Cienka granica internetu, czyli Jerzy dzwoni do pewnego małżeństwa [BĄDŹ CYBERBEZPIECZNY]

– Trzeba sobie zdać sprawę, że spośród wszystkich zasobów, na które muszą być zwrócone oczy służb bezpieczeństwa, internet najbardziej przenika do naszej codzienności. Z komputera nie wyskoczy na nas człowiek z bronią. Jednak gdyby nie internet, pewnych zagrożeń w ogóle by nie było. Jak zatem cyberprzestępcy mogą powiązać różne fronty działań, żeby nas zwabić? – pyta i odpowiada w cyklu „Bądź cyberbezpieczny” Grzegorz Boruszewski

W 2016 r. sekretarz generalny NATO Jens Stoltenberg uznał cyberprzestrzeń za piątą (po lądzie, wodzie, przestrzeni powietrznej i kosmicznej) przestrzeń prowadzenia operacji militarnych. Sześć lat wcześniej taki ruch wykonał Pentagon (choć przygotowywał się do tego już dużo wcześniej). Należy więc zdać sobie sprawę, że spośród wszystkich zasobów, na które muszą być zwrócone oczy służb bezpieczeństwa, internet najbardziej przenika do naszej codzienności. Z komputera nie wyskoczy na nas człowiek z bronią. Jednak gdyby nie internet, pewnych zagrożeń w ogóle by nie było. Jak zatem cyberprzestępcy mogą powiązać różne fronty działań, żeby nas zwabić?

Jerzy dzwoni do pewnego małżeństwa

Maria i Henryk początek czerwca znosili dzielnie, choć nie był to najlepszy czas do życia. Wysokie temperatury już od późnych godzin porannych zaczynały dawać się we znaki. Młodzież częściej zamiast do szkoły wybierała się zwiedzać świat. Sporo ich wypraw kończyło się na pobliskich ławkach, więc i przycupnąć podczau spaceru nieco trudniej. Całe szczęście, że ich wnuki mają to już za sobą i na początku czerwca przygotowują się do sesji na studiach. Szkoda tylko, że to się wiąże z innymi problemami – muszą mieszkać z dala od rodzinnego domu, mają mnóstwo wydatków. Babcia z dziadkiem pomagali, jak mogli – jak to dziadkowie!

Decyzja o wyjściu z mieszkania, by się rozruszać, została dziś odłożona na dalszy plan. Los i miły pan w słuchawce postanowili wspólnie dać Marii i Henrykowi szansę.

– Dzwoni pan konsultant z banku. Mówi, że w sprawie oszczędności!

– W końcu! Pół roku temu zakładałem lokatę, pewnie się skończyła. Ustal coś i zbierajmy się.

Pan Jerzy – bo tak przedstawił się konsultant – miał bardzo dużą wiedzę. Nie dość, że z dziedziny finansów, to jeszcze na temat bezpieczeństwa. Zanim cokolwiek powiedział, udzielił dokładnej informacji o tym, jakie zagrożenia czekają na Marię i jej oszczędności. Kompetentny i miły Jurek opowiedział też o pewnej rewolucji! Wprawdzie Maria z Henrykiem już gdzieś słyszeli temat „bitcoinów”, ale zawsze podchodzili do tego z rezerwą. „To już nie dla nas takie zabawy”.

– Szanowna pani Mario – mówi Jerzy – w naszym banku jesteśmy świadomi tego, że klienci nie muszą wiedzieć wszystkiego na każdy temat! Dlatego to my staramy się wiedzieć jak najwięcej o finansach i dziś mamy dla państwa propozycję! Nasz konsultant techniczny pomoże państwu założyć specjalny portfel bitcoinowy. To prawie takie samo konto jak lokata, ale zyski z tej transakcji są o wiele większe. Sam zainwestowałem i za tydzień lecę z rodziną na Wyspy Kanaryjskie!

