SCAM to najkrócej mówiąc zdobycie zaufania ofiary ataku, a następnie wykorzystanie tego zaufania do wyłudzenia środków pieniężnych lub innych składników majątkowych. Na tego typu manipulacje jesteśmy narażeni wszyscy. Przestępcy umiejętnie wykorzystują wszelkie możliwe okazje, szkolą się w socjotechnice i wykorzystują nowe technologie, aby być jeszcze skuteczniejszymi. Jak wygląda obecnie krajobraz tego typu zagrożeń i czy w ogóle możemy zapobiec tego typu przestępczości? O tym rozmawiamy w niniejszym odcinku z Dmitrijem Tunkinem, dyrektorem ds. ochrony przed ryzykiem cyfrowym w Europie w Group-IB. Group-IB to firma będąca jednym z wiodących dostawców rozwiązań przeznaczonych do wykrywania i zapobiegania cyberatakom, identyfikacji oszustw internetowych, dochodzenia w sprawie przestępstw high-tech oraz ochrony własności intelektualnej.
Serdecznie zapraszam do słuchania!
Transkrypcja podcastu
Prowadzący: Witaj Dimitrij, Bardzo miło cię słyszeć. Dziękuję, że jesteś z nami.
Dmitrij Tunkin: Dzięki Michale, że mogę dołączyć do twojego podcastu. Witam wszystkich.
Prowadzący: Dmitrij, na samym początku chciałbym cię spytać o twoje początki z cyberbezpieczeństwem. Kiedy to się zaczęło i od kiedy uznałeś, że to jest twoja droga?
Dmitrij Tunkin: Zaczynałem jakieś 10 lat temu. Będąc jeszcze studentem, pracowałem w kilku firmach jako inżynier IT, a 7 i pół roku temu, a właściwie już prawie 8, dołączyłem do zespołu Group IB.
Piorunujące wrażenie zrobili na mnie pasjonaci, których tam spotkałem. Ci ludzie szli na otwartą wojnę z przestępcami cyfrowymi. I to na różnych polach walki: od phishingu do wykrywania i reagowania na incydenty, analizy cyberzagrożeń i zwalczania piractwa…
Sponsorem odcinka o SCAM jest firma GROUP-IB
TRANSKRYPCJA
SCAM – Czy istnieje rozwiązanie tego problemu?
Witaj Dimitrij, Bardzo miło cię słyszeć. Dziękuję, że jesteś z nami.
Dzięki Michale, że mogę dołączyć do twojego podkastu. Witam wszystkich.
Dimitrij, na samym początku chciałbym cię spytać o twoje początki z cyberbezpieczeństwem. Kiedy to się zaczęło i od kiedy uznałeś, że to jest twoja droga?
Zaczynałem jakieś 10 lat temu. Będąc jeszcze studentem, pracowałem w kilku firmach jako inżynier IT, a 7 i pół roku temu, a właściwie już prawie 8, dołączyłem do zespołu Group IB [aj-bi].
Piorunujące wrażenie zrobili na mnie pasjonaci, których tam spotkałem. Ci ludzie szli na otwartą wojnę z przestępcami cyfrowymi. I to na różnych polach walki: od fishingu do wykrywania i reagowania na incydenty, analizy cyberzagrożeń i zwalczania piractwa.
Szybko zaraziłem się tą ich pasją i w dalszym ciągu czuję się zainfekowany. W Group IB przebyłem więc drogę od stażysty do człowieka odpowiedzialnego za tworzenie i wprowadzanie nowego produktu.
Pracujesz w dziale Digital Risk Protection. Czy możesz powiedzieć, jaki jest zakres pracy twojej i twojego działu? Czym zajmuje się twój zespół?
Tak, oczywiście. Digital Risk Protection to zagadnienie funkcjonujące od kilku lat. Uznaliśmy wtedy, że typowe mechanizmy zabezpieczające markę „Brand Protection” nie są już wystarczające, aby skutecznie chronić naszych klientów przed nowymi zagrożeniami. Postanowiliśmy więc przebudować ten system, tak żeby wykorzystać najnowsze możliwości naszych algorytmów analizy i klasyfikacji zagrożeń. Dzięki temu chronimy wszystkie obszary potencjalnych nadużyć marki, jakie mają miejsce za sprawą fishingu, skamu, podszywania się, a nawet piractwa i tworzenia podróbek. Moje osobiste wrażenie, które zresztą potwierdzają nasze statystyki, jest takie, że obecnie skam jest najgorętszym z tych tematów.
Może zacznijmy od tego czym jest skam. Wiem, że to bardzo obszerny temat. Ale czy mógłbyś w kilku zdaniach powiedzieć czym jest i jakie formy może przybierać?
Oczywiście. Chociaż trzeba pamiętać, że definicje skamu, oszustwa i fishingu nieco się pokrywają. Historycznie fishing był zawsze motorem postępu technicznego w tej branży. Najbardziej zaawansowane narzędzia, techniki i podejścia były tworzone właśnie przez oszustów fishingowych. Jeżeli spojrzymy na to od strony definicyjnej, powszechnej w środowisku i w publikacjach na stronach ICANN [ajjkann], będącego najważniejszym regulatorem na rynku domen, stronę internetową uznaje się za fishingową, kiedy spełnia dwa warunki. Po pierwsze, jeżeli stanowi kopię lub klon rzeczywistej, legalnej strony internetowej. Po drugie, jeżeli na tej stronie dochodzi do wyłudzenia danych uwierzytelniających albo danych karty płatniczej.
Natomiast w ostatnich dwóch – trzech latach mogliśmy obserwować zmianę praktyk stosowanych przez oszustów tak, aby ominąć stosowane zabezpieczenia. W tym celu dzielą oni swój atak na dwie fazy. W pierwszej fazie zwabiają ofiarę na sklonowaną stronę internetową i proszą o pozostawienie danych kontaktowych. Natomiast w drugiej fazie, w innym czasie, wysyłają prywatną wiadomość z fałszywym linkiem służącym do wyłudzeń.
Podstawową zasadą skamu jest nawiązanie bezpośredniego kontaktu z ofiarą. Zatem za skam uznajemy zarówno te bardzo podstawowe sytuacje, gdy udaje się nakłonić ofiarę do tego, aby zapłaciła za zakup, który potem nie zostanie zrealizowany, ale także takie, z podziałem kampanii fishingowej na dwa etapy, o których przed chwilą mówiłem.
Wracając do naszego dzisiejszego tematu: skamu i nowych technik stosowanych przez skamerów, jak z twojego punktu widzenia wygląda mijający rok? W szczególności, jeśli chodzi o cyberprzestępstwa, ich liczbę i porównanie z minionymi latami? Czy widać tu jakieś charakterystyczne trendy?
O tak, oczywiście. Zwróciłbym uwagę na trzy najważniejsze zjawiska. Przede wszystkim skam staje się coraz bardziej zorganizowany. Co więcej, staje się łatwo dostępny dla nowych skamerów, takich którzy, powiedzmy, dopiero wchodzą do tego biznesu. Obserwujemy i śledzimy wiele grup przestępczych, tworzących coraz to nowsze narzędzia, takie które wcześniej były typowe dla fishingu. Przykładowo będą to zautomatyzowane procesy do generowania fałszywych stron internetowych. Stale także doskonalą mechanizmy prania brudnych pieniędzy. A co najważniejsze, powodują, że skam staje się łatwo dostępny dla wielu użytkowników, o czym już mówiłem. Więc tych narzędzi mogą już używać także początkujący skamerzy, niemający kwalifikacji technicznych.
