Na przeczytanie potrzebujesz 5 minut(y).
Słońce powoli zaczynało wyłaniać się znad horyzontu, gdy Adrian z wypiekami na twarzy wpatrywał się w ekran swojego komputera. Po raz kolejny prześledził oczami każdą literę tekstu, który widniał na na ekranie:
"Przelew został zrealizowany"
Nie mógł w to uwierzyć. Jego plan wypalił. To było takie proste.
3 godziny wcześniej
Będąc uczniem ostatniej klasy szkoły średniej, wiedział, że zbliża się moment, w którym będzie musiał zadecydować o tym, co będzie robił w przyszłości. Od kilku miesięcy marzył o zostaniu youtuberem lub rozkręceniu biznesu polegającego na sprzedawaniu na portalach aukcyjnych rzeczy zamówionych wcześniej, dużo taniej, z chińskich sklepów internetowych. Wszystko jednak zmieniło się po obejrzeniu, w ostatnie ferie zimowe, serialu o hakerach. Wiedział, że to jest właśnie to, co chce w życiu robić. Od tego momentu każdą wolną chwilę spędzał na pobieraniu z internetu przeróżnego oprogramowania do poszukiwania i wykorzystywania luk bezpieczeństwa oraz czytaniu forów internetowych o tematyce hakingu. Nie spodziewał się, jak wiele artykułów i filmików w tym temacie można znaleźć w internecie.
Pierwszym jego poważnym sukcesem było przejęcie skrzynki pocztowej Janusza (o czym pisaliśmy w poprzedniej części historii). W tym celu Adrian zakupił na jednym z zagranicznych portali aukcyjnych za kilka dolarów specjalne urządzenie. Służyło ono do stworzenia sieci wi-fi, do której nieopatrznie podłączył się Janusz. Urządzenie to dawało Adrianowi możliwość podsłuchiwania danych wysyłanych z komputera swojej ofiary do internetu. Największym błędem Janusza (poza podłączeniem do nieznanej sieci) było jednak zainstalowanie na swoim komputerze “certyfikatu bezpieczeństwa” o co został poproszony. W efekcie, Adrian był w stanie zobaczyć wpisane przez Janusza na stronie logowania do poczty: login oraz hasło.
Przeglądając przejętą skrzynkę pocztową Janusza, Adrian powoli zaczynał się nudzić. Rachunek za prąd, rachunek za gaz, setki powiadomień z portalu społecznościowego, wniosek o przyznanie rat na nową lodówkę…
Adrian już miał zamknąć przeglądarkę internetową, gdy nagle w jego głowie zaświtała pewna myśl:
Ciekawe, czy te dane wystarczą, aby pójść o krok dalej i przejąć telefon tego Janusza.
Kwadrans później Adrian oczekiwał na połączenie z konsultantem infolinii operatora sieci komórkowej Janusza. Powtarzał w myślach, jak mantrę, jego dane osobowe, które z łatwością znalazł na skradzionej skrzynce pocztowej. Wiedział, że to, co robi, nie jest zgodne z prawem i może się dla niego bardzo źle skończyć. Czuł, jak w jego gardle pojawia się coraz większy ucisk, ale adrenalina związana z tym, co właśnie robił nie pozwalała mu już się wycofać.
- W czym mogę pomóc? - Zapytał konsultant infolinii.
- Eee… zgubiłem telefon i… czekam na ważny telefon... czy mogę prosić o przekierowanie połączeń przychodzących na inny numer telefonu?
- Oczywiście, w tym celu muszę Pana zweryfikować. Proszę o podanie numeru telefonu oraz numeru PESEL.
- Yyy… numer to 599 996 996, PESEL zaraz... 60989388402 - odczytał zapisane w notatkach ciągi cyfr.
- Dobrze… wygląda na to, że wszystko się zgadza. Na jaki numer mam wykonać przekierowanie połączeń?
- Na 666 999 666...
- Przekierowanie jest aktywne. W czym jeszcze mogę pomóc?
Niewiarygodne - pomyślał Adrian. Właśnie zdał sobe sprawę z tego, że poprzez zwykłe zalogowanie się do nieznanej sieci wi-fi, Janusz nie tylko umożliwił komuś dostęp do wrażliwych informacji o sobie, ale poskutkowało to także przejęciem jego telefonu komórkowego (a przynajmniej możliwością odbierania połączeń telefonicznych w jego imieniu).
Jestem prawdziwym hakerem...
...pomyślał Adrian, nie do końca zdając sobie sprawę z tego, że bardziej niż hakerem był w tym momencie przestępcą. W sposób nieuprawniony uzyskał dostęp do skrzynki pocztowej Janusza. Następnie wykorzystał znalezione informacje do uruchomienia na infolinii sieci komórkowej zlecenia przekierowania numeru telefonu. Mógł w tym momencie odbierać połączenia kierowane do swojej ofiary.
Ciekawe, co by było, gdybym posunął się o krok dalej? Co by było, gdybym spróbował przejąć jego konto bankowe?
- pomyślał Adrian czując rosnącą ekscytację sytuacją, w której się obecnie znajdował.
