14

Mam pociąg do twoich danych

Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI - Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem. Wcześniejsze wpisy z tego cyklu znajdziecie pod tym linkiem - CSI.

To chyba Chopin… Ale piękne!„, pomyślał Janusz usłyszawszy dźwięki wydobywające się z głośników. Zachwyt nad nowym pociągiem został jednak przerwany przez ostrzeżenie pracownika kolei stojącego u wejścia do wagonu. – Ma pan bilet? Bo jak pan nie ma, to 600 złoty kary.

Po wejściu na pokład, od razu skierował się do wagonu barowego. Ważnego biletu bowiem nie miał. 150 złotych to niemały wydatek, a wypłata wykradzionych niedawno pieniędzy trochę się opóźniała. Bitcoinowy mixer, którego używał do „przeprania” wyłudzonych środków znów miał „planowane prace serwisowe”, za które przepraszano prawie tak uprzejmie, jak polska kolej za opóźnienia. Zresztą w podróż pociągiem Janusz ruszył właśnie po to, aby podreperować swój budżet. Plan zdobycia nowych środków był bardzo prosty…

1. Wybiera poranny poniedziałkowy pociąg Kraków – Warszawa. Tym składem, zwłaszcza pierwszą klasą, podróżują politycy i wysocy rangą managerowie, mieszkający w Krakowie, a pracujący w stolicy. Idealny target na fraudy.

2. Nie ma ważnego biletu, więc dopóki wszyscy się nie usadzą, przeczekuje w barze przy jajecznicy.

3. Po kilku minutach rusza do wagonów I klasy i wybiera pierwsze wolne miejsce, najlepiej obok kogoś w krawacie i dobrych butach, pracującego na laptopie. Krawat i garnitur ktoś mógł założyć okazyjnie (może jakaś konferencja?), ale buty zawsze zdemaskują jegomościa. Buty albo – sikor. Jeśli buty nie świecą nowością, tym lepiej dla Janusza – większa szansa, że to osoba na co dzień ubierająca się oficjalnie. Na takich właśnie, wysoko ustawionych, zamierzał polować.

W trakcie poprzednich podróży zauważył bowiem, że im wyżej postawiona osoba, tym mniej zwraca uwagę na otaczających go ludzi i tym ważniejsze deale przez tę osobę przechodzą. Garniturowcy są też często pracoholikami, a to oznacza, że w trakcie podróży będą załatwiać swoje biznesy, często w głośnych telefonicznych rozmowach ze swoją sekretarką. Jakby reszta pasażerów dla nich nie istniała.

Plan Janusza był bardzo prosty. Janusz przez dwie i pół godziny miał po prostu być uchem.

Tu nie można z laptopem, znaku nie widzi? – z rozmyślań o inwigilacji garniturowców wyrwał go głos kelnerki wskazującej ręką na nalepkę z przekreślonym laptopem.

Czyli jednak do europejskiego standardu trochę jeszcze brakuje – odpowiedział kelnerce, momentalnie rezygnując z zamówienia jajecznicy.

Wytrącony z równowagi, zamiast w stronę wagonów pierwszej klasy, wkroczył do wagonu klasy drugiej i już miał się odwrócić na pięcie, kiedy kątem oka zauważył kobietę pracującą na laptopie i niewątpliwie dbającą o swoją prywatność. Kamerka w jej laptopie była zaklejona kolorową taśmą klejącą, ale ekran był pięknie widoczny dla każdego. Janusz szybko strzelił fotkę. Dane, wyglądające na raport dłużników, mogą się przydać:

„O swoją prywatność może i dba, ale o prywatność wrażliwych danych firmy, to już nie bardzo…” – pomyślał Janusz, zastanawiając się, dlaczego ludzie tak niechętnie korzystają z filtrów prywatyzujących w miejscach publicznych.

Odwrócił się na pięcie i ruszył w stronę wagonów pierwszej klasy. Po kilku „psssst” i „szuuuu” oraz minięciu wózka z kawą i herbatą, usadowił się w przedziale naprzeciw wąsatego garniturowca w średnim wieku z otwartym laptopem.

Zmrużył oczy, udając, że jego planem jest zasnąć. Nie musiał długo czekać. Po 3 minutach wąsaty złapał za telefon i zupełnie ignorując przysypiających pasażerów, rozpoczął rozmowę.