Drugi trend polega na tym, że skam staje się znacznie bardziej wyspecjalizowany, dostosowany do branży i sytuacji. Przykładem może być fałszywa strona internetowa do sprzedaży biletów lotniczych, przeznaczona tylko dla pasażerów, którzy chcą szybko kupić bilet w drodze na lotnisko, i korzystają z miejskiej sieci WiFi.
Podobnie jest z oszustwami na rynku funduszy inwestycyjnych czy emerytalnych. One również bywają ukierunkowane na konkretne regiony, grupy klientów i tak dalej. To powoduje, że wykrycie skamu staje się technicznie znacznie trudniejsze.
OK, to jak wyglądają takie targetowane kampanie skamowe? W jaki sposób ja, jako klient, mogę zetknąć się ze skamem?
To, z czym obecnie się spotykamy, jest bardzo podobne do kampanii reklamowych. Nowocześni skamerzy są bardzo biegli w zagadnieniach marketingu on-line i narzędziach do jego obsługi. Jednocześnie te narzędzia stają się coraz łatwiejsze w użyciu i coraz tańsze. Dziś wystarczy około stu pięćdziesięciu euro, żeby zorganizować kampanię reklamową na fejsbuku i dotrzeć do, powiedzmy, dwóch do pięciu tysięcy klientów.
I szczerze mówiąc, naprawdę niewiele potrzeba, żeby przeprowadzić taką kampanię. Wystarczy konto na fejsbuku, posiadanie tej kwoty pieniędzy, aby za pomocą kilku kliknięć ustawić cały proces.
Czyli to bardzo proste.
Tak, dokładnie. To całkiem proste. Zresztą podobnie jest z bardziej zaawansowanymi mechanizmami, takimi jak na przykład reklamy kontekstowe. Coraz prostsze staje się więc ściągnięcie dużej liczby użytkowników na taką stronę internetową.
Group IB tworzy bardzo ciekawe raporty i opracowania. Ostatnio czytałem wasz raport zawierający przegląd zagrożeń i technik stosowanych przez skamerów. We wstępie piszecie, że wszystko staje się cyfrowe. To zrozumiałe. Ale jak to wpływa na sposoby, techniki i media stosowane przez skamerów?
Myślę, że zasadne będzie tu spojrzenie na ostatnie dwa lata. To okres pandemii, w którym wiele firm, zwłaszcza małych i średnich, musiało uruchomić swoje biznesy w wersji on-line.
Także wielkie banki, które wcześniej nie były zbyt aktywne w sieci, zaczęły przenosić swoją działalność do internetu i dość masowo wprowadzać produkty on-line. W rezultacie około trzydziestu procent handlu odbywa się teraz w social mediach, co jest z pewnością w tej skali nowym zjawiskiem, powstałym właśnie w ostatnich dwóch latach.
Jeśli spojrzymy na zjawisko ataków skamowych w dwa tysiące dwudziestym roku, to 55 procent z wykrytych ataków dotyczyło właśnie social mediów. Oczywiście strony internetowe w dalszym ciągu są zagrożone i ich udział w tym rankingu jest duży, jednak nie aż tak, bo według naszych analityków 22 procent wykrytych ataków dotyczyło zwykłych stron internetowych.
Rozmowę o skamie należy rozpocząć od omówienia narzędzi kierowania ruchu, tych które powodują zwabienie ofiary na stronę oszusta. Jak mówiłem wcześniej, skam polega na bezpośredniej interakcji, a to oznacza, że w większości przypadków akcje skamingowe mają charakter masowy, z niewielką konwersją. Popatrzmy więc na rok dwa tysiące dwudziesty, jak masowe akcje docierania do klientów rozwijały się w różnych kanałach. Największy wzrost akcji reklamowych odnotowano w social mediach, gdzie wyniósł o 12 procent w stosunku do roku poprzedniego. Na drugim miejscu znalazły się wysyłki mailowe, gdzie ruch wzrósł o 10 procent. Na trzecim miejscu, z ośmioprocentowym wzrostem uplasowały się bezpośrednie wiadomości w social mediach. Zatem, jak widzimy, wszystkie te trzy sposoby zakładają nawiązanie bezpośredniego kontaktu z ofiarą. I tak się składa, że social media zajmują dwa miejsca w pierwszej trójce.
Dimitrij, jak według ciebie wygląda portret współczesnego użytkownika internetu? Wiem, że to duże uproszczenie, jednak na podstawie statystyk można go sporządzić. A druga sprawa, czy analiza takiego portretu typowego klienta może pomagać oszustom, czy wręcz przeciwnie?
Jeżeli znowu spojrzymy wstecz, nawet nie tylko na rok dwa tysiące dwudziesty, ale na rok dwa tysiące dziesiąty, możemy zaobserwować, że wtedy zaledwie około pięciu procent ruchu pochodziło z urządzeń mobilnych. Widzimy więc, że był to margines. Ogromną większość stanowiły natomiast komputery, z podstawowym narzędziem dostępu w postaci przeglądarki internetowej. Dzisiaj te proporcje bardzo się zmieniły. Obecnie około 56 procent ruchu generują urządzenia mobilne. A jeżeli przyjrzymy się temu dokładniej, to zobaczymy, że użytkownicy urządzeń mobilnych używają przeglądarek tylko przez osiem procent czasu, kiedy są w sieci. Odpowiadając na twoje pytanie, typowym użytkownikiem jest więc osoba, która korzysta z różnych aplikacji, na przykład programów pocztowych, komunikatorów, aplikacji społecznościowych i innych. Nie trzeba w ogóle wiedzieć, jak działa internet, nie trzeba się z nim łączyć. Wystarczy wziąć do ręki telefon i można korzystać z bardzo wielu aplikacji, które same łączą się z siecią i działają w internecie. Profil nowoczesnego skamera jest w zasadzie bardzo podobny. Skamer jest przyzwyczajony do takich samych sposobów korzystania z internetu, tyle tylko, że gra w innej drużynie.
Jaki jest obecnie najbardziej popularny rodzaj skamu? Jakie tematy są w czołówce?
Dzisiaj dosyć często nawiązuję do ostatnich dwóch lat i do sytuacji covidowej, bo ona rzeczywiście bardzo zmieniła paradygmaty biznesowe. Zarówno w odniesieniu do biznesu on-line, jak i do biznesów tradycyjnych. Zmieniła także paradygmat skamu.
Ciągle przechodzimy przez te wszystkie lockdown’y, a w związku z tym wiele osób znacznie intensywniej niż kiedyś korzysta z narzędzi do interakcji on-line. Nic więc dziwnego, że obecnie mamy do czynienia ze swoistym wyścigiem skamów, które są skierowane w pierwszym rzędzie na usługi dostaw i zakupy. Drugie miejsce zajmują platformy inwestycyjne, a dalej serwisy zatrudnieniowe, HR-owe, bo ciągle ktoś jest zwalniany z powodu lockdown’u i musi szukać nowej pracy. Na kolejnych miejscach uplasowały się fundusze emerytalne, no i oczywiście certyfikaty covidowe. Mam znacznie więcej takich tematów, ale to jest, powiedziałbym, czołówka. Z tym że znowu chcę zwrócić uwagę, iż najczęstsze z tych wymienionych są skamy w branży usług przewozowych i zakupów, bo ludzie potrzebują zakupów i dostaw w czasie tych lockdown’ów.