Pan Jerzy twierdzi, że wystarczy tylko wejść na specjalną stronę i pobrać aplikację. Dlaczego nie? Jeśli to pan z banku, to przecież nie może się nie udać. Pobranie i instalacja programu nie były takie proste, ale pan z banku we wszystkim pomógł, wyjaśnił. Nieziemską cierpliwość ma ten Jurek. Twierdzi, że teraz tylko trzeba zalogować się do banku…

Buty za grę

Maria i Henryk wspólnie przyglądali się, jak z ich konta bankowego znikają pieniądze. Program do zdalnego dostępu sprawił, że w odpowiednim momencie to „pan z banku” uzyskał wyłączny dostęp do komputera. Wcześniej bardzo zgrabnie zachęcił swoje ofirary do zalogowania się na koncie bankowym i dodał swoje konto jako „odbiorcę zaufanego”, prosząc przy tym Marię i Henryka o kod weryfikacyjny. Przestępca działał tak sprawnie, że nie było nawet czasu na myślenie.

Bo stali się ofiarami szajki podszywającej się pod pracowników banków i oferującej inwestycje w kryptowaluty. Perfekcyjnie przygotowani manipulatorzy doprowadzają ostatecznie do przejęcia kontroli nad komputerem ofiary dzięki programowi do zdalnego dostępu, np. AnyDesk. Jeśli w porę nie zareagujemy, stracimy wszystkie pieniądze.

Jakiś czas temu przez pewną czujną osobę (brawo!) zostałem poproszony o sprawdzenie, czy za akcją promocyjną producenta obuwia nie kryje się złośliwe oprogramowanie. Promocja polegała na wzięciu udziału w grze online. Każdy uczestnik miał trzy próby – za każdym razem mógł kliknąć w jedno z wirtualnych pudełek. Jeśli po kliknięciu pojawiła się para butów, uczestnik taką właśnie parę mógł wygrać. Przypadek chciał, że każdy prędzej czy później trafiał w karton z butami. Następnie informację o akcji szczęśliwy zwycięzca musiał rozesłać za pośrednictwem internetowego komunikatora do co najmniej 10 osób. Po tym kroku zostało już tylko podanie swoich danych, by organizator mógł przesłać wygrane obuwie.

Do dziś nie słyszałem, żeby ktokolwiek swoją nagrodę ostatecznie otrzymał. A podanie danych w tego rodzaju akcjach kończy się zwykle tak:

– odbieramy telefon – dzwoni pan z banku. Numer się zgadza: jeśli mieliśmy zapisany w kontaktach, to właśnie taki nam się wyświetli. Pan wie o nas wiele – zna nasze dane, adres, tak się składa, że reprezentuje nawet ten sam bank, w którym mamy konto,

– ten pan informuje, że z naszego konta został zlecony przelew na konto nieznanej nam osoby. To podejrzane, bo bankowy system bezpieczeństwa wykrył, że na konto tej samej osoby zleconych zostało parędziesiąt innych przelewów z innych kont. Zapewne to próba oszustwa,

– system bezpieczeństwa zadziałał, więc nie musimy już się martwić. Jednak skoro ktoś z naszego konta zlecił przelew, to zapewne mamy zainstalowanego „wirusa” lub „trojana”, który pozwala przestępcom nas okradać,

– „bank” i na to znalazł receptę – zgłosi się do nas za chwilę pracownik tego samego działu bezpieczeństwa, który wykrył próbę kradzieży. Pomoże nam zidentyfikować problem i go usunąć,

– pracownik techniczny namawia nas do instalacji programu do zdalnego dostępu, by przeskanować system i usunąć złośliwego wirusa/trojana; kategorycznie zabrania też logowania się w tej chwili na konto. Twierdzi, że to może być niebezpieczne,

– skutki działania aplikacji umożliwiającej uzyskanie zdalnego dostępu do naszego komputera lub telefonu są dokładnie takie same jak w pierwszym opisywanym przypadku – tracimy oszczędności.

