– Świat się zmienia i zdecydowanie idziemy w stronę agenta-informatyka, ale tych na motorach i ze spadochronami wciąż chcemy – mówi Daniel Kalinka, specjalista ds. cyberbezpieczeństwa w CERT Polska.
To już plaga! Podejrzane SMS od rzekomego kuriera, sensacyjne nagłówki na tablicy Facebooka, dziwne wiadomości w komunikatorach od "znajomych". Sposobów na wyłudzanie danych i pieniędzy jest coraz więcej. Kreatywność cyberprzestępców rośnie, ale w ślad za nimi idą biali hakerzy i specjaliści takich instytucji jak CERT Polska. Z jednym z nich rozmawiamy o pladze cyberataków, takich, które paraliżują państwa, i takich, które plądrują gospodarstwa domowe. Nasz rozmówca to współczesny agent na miarę Jamesa Bonda, ale bardziej niż szybkie samochody i piękne kobiety, kojarzą się z nim szybkie komputery i piękne umysły.
Rozmowa z Danielem Kalinką, specjalistą ds. cyberbezpieczeństwa w CERT Polska
Barbara Erling: Dodzwonimy się na numer 8080?
Daniel Kalinka: Wiem, do czego pani pije.
Do wpadki ministra cyfryzacji, który na antenie radia RMF FM stwierdził, że na smsowy numer 8080 Cert Polska, na który zgłaszamy podejrzane wiadomości, możemy zadzwonić.
Takich wpadek to sobie życzę. Wypowiedź premiera spowodowała znaczny wzrost liczby SMS-ów ze zgłoszeniami na ten numer. W całej Polsce wzrosła świadomość tego, że należy informować o podejrzanych wiadomościach.
Skoro wiemy, że na 8080 nie dodzwonimy się, jak w takim razie takie wiadomości zgłaszać?
Jeśli dostaniemy podejrzany SMS najlepiej go albo skopiować i wysłać na nasz znany już numer 8080, albo skorzystać z opcji "prześlij dalej". W zależności od telefonu, ale najczęściej w prawym górnym rogu są trzy kropeczki, po naciśnięciu których mamy opcję "prześlij dalej". W ten sposób dostajemy surową wiadomość wraz z zakodowanymi znakami i oryginalnym linkiem.
A dlaczego wysłanie zrzutu ekranu wiadomości nie jest dobrym pomysłem?
Bo musimy taką wiadomość przepisać ręcznie, a te bardzo często mają zakodowane znaki, np. inny kod dla litery "A", bądź dla litery "I", które gołym okiem są nie do wychwycenia. To jest tzw. typosquatting, czyli celowe tworzenie domen o nazwach zbliżonych już do istniejących. Podmienia się jedną lub kilka liter, których zmiana na pierwszy rzut oka jest niezauważalny. Np. zamiast spidersweb.pl może być spiderzweb.pl lub spidersweb.com. Oszuści zwykle pod takim adresem kopiują cały układ strony, aby przypominał tę oryginalną i wykorzystują do wyłudzenia danych, szerzenia dezinformacji lub namawiania do fałszywych inwestycji. Dlatego jeśli nie dostaniemy skopiowanej wiadomości, musimy analizować wiele różnych form danego linka.
A to wydłuża czas reakcji…
Dokładnie! Jeżeli wiadomość jest do nas przesłana poprawnie, czyli albo skopiowana albo przeforwardowana, my obrabiamy ją właściwie automatycznie. Takie domeny bardzo szybko trafiają na listę ostrzeżeń. Dodatkowo apelujemy, aby podejrzane wiadomości przesyłać niezwłocznie, jak do nas przyjdą. Im szybciej do nas dotrą, tym szybciej dostęp do tych stron zablokujemy, tym mniej potencjalnych ofiar oszustwa.
Jaka jest skala cyberoszustw w Polsce?
Od początku roku przekroczyliśmy 100 tysięcy zgłoszonych wiadomości na numer 8080. W ubiegłym roku zablokowaliśmy ponad 20 milionów wejść na strony z listy.
