Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI - Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, k...
Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI - Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem.
"Gdyby nie to, że jestem prawniczką, pewnie by mi się nie udało" pomyślała Kasia i otworzyła butelkę whiskey. Należało jej się. To był ciężki dzień, pełen porażek, ale i sukcesów. Zamykając swoją kancelarię i przechodząc na etat do firmy Mordor Sp. z o.o. myślała, że w końcu zazna spokoju i rutyny... Nic bardziej mylnego.
* * *
[Tego samego dnia, 12 godzin wcześniej]
Jak co rano, lekko spóźniona wsiadła do swojego białego BMW i ruszyła przez miasto w kierunku firmy. W korku zdążyła zrobić makijaż i poprzesuwać kilka fotografii facetów na Tinderze. "Muszę chyba dodać zdjęcie ze skoku na spadochronie i dopisać swój wzrost" pomyślała "Mój profil jest za grzeczny, za bardzo odstaje od reszty, ale już niedługo..." – uśmiechnęła się w myślach do siebie. Kilka dni temu zamówiła sobie nowy spadochron. Prezent z okazji 50-tego skoku. Był czerwony i pięknie komponował się z jej blond włosami. "Niestety, mężczyźni na Tinderze będą musieli jeszcze trochę poczekać na fotkę ze spadochronem" – poczta jak zwykle spóźniała się z dostarczeniem paczki ...
Pierwsze godziny w pracy upłynęły jej tak jak zwykle. Najpierw weryfikacja zaległych umów i dodawanie komentarzy do losowo wybranych zdań. Jej złota zasada: co najmniej jedna uwaga na stronę. "Jeśli prawnik niczego nie dopisze, pomyślą, że to stanowisko jest zbędne". Potem pisanie wniosków. To lubiła najbardziej. Szło jej błyskawicznie, bo miała kilka gotowych szablonów jeszcze z czasów studiów i kolejne pisma tworzyła na zasadzie copy & paste.
Wpisała ostatnie zdanie do dokumentu. W tym momencie rozległ się dźwięk informujący o nowej wiadomości e-mail.
FROM: awizo@poczta-polska.pl
TO: kasia.uczciwa@mordor-spzoo.pl
SUBJECT: Poczta Polska S.A. Akt twojego zamówieniu
Twoja paczka nie została doręczona pod adres wysyłki w dn. 27.10.2015, ponieważ nikogo nie było w domu. W celu otrzymania informacji dotyczącej twojej przesyłki kliknij link. Odebrać przesyłkę możesz w dowolnej najbliższej placówce Poczty Polskiej pod warunkiem okazania wydrukowanego AWIZO:
<a href="http://404.433.555.6969">Twoje AWIZO</a>
UWAGA! Jeśli paczka nie zostanie odebrana w okresie 7 dni, zostanie naliczona opłata przechowania. W przypadku braku odbioru paczki przez kolejne 7 dni, paczka zostanie przesłana do magazynu w Koluszkach i komisyjnie zniszczona lub zlicytowana.
Z poważaniem,
Poczta Polska.
Szlag. "Trzeba było zamówić ten spadochron do paczkomatu", pomyślała. Ale po chwili przypomniała sobie, że przecież od kilku dni firma zatrudniła jej asystentkę. "Cudownie. Ktoś inny postoi w kolejce". Sforwardowała więc wiadomość do asystentki, dopisując zdanie nadające sprawie odpowiedni priorytet:
Iwonko, nikt nie będzie miał do Ciebie pretensji, jeśli nie uda ci się tego dziś odebrać, ale mam nadzieję, że jesteś w stanie podskoczyć na pocztę ASAPem.
Cóż zrobić miała Iwona... Rzuciła opłacanie faktur wykonywane w zastępstwie za chorą księgową i zgodnie z poleceniem bezpośredniej przełożonej, po odebraniu wiadomości kliknęła na link, aby pobrać awizo. Na stronie, która ukazała się jej oczom, błyskawicznie (bo ASAP to ASAP) odnalazła wyróżniający się przycisk "Zobacz Informacje" i pobrała plik opisany jakoawizo.pdf.
Po zapisaniu pliku na dysku, kliknęła na niego dwa razy i wydrukowała awizo. Zablokowała ekran swojego komputera, tak jak pokazywali jej wczoraj na szkoleniu z bezpieczeństwa.