Mówiłeś o skamie w social mediach. Wiemy, że to jest duży problem. I niezależnie od wszystkich akcji informacyjnych przestrzegających przed oszustwami, tych akcji prowadzonych na przykład przez platformy zakupowe, banki i tak dalej liczba ofiar skamu ciągle rośnie. Jak więc wygląda ten proces, co jest po drugiej stronie? Czy mówimy tu o botach, czy raczej wyspecjalizowanych zespołach cyberprzestępców?
Dobrze, proponuję, abyśmy porozmawiali o tym na konkretnym przykładzie. Tak będzie łatwiej to wytłumaczyć. Jeżeli skupimy się na specyfice europejskiej, to niewątpliwie trzeba powiedzieć o systemie Classiscam. Ten skam powstał w CIS [si aj es] i został stworzony jako skam w branży usług kurierskich i dostaw zakupów. Pierwsze jego przejawy zaczęliśmy wykrywać i śledzić pod koniec dwa tysiące dziewiętnastego roku, a więc na samym początku pandemii covid. I w ciągu ostatnich dwóch lat, kiedy tak bardzo rozwinęły się usługi dostaw, tak i ten skam bardzo się rozrósł.
Pomysł jest w sumie banalny. Skamerzy stworzyli bota działającego na komunikatorze Telegram. Ten bot korzysta ze specjalnej, zbudowanej dla niego infrastruktury sieciowej, żeby mógł generować linki fishingowe i skamingowe bezpośrednio w aplikacji komunikatora. Można więc powiedzieć, że jest to taki dodatek fishingowy do komunikatora, który pozwala niezaawansowanemu technicznie użytkownikowi stworzyć własną stronę internetową do oszustw, bez konieczności wnikania w sprawy sieciowe, infrastruktury, zarządzania i tak dalej.
Co więcej, oni stworzyli wraz z tym generatorem skamu specjalny serwis do wypłaty pieniędzy. To prosty mechanizm podziału zysku, a raczej łupu, którego część trafia na konto bankowe świeżo upieczonego skamera. Jedyne, co taki skamer musi zrobić, to skorzystać z bota na Telegramie, podać mu swoje dane do wypłaty i zacząć używać go do generowania fałszywych linków.
Pozostaje już tylko znaleźć jakąś ofertę w sieci, w sklepie on-line lub serwisie zakupowym. Należy wspomnieć, że ten system obsługuje dziesiątki takich serwisów w Europie. Po znalezieniu oferty w którymś z serwisów następuje bezpośredni kontakt ze sprzedającym. Wygląda to tak. Bierzemy jakąś ofertę, powiedzmy z Allegro, generujemy fałszywy link i wysyłamy wiadomość na WhatsAppie do sprzedającego, proponując mu, aby bezpośrednio pobrał należność za zakup, bo jesteśmy tak chętni do zakupu i tak nam się spieszy, że to będzie najszybszy sposób transakcji. Więc tym, co należy zrobić, jest nakłonienie sprzedającego, aby użył linku, który mu wysyłamy, aby odebrać należność. W sumie jest to dość proste i sprzedający często padają ofiarą takiego schematu.
Podsumowując, jaki jest najczęściej stosowany sposób kontaktu z ofiarą, social media, SMS, e‑mail?
W tym schemacie działania oszustów, który jest typowy dla Europy oraz kilku innych regionów i obejmuje najwięcej serwisów zakupowych, najpopularniejszy jest bezpośredni kontakt przez WhatsAppa, choć może to być równie dobrze Telegram, Viber. Przy czym zawsze jest to bezpośrednia wiadomość w komunikatorze.
Teraz chciałbym spytać o coś, co mnie szczególnie interesuje. Dimitrij, o jakich pieniądzach mówimy w tych kampaniach. Jakie mogą być zyski oszustów i straty klientów?
Cóż, to zależy od konkretnej kampanii. Zasadniczo straty są tu mniejsze niż w bardziej rozwiniętych rodzajach cyberprzestępstw, takich jak ransomware czy inne poważne ataki, ale i tak są znaczące. W przypadku Classiscam często zdarza się też, że ofiara jest oszukana dwa razy. Za pierwszym razem w bezpośrednim ataku, a potem, kiedy ofiara orientuje się, że została oszukana i wszczyna alarm, dostaje kolejną wiadomość, która imituje wiadomość od innego klienta, na zasadzie: Hej, też miałem taką sytuację, kupiłem ten sam przedmiot, wysłałem pieniądze i je straciłem, bo to oszustwo. Ale kontaktowałem się z działem technicznym i tam podali mi link do zwrotu pieniędzy. Już je odzyskałem, więc ty też możesz skorzystać z tego linku reklamacyjnego i dostać zwrot pieniędzy.
I to, niestety, działa dość często. Więc tak, za pierwszym razem, przy zakupie, ofiara jest oszukiwana średnio na około sto do pięciuset euro, a jeżeli da się oszukać dwa razy, to traci od dwustu nawet do tysiąca euro. W sumie w ciągu kilku miesięcy jedna z namierzonych grup przestępców zebrała około trzech milionów euro. Takich grup jest wiele, co najmniej siedemdziesiąt, a połowa z nich działa głównie na terytorium Europy. Stosunkowo łatwo można więc policzyć, jakie są w sumie straty klientów powodowane przez tych przestępców.
W ostatnim pytaniu mowa była ogólnie o oszustach. Ale jak zazwyczaj wygląda hierarchia w takim środowisku? Jakie są role różnych osób?
To może oczywiście wyglądać różnie i zależy przede wszystkim od rodzaju skamu. Ale w przypadku tych skamów, które wymieniłem wcześniej, czyli dotyczących dostaw, zakupów, funduszy inwestycyjnych i emerytalnych, najczęściej mamy do czynienia z trzystopniową hierarchią.
Na samej górze mamy administratorów, czyli szefów. To oni tworzą narzędzia, opracowują strategie, schematy działania i techniki. Oni także zajmują się praniem pieniędzy, no i zarządzaniem pozostałymi uczestnikami procederu. Na każdej transakcji zarabiają zazwyczaj od dwudziestu do trzydziestu procent.
Drugi poziom to pracownicy albo robotnicy, którzy, jak sama nazwa wskazuje, zajmują się bezpośrednio działaniem. To oni używają narzędzi służących do oszukiwania klientów i nawiązują pierwszy kontakt z ofiarą. Pracownicy często podają administratorom dane swoich kont bankowych, aby na nie otrzymywać swoją część pieniędzy zarobionych na oszustwach. W ten sposób możliwa jest ich późniejsza identyfikacja. Często zdarza się bowiem, że te dane wyciekają w kontrolowany sposób i, za sprawą administratorów, trafiają do lokalnej policji.
Pracownicy zarabiają od sześćdziesięciu pięciu do siedemdziesięciu pięciu procent z każdej transakcji.
Tu oczywiście może pojawić się pytanie, dlaczego administratorzy ujawniają policji dane swoich pracowników. Odpowiedź jest prosta. Administratorzy nazywają to „oczyszczaniem pola”. Przekazują więc pewne dane policji, bo ta prowadzi śledztwa w sprawach zgłaszanych przez ofiary, i może w ten sposób namierzyć niektórych z oszustów. Dla administratorów oznacza to także większe poczucie bezpieczeństwa, bo pozbywają się ze swoich zespołów ludzi, którzy nie umieli zadbać o swoją anonimowość, a to wpływa na wzrost bezpieczeństwa ich systemu, jako całości.
