41

Wczoraj CyberTarcza Orange ochroniła mnie przed przejęciem konta na Facebooku

Zawsze podchodzę dość sceptycznie do tych wszystkich zapewnień dostawcy internetu, jakoby jego oprogramowanie faktycznie chroniło mnie przed zagrożeniami w sieci. A tu proszę, niespodzianka - wczoraj przekonałem się o tym, że CyberTarcza Orange faktycznie działa, w dodatku w usłudze Orange Światłowód.

Kiedyś gdzieś mi mignęła informacja prasowa o CyberTarczy Orange, ale z tego wszystkiego aż ją sobie odświeżyłem, bo w 2019 roku praktycznie zignorowałem temat.

CyberTarcza to mechanizm, który działa na urządzeniach połączonych ze stacjonarną lub mobilną siecią Orange. Wykrywa zagrożenia płynące z internetu i blokuje je, zanim dotrą do naszego komputera czy smartfona.

– czytam na stronie Orange.

Tarcza ma chronić przed atakami pishingowymi i ransomware, przez które mogę stracić pieniądze i tożsamość jak również prywatne zdjęcia (które ktoś potem wykorzysta w celach szantażu). Blablabla, standardowe formułki, które widziałem setki razy przy programach antywirusowych. Przyznaję, że widziałem o istnieniu tego systemu, ale myślałem że nie dotyczy on Światłowodu Orange, a od wiosny 2019 korzystam z niego prywatnie. Okazuje się jednak, że ze światłowodem też działa i wczoraj przekonałem się o tym na własnej skórze.

Paweł, zagłosujesz na mnie?

Zwykły jesienny, wtorkowy wieczór. Z pozoru zwykła wiadomość od znajomego, treść jednak jakaś taka dziwna. Nie jakoś kosmicznie dziwna, bo przecież ludzie co chwila biorą udział w jakichś konkursach czy plebiscytach i proszę znajomych o głosy.

Ale umówmy się, personalizowana wiadomość z imieniem to nic nadzwyczajnego nawet jak na bota, który przecież może bez problemu odczytać imię z listy kontaktów na Messengerze. Po kilku minutach znajomy napisał „wirus” i rozwiał jakiekolwiek wątpliwości, których w sumie nie miałem. Ale nie to mnie zaciekawiło.Wiadomość odczytałem na Messengerze na smartfonie (iOS) i od razu pojawiła się informacja od CyberTarcza Orange. Super – może informacja mogłaby być jakoś lepiej widoczna, bo w pierwszym momencie można pomyśleć, że to nachalna reklama w serwisie, ale jednak jest duża i czytelna. Oczywiście widząc takie ostrzeżenie i będąc prawie pewnym, że nic złego nie może się stać, kliknąłem link – zostałem przekierowany do pustej strony, więc faktycznie witryna została zablokowana.

Na komputerze wyglądało to trochę inaczej – brak informacji o CyberTarczy Orange, ale jednak link z tekstu wiadomości został usunięty i został tylko adres. Tu też, z niejako dziennikarskiej ciekawości, przekopiowałem go do przeglądarki sprawdzić co się stanie kiedy tam wejdę. Nic, strona się nie uruchamia. Jak widać więc tarcza od Orange działa – nie wiem czy widzieliście taką akcję kiedyś u siebie, ja doświadczyłem jej w praktyce pierwszy raz.

Zapytał znajomego jak to się w zasadzie stało, że nagle zaczął wysyłać wiadomości. Bot rozpoczął wysyłanie wiadomości z prośbami o głosowanie do jego znajomych, o czym kolega dowiedział się z wiadomości zwrotnych. Co ciekawe program był nawet sprytny, bo wysyłał spam nie do tych, z którymi regularnie zaatakowany rozmawiał. I to by się zgadzało, bo ostatnio prowadziliśmy konwersację na Messengerze w lipcu, czyli kilka miesięcy temu. Ale większość wiadomości została wysłana do znajomych, z którymi zaatakowany kolega nie rozmawiał od lat, a do tych, z którymi okna konwersacji ma często otwarte, nie. Kiedy zaczęliśmy szukać przyczyny wysyłania wirusowego spamu okazało się, że coś podobnego zostało przez znajomego niechcący kliknięte, ale kilka tygodni temu. Wygląda więc na to, że złośliwe oprogramowanie odczekało by uaktywnić się u niego – też sprytnie, bo nawet jeśli ktoś coś kliknie niechcący, to po kilku dniach zupełnie i tym zapomina i później musi skojarzyć jakieś oddalone w czasie wydarzenie by znaleźć przyczynę wysyłania wiadomości przez siebie.

