Zarzucają sieci w Sieci

Uwaga na listy elektroniczne, zwłaszcza na te z różnymi grafikami i innymi fajerwerkami. Szczególnie podejrzane są listy, które przekonują do odwiedzenia jakiejś strony by zaktualizować swoje poufne dane. Wówczas powinna zadziałać porcja zdrowej paranoi...

Mnie łowienie nie pociąga, ale w Internecie jest sporo osób, które tym się pasjonują. Znajdą one sporo zasobów dotyczących wędkowania, połowów - zarówno na stronach www jak i w Usenecie. Na tych stronach sporo informacji dotyczących łowisk, sprzętu, sposobów wędkowania. Ten felieton jednak nie będzie poświęcony moczeniu kija, ale analogia wydaje się oczywista. Phishing to nazwa procederu polegającego na wysyłaniu do ofiar poczty elektronicznej udającej przesyłkę z banku, sklepu internetowego lub operatora internetowego, która zawiera w swej treści różne elementy "identyfikujące" legalnie działającą instytucję. Przesyłka zawiera pewną sugestię skorzystania z linku do witryn, gdzie ofiara może "zweryfikować" jej autentyczność. Taka witryna jest jednak fałszywa. Ofiara (dzięki manipulacji) ujawnia swoje dane osobowe (w tym takie jak hasła dostępu czy numery kart kredytowych). Ogólnie zatem mówiąc - phishing to nieuczciwe przechwytywanie poufnych danych. W sposób naturalny pojęcie to związane jest z procederem polegającym na przesyłaniu drogą elektroniczną niezamawianych informacji (spamu). Nazwa "phishing" została ukuta ze skrzyżowania słów "fishing" (łowić ryby) i "personal data" - dane osobowe.

Zebrane informacje mają swoją wartość. Powstał nawet serwis, który oferuje (w celach informacyjnych i edukacyjnych) kalkulator pokazujący ile warta jest jaka informacja. Przykładowo sądowy pozew cywilny byłby wart w USA 2.95$, gdyż zawiera takie dane jak imiona, nazwiska, adresy stron, dane sądu no i generalnie: interesującą treść. Wyrok karny kosztuje już 16 dolarów. Ile kosztują tego typu informacje w Polsce? Wskazówek w tym względzie dostarcza depesza agencyjna, zgodnie z którą w styczniu 2004 roku w Poznaniu, 23-letni mieszkaniec Bełchatowa wpadł w policyjna pułapkę, gdy chciał sprzedać dane adresowe miliona osób o wartości rynkowej 2 mln zł. Dwie bańki. Sporo pieniędzy - a to przecież jedynie takie dane, które są dostępne powszechnie. Kłopot polega jedynie na ich zebraniu w dającą się "obrabiać" bazę danych. Phishing zaś polega na tym, żeby ofiara sama podała nam takie dane, których zebranie w inny sposób jest w miarę trudne - bo nie często rozpowszechniamy login i hasło do swojego konta w wirtualnym banku.

W zeszłym roku rozpoczął się proces Helen Carr, której postawiono zarzuty kierowania grupą zajmującej się wyłudzaniem pieniędzy przez Internet. Zupełnie przez przypadek jeden z agentów FBI, specjalizujący się w przestępstwach komputerowych otrzymał elektroniczny list. W liście napisano, że "jego ostatnia transakcja nie mogła być zrealizowana" i znajdował sie link do "AOL Billing Center" (centrum płacenia rachunków America Online). Dociekliwy funkcjonariusz wszedł na stronę i zobaczył tam formularz, w którym można było podać dane dotyczące karty kredytowej takie jak: nazwisko, adres, numer karty, data utraty ważności, etc... W trakcie śledztwa okazało się, że to fałszywa strona (warto dysponować pewnymi zasobami zdrowej paranoi - wówczas wiadomo od razu, które strony są fałszywe). W toku śledztwa ustalono również sposób działania szajki: grupa zajmowała się w pierwszej kolejności spamowaniem, a następnie pozyskiwaniem danych dotyczących kart. Odbyła się rozprawa, potem rozprawa apelacyjna - w efekcie oszustka została skazana na 46 miesięcy (prawie 4 lata...) więzienia. W innym procesie ukarano dziewiętnastolatka Shiva Sharma. Sąd skazał go na pięć lat próby (cos jak wyrok w zawieszeniu) i 350 godzin prac społecznych. Mieszkający z rodzicami chłopak również pozyskiwał dane dotyczące kart kredytowych. Wykorzystał następnie zdobyte informacje by dokonać zakupu wyposażenia komputerowego na kwotę przekraczającą 30 tys. dolarów.

