Michał Czuma
Niewiele osób zdaje sobie sprawę, jaką wiedzą dysponują oszuści. Dlatego należy zwracać uwagę na sprawy niezbędne, by chronić nie tylko swoją firmę, ale także siebie, swoich bliskich i znajomych przed działaniami prowadzonymi przez wyłudzaczy i hakerów.
Śledczy z zespołu ds. cyberprzestępczości policji w Toronto 21 listopada 2019 r. dyskretnie dotarli do rodzinnej rezydencji podejrzanego, położonej w spokojnej dzielnicy mieszkaniowej w północno-wschodniej części Montrealu, z nakazem przeszukania i aresztowania. Nie zastano tam głównego celu operacji – 18-letniego Samy’ego Bensaciego, jednak wkrótce został on aresztowany w Victorii, w Kolumbii Brytyjskiej. Śledczy z Toronto, wspierani przez funkcjonariuszy SQ (Sûreté du Québec – policja prowincji Quebec) przejęli jednak kilka telefonów, kart SIM i sprzęt komputerowy z domu podejrzanego. I zapewne dopiero wtedy rodzice Samy’ego dowiedzieli się, że ich syn został zatrzymany jako podejrzany o przynależność do kręgu hakerów, którzy ukradli ponad 50 mln USD, wykorzystując do tego dostęp do telefonów komórkowych posiadaczy kryptowalut. Jak donosi kanadyjski dziennik „La Presse”, Samy Bensaci przebywa w areszcie domowym w oczekiwaniu na proces w Toronto. Może on opuścić rezydencję tylko w obecności jednego z trzech członków rodziny, którzy wpłacili kaucję 200 000 USD. Zabroniono mu dostępu do „każdego komputera, tabletu, telefonu komórkowego, konsoli do gier, w tym PS3, PS4, Xbox, Nintendo Switch lub innego urządzenia zdolnego do uzyskania dostępu do Internetu”. Sąd zakazał mu również posiadania lub wymiany jakiejkolwiek formy kryptowaluty.
Podejrzany z Montrealu jest oskarżony o oszustwo, nieautoryzowane użycie komputera, oszustwo związane z danymi komputerowymi i kradzież tożsamości. Musiał oddać swój paszport, by nie móc opuścić terytorium Kanady. Bensaci został opisany przez źródła policyjne jako jeden z „głównych podejrzanych” w amerykańskim dochodzeniu w sprawie aktywnego kręgu hakerów, którzy obrabowali dziesiątki osób w Stanach Zjednoczonych i Kanadzie począwszy od wiosny 2018 r. Wiele ofiar tej fali rabunków ma cechę wspólną: większość uczestniczyła w corocznych targach kryptowalut o nazwie Consensus, które odbywały się w Nowym Jorku. – Podejrzewa się, że hakerzy namierzali cele na takich imprezach – mówi Rob Ross, Amerykanin, który w dwóch atakach został okradziony z kryptowalut o wartości 1 mln USD. Prowadzi teraz stronę internetową StopSIMCrime.org.
Gdy w kwietniu 2019 r. US Secret Service, odpowiedzialne za zwalczanie oszustw w Stanach Zjednoczonych, poinformowało władze kanadyjskie, że wobec obywatela Kanady jest prowadzone dochodzenie przez wyspecjalizowany oddział kalifornijski o nazwie REACT (Regional Enforcement Allied Computer Team), dwaj kanadyjscy operatorzy telefonii komórkowej od miesięcy męczyli się jeszcze, by złapać hakera, który opracował podstępną metodę wyłudzania kopii kart SIM, omijając czujność pracowników technicznych operatora.
SIM swap
Do kradzieży kryptowalut doszło przy wykorzystaniu oszustwa nazwanego SIM swap. To skuteczny atak komputerowy, który pozwala sprawcy przejąć pełną kontrolę nad usługą telefonii komórkowej ofiary, w tym linii telefonicznej i SMS-ów. Aby atak się powiódł, haker musi posiadać dane osobowe ofiary, które zazwyczaj uzyskuje poprzez infiltrację jej e-maili lub kont w serwisach społecznościowych. Następnie dzwoni do dostawcy usług telekomunikacyjnych, przedstawiając się np. jako pracownik kiosku z telefonami komórkowymi lub punktu obsługi danego telekomu, który pomaga klientowi zmienić kartę SIM (Subscriber Identity Module) w jego urządzeniu. W ten sposób otrzymuje duplikat karty i przejmuje kontrolę nad połączeniami telefonicznymi, dzięki czemu może skutecznie podszywać się pod swoją ofiarę, która nie ma już dostępu do usług telefonicznych. Zanim osoba zaatakowana zda sobie z tego sprawę i zaalarmuje swojego operatora telefonii komórkowej czy bank, często jest już za późno: haker zdoła zmienić wszystkie jej hasła. Osoba, która nie ma dostępu do swoich kont, zostaje chwilowo pozbawiona cyfrowej tożsamości. Im później zareaguje, tym straty są większe.