Wreszcie trzecia grupa to telemarketerzy, którzy kontaktują się z ofiarami przez telefon. Nie powiedziałbym, że to jest jakaś najniższa warstwa tej piramidy. Osoby te są na tym samym poziomie, co pracownicy. Zajmują się rozmowami telefonicznymi z ofiarami, kiedy trzeba w rozmowie przez telefon namówić ofiarę do wysłania płatności, rejestracji na platformie czy innych operacji. Ich zarobki są kilka razy mniejsze, dostają od pięciu do dziesięciu procent z każdego oszustwa. Ważne, że muszą to być native speakers, mówiący biegle w tym samym języku, co ofiara.
To bardzo sprytnie pomyślana organizacja i procedura.
Tak, rzeczywiście.
Dimitrij, co przyniesie nam rok dwa tysiące dwudziesty drugi? Jak będzie wyglądać krajobraz cyfrowych zagrożeń, zwłaszcza w zakresie skamu? Czy są jakieś wskaźniki, które mogą nam to naświetlić?
Tak, ale myślę, że trzeba te wskaźniki rozpatrywać osobno dla każdego rodzaju zagrożenia. Wszyscy zastanawiamy się nad tym, jakie mogą być nowe rodzaje ataków. Interesuje to również użytkowników, którzy oczekują wiarygodnych prognoz w tym zakresie. Dlatego co roku tworzymy raporty z prognozami dla różnych rodzajów zagrożeń, a więc dla ransomware, fishingu, skamu i innych. Powiedziałbym, że najbardziej znaczący, stały wzrost jest w obszarze ransomware, bo ciągle jesteśmy zamknięci w domach, odizolowani, a to sprzyja atakom. Podobnie z fishingiem i skamem. Tu także spodziewamy się wzrostu liczby incydentów, bo ciągle powstają nowe techniki, nowe sposoby oszustw w różnych branżach. Ponadto nie można zapominać o zwykłym, kanonicznym fishingu, który w dalszym ciągu ma się dobrze i jest typowy dla instytucji finansowych, tam gdzie odbywają się operacje finansowe, transakcje i transfery pieniędzy, bo znowu, pandemia i obostrzenia covidowe powodują, że więcej takich operacji odbywa się on-line i te zagrożenia są dla nich istotne.
W jaki sposób uniknąć szkód, które może wyrządzić skam? Jak mogą się chronić użytkownicy końcowi, a jak firmy, których marki są używane w tego rodzaju atakach?
Cóż, myślę, że jeżeli chodzi o użytkowników końcowych, o to jak chronić się przed atakami, jak skutecznie unikać zagrożeń, to może porozmawiamy o tym za chwilę. Powiemy sobie, jakich sposobów używać, jak utrzymywać taką podstawową cyfrową higienę. Natomiast teraz skupmy się na firmach i markach.
Tutaj najważniejsze reguły są takie same, jeżeli chodzi o skam, fishing i inne rodzaje cyberataków. Podstawą jest stały monitoring, nie tylko zasobów firmowych, ale także zewnętrznych, tych, które są używane w kontaktach z firmą. A więc sieci społecznościowe, sieci reklamowe, strony internetowe. Nawet jeżeli należą do innych podmiotów. To jest naprawdę ważna rzecz, chociaż wydaje się na pozór błaha.
Dzisiaj wiele firm zdaje sobie sprawę z zagrożeń i dobrze monitoruje swoje zasoby. Ale jeżeli mamy formularz kontaktowy na zewnętrznej stronie internetowej albo konto w serwisie społecznościowym, to są to zasoby, które wprawdzie nie należą do firmy, ale także mogą być przedmiotem ataku. Zatem nie powinny znajdować się poza zasięgiem naszego monitoringu, bo właśnie tam ryzyko skamu jest duże.
Drugi krok to aktywne poszukiwanie zagrożeń. Reasearch. To też jest dość powszechnie wiadome i firmy prowadzą takie działania w odniesieniu do ransomware, fishingu, APT [ej-pi-ti] i tak dalej, ale warto także śledzić potencjalne skamy. Bo nawet jeżeli wydają się na pozór małe i niegroźne, mogą się szybko rozrosnąć i zaatakować miliony ofiar, co nawet przy małej konwersji doprowadzi do milionowych strat. I będą to straty finansowe dla klientów i dla firmy, nie mówiąc już o stratach wizerunkowych.
Trzecia rzecz także wydaje się oczywista. Jest nią reagowanie. Jednak w przypadku skamu jest to trudniejsze, niż na przykład w przypadku fishingu, gdzie sposoby reagowania są już dość dobrze znane. W przypadku skamu potrzebny jest wyższy poziom świadomości zagrożenia. Dlatego musimy edukować zarówno stróży prawa, jak i regulatorów, firmy i użytkowników końcowych. Tylko wówczas będziemy mogli reagować na skam we właściwy sposób, czyli już na etapie, kiedy pojawią się jego pierwsze symptomy.
Twoja firma zajmuje się wieloma obszarami bezpieczeństwa cybernetycznego. Na przykład wykrywaniem zagrożeń, śledzeniem ataków, rozwiązaniami do zapobiegania oszustwom i nadużyciom, śledzeniem cyberprzestępców i wieloma innymi. Przed naszą rozmową mówiłeś mi, że jesteście oficjalnym partnerem Interpolu i Europolu. Czy możesz nam powiedzieć więcej o tej współpracy. Jak ona wygląda w praktyce. Czy daje wam dodatkowe możliwości w walce z kampaniami skamingowymi?
Tak, rzeczywiście to ważna rzecz. I wiąże się z poprzednim pytaniem oraz zagadnieniem reagowania, które omawialiśmy. To bardzo ważne, że możemy współpracować z organizacjami zajmującymi się tropieniem cyberprzestępców. Istotne jest podnoszenie ich świadomości odnośnie do tego, co dzieje się na rynku, z jakimi nowymi zagrożeniami należy się mierzyć i jakie w związku z tym trzeba prowadzić działania.
Tu znowu chciałbym posłużyć się konkretnym przykładem. Jeden z nich jest bezpośrednio związany z tematem skamu, a jednocześnie wiąże się z omawianym już tematem covidowym. Niedawno z sukcesem zakończyliśmy wspólną operację z włoskimi organami ścigania, w tym wypadku była to Guardia di Finanza. Nasi analitycy wykryli proceder związany z wydawaniem certyfikatów covidowych, zwanych we Włoszech zielonymi kartami. W okresie obowiązywania restrykcji pandemicznych każdy potrzebował takiej karty, stwierdzającej albo przebyte szczepienie, albo negatywny wynik testu na koronawirusa. Związany z tym skam był opracowany i realizowany głównie w komunikatorach, takich jak Telegram, WhatsApp, Viber i inne.
Przestępcy prosili o podanie danych personalnych, czasami wraz z deklaracją na temat stanu zdrowia, czasami z paszportem lub dowodem osobistym, no i oczywiście prosili o dokonanie wpłaty. Było to średnio od stu do stu trzydziestu euro. Po otrzymaniu wpłaty oczywiście znikali, razem ze wszystkimi wrażliwymi danymi przekazanymi przez klienta. W większości przypadków ofiary nie dostawały żadnego fałszywego certyfikatu covidowego. Wskutek naszych wspólnych działań udało się namierzyć i zidentyfikować całą grupę, która zajmowała się tym procederem, a następnie zlikwidować jej działalność. Zdołaliśmy zatrzymać aktywność związaną ze wstępnymi działaniami jak rozsyłanie wiadomości w komunikatorach, posty na stronach internetowych i inne sposoby promocji tego skamu oraz skasować konta w komunikatorach służące do obsługi całego procesu. Jednak co najważniejsze, udało się zlikwidować źródło problemu, zatrzymać przestępców i rozbić całą grupę przestępczą.