Spam - jak to spam - trafia w różne przypadkowe miejsca. Do mnie przed świętami Bożego Narodzenia trafiły (mimo filtrów antyspamowych) dwie interesujące przesyłki z wielkiego świata. W pierwszej PayPal chciał mnie poinformować o ważnych sprawach dotyczących mojego konta... W załączeniu plik www.paypal.com.src... W ramach swoich zasobów zdrowej paranoi pomyślałem: znowu trojan. Ktoś pisze, że ze względu na bezpieczeństwo zmieniają zasady pracy serwisu i musze dokonać operacji na swoim koncie. Za żadne skarby mam nie odpisywać na adres, z którego "przyszła" poczta, ale powinienem kliknąć w załącznik. Dalej mnie poprowadzi instrukcja... Oczywiście nie mam konta na PayPal... Ale jakbym miał i kliknął w załącznik - nie miałbym pewnie pieniędzy...

Druga ze wspomnianych przesyłek próbowała podszywać się pod komunikat serwisu visa.com. List napisany w htmlu, w którym przeczytałem o najnowszym systemie bezpieczeństwa finansowej korporacji. To szwindel w nieco innym wykonaniu. Tutaj oszust nie zaoferował załącznika symulującego "link". Tutaj oszust stara się mnie przekonać bym kliknął w link "www.visa.com" znajdujący się "w treści" listu. Znów doza zdrowej paranoi pomogła sprawdzić, że link prowadzi do strony zupełnie innej niż by się to wydawało na pierwszy rzut oka. Cóż. Uwaga na listy elektroniczne (te z różnymi załącznikami, grafikami i innymi fajerwerkami), zwłaszcza zaś na te, które przekonują do odwiedzenia jakiejś strony by (najczęściej ze względów bezpieczeństwa) zaktualizować swoje poufne dane. Gdyby istotnie wysłane były przez zainteresowaną firmę - przyszłyby (jak przypuszczam) pocztą tradycyjną.

Dwa powyższe przykłady nie były zbyt niebezpieczne - wszak w Polsce jeszcze zbyt mało osób zarządza pieniędzmi poprzez zagraniczne serwisy internetowe. Mogłoby się wydawać, że Polski problem nie dotyczy. Jednak uważni czytelnicy pamiętają, że już w 2001 roku uczeń warszawskiego liceum umieścił w Sieci kopię strony banku PBK. Znajdował się na tej stronie formularz, który pozwalał gromadzić nastolatkowi dane o kartach kredytowych oszukanych Internautów. Zanim nastąpił nalot policji udało mu się zebrać dane od dwóch nieświadomych ofiar. Dodajcie do tego spam podszywający się pod PBK i macie phishing w czystej postaci. Na podobnej zasadzie oszuści próbowali uzyskać dostęp do danych klientów Banku Anglii (The Bank of England) czy Citibanku.

Polski rynek się rozwija, a wraz z nim rośnie potencjalna szansa na znalezienie ofiar. Pewnie dlatego "internetowi złodzieje" zaatakowali Citibank Handlowy. Niektórzy klienci zostali skierowani na fałszywą stronę, gdzie mieli podawać hasła dostępu do kont oraz numery kart. Szefowie Citibanku uspokajają: "zablokowaliśmy stronę oszustów, a klientom nic nie grozi"... Dwa dni ciszy i kolejne doniesienie: z adresu inteligobank@go2.pl na skrzynki poczty elektronicznej (spam), w tym do niektórych klientów banku Inteligo przyszedł list o następującej treści: "Drogi kliencie banku Inteligo. Z przykrością stwierdzamy, że w związku z licznymi nadużyciami naszych Klientów oraz wobec naszych Klientow konieczne stało się przeprowadzenie weryfikacji danych osobowych posiadaczy kont Inteligo. W celu zweryfikowania danych zwracamy się z uprzejmą prośbą o zalogowanie się w naszym systemie. Poniżej znajduje się odnośnik, który po kliknieciu, przeniesie Państwa do strony logowania". List utrzymany był w "poetyce graficznej" Inteligo. Oszuści starali się skierować swoje ofiary na spreparowaną stronę www.inteligobank.friko.pl (jaki bank będzie miał strone na darmowym serwerze?). Klasyczny phishing! Nawet lepszy - bo nasz, krajowy.