I wcale nie jest tak, że ktoś jest bardziej podatny, bo jest mniej techniczny. Wystarczy chwila nieuwagi. Na przykład dostaliśmy wiadomość o błędnym adresie paczki, a rzeczywiście na jakąś czekamy i nie zorientowaliśmy się, że to może być oszustwo, więc klikamy w link i wchodzimy na stronę, gdzie podajemy nasze dane. Albo jesteśmy zmęczeni, bo dziecko nie dało spać w nocy. Są różne zdarzenia losowe, które mogą się przyczynić, że złapiemy się na oszustwo.
Czy samo wejście w link równa się zagrożeniu? Pewnie wiele osób kojarzy wirusowe linki na Facebooku, po których kliknięciu na tablicy pojawiał się link zatytułowany: "Nie uwierzysz, gdzie trafiło twoje zdjęcie" czy "Śmiertelny wypadek w twojej miejscowości. Sprawdź, kto zginął w makabrycznym wypadku".
Samo kliknięcie w link nie infekuje telefonu. W przypadku tych linków z Facebooka, trzeba było zezwolić na uprawnienia do publikowania w naszym imieniu dla danej strony czy aplikacji. Najczęściej taki link prowadził do podstrony, na której trzeba było podać dane do logowania, albo zaznaczyć, że wyrażam zgodę. Na co? Nikt nie wie, bo przecież my użytkownicy nie czytamy regulaminów.
Ale mam dobrą wiadomość! Oszuści też wszystkiego nie sprawdzają, dlatego da się ich złapać i zamknąć do więzienia, korzystając z ich własnych trików.
Jak być pewnym, że strona banku, na którą wchodzimy jest rzeczywiście stroną naszego banku? Kłódka przy adresie wystarczy?
Nie sugerowałbym się kłódką, bo praktycznie dla każdej strony, także oszukańczej, można zainstalować darmowy certyfikat SSL, po którym pojawi się zielona kłódka. Captcha również pojawia się na fałszywych stronach, aby zmylić naszą czujność. Sprawcy będą wykorzystywać wiele różnych mechanizmów, które użytkownikom mogą kojarzyć się z bezpieczeństwem w sieci.
Jakie jest w takim razie rozwiązanie? Znać nazwę strony na pamięć?
Lepiej na własnej pamięci nie bazować. Z resztą możemy pomylić się, wpisując nazwę.
To co robić?
Najlepiej korzystać z menedżera haseł i tam mieć zapisane loginy i hasła. Taki menadżer nie podpowie hasła, jeżeli wykryje, że nie jest na prawdziwej stronie. Ale to jest rozwiązanie w świecie idealnym.
A w nieidealnym?
Można użyć Google’a, ale jest jedna bardzo ważna rzecz: nie klikamy w reklamę z Google. Zwykle pierwszy, drugi wynik, jeżeli nie mamy wtyczek blokujących reklamy, to reklamy oznaczone "sponsorowane" i w te nie klikamy. Jeśli znajdziemy odpowiedni link, sprawdzamy czy nazwa strony się zgadza. Raz zweryfikowany poprawny link najlepiej zapisać w zakładce.
Dobrze jest też posiadać uwierzytelniania dwuskładnikowego wszędzie tam, gdzie jest to możliwe. Najlepiej w aplikacji do dwuskładnikowego uwierzytelniania, bo pod systemy GSM, czyli nasz numer, da się podszywać.
Skąd taki oszust może pozyskać mój numer?
Możliwości są nieograniczone. Nasze numery są na zamawianych paczkach, wypływają w wyciekach danych, a nawet sami podajemy je np. na aukcjach na OLX-ie czy portalach społecznościowych.
A jak mamy sprzedać samochód nie podając numeru telefonu?
Każda taka strona: OLX, Allegro czy Vinted mają wbudowany czat, dlatego nie musimy podawać numeru telefonu, żeby skontaktować się z potencjalnym nabywcą. W treści ogłoszenia można napisać: "prośba o kontakt poprzez czat:. Na wielu aukcjach widzę: imię, nazwisko, numer telefonu, lokalizacja (miasto i dzielnica). Na bazie tych informacji przestępca może działać do woli.