Pani Krysiu, niestety, kochana, będzie Pani musiała wysłać te papiery przetargowe i potwierdzenie przelewu wadium do ministerstwa. No bardzo przepraszam, ale ja nie mogę. No bo w pociągu jestem, a tu nie ma internetu. No mam kochana komórkę, przecież z niej dzwonię, ale za cholerę nie jestem w stanie tego tetraringu ustawić co mi Andrzejek pokazywał ostatnio. To znaczy ustawiam, ja tam technologii się nie boję, kochana, hehe, ale zrywa mi. No zrywa jak Polacy truskawki w Niemczech, hehe… Ale jak to kochana nie masz tych dokumentów? Aha, aha, tak… Halinie wysyłałem tylko, prawda. No to niechże Halina to zrobi… A na którą przychodzi? To pani Krysiu, Pani się zaloguje na moje konto w CRM. Tak login, Henryk, a hasło… – tu garniturowiec rozejrzał się po przedziale, jakby wiedział, że powiedzenie hasła przez telefon nie jest najmądrzejszym pomysłem – a hasło, Pani Krysiu, no to tak jak nazwa naszej firmy, wszystko dużymi, potem 2016 i wykrzyknik. Udało się? Świetnie, to proszę to wszystko podesłać Mirkowi z ministerstwa. Pięknie dziękuję halo? halo? No zerwało, szlag by to…

Janusz z trudem powstrzymywał śmiech, udając, że dalej drzemie. Henryk hasła nie powiedział, ale było więcej niż oczywiste w jakiej firmie pracował. Na klapie od laptopa widniał bowiem taki napis:

WIESIEKS-SPZOO-2016-B3-002

Janusz przeciągnął się i jakby od niechcenia rzucił okiem na telefon. Wpisał crm.wiesieks.pl – strona załadowała się, prezentując panel logowania, a Henryk z hasłem WIESIEKS2016! okazały się poprawnymi danymi do logowania. Niestety, próba pobrania jakiejkolwiek umowy czy raportu trwała w nieskończoność.

Cholerny brak internetu w pociągu! – pomyślał. – No cóż, dane Henryka wykradniemy po dojechaniu do Warszawy – wstał i ruszył do kolejnych wagonów. Zostały same bezprzedziałowe i dokładnie na to Janusz liczył. Problemy z internetem w pociągu podsunęły mu bowiem pewien pomysł…

Komentarz ekspercki

Autorem wypowiedzi jest Michał Iwan, dyrektor zarządzający F-Secure w Polsce.

Dane, zarówno prywatne, jak i firmowe, to najbardziej pożądane przez przestępców informacje. Dlatego powinniśmy mieć świadomość, że hakerzy mogą zastawić na nas pułapkę wszędzie – nie tylko podczas korzystania z sieci, ale także w miejscach publicznych, szczególnie w tych, w których skupisko ludzi jest duże, np. na lotniskach, dworcach czy środkach komunikacji zbiorowej. Niestety użytkownicy często o tym zapominają, zwłaszcza gdy zdarza się im pracować poza biurem.

O czym zatem należy pamiętać? Przede wszystkim pod żadnym pozorem nie wolno podawać żadnych istotnych danych na głos, czy też przez telefon – zwłaszcza loginów i haseł. Chwila nieuwagi może narazić nas lub naszego pracodawcę na poważne straty. Ujawnienie informacji tego typu niepowołanej osobie można porównać do wręczenia włamywaczowi kluczy do mieszkania
i wskazania adres, pod który powinien się udać.

Należy również zwracać baczną uwagę na ochronę danych widocznych na ekranie laptopa czy tabletu. W tym celu najlepiej skorzystać z dedykowanego oprogramowania do bezpiecznego przechowywania loginów oraz haseł. Rozwiązanie to chroni dane dostępowe przechowywane na komputerze zarówno przed ich podejrzeniem, jak i zdalną kradzieżą.

W ramach dodatkowej ochrony warto również skorzystać z tak zwanego filtra prywatyzującego, czyli specjalnej folii, która po naklejeniu na ekran, uniemożliwia osobom postronnym podglądanie wyświetlanych treści, a tym samy ich kradzież.

Powinniśmy również pamiętać, że bez względu na stosowane rozwiązania, zawsze powinniśmy być czujni i mieć świadomość zagrożeń związanych z korzystaniem z Internetu, szczególe poza biurem czy mieszkaniem.


Druga część opowiadania pod tym linkiem – Podróże kosztują…