Adrian otworzył sklep z aplikacjami na swoim smartfonie. Znalazł tam aplikację Super-Mega-Banku, w którym Janusz miał konto. Wiedział o tym, ponieważ na skrzynce pocztowej Janusza znalazł comiesięczne wyciągi.
Po włączeniu aplikacji pojawił się komunikat: "Podaj numer PESEL”.
Hmm.. widziałem go na umowie rat za lodówkę.
Adrian przepisał skrupulatnie wszystkie cyfry.
Następny komunikat: “Podaj nazwisko panieńskie matki”.
To też widziałem! Przecież to nazwisko było na skanie dokumentu, który Janusz wysyłał przez internet dwa lata temu do jakiejś kancelarii prawnej.
I kolejny: “Zaczekaj na połączenie z banku, podczas którego zostanie Ci podyktowanych 6 cyfr do aktywacji aplikacji.” - Adrian aż podskoczył z ekscytacji, gdy jego telefon zawibrował i po odebraniu usłyszał 6-cyfrowy kod.
Początkujący “haker” skrupulatnie przepisał wszystkie cyfry. Kliknął przycisk “Zakończ”, a system poprosił go o zdefiniowanie kodu PIN, za pomocą którego będzie mógł autoryzować przelewy. Podał więc ciąg “111111”, kończąc aktywację aplikacji, i nagle jego oczom ukazało się saldo konta Janusza.
To było takie proste… - pomyślał.
Czy to realny scenariusz?
Na wstępie chciałem Wam powiedzieć, że analogiczna historia, jeszcze kilka miesięcy temu, mogła wydarzyć się naprawdę. Branżowe portale dotyczące bezpieczeństwa rozpisywały się o historii klienta jednego z banków, który w bardzo podobny sposób stracił pieniądze z konta. Obecnie zarówno banki, jak i operatorzy komórkowi uszczelnili procedury i powyższy scenariusz (przynajmniej na mój stan wiedzy) nie jest możliwy do zrealizowania. Ważniejsze natomiast jest to, aby pokazać Wam, jak (z pozoru błahy) dostęp do Waszej skrzynki pocztowej może być bolesny w skutkach. Często, kiedy czytamy o włamaniach w internecie, wydaje nam się, że nas to nie dotyczy. Powyższą historią chciałem Wam pokazać, że nie należy bagatelizować podstawowych zasad bezpieczeństwa.
Jak pisałem we wcześniejszych artykułach, Wasza poczta może zawierać wiele wrażliwych informacji, których dostanie się w ręce osoby mającej niecne zamiary, może mieć naprawdę poważne konsekwencje.
Co się wydarzyło?
Cała historia zaczęła się dużo wcześniej, gdy Janusz nierozważnie podłączył swój komputer do nieznanej sieci wi-fi oraz zainstalował certyfikat bezpieczeństwa, o co został poproszony. Wykonywał on polecenia, nie do końca wiedząc jakie są tego konsekwencje. To był jego pierwszy błąd. Pamiętajcie, że jeżeli zostaliście poproszeni o wykonanie jakichś działań w internecie, a nie jesteście pewni na czym one polegają, to lepiej wcześniej skonsultować to z kimś, kto ma większą wiedzę lub po prostu ich nie wykonywać.
Powyższa sytuacja sprawiła, że haker uzyskał dostęp do skrzynki pocztowej Janusza. Jak już pisałem wcześniej, przez lata na skrzynkach mailowych zbiera się ogromna ilość informacji na Wasz temat. Często nie zdajemy sobie sprawy z tego, jak wrażliwe są to informacje i w jaki sposób można je wykorzystać, gdy są one zebrane w jednym miejscu. W przytoczonym przeze mnie przykładzie, haker Adrian wykorzystał niedoskonałe procedury weryfikacji u operatora sieci komórkowej i, wykorzystując dane osobowe Janusza, przekierował na swój telefon wszystkie połączenia przychodzące na jego numer. W kolejnym kroku, za pomocą tego kanału komunikacji bank dostarczył mu jednorazowy kod do aktywacji aplikacji bankowej na telefonie, a tu już pozwoliło na dostęp do środków Janusza. Daje do myślenia, prawda?
Czy mam zamknąć konto bankowe?
Zarówno banki, jak i telekomy na bieżąco śledzą pojawiające się scenariusze zagrożeń i bardzo szybko na nie reagują, uszczelniając swoje procedury. Mimo to, nie możemy zapomnieć, że duża część odpowiedzialności za bezpieczeństwo naszych danych leży tylko i wyłącznie po naszej stronie. Dlatego też jeszcze raz apeluję o rozwagę i dbanie o to, aby:
- stosować długie i unikalne hasła do każdego serwisu internetowego,
- tam gdzie się da, włączać dwuskładnikowe uwierzytelnianie,
- nie korzystać z nieznanych nam sieci bezprzewodowych (czasem lepiej zainwestować w lepszy pakiet internetu u swojego operatora),
- jeśli nie ma możliwości skorzystania z transmisji sieci komórkowej, polecam zastosować VPN.
Na co dzień zajmujący się bezpieczeństwem IT w jednej z polskich instytucji finansowych. Entuzjasta nowych technologii. Fan nadgryzionego jabłuszka. Wielbiciel alternatywnych metod parzenia kawy.