W kwestii cyberzagrożeń można mówić o trendach albo sezonowości?
Oczywiście widzimy sezonowość. Jak jest sezon grypowy, oszuści próbują oszukiwać na recepty, jak zbliżają się święta, nabierają na zagubioną przesyłkę. Teraz zbliża się okres rozliczania PIT-u, więc oszuści będą wysyłać smsy o rzekomym zwrocie podatku.
Liczycie, że ogłoszony ostatnio teleinformatyczny system do wymiany informacji o fałszywych wiadomościach między CERT i firmami telekomunikacyjnymi przełamie tę sezonowość?
To nasz cel. System stworzony w związku z ustawą o zwalczaniu nadużyć w komunikacji elektronicznej ochroni użytkowników urządzeń mobilnych przed smishingiem, czyli SMS-ami od firm kurierskich o dopłatach do przesyłki, SMS-ami z policji o nieuregulowanym mandacie czy SMS-ami od dostawcy energii o braku w płatnościach i możliwym odłączeniu prądu. Wówczas zespół CERT w NASK poinformuje policję i UKE.
Wymiana będzie odbywać się między przedsiębiorcami telekomunikacyjnymi a CSIRT NASK, policją oraz prezesem UKE.
Jak to będzie wyglądało w praktyce?
Zbieramy przykłady od obywateli, a następnie tworzymy wzorce wiadomości, które z góry będą blokowane. Zdajemy sobie sprawę, że przestępcy będą przed nami uciekać, tworząc nowe wzory wiadomości, ale nasz zespół w NASK działa 24 godziny na dobę przez 7 dni w tygodniu. Pytanie czy sprawcy to wytrzymają, czy poddadzą się i znajdą sobie inny kraj.
Jest to możliwe?
Jak najbardziej. Oszuści robią kampanie SMS-owe, które naraz wysyłają do kilku milionów osób. Jeśli z tego nawet kilka procent złapie się na tę pułapkę, już są na plusie. Ale jak się okaże, że taka kampania zamiast trafić do tych kilku milionów, trafi do kilkudziesięciu osób i z tych kilkudziesięciu osób niewiele się nabierze, zobaczą, że wkład pracy, żeby zdobyć pieniądze, jest niewspółmiernie duży w porównaniu do efektu, który osiągają. Jak zobaczą, że więcej mogą wyciągnąć na przykład w innym europejskim kraju, to się do takiego przerzucą.
Co możemy zrobić, żeby nie paść łupem oszustów, żeby nasze dane były bezpieczne?
Nie skupiał się na tym, czy nasze dane są bezpieczne czy nie, ponieważ bezpieczeństwo to nie jest stan tylko proces. Nasze dane prędzej czy później wyciekną albo już wyciekły.
Co zrobić jak mamy podejrzenie, że wyciekły?
W pierwszej kolejności warto odwiedzić stronę bezpiecznedane.gov.pl. Tam obecnie można sprawdzić, czy nasze dane zostały upublicznione w wycieku systemu laboratoriów diagnostycznych ALAB. Jeśli nie pojawi się tam informacja o tym, że nasze dane wyciekły w tej akcji hakerów nie oznacza, że w innych wyciekach te dane się nie pojawiły. Bezpiecznedane.gov.pl sprawdza tylko konkretne wycieki, których danymi zasililiśmy serwis.
A jest takie miejsce gdzie można kompleksowo to sprawdzić?
Jest taki serwis jak Have I Been Pwned, gdzie można sprawdzić, czy nasze dane wyciekły w dużych wyciekach któregoś z portali społecznościowych albo którejś z międzynarodowych platform zakupowych. Tam można bardziej kompleksowo sprawdzić czy informacje o nas, o naszym adresie e-mail, numerze telefonu pojawiły się w wycieku.
