Bezpieczeństwo w sieci

Cześć, czy mógłbyś mi przelać… czyli haker w „trudnej” sytuacji

Patronat Medialny
Cześć, czy mógłbyś mi przelać… czyli haker w „trudnej” sytuacji
8

Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI - Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem. Wcześniejsze wpisy z tego cyklu znajdziecie pod tym linkiem - CSI.

Zeskoczył z wyciągu narciarskiego i poprawił gogle.Był na szczycie Pic Blank, na 3330 metrach, a przed jego oczami rozciągał się widok na położone niżej miasteczko Alp d'Huez, jedną z największych stacji narciarskich we francuskich Alpach, do której prowadziła najdłuższa w Europie czarna trasa - Sarenne. 16 kilometrów szusowania. Andrzej nie mógł się doczekać...

Zanim poprawił wiązania, sięgnął do plecaka. Wyjął z niego drona. Taki zjazd trzeba udokumentować, a GoPro na kasku jest dla leszczy - pomyślał i zaczął sobie wyobrażać, jak koledzy z pracy będą wyć z zazdrości, kiedy podeśle im filmik dokumentujący zjazd nagrany przez drona. A z resztą, mam gdzieś co oni sobie pomyślą, ważne jak zareaguje Marlena! Nowa dziewczyna z HR wpadła mu w oko już 2 miesiące temu, ale jedyne co udało mu się podsłuchać z jej kuchennych rozmów, to zwierzenia, jak bardzo lubi jeździć na nartach. "Może ten filmik będzie pretekstem do wspólnego wypadu na Kasinę, kiedy wrócę do Krakowa?" - w duchu miał nadzieję, że Marlena po zobaczeniu zjazdowego filmiku będzie chciała pooglądać jego drona w akcji z bliska.

Podpiął smartphona pod kontroler sterowania dronem i przesunął dźwignie joystików po skosie - sygnał startu. Następnie wzleciał dronem na wysokość 10 metrów i przestawił go w tryb "Follow Me". Nacisnął nagrywanie, schował kontroler do plecaka, poprawił gogle i ruszył w dół lodowca Sarenne... Kiedy zrobił ostatni kilometr, biegnący wzdłuż malowniczego wąwozu, zatrzymał się na skraju urwiska, zaraz obok wartkiego strumyka.

Spojrzał w górę. Dron unosił się nad nim. Pomachał mu i zdjął plecak. Wyjął z niego kontroler, ale przed wylądowaniem postanowił jeszcze obrócić drona o 360 stopni, żeby nagrać panoramę całej dolinki. Ponieważ w słońcu ciężko było dostrzec obraz z kamery drona transmitowany w czasie rzeczywistym na podpiętego pod kontroler smartphona, odwrócił się tyłem do zbocza. O tym, jak wielki był to błąd, przekonał się po kilku sekundach, gdy z impetem wjechał w niego jakiś narciarz...

* * *

Uderzenie nie było na tyle silne, żeby się przewrócił, ale wystarczająco mocne, aby z rąk wypadł mu kontroler przymocowanym doń smartphonem. Machając rękami i próbując odzyskać równowagę, kątem oka zauważył, jak kontroler upada i po ubitym śniegu zsuwa się z urwiska wprost do strumyka...

Merde! - zaklnął w języku tubylców. Utratę telefonu jakoś przeżyje. Duplikat karty SIM też dostanę, ale co z dronem i filmikiem dla Marleny?!

Tryb "Follow me" oznaczał, że dron wędruje za pozycją wyznaczaną przez moduł GPS telefonu ...a ten właśnie znikał z pola widzenia Andrzeja, unoszony przez nurt strumyka. Andrzej spojrzał do góry, ale o dziwo, dron wciąż wisiał nieruchomo. Wcale nie podążał za telefonem. No tak, telefon po wodowaniu musiał przestać działać i dron na szczęście stracił kontakt z kontrolerem.

To oznaczało tylko jedno - dron będzie wisiał nieruchomo dopóki stan baterii nie osiągnie poziomu alarmowego. Wtedy automatycznie włączy się tryb failsafe, który oznacza powrót do miejsca startu najkrótszą możliwą drogą, czyli wprost na sam szczyt Pic Blanc... Po drodze jest trochę linii energetycznych i kolejek górskich, których dron nie "widzi" i nie jest w stanie samodzielnie ominąć. Co prawda, każdy narciarz na wyciągu powinien mieć założony kask, ale lepiej nie ryzykować - pomyślał Andrzej i błyskawicznie przykucnął, nabrał śniegu w ręce, sprawnie ulepił śnieżkę, wycelował i... jednym trafnym rzutem umieścił śnieżkę w wirnikach drona.