Informacji o fałszywej stronie mBanku (tak, tak - była i taka strona!) nie rozesłano do klientów tego banku, a jej autor, Tadeusz K. (informatyk specjalizujący się m.in. w systemach zabezpieczeń sieciowych) przesłał do banku oświadczenie, w którym wyjaśnił, że spreparowana strona nie została wykorzystana do żadnych czynności niezgodnych z prawem. Chodziło mu jedynie o przetestowanie mechanizmu pozwalającego na maskowanie przez popularną przeglądarkę prawdziwego adresu strony, na który jest kierowana ofiara phishingu. Ten sprawca się przyznał, ale w przypadku tych wszystkich, którzy nie zdecydują się ujawnić śledztwa mogą nic nie wykazać. Przychodzi mi do głowy kilkanaście pomysłów na to, w jaki sposób mógłbym niepozostawić po sobie śladów, gdybym phishing zorganizował. Myślicie, że "profesjonalni oszuści" będą gorsi? Banki zgłosiły sprawę prokuraturze, śledztwa wszczęto. Informatycy zaczęli analizować zebrane ślady... Warto pamiętać, że numerom IP nie da się jednak postawić zarzutów.

Nie tylko konta bankowe i numery kart kredytowych cieszą się zainteresowaniem phisherów. W społeczeństwie informacyjnym, w którym coraz większego znaczenia nabiera para identyfikatorów: login i hasło, jest wiele cennych łupów. Może chodzić o pewne uprawnienia inkorporowane w daną parę prostych kluczy, może chodzić o renomę. Za pomocą internetowego konta mieszkańca Świnoujścia na portalu aukcyjnym Allegro ktoś oszukał sto osób na sumę 30 tys. zł. 23-letni Daniel ze Świnoujścia, który zebrał sporo pozytywnych ocen ze swojej działalności handlowej na Allegro pojechał na wakacje. Po powrocie okazało się, że na jego stronie pojawiły się nowe aukcje. Ktoś najprawdopodobniej uzyskał podstępem (wcześniej stosując technikę phishingu) hasło do konta Daniela i skorzystał z jego renomy umieszczając fałszywe anonse aukcyjne. Oszust wyłudził w ten sposób od stu osób około 30 tys. zł. Wszystkie wpłaciły pieniądze za sprzęt, ale sprzętu nie otrzymały. Jednym z bardziej dynamicznie rozwijających się sfer stosowania phishingu jest polityka. Historia zna juz przypadki podszywania się pod kandydatów głosząc tezy nie pokrywające się z tymi, które głosił "oryginał". Za pomocą phishingu naciągano również wyborców by wspierali finansowo kampanie wyborcze. W rzeczywistości zasilali oni jednak czyjeś prywatne konta.

Teraz trochę o inicjatywach - bo coś z tego felietonu powinno wynikać. Powstała organizacja zwalczająca tego typu oszustwa: Anti-Phishing.org. Tu odsyłam wszystkich badaczy tego tematu. Na szczeblu międzynarodowym 31 państw (niestety bez Polski) rozpoczęło współpracę, skierowaną na walkę z wyłudzaniem pieniędzy przez Internet. Utworzono Międzynarodową Sieć Ochrony i Egzekwowania Praw Konsumenta (The International Consumer Protection and Enforcement Network - ICPEN). Przedstawiciele organizacji ochrony praw konsumentów z całego świata zgodzili się, że skuteczność tych wyłudzeń i trudności w ściganiu osób ich dokonujących w ogromnej mierze wynika z ponadnarodowego charakteru Internetu. A jeśli chodzi o nasze podwórko: pod hasłem "Nigdy nie wiadomo, kto jest po drugiej stronie" ruszyła właśnie ogólnopolska kampania społeczna "Dziecko w sieci". Celem kampanii jest propagowanie zasad bezpiecznego korzystania z Internetu oraz informowanie o zagrożeniach, jakie można tam napotkać. Przytaczając zatem hasło z plakatu: "Nigdy nie wiadomo, kto jest po drugiej stronie. Zadbaj, by twoje dziecko korzystając z Internetu nigdy nie podawało swoich danych osobowych i nie umawiało się z nieznajomymi" warto dodać: powyższe nie dotyczy wyłącznie dzieci. To dotyczy również Ciebie. Czasami wystarczy porcja zdrowej paranoi, by nie dać się naciągnąć.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>