Pamiętajcie o zasadach!

Dlaczego zatem nie powinniśmy wysyłać takich łańcuszków, a tym bardziej lekką ręką dzielić się danymi osobowymi? Musimy pamiętać o złotej zasadzie: skoro coś jest niewiarygodne w rzeczywistości – w internecie też nie jest wiarygodne. Nie dostaniemy pary nowych butów za kliknięcie na stronie. Oddamy za to za darmo nasze dane, otwierając w ten sposób furtkę przestępcom, którzy będą w stanie wystawić nas na nie lada ryzyko.

Czasami zdaża się, że nasze dane przekazujemy osobie, która nie tyle kulturalnie prosi nas o ich podanie, a wręcz żąda do nich dostępu. Tak się dzieje w przypadku przestępców podszywających się pod akcję powszechnego spisu ludności. Każdy z nas jest zobligowany do uczestnictwa w takim spisie. Jeśli nie zrobimy tego przez internet, odpowiednie osoby skontaktują się, by pomóc nam w spisaniu się. Mogą to robić osobiście, ale i telefonicznie. Dlatego przestępcy podszywają się pod pracowników spisu powszechnego i wyłudzają nasze dane. Jeżeli zadzwoni do nas osoba podająca się za takiego pracownika, musimy pamiętać o dwóch ważnych zasadach:

– rachmistrz dzwoni z numeru 22 828 8888 lub 22 279 99 99, ale przestępcy potrafią podszyć się także pod taki numer telefonu! Każdy inny należy uznać za próbę oszustwa. Ale jeżeli numer się zgadza, to jeszcze nie gwarantuje nam bezpieczeństwa,

– zanim rachmistrz spyta o jakiekolwiek dane, musi się zweryfikować. By dokonać weryfikacji, musimy podczas rozmowy telefonicznej wejść na stronę https://rachmistrz.stat.gov.pl i poprosić rozmówcę o imię, nazwisko i trzy znaki identyfikatora – dokładnie te wskazane w formularzu na stronie internetowej. Po tym, jak otrzymamy dane, wpisujemy je w wyświetlony formularz i klikamy „Sprawdź rachmistrza”. W wypadku prawidłowej weryfikacji możemy (a zgodnie z ustawą – musimy) podać dane, o które zaostaniemy poproszeni (nigdy nie będą to jakiekolwiek dane finansowe ani np. informacje majątku!). Jeśli zauważymy jakiekolwiek nadużycie ze strony rozmówcy, powinniśmy o takiej rozmowie poinformować policję!

Kolejny etap walki z COVID

Jest jeszcze jedno zagadnienie, które może nas mocno zaniepokoić. Trwa kolejny etap walki z koronawirusem. Ustawodawca postanowił, że NFZ uzyska dostęp do danych osób niezaszczepionych (rozporządzenie rządu z 4 czerwca 2021 r.) w celu umożliwienia kontaktu telefonicznego ws. szczepień. Musimy mieć na uwadze to, że prywatne firmy, z którymi NFZ ma umowę o współpracy, zgodnie z prawem mogą do nas zadzwonić i zaproponować zapisanie się na szczepienie. Ale nie mogą w żaden sposób pozyskiwać od nas jakichkolwiek danych. Jakichkolwiek! Każda próba wyłudzenia od nas danych, choćby podstawowych, powinna skończyć się zgłoszeniem sprawy na policję.

Od Ciebie, drogi Czytelniku, zależy, czy będziesz cyberbezpieczny!

Grzegorz Boruszewski

specjalista ds. cyberbezpieczeństwa, współpracuje z firmą Orange Polska jako ekspert działu rozwoju i transformacji technologii bezpieczeństwa, pentester, członek ISSA Poland

E-WYDANIE TYGODNIKA KRĄG

FacebooktwittermailFacebooktwittermail

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Skip to content