Ten złośliwy schemat ataku jest szczególnie skuteczny w zwalczaniu systemów weryfikacji dwuskładnikowej, które są wykorzystywane do sprawdzania tożsamości użytkowników poprzez wysłanie na ich telefon komórkowy wiadomości SMS zawierającej tymczasowy kod numeryczny do odblokowania konta czy dokonania transakcji. Dzięki wprowadzeniu kolejnych dyrektyw większość banków wprowadziła SMS jako potwierdzenie dyspozycji w bankowości internetowej i mobilnej. Dlatego zdolny haker po zdobyciu niezbędnych danych będzie mógł uzyskać dostęp do konta i wykorzystując chociażby znane ze stron bankowych procedury reklamacyjne, zdobyć dane do logowania (zmienić dotychczasowe) do konta i tym sposobem bez trudu wypłacić wszystkie pieniądze, założyć na te dane konta w innych bankach, wyłudzić pożyczki w firmach pożyczkowych, które kierując się chęcią przyciągnięcia klientów, przyśpieszają procedury weryfikacji.
I tak w ciągu kilku minut oszust będzie mógł wykonać każdą operację na koncie swojej ofiary. A wszystko dlatego, że SMS-y generowane przez system, a mające na celu weryfikację klienta, trafiają na zdublowany przez wyłudzoną kartę SIM na telefon oszusta. Takie historie są impulsem do tego, by zadbać o bezpieczeństwo swoich finansów.
Jak dbać o bezpieczeństwo naszych systemów informatycznych?
Trudno ustrzec się przed tym, by numer telefonu nie dotarł do oszustów. Niewiele osób ma wpływ na to, gdzie trafia ich numer telefonu. Metodą prób i błędów lub posługując się socjotechniką, nadal łatwo wyłudzać za pomocą SIM Swap numery telefonów w większości telekomów. Kiedy jednak otrzymujesz dziwnie brzmiące SMS-y albo telefon staje się głuchy, trzeba działać błyskawicznie. Nie tylko poinformować swojego operatora, ale przede wszystkim od razu zadzwonić do banku i zablokować swoje konto.
Jakiś czas temu dowiedziałem się przypadkiem, że w jednej z firm finansowych doszło do kradzieży książki adresowej pracowników. Później odwiedzając koleżankę, która jest szefem jednostki antyfraudowej tej firmy, zapytałem ją, czy nie mają z tego tytułu kłopotów. Koleżanka zaskoczona nie zapytała mnie, skąd o tym wiem, ale od razu przyznała, że faktycznie ktoś wykradł książkę adresową pracowników ich firmy, ale nic złego się nie stało, bo złodziej uzyskał dane imienia i nazwiska pracowników, ich e-maile oraz numery telefonów służbowych i właściwie niewiele z tym może zrobić. Wyjaśniłem jej, że rzeczywiście pracownicy nie są zagrożeni, ale sprytny oszust, mając te dane, może się teraz pod dowolnego pracownika podszywać, a skutki tego mogą być opłakane nie tylko dla banku, ale także dla klientów. Bo jak zareaguje klient np. banku, gdy otrzyma e-mail od opiekuna klienta, który faktycznie tam pracuje? Czy jego uwaga nie zostanie uśpiona?
Pamiętaj, że twoje dane są wbrew pozorom łatwo dostępne
Często na szkoleniach i podczas dyskusji powtarzam, że dzisiaj wszyscy powinniśmy żyć ze świadomością, iż wszelkie nasze dane są znane osobom nieupoważnionym. Gdy mamy tego świadomość, chcemy się na taką okoliczność zabezpieczyć. Żyjąc ze złudnym przeświadczeniem, że nasze dane osobowe są bezpieczne, nie reagujemy na sygnały, które temu przekonaniu przeczą. Najlepsze systemy zabezpieczeń są mało skuteczne, jeśli ludzie będący elementem tych systemów nie dbają o bezpieczeństwo powierzonych im danych i o swoje bezpieczeństwo.