Warto pamiętać, by nie podawać swoich danych tam, gdzie nie jest to konieczne. Warto od czasu do czasu postawić się na miejscu hakera i postarać się znaleźć w Internecie na swój temat jak najwięcej informacji. I potem usunąć wybrane dane z miejsc, w których nie chcielibyśmy, aby były dostępne.
Polska, jest na światowym topie, jeśli chodzi o bezpieczeństwo obywateli w sieci. Mamy jednych z najlepszych badaczy cyberbezpieczeństwa, etycznych hakerów, pentesterów (specjalistów od cyber zagrożeń – przyp. red.). Nasz kraj jest bardzo rozwinięto cyfrowo, dzisiaj mnóstwo spraw możemy załatwić online. W przypadku incydentu teleinformatycznego możemy praktycznie niezwłocznie zablokować nie tylko kartę płatniczą, ale także dowód osobisty, a teraz i numer PESEL.
Dlaczego PESEL jest wartościowy dla oszustów?
PESEL to jedyna niezmienna dana w naszym życiu. Wszystkie pozostałe dane możemy zmienić. Numer dowodu osobistego, paszportu, numer telefonu.
A imię i nazwisko?
W teorii można to zrobić, ale tak daleko bym nie szedł.
Trudno też zmienić adres…
Adres zamieszczania dla takiego typowego przestępcy w cybersieci służy tylko jako kolejne dane, na bazie których może coś potwierdzić, albo szukać kolejnych informacji. W dzisiejszych czasach coraz więcej przestępców przechodzi w cyberprzestrzeń. Zwiększa im to szanse na pozostanie nieuchwytnym. Popełnianie przestępstw w świecie realnym to większe ryzyko zostania schwytanym przez służby.
A jak my możemy nie dać się złapać? Ma Pan jakiś sekretny trik?
Korzystanie z jednorazowych kart płatniczych albo z kart wirtualnych to dobra praktyka. Są dostępne zarówno w polskich, jak i zagranicznych bankach. Takich wirtualnych kart używam do robienia zakupów online, zwłaszcza w sklepach czy platformach, z których korzystam pierwszy raz. Najlepiej jeśli karta jest założona w innym banku, niż nasz główny, na który otrzymujemy wynagrodzenie za pracę. Dla przykładu, jeśli robimy zakupy za 200 zł, przesyłamy na taką kartę 200 zł i nią opłacamy zamówienie. W ten sposób nawet jeśli ktoś pozna dane tej karty płatniczej, nie będzie miał czego ukraść, a nasze konto, na które co miesiąc dostajemy wypłatę będzie bezpieczne.
Do wielu kradzieży dochodzi za sprawą baz danych porzuconych po zamknięciu biznesu. Łatwo to sprawdzić, jeśli korzysta się z AliExpress bądź Amazona. Wystarczy wejść w historię zakupów i zobaczyć, ile z tych sklepów, w których robiliśmy zakupy, jest jeszcze aktywnych. Zwykle większość po kilku latach działalności porzuca działalność, a w raz z nimi bazy z naszymi danymi. Do takich baz są zazwyczaj standardowe loginy i hasła typu admin:admin admin:password root:root, więc hakerom łatwo się do nich włamać. A tam są nasze numery kont bankowych, nazwy banków. Po zdobyciu takich danych oszuści mogą lepiej dopracować atak socjotechniczny.
W jaki sposób?
W taki, że dzwoni do nas ktoś podający się za pracownika banku, informując, że ktoś zaciąga pożyczkę na nasze dane. Łatwiej nam będzie uwierzyć tej osobie, jeśli poda nam nazwę naszego banku i numer konta. Ale jeśli korzystamy za każdym razem z kart jednorazowych, taki oszust ma dużo mniejsze szanse. Warto pamiętać o tym, by po odebraniu takiego telefonu, w ogóle nie podejmować rozmów z oszustami.
Dlaczego?
Jeżeli przy atakach socjotechnicznych ktoś do nas dzwoni, nie odpowiadamy na żadne pytania ani twierdząco, ani przecząco, bo negacja także jest informacją.
Jakiś przykład?
