów­nie po to, by bu­szo­wać w ban­ko­wo­ści elek­tro­nicz­nej (np. ZitMo, E-Se­cu­ri­ty, Ci­ta­del czy ZeuS P2P). Wła­ści­ciel za­in­fe­ko­wa­ne­go kom­pu­te­ra prak­tycz­nie traci nad nim kon­tro­lę. Cy­ber­prze­stęp­cy gru­pu­ją je w sieć i zdal­nie kon­tro­lu­ją, jako tzw. bot­net. Za po­mo­cą ta­kich sieci ata­ku­ją ban­ko­we sys­te­my in­for­ma­tycz­ne i wi­try­ny in­ter­ne­to­we.

Jesz­cze go­rzej może być w przy­pad­ku ponad dwóch mi­lio­nów klien­tów ban­ko­wo­ści mo­bil­nej, ko­rzy­sta­ją­cych z niej głów­nie przez smart­fo­ny, za­bez­pie­czo­ne sła­biej niż kom­pu­te­ry. Le­d­wie co trze­ci in­sta­lu­je na nich jakiś pro­gram an­ty­wi­ru­so­wy. Więk­szość ścią­ga, jak po­pad­nie, roz­ma­ite apli­ka­cje – czę­sto już za­in­fe­ko­wa­ne. Eks­per­ci ostrze­ga­ją, że ponad 90 proc. tro­ja­nów two­rzo­nych jest na sys­tem An­dro­id, naj­po­pu­lar­niej­szy w na­szych te­le­fo­nach.

Szan­taż to za­sło­na dymna

Celem ta­kich zma­so­wa­nych akcji, czę­sto pro­wa­dzą­cych do wie­lo­go­dzin­nej blo­ka­dy ban­ko­wych wi­tryn, jest zwy­kle wy­mu­sze­nie okupu. Banki ru­ty­no­wo alar­mu­ją wtedy po­li­cję i sta­wia­ją na nogi wła­sne służ­by in­for­ma­tycz­ne, ale sły­sze­li­śmy też o przy­pad­kach do­ga­dy­wa­nia się z ha­ke­ra­mi. Wiel­kiej in­sty­tu­cji fi­nan­so­wej bar­dziej opła­ca się wydać kil­ka­dzie­siąt ty­się­cy zło­tych, niż ry­zy­ko­wać kilka go­dzin pa­ra­li­żu usług in­ter­ne­to­wych – to może kosz­to­wać nawet parę mi­lio­nów zło­tych.

Ale nie cho­dzi tylko o szan­taż i okup. Wielu eks­per­tów do spraw bez­pie­czeń­stwa elek­tro­nicz­ne­go twier­dzi, że takie ataki na banki coraz czę­ściej są za­sło­ną dymną, która ab­sor­bu­je ban­ko­wych in­for­ma­ty­ków, dając cy­ber­prze­stęp­com więk­szą swo­bo­dę w do­bra­niu się do kont klien­tów. Ban­kow­cy i w tej kwe­stii są bar­dzo dys­kret­ni. Ataki ujaw­nia­ją ra­czej przy oka­zji, gdy do­ty­czą także in­nych firm. Tak było, gdy wio­sną ze­szłe­go roku ser­wis Al­le­gro zna­lazł się na ce­low­ni­ku 32-let­nie­go ha­ke­ra z Le­gni­cy, żą­da­ją­ce­go kil­ku­dzie­się­ciu ty­się­cy zło­tych okupu. Szan­ta­żo­wał jed­no­cze­śnie mBank i bank ING. Po­li­cja dość szyb­ko go na­mie­rzy­ła i aresz­to­wa­ła, ale i tak zdą­żył na­ro­bić szkód na ok. 8 mln.

Cóż, jaki kraj, tacy cy­ber­prze­stęp­cy. W tym samym mniej wię­cej cza­sie ha­ke­rzy na­pa­dli na ame­ry­kań­ski Ci­ti­bank, zdo­by­li dane kart kre­dy­to­wych kilku ty­się­cy klien­tów i w ciągu paru ty­go­dni do­ko­na­li nimi trans­ak­cji na pra­wie trzy mi­lio­ny do­la­rów! A to i tak nic w po­rów­na­niu z tro­ja­nem Eu­ro­grab­ber, któ­re­go twór­cy rok temu sprząt­nę­li pra­wie 40 mln euro z kont kil­ku­dzie­się­ciu ty­się­cy klien­tów eu­ro­pej­skich ban­ków!

Cy­ber­prze­stęp­czość staje się na świe­cie ogrom­nym biz­ne­sem. W nie­ofi­cjal­nym, ale dość wia­ry­god­nym cen­ni­ku in­ter­ne­to­wej sza­rej stre­fy dane do kart kre­dy­to­wych miesz­kań­ców USA i sta­rej Unii (z lo­gi­nem i ha­słem lub PIN) – wy­kra­da­ne z za­in­fe­ko­wa­nych kom­pu­te­rów czy smart­fo­nów – można kupić za 2-3 proc. ich li­mi­tu kre­dy­to­we­go. Chęt­nych nie bra­ku­je, skoro licz­bę mniej­szych lub więk­szych cy­be­ra­ta­ków na świe­cie liczy się w ty­sią­cach ty­go­dnio­wo.

Na świe­cie się o tym mówi, nasze banki na razie wolą za­kli­nać rze­czy­wi­stość. – To bzdu­ry. Ataki na banki już się prak­tycz­nie u nas nie zda­rza­ją – prze­ko­nu­je przed­sta­wi­ciel Związ­ku Ban­ków Pol­skich. – Tłem awa­rii jest po pro­stu ro­sną­ca skala dzia­łal­no­ści ban­ków i sto­pień skom­pli­ko­wa­nia ich sys­te­mów in­for­ma­tycz­nych. A także ich współ­dzia­ła­nie np. z sys­te­ma­mi ope­ra­to­rów kart płat­ni­czych czy sieci ko­mór­ko­wych, przy dy­na­micz­nym roz­wo­ju ban­ko­wo­ści mo­bil­nej. Nie za­wsze dzia­ła to per­fek­cyj­nie.

Kto chce, niech wie­rzy.

Autor: Miłosz Węglewski

Źródło: Newsweek