Typowym przykładem jest telefon z banku, i to nie jest nic niestandardowego. Trzeba jednak się zastanowić, czy ktoś nie podszywa się pod pracownika banku, zakładając, że większość ludzi np. po długim weekendzie świątecznym może mieć opóźnienia w płatnością. Może zdobył bazę telefonów klientów banku i chce wyłudzić twoje dane. Jeśli już zna imię i nazwisko oraz numer telefonu, może potrzebować tylko twojej daty urodzenia i imienia ojca, by uzyskać zdalny dostęp do twojego konta. Jeśli masz wątpliwości co do wiarygodności takiego kontaktu, możesz podać błędną datę urodzin. Operator infolinii nie zniechęci się, tylko poinformuje, że dane są błędne, i zada drugie pytanie kontrolne. Na przykład zapyta, ile kart debetowych zostało wydanych do twojego konta. Podaj wówczas nieprawdziwą liczbę. Pracownik banku w tym momencie powinien przerwać rozmowę i poinformować cię, że dane są błędne, dlatego poprosi o wizytę w oddziale banku. A jeśli faktycznie jest pracownikiem banku, musi poinformować służby bezpieczeństwa banku, że coś jest nie tak, i klient nie zna daty urodzenia, imienia ojca i liczby produktów i możliwe, że doszło do duplikacji kart. W tym momencie system banku powinien natychmiast zablokować wszelkie transakcje na kontach, a infolinia zadzwonić do klienta, że istnieje podejrzenie, że został zhakowany. Sprawdź więc przy najbliższej okazji, czy tak działa bank, w którym masz konto. Jeśli tak funkcjonuje, to znaczy, że masz konto w bezpiecznym, troszczącym się o swojego klienta banku. Jeśli nie, oznacza, że twoje konto jest podatne na atak. W tej sytuacji zalecam zmianę banku.
Na szczęście, używam telefonu i rozumu zgodnie z przeznaczeniem, dlatego gdy wyświetla się nieznany numer, używam aplikacji Truecaller, która nawet w okrojonej wersji darmowej pomaga wskazać osobę dzwoniącą. Można też po prostu zapytać dzwoniącego, kim jest i skąd dzwoni, a następnie skontaktować się z infolinią banku i sprawdzić, czy rzeczywiście ktoś z banku próbował się z tobą skontaktować. Trzeba bowiem pamiętać, że podszywanie się pod infolinię banku to jedna z metod pozyskiwania danych, jeśli ktoś chce cię okraść. Oszuści wykorzystują socjotechnikę, by wyłudzać nie tylko dane, ale także instrumenty logowania.
I tu pojawia się pytanie, co z odpowiedzialnością tych, którzy dysponują tymi danymi i nie dość dokładnie ich strzegą. Okazuje się, że to także problem instytucji finansowych, gdyż oszuści dokonują i na nie ataków, by wykraść dane klientów banku. Większość, znając konsekwencje niedostatecznej ochrony i mając wdrożone wymogi RODO, pilnuje danych osobowych klientów jako oka w głowie. Dlatego oszuści próbują dotrzeć do potencjalnych ofiar bezpośrednio. W opisywanym wyżej przypadku gros okradzionych to byli uczestnicy corocznych targów poświęconych kryptowalutom o nazwie Consensus, które odbyły się w Nowym Jorku. Consensus to spotkanie świata technologii poświęcone kryptowalutom i sieci blockchain. Od 2015 roku impreza przyciąga każdą dużą firmę, dewelopera, założyciela i inwestora w świecie kryptowalut i łańcuchów blokowych do udziału w corocznej dyskusji na temat przyszłości branży. Niestety, przyjeżdżają też oszuści. Prawdopodobnie to tam zdobyli oni wszystkie potrzebne dane uczestników, być może uruchomili swoje stanowisko, by w trakcie imprezy dotrzeć do innych danych, w tym do ich portfeli kryptowalutowych. Mając dane ich portfeli, wykorzystując SIM Swap, wykradzenie zawartości tych portfeli było dziecinnie łatwe.
Co może zrobić oszust, by nas okraść?
Wszystko co teraz opiszę, celowo zostało zniekształcone, by nie było instrukcją dla oszustów, ale nadal będzie zawierać fakty. Ku przestrodze. Zdobycie numeru PESEL nie stanowi dzisiaj większego problemu. W większości są one jawne i łatwo dostępne. Dzięki uruchomionej usłudze e-recepta otrzymujemy na swój numer telefonu kod, który podaje się w aptece wraz z numerem PESEL. Wystarczy, stojąc w kolejce za potencjalną ofiarą, podsłuchać podawany PESEL.
