Przestępcy doskonalą metody oszustw „na policjanta”. Podszywają się nawet pod Centralne Biuro Zwalczania Cyberprzestępczości. Na początku roku pojawiły się maile rzekomo pochodzące z CBZC, nakłaniające do pobrania programu antywirusowego. Link przesłany w wiadomości prowadził do fałszywej strony internetowej oraz pliku z rozszerzeniem .bat, który po otwarciu mógł zostać użyty do zmiany danych zapisanych w komputerze, ich usunięcia lub do wysłania informacji do innych komputerów.

Rozpoznanie, że mail jest fałszywy nie było zbyt trudne. W wiadomości przesyłanej przez oszustów były błędy w pisowni, podany był nieprawidłowy adres mailowy CBZC, a adres strony internetowej poprzedzony był fałszywą frazą: troadsecow.com. A jednak wiele osób się nabrało.

Dlaczego? Ponieważ zadziałała socjotechnika, czyli ulubione narzędzie współczesnych cyberprzestępców.

Ataki bazujące na socjotechnice nie wymagają od sprawców wyjątkowych zdolności technicznych. Główną rolę odgrywa w nich psychologia - a w szczególności sztuka manipulacji. Najłatwiej jest zmanipulować ofiarę ataku podszywając się pod instytucję zaufania publicznego, np. CBZC, komendę policji, urząd skarbowy, ZUS etc. Celem atakującego jest pozyskanie informacji np. danych do logowania w bankowości elektronicznej lub wręcz nakłonienie ofiary do przelania pieniędzy na wskazane konto.

Atak socjotechniczny składa się zazwyczaj z kliku elementów, których wspólnym mianownikiem jest gra na emocjach:

• wywołanie u ofiary poczucia zagrożenia (np. utratą pieniędzy lub ważnych danych)
• zdobycie zaufania ofiary (poprzez podszywanie się pod instytucję zaufania publicznego np. policję, urzędy, bank etc.)
• stworzenie presji czasu (trzeba szybko podejmować decyzję, aby uniknąć zagrożenia)
• zaoferowanie rozwiązania problemu pod warunkiem współpracy (Twoje pieniądze będą bezpieczne, jeśli...)
• nakłonienie do wykonania określonych czynności (np. podania danych do logowania, przelania pieniędzy na wskazane konto)

Oszuści wykorzystują różne środki komunikowania się z ofiarą – od najprostszego, czyli wysłania maila z niebezpiecznym linkiem, poprzez smsy, popularne komunikatory internetowe, aż po bardziej zaawansowaną metodę, czyli spoofing telefoniczny - coraz bardziej popularne oszustwo polegające na podszywaniu się przestępcy pod inne numery, by dzwonić do ofiar i udawać inną osobę.

Historia oszustwa bez happy endu

Przykład wzięty z życia - modelowy przypadek oszustwa z wykorzystaniem metody „na policjanta”. Przedsiębiorca dociera do firmy ok. 8.30. Jest lekko zestresowany, bo po weekendzie ma milion spraw do załatwienia. Odbiera pierwszy tego dnia telefon na służbową komórkę i słyszy następujący tekst: 

- Dzień dobry, mówi podkomisarz Andrzej Zawadzki, wydział zwalczania cyberprzestępczości Komendy Wojewódzkiej. Czy ma pan konto w Banku „X”? Bo właśnie prowadzimy czynności związane z atakiem hackerskim na rachunki w tym banku. Dzwonimy do klientów i ostrzegamy przed utratą pieniędzy. (stworzenie zagrożenia ✔️)

- A jaką mam pewność, że Pan jest faktycznie policjantem?

- Bardzo dobrze, że Pan o to pyta. Zaraz otrzyma Pan sms z komendy potwierdzający moją tożsamość. Mój nr służbowy to 709479. Proszę się nie rozłączać.

Faktycznie po kilkunastu sekundach przychodzi sms z nagłówkiem Komenda Wojewódzka Policji, o treści: „Otrzymaliśmy zgłoszenie o działaniach oszukańczych. Funkcjonariusz nr służbowy 709479 prowadzi czynności w sprawie Banku X. Prosimy postępować zgodnie z jego instrukcjami.”

Przedsiębiorca w międzyczasie sprawdził na stronie internetowej jaki jest telefon do komendy wojewódzkiej w jego mieście, popatrzył na wyświetlacz smartfona i faktycznie dzwonią z tego numeru! (zdobycie zaufania ✔️)

„Podkomisarz” Zawadzki grzecznie pyta, czy mogą dalej rozmawiać, podkreślając, że trzeba działać szybko, bo cyberprzestępcy zdobyli dostęp do loginów i haseł klientów Banku X. „Nie wiadomo, ile danych wykradli, ale jest bardzo prawdopodobne, że Pan również nie jest bezpieczny” (stworzenie presji czasu ✔️)

Następnie „podkomisarz” „weryfikuje tożsamość” swojej ofiary, prosząc o podanie standardowych danych osobowych. Potwierdza, że wszystko się zgadza oraz informuje, że wspólnie z działem bezpieczeństwa Banku X utworzono specjalne, tymczasowe rachunki dla klientów, których środki są zagrożone. Każdy klient otrzyma indywidualny nr rachunku, do którego utworzy swój nowy login i hasło. Następnie będzie mógł przelać środki ze swojego zagrożonego atakiem hackerskim konta na nowy bezpieczny rachunek. Po 24 godzinach pieniądze automatycznie wrócą na stare konto. (zaoferowanie rozwiązania problemu✔️)