Tak naprawdę jednak Iwona pobrała plik awizo.pdf.pif. PIF to bardzo ciekawe rozszerzenie. Nawet jeśli system Windows ma włączoną opcję pokazywania rozszerzeń plików, to rozszerzenia PIF nie pokaże. Na liście plików znajdować będzie się więc plik awizo.pdf. Ikona co prawda nie wygląda jak ikona pliku PDF, ale ikony tak często się zmieniają, że ciężko zapamiętać jaki wygląd jest aktualny. Otwarcie pliku rozpoczęło infekcję komputera złośliwym oprogramowaniem. Antywirus nie zareagował... bo go nie było. Mordor Sp z o.o. w ramach oszczędności nie odnowił licencji. Firma wyliczyła, że taniej będzie wszystkich przeszkolić ze "złych formatów plików, których nie należy pod żadnym pozorem otwierać". PDF jednak był dozwolony…
Zbliżała się godzina lunchu. Iwona, aby jak najszybciej dotrzeć na pocztę musiała uniknąć zatrzymywania się windy na każdym z 20 poniższych pięter, gdzie czekało stado wygłodniałych pracowników chcących zjechać do stołówki na parterze. Dlatego jednocześnie z przyciskiem "parter" nacisnęła przycisk "zamknij drzwi" i oba trzymała przez 3 sekundy. Ten trik włączał "tryb szybkiej jazdy", często wykorzystywany przez służby porządkowe, aby bez przystanków dotrzeć na wybrane piętro. Numer działał tylko na windach marki OTIS, ale szczęśliwie, dokładnie taka winda znajdowała się w ich biurowcu...
Zanim winda zdążyła dojechać na parter, na komputerze Iwony zainstalował się VBKlip. Jego działanie było banalnie proste. Jeśli w schowku zainfekowanego komputera pojawił się numer rachunku bankowego, np. został skopiowany z faktury, VBKlip podmieniał go na inny. W ten sposób ofiara nieświadoma podmienionego w trakcie operacji przeklejania rachunku okradała się sama.
* * *
"Tłumaczę Pani po raz enty, że nie mamy takiej paczki ani nie wysyłamy petentom takich wiadomości. To jest Poczta Polska! My operujemy tu stemplem, a nie jakimiś majlami. Pieczątka i datownik to sacrum! Awizo jest ważne tylko z pieczątką i podpisem listonosza. To wszystko? Polecam płyn do mycia naczyń i gazetkę Poradnik Egzorcysty. W promocji mamy też znicze."
Iwona, która wystała się w kolejce do okienka 30 minut nie wyglądała na zachwyconą. Ale cóż miała zrobić. Wróciła do firmy i dokończyła płatności za faktury. Godzinę później w firmie zgasło światło.
* * *
– Otrzymała Pani bardzo proste zadanie. Opłacić faktury. To chyba nie jest trudne, Pani Iwonko – prezes w nieoświetlonym pokoju wyglądał groźniej niż zwykle. – Zwłaszcza ta faktura za najem lokalu była istotna. Widzi Pani, Pani Iwonko, bez prądu ciężko się pracuje.
– Ale... – zaczęła Iwona, ale prezes nie dał jej dojść do słowa.
– Dlatego zejdzie teraz Pani do biura budynku i przekona Pani dyrektora Nowaka, że nie zamierzamy go znów oszukiwać i tym razem chcieliśmy zapłacić w terminie. Tylko szybciutko proszę, UPS-y będą pracowały jeszcze tylko przez 15 minut.
– Ale ja opłaciłam wszystkie faktury... Tu mam przecież potwierdzenia! – Iwona chciała zalogować się do banku, ale po wprowadzeniu loginu i hasła zobaczyła komunikat, że jej komputer jest najprawdopodobniej zainfekowany. Bank ze względów bezpieczeństwa odciął jej dostęp do konta. Zapewne jeden z podmienionych rachunków, na który Iwona nieświadomie przelała gotówkę opłacając fakturę kontrahenta figurował już w systemie banku jako "podejrzany".