Ponadto jest on ogólnie dostępny w Krajowym Rejestrze Sądowym, jeśli więc masz firmę lub jesteś członkiem władz firmy, każdy ma dostęp do tych danych. Jeśli jesteś właścicielem nieruchomości, wystarczy znać adres zamieszkania, by dowiedzieć się, jaki jest numer księgi wieczystej, w której widnieją dane osobowe wraz z numerem PESEL oraz imieniem rodziców. Numery PESEL łatwo też wyłudzić. Tak więc oszust, który chce ukraść pieniądze, nie musi nawet badać, kogo ma okraść. Wystarczy, że jadąc samochodem, skieruje się za kimś, kto mu wpadnie w oko. Namierzy, gdzie mieszka. Zapisze adres, pod którym mieszka. Może także pojechać za potencjalną ofiarą i sprawdzić, gdzie pracuje. Stworzenie wygodnej legendy pozwala mu telefonicznie zdobyć wszystkie dane. Jeśli jesteś w mediach społecznościowych, tam może dane zweryfikować, a jeśli zna się na socjotechnice, to może też tam wszystko zdobyć, m.in. numer konta lub informację, w jakim banku masz konto. Brakujący numer dowodu osobistego i wszystkie dane można łatwo zdobyć, doprowadzając np. do stłuczki (spisując protokół, podaje się przecież dane dowodu osobistego). Czasami sprawca zaproponuje przelanie pieniędzy, by nie zgłaszać szkody, i poprosi o podanie numeru konta. Potem wystarczy tylko zdobyć numer telefonu i oszust, mając niezbędne dane, zgłosi się do twojego operatora telekomunikacyjnego. Najpierw ogłuchnie telefon, a potem dowiesz się, że na twoim koncie nie ma ani grosza.
Jak widać, nie potrzeba do tego hakera, który włamuje się do komputera. Dzisiaj nawet nie trzeba komputera, wystarczy kartka i telefon, do tego socjotechnika i niezadbanie o higienę swojego bezpieczeństwa.
Czy nasze firmy nas dostatecznie chronią?
Nie prowadziłem statystyk, jak są chronione firmy i jak bezpiecznie mogą się czuć właściciele, kadra zarządzająca i pracownicy. Jestem w stanie przyjąć, że większość firm dostatecznie chroni swoje zasoby informatyczne. Kupują drogie systemy zabezpieczające przed typowymi atakami. Sporo firm jednak rezygnuje z cyklicznych szkoleń, które wzmacniają najsłabsze ogniwo bezpieczeństwa w firmach – ludzi. Niektóre organizują szkolenia e-learningowe. Najczęściej są obowiązkowe, więc trzeba przerwać pracę. Zazwyczaj pracownik niechętnie loguje się do korporacyjnego modułu e-learningowego, czyta opracowanie wstępne, a następnie na gorąco odpowiada na pytania z ankiety, patrząc, czy je zaliczył. Większość osób, które kończą tego rodzaju szkolenia obowiązkowe, po kilku tygodniach zapomina o temacie. Dlatego trzeba przeprowadzać takie szkolenia nie tylko online, ale także stacjonarnie, organizować warsztaty, by wbudować do świadomości ludzi swego rodzaju firewall chroniący i firmę, i jego przed oszustami. Pamiętam szkolenie, które prowadziłem dla służb sprzedaży pewnej firmy, pokazując, ile danych ludzie sami ujawniają w sieci (zaczynając od dokładnej daty urodzin podanej na Facebooku…). Widziałem niedowierzanie w oczach moich słuchaczy, ile informacji można wyciągnąć o człowieku ze zwykłegoo czata czy podszywając się pod znajomego.
Niestety pośpiech, nieostrożność, działania instynktowne, nieświadomość i brak podstawowej wiedzy to nasza słabość. Aby wyłudzić pieniądze z firm, oszuści dzwonią do prezesów, księgowych, asystentek, podszywając się pod kontrahentów. Udają pracowników banków, wysyłając pisma, w których proszą o przekazanie niewinnych z pozoru informacji. Dostajesz e-maile od ludzi, którzy potrafią się podszyć pod pracowników, szefów albo osoby z help desku. Przez trzydzieści lat pracy z oszustami poznałem chyba wszystkie skuteczne metody pozwalające na to, by ukraść nie tylko pieniądze, ale także zrujnować firmy, a życie ludzi zamienić w piekło.
Jak dbać o swoje bezpieczeństwo?
Szefowie firmy i osoby zarządzające bezpieczeństwem i zasobami ludzkimi muszą cały czas szkolić pracowników z procedur obowiązujących w firmie, a także tego, jak rozpoznać symptomy i anomalie, które wskazują na potencjalne próby rozpoznawania zabezpieczeń, penetracji i planowanie ataków. Czujność ludzi wzmacnia bezpieczeństwo firmy, pracowników, ich rodzin, domów i życia.