Zatem jeszcze raz, z punktu widzenia edukowania organów ścigania i zwalczania nowoczesnego skamu, podkreślamy to, że skam staje się prawdziwym cyberprzestępstwem. Rzeczywiście cyber i rzeczywiście przestępstwem.
Drugi przypadek, jaki chcę omówić, to wspólna operacja z Europolem. Polegała ona przede wszystkim na śledzeniu przypadków wykradania danych kart kredytowych. Nasi ludzie zidentyfikowali bardzo duży zbiór przechwyconych przez przestępców danych kart kredytowych, a następnie przekazali je do Europolu. Było to około trzydziestu procent wszystkich danych zgromadzonych w czasie tej operacji, a cała akcja pozwoliła uchronić klientów, obywateli UE przed stratami na łączną kwotę około czterdziestu milionów euro.
Wspomniałeś o kartach. Mam pytanie dotyczące takiej niedawnej wiadomości. W ciągu trzech miesięcy zespół śledzenia zagrożeń Group IB zidentyfikował, skompletował i przeanalizował informacje dotyczące sfałszowanych płatności zarejestrowanych w europejskich instytucjach finansowych. Dane zostały pozyskane z kilku niedostępnych publicznie źródeł, takich jak infrastruktura botnet, środowisko JS sniffer [dżej es sniffer], nielegalne sklepy z danymi kart i czarny rynek płatności monitorowany przez Group IB. Jak często zdarzają się takie sukcesy w walce z przestępcami, a jak często to oszuści odchodzą z uśmiechem na twarzy i pełnymi kieszeniami?
Cóż, jeżeli mam odpowiedzieć na pytanie, jak często zdarza się przestępcom odejść z uśmiechem na twarzy i pełnymi kieszeniami, to trzeba powiedzieć, że to zależy. Ale co warto podkreślić, takie sytuacje są minimalizowane właśnie dzięki temu, że organy ścigania współpracują z firmami zajmującymi się bezpieczeństwem cyfrowym. Taka współpraca przynosi naprawdę wymierne korzyści i efekty w zwalczaniu cyberprzestępczości. W dwa tysiące dwudziestym pierwszym roku już drugi rok z rzędu braliśmy udział w inicjatywie Carding Action, koordynowanej przez departament EC3 [i-si three] Europolu (to European Crime Centre), z udziałem innych organów śledczych jak na przykład specjalne jednostki policji zajmujące się fałszywymi płatnościami, Metropolitan Police i City Police of London. W rezultacie tych akcji w ubiegłym roku zapobiegliśmy stratom we wspomnianej wysokości około czterdziestu milionów euro w europejskich instytucjach finansowych.
W tym roku była też prowadzona ogólnoeuropejska akcja koordynowana przez służby włoskie i brytyjskie. Wstępne rezultaty tej akcji, które można ocenić na podstawie dotychczas przeanalizowanych danych, stanowią około jedną czwartą wszystkich pozyskanych danych (i to warto podkreślić, że mówimy dopiero o jednej czwartej wszystkich danych, które są przeanalizowane na ten moment), a to już pozwala powiedzieć, że zapobiegliśmy stratom na transakcjach wykradzionymi kartami w wysokości co najmniej czternastu milionów euro. A ponieważ znaczna część danych wymaga jeszcze opracowania, to można powiedzieć, że tegoroczne rezultaty i liczba obywateli Unii Europejskiej, których uchroniliśmy przed stratami, znacznie przekroczą te z roku dwa tysiące dwudziestego.
Dimitrij, ochrona bezpieczeństwa w cyberprzestrzeni nigdy nie śpi, to dość oczywiste. Ale teraz mamy szczególny okres. Za nami black week, wkrótce okres świąteczny. Wszyscy będą kupować prezenty, więc surfujemy po internecie, szukamy najlepszych ofert i tak dalej. Na co powinniśmy zwracać szczególną uwagę? Czy mógłbyś podać jakieś praktyczne rady dotyczące podniesienia własnego bezpieczeństwa cyfrowego?
Tak, oczywiście. To bardzo szeroki temat. Zawsze warto powiększać swoją wiedzę i uczyć się na podstawie wcześniejszych doświadczeń. Mogę podać kilka najważniejszych wskazówek. Zacznijmy od tego, że na początku powinieneś zadbać o swoje dane i twoje własne zasoby. W tym celu warto zadbać o odpowiednie hasła w każdym ważnym miejscu, z którego korzystasz. Wiemy, że sposoby tworzenia haseł i korzystania z nich są dość powszechne wśród większości użytkowników i zdecydowanie mało bezpieczne. Tym, co może pomóc ci w tworzeniu dobrych, silnych haseł, jest mała sztuczka. Staraj się skorzystać z obserwacji otoczenia wokół ciebie albo z literatury i wykorzystaj to do tworzenia haseł. Na przykład wybierz kilka cytatów z ulubionej książki i przekształć te cytaty w hasła. Albo rozejrzyj się wokół i jeśli na przykład widzisz czerwoną kulę leżącą na stole, to zrób z tego jakieś hasło, dodaj liczby, znaki, pobaw się różnymi elementami. Bo silne hasła to podstawa bezpieczeństwa. Używaj specjalistycznych menedżerów haseł, gdyż drugi typowy błąd powszechnie popełniany przez użytkowników jest taki, że nawet jeżeli wymyślisz dobre, silne hasło, to używasz go w różnych serwisach, na różnych profilach społecznościowych i tak dalej. To błąd. Tak nie powinno być. Powinieneś używać innego hasła w każdym serwisie. Żeby nad tym zapanować, potrzebujesz menedżera haseł – tak będzie znacznie wygodniej i lepiej. Najlepiej, jeżeli będzie to menedżer haseł działający tylko na twoim komputerze, lokalnie, także z lokalną bazą haseł przechowywaną na twoim sprzęcie. To jest rozwiązanie preferowane w stosunku do rozwiązań chmurowych i serwisów sieciowych.
Kolejna rzecz, jaką można wykonać, to dokładne przyjrzenie się wszystkim ważnym kontom, z których korzystasz, takim jak Apple Store czy Google Play i inne, z którymi połączone są twoje urządzenia. Najlepszą praktyką byłoby rejestrować każde z tych kont na inny, dedykowany do tego celu adres e-mail. Znowu, powszechnie stosowaną, ale niebezpieczną praktyką, jest używanie zawsze tego samego adresu e-mail, i często jeszcze ze słabym hasłem na wszystkich urządzeniach. Nie używaj swoich, powszechnie znanych adresów e-mail, kiedy rejestrujesz takie konta.
Następna rzecz to 2FA [dwa F A], czyli uwierzytelnianie dwupoziomowe. Jest to kolejna zasada. Dla wszystkich ważnych kont, a moja sugestia jest taka, że także dla mniej ważnych, po prostu dla wszystkich kont, także w serwisach społecznościowych, komunikatorach i tak dalej ustaw uwierzytelnianie dwupoziomowe. Czyli takie, które oprócz podania hasła wymaga jeszcze potwierdzenia na przykład kodem z aplikacji na twoim telefonie.