Wezwani przez prezesa informatycy bardzo szybko potwierdzili infekcję, a telefon do banku rozwiał wątpliwości. Pieniądze już "wyszły" i nie da się ich odzyskać. Na domiar złego, IT odkryło na komputerze także innego niż VBKlip trojana. Jego celem były karty kredytowe. Iwona dla wygody zapisała dane firmowej karty kredytowej w pliku tekstowym, aby łatwiej jej się przeklejało numer do systemu rezerwacji biletów. Okazało się, że trojan zlokalizował plik z danymi karty i numer został błyskawicznie wystawiony na sprzedaż na carderskim forum. Jak wykazała historia transakcji, cały limit kredytowy (20 000 PLN) został wyczerpany na zakupy elektroniki w zaledwie godzinę...
Iwona była załamana. Bała się, że całą stratę, która opiewała łącznie na 75 tysięcy złotych będzie musiała oddać z własnej kieszeni. W łzach zaczęła szukać w internecie historii podobnie okradzionych osób i żałowała, że na artykuł ostrzegający przed takimi atakami i tłumaczący jak bezpiecznie wykonywać przelewy natknęła się dopiero teraz, kiedy było za późno.
* * *
Kasia po części czuła się odpowiedzialna za kłopoty Iwony. W końcu to ona "kazała" jej wydrukować awizo, które nie było awizem...
Postanowiła więc zrobić to, co robią prawnicy. Po wielu telefonach do banku udało się jej pozyskać informacje na jakie rachunki i do jakich banków rozprowadzona została gotówka. Kolejne telefony zagwarantowały zabezpieczenie środków na kontach słupów. Kwestią czasu było ich zwrócenie na rachunek firmy Mordor.
Z odzyskaniem środków z karty kredytowej też nie było problemów. Kasia postanowiła skorzystać ze skutecznej, choć mało znanej procedury CHARGEBACK, oferowanej przez banki przy współpracy z organizacjami płatniczymi. Wystarczyło poprosić konsultanta o przesłanie odpowiedniego formularza, w którym opisywało się okoliczności zdarzenia i wskazywało fałszywe transakcje na wyciągu. Po kilku dniach środki wracały na konto.
Kiedy czekała na połączenie z konsultantem banku zaczęła z nudów przeglądać katalog ze spamem. Zauważyła tam porannego e-maila od Agaty z działu marketingu. Ponoć ktoś oczerniał firmę na jakimś internetowym forum. W słuchawce odezwał się głos konsultanta banku. "Trudno" pomyślała. "Oczernianie będzie musiało poczekać do jutra". Jedyne co zdążyła zrobić z e-mailem od Agaty, to otworzyć linka do rzekomego forum. Zajęta rozmową z konsultantem nie zauważyła, że na chwilę mignęła dioda w jej kamerce. Jeśli chcesz wiedzieć, kto i czemu zrobił zdjęcie naszej bohaterce, przejdź do opowiadania Pocztowe potyczki, czyli o socjotechnice w mailingu
Komentarz ekspercki
Autorem wypowiedzi jest Michał Iwan, dyrektor zarządzający F-Secure w Polsce.
Obecnie w sieci funkcjonuje blisko 3,5 miliona wirusów, a każdego dnia w Polsce przeprowadzanych jest ponad 280 tysięcy ataków hakerskich na komputery i urządzenia mobilne. Liczba incydentów tego typu sukcesywnie rośnie.
Szkolenia oraz tworzenie procedury z zakresu ochrony IT to ważny element systemu bezpieczeństwa, ale często niewystarczający, aby w pełni wyeliminować ryzyka związane z korzystaniem z Internetu. Dlatego tak istotne jest, aby w możliwie najlepszy sposób chronić sprzęt, a tym samym przechowywane na nim dane, często bezcenne dla użytkowników oraz samej organizacji.
Wydatki związane z bezpieczeństwem IT powinny być zatem traktowane jako inwestycja w rozwój, a nie dodatkowy koszt. Pozorne oszczędności, jakie uda się wygenerować np. nie kupując programu antywirusowego lub nie odnawiając licencji mogą z czasem narazić na poważne straty, zarówno finansowe, jak i wizerunkowe.
Jeżeli zależy nam na bezpieczeństwie, instalacja oprogramowania ochronnego opracowanego przez renomowanego producenta, powinna być jednym z pierwszych działań, które należy wykonać po zakupie nowego komputera czy urządzenia mobilnego.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu