Ataki hakerskie. Łupy cyberprzestępców liczone są w miliardach

Oszuści nie mają skrupułów i żeby zdobyć pieniądze, stworzą historię o chorym dziecku. Nabierze się nawet Robert Lewandowski. Najlepsi w niczym nie przypominają zwykłych hakerów. To profesjonalne organizacje przypominające mafie.

Nowy bankowy wirus, którego ofiary straciły już 1,5 mln dolarów, nie jest wyjątkiem. Tylko w 2016 roku za pomocą ransomware - złośliwego oprogramowania blokującego urządzenie i żądającego okupu - cyberprzestępcy wyłudzili ponad 1 mld dol. To wzrost o aż 748 proc. względem 2015 roku. A zarabianie na szantażu to nie jedyna domena internetowych przestępców. Wykradzione sumy przyprawiają o zawrót głowy.

Współcześni rabusie nie potrzebują wysadzać sejfów, jak na Dzikim Zachodzie, albo grupą napadać na placówki. Wirus o nazwie Carbanak pomógł wykraść z banków aż 300 mln dolarów - to jedno z największych w historii internetowych włamań. Przestępcy obrabowali w sumie 100 firm, działających w 30 krajach, w tym w Polsce. Jak do tego doszło?

Na celowniku znaleźli się nie klienci banków, ale ich pracownicy. Metoda ataku była jednak podobna. Pracujący w banku otrzymywali zainfekowaną wiadomość. Uruchamiając załącznik, niemalże wpuścili przestępców do bankowych systemów. Ci mogli obserwować działania pracowników, dzięki czemu wiedzieli, kiedy i jak przesyłane są pieniądze. A to pomogło im działać tak, by nie zostać wykrytym.

“Jedną z ciekawych technik ataku, poza standardowymi przelewami funduszy z jednego rachunku na drugi, było pompowanie kont. Atakujący, kontrolujący komputer bankiera, podnosił saldo na koncie ofiary (np. z 10 000 PLN do 20 000 PLN), a następnie z tego konta podejmowana była “dodana” gotówka. W ten sposób, ofiara nie orientowała się, że coś jest nie tak (dalej miała tyle samo środków ile przed atakiem), nikt więc nie powiadamiał banku o kradzieży. To dawało więcej czasu złodziejom na podjęcie wykradzionych środków” - opisywał działanie cyberprzestępców serwis niebezpiecznik.pl.

Do rabunku złodzieje wykorzystali też bankomaty, które zostały przez nich tak zaprogramowane, by o określonej porze wypluwały pieniądze. Niepotrzebna była nawet karta - wystarczyło, by odpowiedna osoba pojawiła się przy zmodyfikowanym bankomacie o właściwej porze i przejęła pieniądze…

Coś jednak internetowych oszustów z tradycyjnym przestępcami łączy. To nie są zwykli hakerzy siedzący w ciemnych pomieszczeniach, którzy dzięki niezwykłym umiejętnościom próbują się wzbogacić. Grupy działają jak tradycyjne organizacje przestępcze. Gdy polska policja złapała 148 osób (!) zajmujących się włamaniami na konta bankowe, wyszło na jaw, jak skomplikowane i - jakkolwiek źle to nie brzmi - profesjonalne są ich metody.

Sumę strat wyrządzonych przez międzynarodową szajkę wyceniono na kwotę ponad 94 mln zł - wszystko pochodziło z włamań na konta bankowe. W kradzieży pomagał wirus o nazwie TINBA i strony phishingowe. 40 proc. skradzionych środków było zyskiem oszustów, natomiast resztę przeznaczano na udoskonalenie szkodliwego oprogramowania.

“Organizacja w swojej strukturze zawierała co najmniej 11 poziomów, to jest m.in. hakerów dokonujących włamań, polskich mózgów trudniących się organizowaniem sieci osób operujących niemal w całej Europie przeznaczonych do dokonywania transferów pieniędzy pochodzących z phishingu, księgowych – dysponujących dostępem do aktualnych baz elektronicznych, zawierających informacje o okradanych rachunkach, łowców mułów – wykonujących instrukcje przekazywane przez mózgi lub księgowych co do tego kiedy, w jakim banku i w jakim kraju należy założyć rachunek bankowy, mułów o różnym poziomie świadomości werbowanych w Polsce, na Łotwie oraz na Ukrainie, egzekutorów odpowiedzialnych za siłowe odzyskiwanie przywłaszczonych przez muły pieniędzy i zachowywanie dyscypliny w obrębie grupy - informowała polska policja.