Ponadto często aktualizuj oprogramowanie. Jeżeli przyjrzysz się temu, jak działają wszyscy producenci, tacy jak Apple, Google i inni, którzy ciągle wydają aktualizacje oprogramowania, zauważysz, że stale monitorują podatność ich systemów na nowo pojawiające się zagrożenia i na bieżąco wprowadzają zmiany, żeby się przed tymi zagrożeniami chronić. Więc proszę, pilnuj tego i dbaj o to, żeby od razu instalować pojawiające się nowe wersje i aktualizacje na wszystkich urządzeniach, z których korzystasz.
Drugi obszar, który trzeba tu omówić, to twoje zachowania w internecie. To, jak korzystasz z różnych zasobów i serwisów. Co możesz zrobić, żeby uniknąć różnych zagrożeń, które tam na ciebie czyhają, jeżeli już zadbałeś o podstawy bezpieczeństwa związane z ochroną swoich urządzeń, kont i zasobów? Pierwsza zasada: nie ufaj nikomu. Podchodź bardzo ostrożnie do wszelkich danych i wiadomości, które otrzymujesz, w tym informacji w komunikatorach, e-maili, banerów i tak dalej. Nie biegnij od razu za białym króliczkiem jak Alicja w krainie czarów. Najpierw sprawdź, kto jest nadawcą. Sprawdź, czy znasz osobę, która właśnie przysłała ci wiadomość w mesendżerze. A jeżeli ją znasz, to spróbuj potwierdzić tę wiadomość innym kanałem, na przykład przez telefon lub też w inny sposób.
Następnie, jeżeli korzystasz z platformy transakcyjnej, serwisu bankowego czy serwisu zakupowego, nigdy nie przyjmuj zewnętrznych linków, które miałyby służyć do jakichkolwiek operacji, wysyłania pieniędzy czy tym podobnych. To uchroni cię przed oszustwem ze strony skamerów. I nawet jeżeli osoba po drugiej stronie jest bardzo przekonująca i intensywnie namawia cię do skorzystania z takiego linku, motywując to jakimiś dodatkowymi korzyściami, nie rób tego. Nie korzystaj z linków otrzymanych w ten sposób.
A jeżeli korzystasz z jakiejś strony internetowej po raz pierwszy, spróbuj ją zweryfikować. To bardzo obszerny temat, jak można weryfikować prawdziwość takiej strony. Po pierwsze sprawdź, czy połączenie jest bezpieczne. W adresie strony, który widać w górnym pasku przeglądarki, na początku powinno być https, to „s” jest bardzo ważne, gdyż oznacza to, że połączenie jest zabezpieczone. Takie połączenie jest także oznaczone piktogramem zielonej kłódki gdzieś w pobliżu adresu.
Sprawdź także pochodzenie strony. Możesz to zrobić za pomocą narzędzi open-source. Możesz sprawdzić datę rejestracji witryny w serwisach typu who-is, które pokazują podstawowe dane rejestracyjne dla domen, czyli kiedy dana domena została zarejestrowana, kto ją zarejestrował, w jakim kraju i tak dalej. Sprawdź także opinie w Google, jeżeli jakieś są. Spróbuj skorzystać z serwisów takich jak Similar Web, które pokazują, jakie są źródła ruchu danej strony internetowej. Jeżeli na przykład strona pozyskuje ruch głównie z wysyłek e-maili, to może być coś podejrzanego, więc jeżeli większość ruchu pochodzi z takich kampanii, to może być niebezpieczne, a jeżeli pochodzi z wyszukiwarki, to jest raczej OK.
Spróbuj także skorzystać z serwisów takich jak Scam Advisor, Trusted Pilots i podobnych. Dla każdego regionu można znaleźć takie serwisy. Ich główna idea polega na tym, że zbierają informacje od użytkowników stron internetowych i pokazują ich doświadczenia. To pomoże ustalić, czy dana witryna nie była zaangażowana w jakieś akcje skamingowe w przeszłości.
Ostatnia, ale nie mniej ważna porada jest taka. Używaj dedykowanej karty do płatności on-line. Nigdy nie używaj twojej podstawowej karty płatniczej powiązanej z twoim głównym kontem bankowym, na które dostajesz pensję. Zamów sobie inną kartę powiązaną z innym kontem, na które będziesz przelewać tylko część pieniędzy potrzebną na aktualne zakupy. Wówczas nawet jeżeli padniesz ofiarą oszustwa, to nie stracisz wszystkich pieniędzy, jakie masz na swoim głównym koncie. Ponadto, jeżeli masz możliwość zapłacić za pomocą Apple Pay lub Google Pay, powinna być to twoja preferowana metoda płatności. Więc jeżeli jest taka możliwość, to proszę, korzystaj z niej.
Chciałbym porozmawiać teraz o higienie cyfrowej oraz o zależnościach między życiem prywatnym i zawodowym. Jak często się zdarza, środowisko biurowe, z którego korzystamy, zasoby korporacyjne padają ofiarą ataków dlatego, że użytkownicy używają ich do celów prywatnych i mają tam podobne zachowania (jak klikanie banerów, używanie prywatnych kont pocztowych, używanie tych samych haseł co w pracy, zakupy on-line i tak dalej)?
O, to jest świetne i ważne pytanie, bo w końcu wszyscy jesteśmy ludźmi. Mamy takie powiedzenie, że zaczyna się od tego, że z powodu braku gwoździa koń gubi podkowę, potem tracimy konia, a na końcu przegrywamy całą bitwę. Ponieważ stale analizujemy bardzo duże zbiory danych dotyczących używania kont korporacyjnych, to możemy powiedzieć, że bardzo często użytkownicy wykorzystują swoje dane służbowe do celów niezwiązanych z wykonywaną pracą.
Dlaczego to jest szkodliwe? Jeżeli użytkownicy pomijają pierwsze punkty z poprzedniej listy o tworzeniu właściwych haseł, to często używają przy rejestracji na zewnętrznych portalach tego samego hasła, które służy im do dostępu do zasobów korporacyjnych. I nawet jeżeli to hasło jest silne, to zgodnie z pierwszym punktem poprzedniej listy wystarczy tylko jedno naruszenie bezpieczeństwa w którymś z tych zewnętrznych portali, tylko jedno (a nigdy nie możemy być pewni bezpieczeństwa takich zewnętrznych baz danych), aby doprowadzić do uzyskania przez przestępców dostępu do naszych zasobów korporacyjnych, co niesie za sobą bardzo poważne konsekwencje. Pozostałe zalecenia są, powiedziałbym, analogiczne do tych, o których mówiliśmy w przypadku prywatnych kont i dbania o ich bezpieczeństwo.
Działacie w wielu różnych krajach. Czy są jakieś charakterystyczne trendy dla poszczególnych państw? Innymi słowy, czy któreś kraje są bardziej podatne na skam niż inne?
Powiedziałbym, że tak. Jeżeli spojrzymy na cały większy region, jakim jest Europa, to charakterystyczne dla niego są Classiscam, skamy dotyczące funduszy inwestycyjnych i emerytalnych, a także skamy covidowe. Dlaczego Classiscam i skamy inwestycyjne i emerytalne? Dlatego, że Europa jest dobrym miejscem do życia, ludziom powodzi się dobrze, funkcjonują różne fundusze charytatywne, a Europejczycy chętnie korzystają z internetu do zakładania i prowadzenia kont inwestycyjnych, zakupów i tak dalej. To z kolei daje dość duże pole do nadużyć przy użyciu skamu.