Zgodnie z przewidywaniami, zmielona przez śmigła śnieżka obsypała konstrukcję drona, którego temperatura pracy (35*C) spowodowała momentalną zmianę śniegu na obudowie w wodę i zalanie elektroniki urządzenia. Wirniki po chwili przestały pracować i grawitacja kolejny raz pokazała, kto tu rządzi. Lądowanie na na szczęście było miękkie. Poza trasą utrzymywała się 50 centymetrowa warstwa śniegu. Drona trzeba będzie wysuszyć, ale z karty pamięci, która znajdowała się w jego aparacie powinienem bez problemu odczytać nagranie filmiku z dość zabawną końcówką... - pocieszał się Andrzej.

* *

Ponieważ bez smartphona Andrzej nie miał jak skorzystać z hotelowego Wi-Fi, udał się na recepcję. Odstał tam 40 minut w kolejce do jednego leciwego peceta, którego właściciele udostępniali turystom w hotelowym lobby. Kiedy wreszcie siadł do komputera, zauważył, że z portu USB na froncie obudowy zwisał czytnik kart SD i microSD. Pewnie wszyscy korzystają z tego kompa w jednym celu - zgrania zdjęć z aparatów i wrzuceniu ich na Facebooka. Andrzej uśmiechnął się w duchu, bo miał dokładnie taki sam zamiar...

Włożył do czytnika kartę pamięci z drona i odtworzył nagranie. Wszystko działało! Zalogował się więc na swojego Facebooka i rozpoczął wgrywanie filmiku z drona. Jako tytuł ustawił: "Morderczy zjazd i strata telefonu".

Mam nadzieję, że Marlena zadowoli się odrobinę gorszą jakością nagrania - pomyślał. Niestety nie był w stanie wrzucić filmiku na YouTube'a, którego charakteryzowała lepsza jakość nagrań. Aby zalogować się do swojego konta Google, potrzebował bowiem kodu wysyłanego SMS-em na telefon, którego już nie posiadał. Przed wyjazdem specjalnie włączył dwuskładnikowe logowanie w przypadku wyczerpania baterii w telefonie i konieczności logowania się na czyimś komputerze w lotnisku lub hotelu - móc to zrobić bezpiecznie i nie odczuć żadnych negatywnych skutków, nawet gdyby jakieś złośliwe oprogramowania zainstalowane na przygodnym komputerze podsłuchało jego hasło.

W duchu cieszył się, że Facebooka zawsze traktował jako mniej ważne konto i nie włączył na nim dwuskładnikowego uwierzytelnienia. Nawet jeśli ktoś przejąłby to konto, niczego specjalnego by nie zyskał. Andrzej nie przypuszczał, aby ktokolwiek mógł być zainteresowany kolekcją jego nudnych zdjęć i opisami pijackiego życia. Uznał, że nie ma sensu tego zabezpieczać - I dobrze! Gdybym i tu włączył dwuskładnikowe uwierzytelnienieto koledzy z pracy filmik zobaczyliby dopiero za tydzień...

* *

- Patrzcie jaki filmik wyszerował Andrzejek! - krzyknął Filip wychylając się ze swojego boksu.

- Zjazd pierwsza klasa. Ale z tym telefonem to przyfrajerzył strasznie, dałby radę go dogonić - odezwał się Karol, który podobnie jak reszta firmy też częściej patrzył na Facebooka niż na firmową pocztę.

- Szacun za pomysł ze śnieżką. Ciekawe ile zabuli za naprawę drona. W ogóle to widzieliście jaką miał minę jak rzucał? - dodał Sebastian, wrzucając na wiszący na ścianie biura telewizor stopklatkę z filmiku.

Wszyscy wybuchnęli śmiechem, ale generalnie ziściło się marzenie Andrzeja. Koledzy byli pod sporym wrażeniem. A Marlena jako pierwsza zalajkowała i skomentowała filmik dwoma, ale jakże ważnymi dla Andrzeja słowami: "WOW! Najlepiej!!11!11"

Na tego Marlenowego lajka Andrzej czekał. Błyskawicznie odezwał się do Marleny na Facebook Messengerze, ale nie było mu dane długo poromansować. Jakiś Chińczyk łamaną angielszczyzną trzeci raz zapytał: "haumas longa, miser?" Wylogował się więc i udał na zasłużone grzane wino...

* *

Kiedy Marlena wróciła do domu, zauważyła, że Andrzej wysłał jej nową wiadomość:

Słuchaj Marlena, głupia sprawa, ale potrzebuję pożyczyć 300 złotych na kilka dni. Jestem za granicą i zgubiłem portfel z kartą kredytową, a muszę zapłacić za nocleg. Straciłem też telefon więc nie mogę zlecić przelewu ze swojego banku przez Internet, bo jest potwierdzenie kodem SMS. Przelejesz pls w moim imieniu 3 stówy na rachunek hotelu? Tyle mi brakuje bo na szczęście miałem trochę gotówki przy sobie. Jak tylko wrócę oddam z nawiązką, dzięki! Podaję numer rachunku:

28109000755339081071318362

- Co za pechowiec - pomyślała wykonując przelew - Nie dość ze stracił telefon, to jeszcze go okradli...

* *
Marlena weszła do firmy i swoje pierwsze kroki skierowała do kuchni. Nie ma pracy bez kawy. Szukając swojego kubka usłyszała rozmowę kolegów z działu IT.

- Andrzej to ma przerąbane, nie dość że zniszczył telefon to jeszcze go wczoraj okradli i biedak nie miał nawet jak zapłacić za nocleg. Dobrze, że mnie wieczorem złapał na Fejsie, inaczej pewnie musiałby płacić hotelarzowi w naturze, albo zostawić tego drona w rozliczeniu - zażartował Krzysiek.

- To chyba twój przelew nie dotarł, bo i ode mnie dziś rano pożyczył 2 stówy - dodał Filip.

- Was też prosił o kasę? Bo ja mu wczoraj na ten hotelowy rachunek przelałam 3 stówy.. -wcięła się w rozmowę Marlena.

Kiedy Krzysiek, Marlena i Filip mierzyli się wzrokiem i powoli docierało do nich, co się stało, do kuchni wpadł Karol, który na wejściu krzyknął:
- Czołem, słyszeliście, że ktoś wczoraj skroił nam Andrzejka w Alpach? Ten to ma pecha... Miał farta, że złapał mnie w nocy na Fejsie. Jak zwykle Karolek ratuje sytuację, haha. No co tak patrzycie jakbyście ducha zobaczyli?

* *

* DING-DING *

Janusz spojrzał na SMS-a z powiadomieniem od banku.

Twoja karta prepaid o numerze **** 8362 osiągnęła maksymalny limit doładowań 10 000 PLN w tym roku kalendarzowym.

Zamieszał kawę, uśmiechnął się i wyjrzał przez okno. Zza chmur wyłaniał się przepiękny widok na Pic Blanc....

Przed wyjazdem na urlop co prawda obiecał sobie, że odpocznie od tych wszystkich oszustw, ale kiedy ujrzał ten stojący w lobby komputer, nie mógł się powstrzymać. Ręka sama sięgnęła do kieszeni po sprzętowego keyloggera, którego wprawnym ruchem wpiął między kabel od klawiatury w port USB.

Komentarz ekspercki

Autorem wypowiedzi jest Michał Iwan, dyrektor zarządzający F-Secure w Polsce.

Działanie w pośpiechu i pod presją czasu często sprawia, że zapominamy o podstawowych zasadach bezpieczeństwa. Każda, nawet chwilowa nieuwaga może jednak doprowadzić do tego, że staniemy się ofiarą internetowego przestępcy.

Coraz powszechniejszą metodą, z której korzystają hakerzy, jest przejmowanie poczty e-mail lub konta na portalu społecznościowym losowo wybranych użytkowników i próba wyłudzenia pieniędzy od ich znajomych. W tym celu internetowy przestępca, podszywając się pod właściciela przechwyconego konta, rozsyła wiadomość zawierającą prośbę o przelanie pieniędzy, które mają pomóc mu wyjść z trudnej sytuacji. Czujność odbiorcy dodatkowo usypia fakt, że prośby dotyczą niewielkich kwot, maksymalnie kilkaset złotych. Jednakże zastosowanie tricku kilka lub kilkanaście razy umożliwia pozyskanie znacznej sumy pieniędzy.

Jak zatem ustrzec przed próbą takiego wyłudzenia zarówno siebie, jak i znajomych?

Przede wszystkim należy zabezpieczać swoje konta w taki sposób, aby zminimalizować ryzyko, że zostaną one przechwycone. Absolutną podstawą jest korzystanie z silnych, unikalnych haseł oraz ich okresowa zmiana. Unikajmy również logowania się do poczty e-mail oraz na portale społecznościowe na urządzeniach dostępnych w miejscach publicznych. Nie mamy przecież pewności, że są one odpowiednio zabezpieczone przed internetowymi zagrożeniami lub że nie zostały zainfekowane złośliwym oprogramowaniem.

Po drugie, jeżeli kiedykolwiek otrzymamy wiadomość z prośbą o pilne wykonanie przelewu, nie postępujmy zbyt pochopnie. Zanim zlecimy transfer pieniędzy spróbujmy skontaktować się z nadawcą i ustalić, czy autorem rzeczywiście jest nasz znajomy. Ponadto jeśli w przeszłości zdarzyło się nam już przelewać tej osobie pieniądze, warto sprawdzić zgodność numeru konta z tym zawartym w otrzymanej wiadomości.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy:

csi