To właśnie zwykli użytkownicy, czyli klienci banków są celem ataku. Tak jak w przypadku najnowszego wirusa LokiBot, złośliwe oprogramowanie wykorzystuje ich nieuwagę. Cyberprzestępcy podsuwają - w mailach lub wiadomościach w mediach społecznościowych - spreparowaną stronę, wyglądającą jak serwis prawdziwego banku, a nieświadome niczego ofiary jak na talerzu podają swoje poufne dane: hasło i login do konta.

Właśnie w taki sposób klienci banku BZWBK w 2016 roku stracili z kont dziesiątki tysięcy złotych. Teoretycznie był to tradycyjny atak phishingowy. Oszuści wysyłali spreparowane wiadomości informujące o blokadzie konta. Klikając w załączony link, przenoszeni byli na stronę imitującą serwis bankowy, gdzie wpisywali i przez to ujawniali swoje loginy i hasła. Tak naprawdę jednak skuteczne działanie przestępców ułatwił… bank.

Wszystko przez wcześniejszą decyzję, polegającą na wyłączeniu opcji potwierdzania transakcji kodem SMS. To użytkownik miał decydować, czy z takiego zabezpieczenia skorzysta, ale domyślnie było ono wyłączone. Cyberprzestępcy dysponując hasłem i loginem - który zdobyli w ramach ataku phishingowego - mogli dokonywać dziennych transakcji nawet do 10 tys. zł. Po kradzieży bank przywrócił wszystkim klientom obowiązek podawania kodu SMS - pisał Niebezpiecznik. Cóż, mądry Polak po szkodzie.

Przestępcy bardzo często i chętnie wykorzystują ufność swoich ofiar. Kolejną bardzo popularną i dochodową metodą jest podszywanie się pod urząd lub firmę. Oszuści wysyłają wówczas pismo z informacją o zmianie konta. Adresaci bardzo często nawet nie chcą się upewnić, czy rzeczywiście stare dane są nieaktualne albo czy podany numer jest prawdziwy. Od niedawna na ten atak szczególnie narażeni są płatnicy ZUS.

Atak jest prosty, bo nie wymaga żadnych umiejętności - wystarczy wydrukować pismo, włożyć do skrzynki i liczyć, że ofiara połknie haczyk. Można ją jeszcze nastraszyć, jak w przypadku fikcyjnego “wezwania do zapłaty” za oglądanie… filmów pornograficznych. Właśnie takie rachunki otrzymali mieszkańcy Jaworzna. To oczywiste oszustwo, ale zestresowani, że ktoś zna ich występki, mogą błyskawicznie przelać sumę na konto i mieć spokój. Na to liczą oszuści.

Rekordowy pod względem sumy przekręt udał się w 2015 roku, kiedy to pracownicy Podlaskiego Zarządu Dróg Wojewódzkich przelali na podane przez oszustów konto… 3,7 mln zł! Z kolei 560 tys. zł wyłudzono od warszawskiego metra.

Ale i tak prawdziwym mistrzem tego przekrętu okazał się Litwin, który wyłudził od serwisów społecznościowych 100 mln dolarów! Pomysłowy przestępca założył spółkę o takiej samej nazwie, co znany azjatycki producent komputerowy. Następnie wysyłał wiadomości do gigantów technologicznych z adresu mailowego, którego nazwa przypominała adresy azjatyckiego producenta sprzętu. Mogła to być drobna zmiana, ale na pierwszy rzut oka niewidoczna, np. literówka. Pracownicy nie byli czujni i przelewali pokaźne sumy na konto Litwina.

Internetowi przestępcy bardzo często posuwają się dalej i wykorzystują nie tylko naszą nieuwagę, ale zwykłą ludzką dobroć. Tak było w przypadku zbiórki na chore dziecko. Wzruszeni internauci wpłacili ponad 500 tys. zł, a akcję poparły gwiazdy, w tym Robert Lewandowski. Szybko okazało się, że dziecka nie ma, zaś zbiórka jest zwykłym przekrętem. To właśnie w tej sprawie - w charakterze pokrzywdzonego - Robert Lewandowski zeznawał w prokuraturze. Polski napastnik sam przelał 100 tys. zł.

Wielu tych oszustw dałoby się uniknąć, gdyby ofiary były bardziej uważne i dokładnie sprawdzały, kto do nich pisze i czego chce. Szczególnie ostrożnym trzeba być wtedy, gdy chodzi o pieniądze. Upewniajmy się, na jakie strony wchodzimy, jak wyglądają i komu mamy przelać sumę. By nie paść ofiarą oszustów, bardzo często wystarczy nie klikać w linki, które pochodzą od nadawców. Jeżeli mamy zrobić przelew, sami wpiszmy adres banku w pasku przeglądarki - nie idźmy na skróty, bo to może nas drogo kosztować.