„Podkomisarz” Zawadzki informuje, że za chwilę z Banku X przyjdzie email z numerem nowego rachunku oraz linkiem do logowania i płatności. Dodaje, że sprawa jest bardzo pilna, bo pieniądze na starym koncie są zagrożone. Fałszywy policjant prosi przedsiębiorcę o otworzenie maila i nierozłącznie się, żeby można było potwierdzić wykonanie wszystkich czynności. (nakłonienie do wykonania określonych czynności✔️)

Mail przychodzi. Jest identyczny jak te, które zwykle wysyła Bank X. Logo, hasła marketingowe, stopka, wszystko się zgadza. Tylko adres, z którego wiadomość została wysłana oraz adres strony internetowej banku, zamiast litery „o” w nazwie ma cyfrę „0”. Ale w pośpiechu nie da się tego zauważyć. To jest ostatni moment, kiedy ofiara oszustwa ma szansę przerwać rozmowę i zadzwonić na infolinię Banku lub na Komendę Policji, żeby sprawdzić, czy faktycznie jego pieniądze są zagrożone. Ale zamiast się rozłączyć, przedsiębiorca ustawia login i hasło na nowym rachunku, a następnie robi przelew wszystkich środków ze starego rachunku. Kwota jest sześciocyfrowa. Za chwilę przychodzi mail potwierdzający dokonanie transakcji oraz następny, zawierający link do sprawdzenia stanu konta. „Podkomisarz” Zawadzki pyta, czy wszystko się zgadza. Przedsiębiorca potwierdza. Fałszywy policjant dziękuje za współpracę i szybko kończy rozmowę, tłumacząc, że ma jeszcze wielu innych klientów, których musi poinformować o możliwym ataku hackerskim na ich konta. Godzinę po zakończeniu rozmowy z „podkomisarzem” dzwoni prawdziwy konsultant z Banku X pytając, czy przedsiębiorca potwierdza przelew na wskazane konto.

Przestępcy bardzo skutecznie wykorzystali wszystkie niezbędne elementy socjotechniki, prowadzili swoją ofiarę "jak po sznurku". Oszust, który rozmawiał przez telefon zachowywał się jak profesjonalny oficer policji. Wzbudził zaufanie, ani przez chwilę nie budząc watpliwości. To może spotkać każdego z nas. 

Następnego dnia przedsiębiorca chce sprawdzić, czy jego pieniądze są bezpieczne. Zaczyna od kliknięcia w link do sprawdzenia stanu nowego rachunku, który poprzedniego dnia przyszedł w mailu z Banku. Link jest już nieaktywny. Lekko zaniepokojony, przedsiębiorca wchodzi przez stronę internetową Banku na swoje stare konto. Jest puste. Nowego konta w systemie nie widać. Próby logowania ustawionym poprzedniego dnia loginem i hasłem nie działają. Przedsiębiorcę ogarnia panika. Dzwoni natychmiast na infolinię Banku X, gdzie dowiaduje się, że wszystkie systemy zabezpieczeń działają prawidłowo, a żadnego hackerskiego ataku nie było. Dzwoni na Komendę Policji w poszukiwaniu podkomisarza Zawadzkiego z wydziału zwalczania cyberprzestępczości, ale jak łatwo się domyślić, nikt o tym nazwisku w Komendzie nie pracuje.

Przedsiębiorca poprosił mnie o pomoc w znalezieniu sprawcy i odzyskaniu pieniędzy. Pracuje nad tym zespół specjalistów z mojej firmy InvestProtect. Udało nam się ustalić, że najprawdopodobniej był to pojedynczy atak, dopracowany w najdrobniejszych szczegółach, skierowany tylko na osobę mojego klienta. Przestępcy byli perfekcyjnie przygotowani, znali stan majątkowy ofiary, jego zwyczaje, doskonale wiedzieli, kiedy i w jaki sposób uderzyć.

Mój klient dba o cyberbezpieczeństwo w swojej firmie. Ma profesjonalne zabezpieczenia antywirusowe, sprawny dział IT. Niedawno zorganizowaliśmy również szkolenie dla pracowników jego firmy, żeby wiedzieli, jak postępować w przypadku ataku cyberprzestępców. Socjotechnika stosowana przez oszustów była jednym z tematów szkolenia.

Jaki wniosek płynie z opisanej powyżej historii bez happy endu? Nie wolno myśleć, że „tylko inni dają się nabierać”. Zawsze warto pamiętać, że najsłabszym ogniwem w łańcuchu zabezpieczeń jest człowiek. A tym człowiekiem może być każdy: właściciel firmy, dyrektor finansowy, główna księgowa, ja czy TY.

Zachęcam do kontaktu w każdej sprawie. Tel. 730 006 581. Więcej na temat cyberbezpieczeństwa:  https://www.investprotect.pl/oferta/cyberbezpieczenstwo