W Polsce statystycznie sprawcy najczęściej podszywają się pod kilka największych banków. Może być sytuacja, że przy wycieku danych wypłynęły informacje wszystkich członków rodziny czy bliskich. Jeśli ktoś zadzwoni z informacją, że była próba wzięcia kredytu w banku, a pani powie, że nie ma tam konta, oszust mówi przepraszam, pomyłka i rozłącza się. Zadzwoni do partnera, którego rozpoznali po tych danych i wtedy ma do wyboru już tylko parę innych banków. Najpewniej wybierze nazwę drugiego największego banku w Polsce albo ten, który jako kolejny jest najbardziej prawdopodobny bazując na informacjach, które wyciekły. "Dzwonię z banku B, z działu bezpieczeństwa, jest brany na pana kredyt" – mówi oszust, a pani partner się na to łapie i traci pieniądze.
A co jeśli skłamiemy?
To też jest w pewnym sensie rozwiązanie, ale sprawcy przy atakach socjotechnicznych, są przynajmniej tak samo, a nawet lepiej szkoleni z prowadzenia rozmów niż pracownicy call center. Znają sposoby na rozpoznawanie kłamstwa. Jednak nawet jeśli wykryje kłamstwo, dowie się też, że jest pani świadoma zagrożenia. Dla pani duży plus, bo oszust zrezygnuje i poszuka tych nisko wiszących owoców.
Nisko wiszących owoców?
W hackowaniu ważną zasadą jest zaczynanie od nisko wiszących owoców, czyli łatwych celów. Dlatego też phishing jest tak popularny. Oszust podszywający się pod pracownika banku, dość szybko nauczy się, która ofiara jest bardziej podatna na atak socjotechniczny albo ma zły dzień. Dlatego w trakcie takich rozmów będzie "walczył do upadłego" i też zaznaczy by ewentualnie zadzwonić kolejny raz. Jeżeli oszust dzwoni do osoby, która da mu do zrozumienia, że zna jego zamiary, od razu się rozłączy i skreśli ten kontakt ze swojej listy. Podobnie jeżeli ktoś za każdym razem nie odbierze od niego telefonu.
Ostatnio na jednej z grup Facebookowych o nazwie Biedawka zaobserwowałam szukanie takich nisko wiszących owoców. Trik polega na tym, że osoba pisze "Kochani, żona jest niezadowolona, mówi, że za mało zarabiam. Co mam zrobić, żeby zarabiać więcej?". Następnie ktoś inny odpowiada na ten post, że ostatnio zarobił kilka tysięcy grając w grę i wrzuca link do strony z tą grą.
Duże szanse, że jest to oszustwo. Takie strony bazują bardzo często na płatnościach startowych. Trzeba zapłacić niewielką kwotę, żeby zacząć grać. Oszuści w ten sposób zbierają pieniądze, my oczywiście nic nie wygrywamy, a oni po tygodniu zamykają stronę.
Lista licencjonowanych dostawców gier hazardowych jest udostępniona przez Ministerstwo Finansów. Tam można sprawdzić, czy taka gra jest legalna czy to zwykłe oszustwo.
Na tej samej grupie często ktoś prosi o Blika, bo nie ma na chleb. Możemy takiemu potrzebującemu wysłać kilka złotych?
Blik jest jednym ze sposobów prania pieniędzy przez oszustów, więc jeśli chce pani być słupem w praniu pieniędzy, to jak najbardziej. Dodatkowo w ten sposób wyłudzane są nasze dane: numer telefonu, imię i nazwisko, adres.
Rozumiem, że niektórzy poczuwają się do pomocy, ale niestety w większości przypadków trzeba wychodzić z założenia, że tego typu akcje to zwykłe oszustwo. W przypadku chęci pomocy online, moim zdaniem lepszym rozwiązaniem jest pomaganie za pośrednictwem sprawdzonych i legalnych zbiórek internetowych czy zarejestrowanych fundacji.
A tacy oszuści działają w grupach tylko dlatego, że Facebook jest ogromny i liczą, że przy takiej skali łatwiej im będzie oszukiwać.