Przekonałem się więc na własnej skórze, że CyberTarcza Orange faktycznie działa – to miłe, szczególnie w obliczu moich weekendowych nieprzyjemnych przygód ze Światłowodem z Orange. Akurat na dostęp do internetu nigdy nie narzekałem, tego samego nie mogę natomiast powiedzieć o usłudze telewizji. Dekoder po tygodniu-dwóch nieużywania lubi się zawiesić i pomaga jedynie wyłączenie go na sztywno przełącznikiem z tyłu obudowy.

W ostatnią niedzielę jednak i to nie pomogło – podobnie jak przywrócenie sprzętu do ustawień fabrycznych. W trakcie tego procesu natomiast urządzenie nie potrafiło się zalogować o usługi telewizji i wyrzucało błąd S04 przy próbie autoryzacji. Akurat pechowo trafiłem na czas przerwy technicznej w usłudze Mój Orange, na szczęście po kilku próbach udało się dodzwonić do pomocy technicznej i zgłosić problem. Według konsultanta wszystko z usługą było w porządku i po rzekomym „restarcie modemu z jego poziomu” – cokolwiek miało to znaczyć, problem dalej występował. Zgłoszenie podobno zostało przyjęte, ja nie dostałem jednak ani SMS-a ani maila z potwierdzeniem, ale ok – system ma przerwę techniczną, może się nie da. Miał się ze mną skontaktować lokalny technik, przyjść i rozwiązać problem. Jest środa, żadnego kontaktu od technika nie miałem, ale… telewizja zaczęła działać. Niestety nie sama z siebie – pomogła kolejna godzina ciągłych restartów dekodera i ponowne uruchamianie trybu przywracania go do ustawień fabrycznych. I na koniec zabawna, a zarazem budząca moje obawy sytuacja. Po weekendzie zadzwonił też konsultant z ofertą przedłużenia usługi światłowodu i telewizji – odpowiedziałem, że na razie dziękuję, poczekam jak będzie działać telewizja po awarii. Opisałem na szybko co się działo z dekoderem, usłyszałem że to znany temat. Pozostawię to bez komentarza.

No, ale podsumowując – CyberTarcza Orange uchroniła mnie przed wirusem z Messengera, który przejąłby nad moim kontem kontrolę i zaczął wysyłać wiadomości znajomym. Fajnie, że działa również przy usłudze Światłowód z Orange. Jakkolwiek głupio to zabrzmi – czuję się trochę bezpieczniej.

Aktualizacja:

Skontaktowałem się z Orange, które rzuciło jeszcze dodatkowe światło na sposób działania CyberTarczy:

Phishingowe witryny, dopisane do CyberTarczy, są blokowane w momencie dodania do naszego systemu. Faktycznie przez krótki czas może się zdarzyć, że użytkownik zobaczy biały ekran, ale po krótkim czasie, docelowo pojawia się ekran z informacją o przyczynie zablokowania, adresie zablokowanej strony oraz – jeśli chodzi o nadużycie marki – adresie prawdziwej witryny docelowej.

Opisana w artykule sytuacja, gdy nad phishingowym linkiem pojawia się informacja o CyberTarczy ma miejsce podczas udostępniania adresu przez użytkownika sieci Orange Polska. Wtedy, w celu pokazania screenshota udostępnianej strony, telefon odpytuje serwery DNS usługodawcy, a zapytania – w przypadku Orange i potwierdzonej strony phishingowej – trafiają na sinkhole CyberTarczy, stąd taki obrazek.

Nie ma oczywiście mowy o rozszywaniu przez nas transmisji SSL. To niezgodne z prawem, nie mamy takiej możliwości. Nasze serwery DNS rozpoznają zapytanie o potwierdzonych adres phishingowy i przekierowują na stronę informacyjną CyberTarczy. Sytuacja, w której trzeba uprzednio potwierdzić niezgodny certyfikat, ma miejsce jeśli mamy do czynienia z phishingową stroną https. Nie możemy tak po prostu downgrade’ować połączenia do http, więc podstawiamy swój certyfikat. Na docelowej stronie CyberTarczy od razu informujemy dlaczego ma to miejsce i o tym, by z zasady takim podstawianym certyfikatom nie ufać. Nasz można rozpoznać jeśli wejdziemy do szczegółów certyfikatu. Jego nazwa pospolita to sh.cert.orange.pl, wystawiony jest przez Centrum Certyfikacji Signet.