8

Dziś listonosz, jutro gazownik. Czyli offline’owa kariera hackera!

Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI – Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem. Wcześniejsze wpisy z tego cyklu znajdziecie pod tym linkiem – CSI. Spojrzał na cyfry niedbale wyklejone na drzwiach. „42-69”. Wybrał 42. — Kto tam? — zaskrzeczał domofon. — Poczta — odpowiedział Janusz […]

Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI – Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem. Wcześniejsze wpisy z tego cyklu znajdziecie pod tym linkiem – CSI.

Spojrzał na cyfry niedbale wyklejone na drzwiach. „42-69”. Wybrał 42.

— Kto tam? — zaskrzeczał domofon.

— Poczta — odpowiedział Janusz poprawiając wypożyczoną z teatru czapkę listonosza.

* Bzzzt *

Szarpnął za klamkę i wszedł na klatkę schodową typowego polskiego blokowiska. Ze ścian spoglądały na niego wydrapane kluczami nazwy i okrzyki lokalnych klubów piłkarskich. Zanucił pod nosem „jazda jazda jazda, biała gwiazda”. Jeden rzut oka na ścianę i już wiedział że Łysego z Baśką łączy WNM. „Dość zwiedzania, jest robota do wykonania” skarcił sam siebie i podszedł do znajdujących się za filarem skrzynek pocztowych. Rozpiął torbę, wyjął plik kopert oplecionych gumką i błyskawicznie powrzucał je do odpowiednich skrzynek. Teraz wystarczyło tylko poczekać parę dni na przelewy od niczego nieświadomych mieszkańców. Stworzone przez Janusza faktury były nie do odróżnienia od oryginalnych faktur firmy energetycznej Bozon. Miały tylko inny numer rachunku, na który należało uiścić należność za prąd…

* * *

Ta partia fałszywych faktur miała dla Janusza sentymentalne znaczenie. Po raz pierwszy nie zakupił lewych rachunków bankowych na TORowisku, a zdobył je samodzielnie. Nie było to wcale takie trudne. Tydzień temu po prostu zostawił komórkę w domu i założył kupione w lumpeksie ciuchy oraz maskę antysmogową. W Krakowie coraz więcej osób w nich chodziło, więc nie wzbudzało to już żadnej sensacji a świetnie chroniło przed okiem kamer projektu INDECT, który bacznie monitorował miasto. Złapał taksówkę z postoju i udał się do Nowej Huty, gdzie pod sklepem monopolowym szybko namierzył młodego, lekko chwiejącego się jegomościa. Za 200 złotych pijaczek zgodził się „zgubić” dowód osobisty. Z dowodem Ryszarda w kieszeni udał się do pobliskiego lasu. Tam pewien, że nie obserwuje go żadna kamera miejskiego monitoringu ani fotopułapka zrzucił z siebie ubranie i założył „normalne” ciuchy wyjęte z plecaka. Nie zapomniał też o zmianie butów i skarpetek. „Nie jednego przebierańca tak namierzono„. Ciuchy z akcji zapakował do plecaka, obciążył go kamieniami i utopił w znajdującym się w lesie bagnie. Z lasu wyszedł jako „inny człowiek”. „Sam detektyw Rutkowski nie odtworzy tego co dziś robiłem, choćby nawet kupił nagrania z kamer monitoringu wszystkich okolicznych firm” — zażartował w myślach i zadowolony z siebie wsiadł w PKS-u do Krakowa.

Założenie konta w banku na dowód było trywialne. Serwer proxy, dane z dowodu i wskazanie adresu do korespondencji na wynajęte wcześniej za gotówkę „mieszkanie w suterenie dla studenta”. Jedyne co go martwiło, to fakt, że przez najbliższych kilka dni będzie musiał czekać na kuriera w tej ruderze. No ale czego nie robi się dla kasy… Kiedy po paru dniach kurier zapukał do drzwi, Janusz szybko zarzucił na głowę ręcznik i przywdział szlafrok — to miało podnieść jego wiarygodność w oczach kuriera. Na wszelki wypadek otworzył też opakowanie najbardziej śmierdzącego francuskiego sera jaki udało mu się znaleźć. Liczył na to, że kurier nie będzie w stanie znieść jego smrodu, co drastycznie skróci przebieg wizyty. A pośpiech, jak wiadomo, negatywnie wpływa na dokładność weryfikacji zdjęcia z dowodu z twarzą klienta banku. Po fakcie okazało się, że Janusz niepotrzebnie cudował. Kurier na dowodzie sprawdził tylko nazwisko, kazał pokwitować papiery i życzył miłego dnia zostawiając dostęp do konta. 10 sekund. „No tak, oni i tak są zabiegani” — dotarło do Janusza. Tak czy inaczej, nie zamierzał ponownie w taki sam sposób potwierdzać kolejnego lewego rachunku. Za dużo zabawy. Już teraz podjął decyzję, że kolejne konto na słupa założy przez standardowy scam z ogłoszeniem o pracę na OLX.

Posiadanie lewego rachunku bankowego to połowa sukcesu. Janusz musiał jeszcze przygotować lewe faktury Bozonu. Ich wygląd nie stanowił żadnego problemu. Od lat się nie zmieniały, dlatego Janusz od dawna dysponował szablonem złożonym Wordzie. Faktury były jednak imienne, więc potrzebował poprawnych imion i nazwisk właścicieli lokali, których zamierzał okraść. Ponieważ w dzisiejszych czasach nie ma już list mieszkańców wywieszanych na klatkach i domofonach (cholerne GIODO!) zdecydował się na najprostsze rozwiązanie. Po prostu zaczaił się przed blokiem, którego mieszkańców chciał oszukać i wypatrywał listonosza. Faktury za prąd Bozonu przychodziły raz na kwartał i ta data właśnie się zbliżała. Po każdej wizycie listonosza wchodził do klatki udając gościa roznoszącego ulotki i wpychając ludziom do skrzynek darmowe gazetki Rossmana jednocześnie pincetą wyciągał znajdującą się w skrzynce korespondencję. Dopiero trzeciego dnia zauważył, że w skrzynkach pojawiły się faktury Bozonu. Udało mu się wyciągnąć je wszystkie w mniej niż 5 minut. „Chyba się starzeje” — pomyślał. Ale potem usprawiedliwił się w duchu, że wszystkiemu winne jest wprowadzenie europejskich skrzynek na listy. Skrzynki oddawcze starszego typu otwierał podrobionym kluczem i przesyłki ze wszystkich skrytek potrafił wyjąć poniżej 40 sekund.

Przepisanie danych teleadresowych do fałszywego szablonu faktury zajęło mu kilka minut. Wszystko dzięki Microsoftowi, który w Office narzędzie do korespondencji seryjnej. Zawsze się cieszył, kiedy mógł wykorzystać wielkie korporacje do swoich niecnych planów. Trochę dłużej zeszło z wydrukiem. Kartki, które wypluwała drukarka musiał jeszcze obcinać na dole, aby pozbyć się tzw. mikrokropek, czyli niewidocznego znakowania wydruków przez producentów drukarek. Nie jeden oszust już na tym wpadł. Po mikrokropkach można było ustalić miejsce zakupu drukarki i często także dane osoby, która ją nabyła — a Janusz swojej drukarki nie kupił anonimowo…

Zapakował lewe faktury do kopert i założył czapkę listonosza. Za pieniędzmi czasem trzeba się trochę nachodzić…

Komentarz ekspercki

Autorem wypowiedzi jest Michał Iwan, dyrektor zarządzający F-Secure w Polsce.

Choć może to być zaskakujące, atak komputerowy nie zawsze musi być atakiem internetowym.  Coraz częściej cyberprzestępcy podejmują próby wyłudzenia pieniędzy „offline”, czyli bez bezpośredniego wykorzystywania sieci. Sprzęt w tym wypadku służy jedynie do przygotowania fałszywych dokumentów, które mają wprowadzić ofiarę w błąd.

Kluczem do ataku jest zdobycie przez hakerów informacji na nasz temat. Dlatego, tak istotne jest, aby je właściwie chronić.

Po pierwsze, zawsze należy zwracać baczną uwagę na to gdzie i komu udostępniam dane na nasze temat, kto może je przetwarzać, gdzie i w jaki sposób mogą być publikowane – zarówno w przypadku źródeł online, jak i offline.

Po drugie, powinniśmy zabezpieczyć naszą korespondencję – nie przekazywać nikomu danych dostępowych do skrzynek oraz zainwestować w elektroniczne środki ochrony, takie jak program antywirusowy w przypadku poczty online czy monitoring w przypadku poczty tradycyjnej (rozwiązania tego typu powoli stają się standardem w nowym budownictwie, jednak wciąż przeważająca liczba budynków jest pozbawiona dozoru wideo, co zwiększa ryzyko włamania do skrzynki i przechwycenia korespondencji). Warto również zadbać o niszczenie drukowanych dokumentów przed umieszczeniem ich w koszu, tak aby zawarte na nich danych nie udało się odczytać.

Po trzecie, zawsze powinniśmy być czujni i uważnie analizować otrzymaną korespondencję, szczególnie, gdy wiążą się one z koniecznością dokonania opłaty.

Podstawą jest weryfikacja poprawności numeru konta odbiorcy przelewu i sprawdzenie czy na „nowej” fakturze jest on zgodny z tym, na który dotychczas przesyłaliśmy pieniądze. Dużym ułatwieniem w tym względzie może być dodanie adresata do listy zaufanych odbiorców. Dodatkowo, jeżeli nasz bank wymaga wpisania potwierdzającego kodu SMS, warto sprawdzić, czy wszystkie szczegóły zawarte w wiadomości są zgodne z danymi przelewu.

Pamiętajmy, że jeżeli cokolwiek wzbudzi nasze wątpliwości odnośnie dokumentów, przed dokonaniem przelewu warto skontaktować się z firmą będącą nadawcą faktury lub naszym bankiem.