Znalazłeś pendrive’a w łazience. Czy wiesz, co masz wtedy zrobić? Czy sprawdzasz, dlaczego śmieci koło kosza pod twoim domem są rozrzucone? Czy pisma z banku palisz w piecu lub niszczysz w zniszczarce, czy tylko rwiesz i wyrzucasz do kosza? Odbierasz dziwne telefony od kolegi z działu, który wypytywał cię o rzeczy, o jakich każdy powinien wiedzieć. Nie spowodowało to twojej właściwej reakcji? Czy wiedziałeś, co masz wtedy zrobić? Czy uważałeś, gdy ktoś podesłał ci na e-mail dziwne linki? Czy wiesz, co robić, gdy przyjedzie kurier z niezamówioną paczką? Czy podałeś swoje dane, gdy ktoś dzwonił z firmy prowadzącej badania rynkowe? Pamiętasz, kiedy to było? Czy odrzucasz w mediach społecznościowych zaproszenia od osób, których nie znasz? Ile poznałeś potem realnie? Czy jesteś pewien, że wiesz, jak rozpoznać konto fejkowe od prawdziwego? Czy wiesz, kto zna twój numer telefonu? Czy wiesz, dlaczego nie wolno kopiować dowodu osobistego? Dlaczego lepiej wezwać policję, niż podawać sprawcy zderzenia na drodze swoje dane i dlaczego musisz wezwać policję? Czy potrafisz sprawdzić, kto do ciebie dzwoni? Na co musisz zwracać uwagę, podając komuś swoje dane? Czy potrafisz przeczytać i zapamiętać numer rejestracyjny samochodu, który cię śledzi?
Na te pytania każdy musi umieć odpowiedzieć. Musi wiedzieć, co się za nimi kryje, i potrafić na nie zareagować. Są to elementy osobistego systemu bezpieczeństwa, o którego higienę musisz dbać tak samo, jak dbasz o zdrowie, dobro bliskich i bezpieczeństwo pieniędzy. Jeśli na większość powyższych pytań potrafisz odpowiedzieć, to dobry wynik. Ale jeśli większość odpowiedzi była negatywna, jesteś zagrożony. Warto czytać w sieci ostrzeżenia o nowych formach ataków. Zaglądać na strony ekspertów od bezpieczeństwa, oglądać w telewizji programy poświęcone zagadnieniom bezpieczeństwa. Dzisiaj wszyscy pilnujemy kluczy do naszych mieszkań i domów. Większość wie, gdzie położyła kluczyki do samochodu. W pracy dbamy o wyposażenie. Ale to tylko chroni drobny promil sfery bezpieczeństwa każdej osoby.
Położone na stole klucze ktoś postronny może skopiować, odciskając je w plastelinie. Samochód można ukraść w ciągu kilku sekund bez użycia kluczyków. Zawartość portfela zainteresuje kieszonkowca. Ryzyko włamania do zabezpieczonego przez firmę ochroniarską mieszkania jest niewielkie. Ale już to, co masz na koncie w banku, możesz stracić błyskawicznie, jeśli nie będziesz pamiętać, że ktoś chce stać się posiadaczem tych danych i mając je, pozbawić cię wszystkiego. W ten sposób można wykraść pieniądze firmy albo kosztowne jej tajemnice. I w tym celu czujnie obserwuje to, co piszesz w sieci, poznaje twoich przyjaciół, członków rodziny i próbuje się pod nich podszyć. Notuje skrzętnie dane, jakie pozostawiasz w sieci, by później przejąć twoją tożsamość. Wiedzieć, jak wygląda twój plan dnia, rozkład tygodnia, z kim pracujesz, kogo nie lubisz, czego ci brak i jakie masz potrzeby, a to wszystko będzie służyć oszustwu lub wyłudzeniu. Jeśli po przeczytaniu tego artykułu będziesz teraz bacznie uważał, zaprosisz do firmy ekspertów, by przeszkolili pracowników, wezwiesz szefa bezpieczeństwa i wypytasz go, jak jesteś chroniony, a jeśli nie masz takiego, to zatrudnisz kogoś, kto tym profesjonalnie się zajmie, możesz czuć się bezpiecznie.
Uważaj na siebie, przyjacielu. Uważaj…
Z wielkim żalem przyjęliśmy informację o śmierci Michała Czumy, naszego przyjaciela, autora publikacji w „a&s Polska”, prelegenta Warsaw Security Summit i aktywnego uczestnika „śniadań ekspertów”. Odszedł od nas 24 marca 2020 r.
|