Jeżeli popatrzymy na kraje Azji i Pacyfiku oraz Bliski Wschód, tam zagrożenia są nieco inne. Na pierwszym miejscu znajdą się skamy typu Google-blogspot. To proste jednodniowe akcje skamingowe umieszczane w blogosferze Google, na bezpłatnych kontach blogowych. Mają tam także skamy dotyczące platform zakupowych, ale nieco inne niż Classiscam i zazwyczaj prostsze, więc nie tak groźne, ale jednak rozsyłane dość masowo. No i są także skamy inwestycyjne i covidowe.
Natomiast jeżeli nieco bardziej szczegółowo spojrzymy na Europę, to powiedziałbym, że na przykład skamy związane z funduszami emerytalnymi są najbardziej typowe dla krajów skandynawskich oraz dla Niemiec, Austrii, Szwajcarii, natomiast Classiscam jest typowy dla krajów Europy Wschodniej. I wszędzie tam, gdzie mamy do czynienia z dużymi akcjami promocyjnymi, dużą aktywnością konsumentów na rynku, tam wkrótce pojawia się Classiscam.
Moje kolejne pytanie dotyczy Polski. Jakiego rodzaju skamy są najbardziej agresywne u nas i jakie marki padają ich ofiarą, są używane do akcji skamingowych?
Wymieniłbym tu dwa główne rodzaje skamów. Pierwszy to typowy skam on-line, drugi to skam off-line, poza siecią. Pierwszy z nich to Classiscam, a więc ten, który przewija się przez całą naszą rozmowę. W Polsce dotyka on wszystkich ważnych serwisów zakupowych i kurierskich, a więc OLX, Allegro, Poczta, Inpost, a ostatnio także Vinted. Vinted, nawiasem mówiąc, jest skamowany w całej Europie, nie tylko w Polsce.
Jeżeli chodzi o drugi rodzaj skamu, to jest to skam telefoniczny w sektorze bankowym. To wtedy, gdy ktoś dzwoni do ciebie, przedstawiając się jako pracownik twojego banku i przekonuje cię, że padłeś ofiarą oszustwa, że była próba włamania na twoje konto i musisz porozmawiać z przedstawicielem policji czy coś w tym rodzaju. Obecnie jest to najpopularniejszy typ skamu, jaki możemy zaobserwować w Polsce.
Jak firmy i marki dbają o takie sprawy jak przedłużanie ważności swoich domen, ochrona przed domenami łudząco podobnymi do ich własnych, czyli typesquatting, rejestrowanie znaków towarowych, pilnowanie serwisów społecznościowych i tak dalej. Mam na myśli bardzo typowe sytuacje, kiedy oszuści wykupują nieprzedłużone domeny, żeby podszywać się pod markę albo rejestrują domeny bardzo podobne,takie jak Gmial zamiast Gmail. Inny problem to monitorowanie działań hakerów wykorzystujących marki i znaki towarowe. Czy to jest obecnie duży problem?
Oczywiście, że tak. Wymieniłeś dużą liczbę różnych problemów i, powiedziałbym, że wszystkie są stale aktualne. Jest wiele technik, które do tego służą. Typowy fishing, często połączony z typesquatting’iem, ma się dobrze i jest stale niebezpieczny. Mało tego, w dalszym ciągu się rozwija, a jego skala rośnie. Może nie w tym stopniu, co w przypadku skamu, ale to pokazuje, że trzeba mieć świadomość nowych zagrożeń i zabezpieczać się przed nimi, ale nie zapominać o tych starszych.
Bardzo interesujący jest dla mnie problem oszustw w dzisiejszym biznesie bazujących na atakach mejlowych typu BEC [bi i si] i podobnych procedurach. Czasami na niewielką skalę, ale czasami prowadzonych z dużym rozmachem, kiedy firmy mogą tracić nawet miliony. Biorąc pod uwagę, że są to powtarzające się przypadki, jak firmy przygotowane są na tego typu ataki?
Tu znowu musimy wrócić na chwilę do higieny cyfrowej każdego użytkownika. Bo nawet jeżeli firma jest dobrze przygotowana pod kątem ochrony sieciowej, ma dobrze zdefiniowane zabezpieczenia typu DKIM i SPF, to zawsze, gdzieś na końcu, jest jeszcze czynnik ludzki. Zatem każda firma powinna dbać o regularne szkolenia swoich pracowników w zakresie higieny cyfrowej, to pierwsza rzecz. Po drugie powinna także dbać o to, żeby wszystkie te zasady dotyczące bezpieczeństwa poszczególnych użytkowników były przestrzegane.
Dlaczego? Dlatego, że aby przeprowadzić atak e-mailowy, przestępcy muszą się dostać na konto pocztowe jakiegoś użytkownika. Przejmując takie konto i przechwytując jego hasło, czy to za pomocą ataku brute force, czy metodami słownikowymi, wchodzą na konto i mogą go użyć do ataku. Dlatego za wszelką cenę należy chronić hasła do kont użytkowników przed przechwyceniem. I tu znowu uwierzytelnianie dwupoziomowe 2FA [dwa F A] może pomóc i powinno być stosowane.
Kolejne mechanizmy, które dodatkowo firma może wdrożyć, aby zwiększyć bezpieczeństwo, polegają na monitorowaniu zaufanych urządzeń i aktywnych sesji. Jaki jest cel tego monitorowania? Taki, żeby wykrywać wszelkie zachowania i sytuacje odbiegające od normy, które mogą być symptomem rozpoczęcia ataku. A ponieważ fishing jest jednym z najczęstszych sposobów inicjowania działań cyberprzestępców, firmy powinny dbać o ochronę swoich serwerów pocztowych, bramek e-mail i tak dalej.
Podsumowując więc, zapobieganie tym problemom może być podzielone na dwie części. Pierwsza część to edukacja użytkowników i dbanie o to, aby stosowali reguły bezpiecznego korzystania z zasobów. A druga, to właściwe zabezpieczenie całego procesu zarządzania pocztą i kontami użytkowników.
Moje ostatnie pytanie. Dimitrij, czy mógłbyś nam opowiedzieć coś o aktualnych sytuacjach, przypadkach, nad którymi pracujecie? Jakieś najbardziej interesujące, najbardziej innowacyjne albo najbardziej zaawansowane. Co było lub jest w nich najważniejsze, jakie techniki były użyte i jakie są rezultaty?
Dobrze. Opowiem ci kilka historii, które nie klasyfikują się do tych trendów, o których rozmawialiśmy. Bo z trendami jest tak, że kiedy już powstają, to stają się powszechnie znane. O takich rzeczach jak Classiscam można przeczytać w gazetach. Ale mam kilka innych przykładów, które pokazują, jak niestosowanie się do podstawowych reguł higieny cyfrowej może doprowadzić do poważnych następstw, nawet jeżeli zaczynają się od niewielkiego incydentu.
Pierwszy przypadek to firma przemysłowa, zajmująca się produkcją rur. Są to rury różnego rodzaju na przykład do gazociągów czy do innych instalacji. Firma ma biura rozsiane po całym świecie i dla każdego regionu, czasami dla konkretnego kraju mają tam lokalną dyrekcję. To oznacza, że jeżeli klient potrzebuje rur, to kontaktuje się z lokalnym biurem i tam rozmawia o swoim zapotrzebowaniu. Stamtąd też otrzymuje ofertę. Natomiast jeżeli lokalne biuro orientuje się, że nie będzie w stanie zaspokoić całego zapotrzebowania klienta samodzielnie, to kontaktuje się z innymi oddziałami, zazwyczaj z sąsiednimi, czasami z dyrekcją generalną. Co bardzo istotne, każde lokalne biuro ma własną lokalną domenę, do której przypisane są adresy pocztowe. To z kolei ma wpływ na charakterystykę ruchu mejlowego pomiędzy oddziałami, na mejle, które są wymieniane pomiędzy pracownikami z różnych lokalizacji. Często zdarzało się, że w jedną wymianę korespondencji w załatwianiu jakiejś sprawy zaangażowanych było nawet dwadzieścia czy trzydzieści osób z różnych oddziałów, z różnymi adresami e-mail, czyli z adresami pochodzącymi z różnych domen. To powodowało, że pracownicy w zasadzie nie zwracali uwagi na tę różnorodność, co z kolei prowadziło do sytuacji, że nie kontrolowali, skąd właściwie wiadomości przychodzą, bo było tak dużo domen, aliasów i nazw.
Więc co zrobili przestępcy? Założyli sklonowaną stronę firmową ze zmienionymi danymi kontaktowymi. I przez tę stronę skontaktował się z nimi klient, który chciał złożyć zamówienie. Całkiem duże zamówienie na dużą ilość towaru, w sumie na około dwa i pół miliona euro. Ponieważ było to duże zamówienie, to rozpoczęła się normalna w takim wypadku konwersacja dotycząca draftu umowy, szczegółów zamówienia i tak dalej. Z tym że konwersację tę prowadzili oszuści. Zaangażowali w ten łańcuch wymiany informacji sąsiednie oddziały, dyrekcję generalną, no i rzecz jasna klienta. W ten sposób ustalali wszystkie szczegóły umowy i zakupu, terminy dostaw i tak dalej. Uzgodnili zapisy umowy ze wszystkimi uczestnikami tego łańcucha korespondencji, i kiedy wszystko było już ustalone, na samym końcu zmienili w umowie numer rachunku i taką umowę wysłali do klienta, czyli do ofiary.
Oczywiście, ponieważ klient także został zaangażowany w tę konwersację i otrzymywał wszystkie wcześniejsze wiadomości, był przekonany, że wszystko zostało ustalone prawidłowo i zrealizował płatność. I wyobraźcie to sobie, w ciągu kilku dni od otrzymania zamówienia i rozpoczęcia konwersacji przez oszustów (ponieważ zamówienie było pilne, to wszyscy się spieszyli i w ciągu kilku dni uzgodnili umowę), oszuści otrzymali na swoje podstawione konto dwa i pół miliona euro.
Na tym przykładzie widać jak na dłoni, że firma nie miała właściwej polityki zarządzania domenami, i to było źródłem całego problemu. Potem to oczywiście zmienili, wdrożyli centralne zarządzanie domenami i teraz lokalne oddziały mogą prowadzić swoje lokalne strony internetowe w dobrze zdefiniowanym i zabezpieczonym środowisku. Ale lekcja była bolesna, i tak, jak powiedziałem wcześniej, niewielkie zaniedbania na początku doprowadziły do poważnych strat na końcu.
Drugi przykład, o którym chcę powiedzieć, to właściwie dwa przypadki w jednym. Polegały one na rozsyłaniu pozornie niegroźnego skamu skierowanego do klientów BTC [bi-tu-si], a więc nie tak, jak poprzednio BTB [bi-tu-bi], ale BTC [bi-tu-si], w sieci reklamowej w social mediach, a konkretnie na fejsbuku.
Każdy z nas używa różnych portali społecznościowych, takich jak fejsbuk, instagram i inne, do przeglądania wiadomości, oglądania zdjęć i tak dalej. Te dwie platformy oferują szczególnie łatwe w użyciu mechanizmy do zorganizowania własnej, osobistej kampanii reklamowej, tak jak mówiłem już o tym wcześniej.
Nadużycie, które wykryliśmy około pół roku temu, dotyczyło marki Światowej Organizacji Zdrowia, WHO. To w pewnym sensie znów nakładało się na temat covidowy. Oszuści działali w ten sposób, że za pomocą fejsbuka rozsyłali jeden link, który prowadził do sfabrykowanej strony internetowej, która funkcjonowała bardzo krótko, dosłownie od piętnastu do trzydziestu minut. Na stronie zamieszczona była zachęta do wypełnienia ankiety, a po jej wypełnieniu istniała możliwość wzięcia udziału w losowaniu nagrody. Więc naprawdę bardzo prosta rzecz. Na koniec ankiety rzeczywiście odbywało się losowanie i w większości przypadków w losowaniu wygrywałeś nagrodę. Ale żeby odebrać tę nagrodę, trzeba było wpłacić pewną kwotę jako podatek od wygranej. Więc znowu prosta rzecz.
W tym przypadku nie był to fishing, po prostu byłeś proszony o wysłanie pieniędzy na określone konto. Kwota, co prawda, nie była duża, bo wahała się od trzech do ośmiu euro, ale jeśli przypomnimy sobie z naszej rozmowy, że można w krótkim czasie zaatakować w ten sposób bardzo wiele ofiar, to to jest właśnie ten przypadek. Niewielka kwota pomnożona przez dużą liczbę ofiar, nawet przy niewielkiej konwersji, daje całkiem spore wpływy. I to był dokładnie taki przypadek. W czasie krótkiej kampanii, która trwała około siedmiu dni, przestępcy dotarli do około pięciu milionów potencjalnych ofiar. Według naszych obliczeń konwersja wyniosła około dwóch procent. Więc dwa procent z pięciu milionów potencjalnych ofiar pozyskanych w kampanii, która kosztowała około pięciuset euro, przyniosło przestępcom kilkaset tysięcy euro wykradzionych w ciągu tygodnia.
Jest to więc przypadek skamu skierowanego do klientów BTC [bi-tu-si], do klientów końcowych. Ten sam schemat oszuści stosują na fejsbuku lub instagramie, gdzie podszywają się pod znane marki. Przykładowo masz tam możliwość wygrania jakiejś nagrody, tylko potem musisz podać dane swojej karty, żeby na przykład zapłacić za dostawę wygranej rzeczy.
Chciałbym tutaj powiedzieć, że w przededniu, a nie, przepraszam, już nie w przededniu, bo jesteśmy po black friday, ale jesteśmy przed świętami, więc moja sugestia jest taka: Proszę, nie bierzcie udziału w żadnych ankietach, losowaniach, promocjach, gdzie oferują wam coś za darmo. Pamiętajcie, że jeżeli chcecie coś kupić lub dostać i w tym celu proszą was o podanie danych karty, to powinniście dokładnie wszystko sprawdzić. Najlepiej byłoby skontaktować się bezpośrednio z firmą, która to organizuje.
Dimitrij, dziękuję Ci bardzo za tę rozmowę. To była prawdziwa przyjemność.
Dziękuję Ci bardzo, Michale. Dziękuję, że to zorganizowałeś. Zawsze chętnie biorę udział w inicjatywach, które pozwalają rzucić trochę światła na cyberzagrożenia i uczynić świat bezpieczniejszym. Dziękuję bardzo, dziękuję Twojej publiczności. Życzę Wam wszystkiego dobrego na święta, i trzymajcie się!