A jeśli widzimy potencjalne oszustwo w mediach społecznościowych zgłaszamy do CERT-u?
Zawsze warto niezwłocznie najpierw zgłosić to oszustwo na danym portalu, by jego administracja usunęła te treści jak najszybciej. Potem takie oszustwa można zgłosić do nas. Jeżeli jest to jawne przestępstw, należy to zgłosić na policję czy Centralnego Biura Zwalczania Cyberprzestępczości. W przypadku treści z udziałem nieletnich należy zgłaszać się do Dyżurnetu. A oszustwa związane z rynkami finansowymi można zgłaszać do CSIRT KNF. Każde zgłoszenie użytkownika czy strony jako oszustwo niesie bardzo dużą wartość, ponieważ algorytmy w różnych mediach społecznościowych działają tak, że jeżeli jedna osoba zgłosi jakąś stronę czy użytkownika, może nie być w ogóle reakcji, ale jeżeli nagle 15 użytkowników zgłosi danego użytkownika lub stronę jako oszusta, platforma zadziała automatycznie i zablokuje.
CERT Polska współpracuje z mediami społecznościowymi?
Robimy maksimum w ramach prawa. Każde media społecznościowe mają swój zespół administratorów i większość problemów rozwiązują sami. Bardzo dobrze, że Polska jest o krok od wdrożenia aktu o usługach cyfrowych (DSA), który znacząco usprawni naszą komunikację ze społecznościówkami.
Chociaż relacje ze społecznościówkami nie zawsze układają się wzorowo, współpraca z międzynarodowymi organizacjami zajmującymi się ściganiem cyberprzestępców w Państwa wykonaniu wychodzi lepiej.
Bez tej współpracy byłoby trudno działać, bo hakerzy często nie ograniczają swoich działań do jednego państwa. W zaawansowanych atakach ta współpraca jest kluczowa. Szczególnie jeśli mamy do czynienia z wyspecjalizowanym zespołem, którego działania są wymierzone w infrastrukturę krytyczną czy w polityków. Cel ich działania to zupełnie inny poziom niż oszustwa, jak phishing czy podobne jemu, o których rozmawialiśmy na początku.
Jak działają takie grupy?
Działają w sposób bardziej wyrafinowany, za tymi grupami najczęściej stoją po prostu służby innych państw. W ubiegłym roku CERT Polska pomógł zdemaskować rosyjską grupę szpiegów. W akcję zaangażowani byliśmy wraz z najlepszymi jednostkami zajmującymi się cyberbezpieczeństwem na świecie, jak Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego czy FBI.
Czy przyszły James Bond zamiast skakać ze spadochronem, będzie siedział przed komputerem?
James Bond już siedzi przed komputerem. Bardzo wielu świetnych agentów, ma większą moc sprawczą, korzystając z komputera do wyszukiwania informacji. Bardzo często wykorzystywany jest do tego OSINT, czyli biały wywiad, bo wiele informacji o potencjalnych sprawcach można znaleźć w internecie. Jest przykład, gdzie przestępca z Ukrainy chciał wykorzystać wojnę, żeby uciec z kraju. Choć dbał o bezpieczeństwo, nie rzucał się w oczy, jego partnerka relacjonowała w mediach społecznościowych całą ich podróż. Dzięki temu funkcjonariusze zajmujący się sprawą, wiedzieli doskonale, jakim autem jedzie, jaką trasą, więc policzyli kiedy zacznie kończyć się mu paliwo i przyjechali na najbliższą stację paliw. Bardzo łatwa akcja dzięki informacjom dostępnym w sieci dla każdego.
Ale James Bond zajmował się rozpracowaniem innych agentów, takich pewnie trudniej rozpracować używając białego wywiadu.
A tu panią zaskoczę, bo nawet w kontekście identyfikowania prawdziwych szpiegów biały wywiad się sprawdza. Tak było w przypadku ośrodka szkoleniowego dla wybitnych agentów jednego z państw. Obce służby chciały się dowiedzieć, kogo tam szkolą, ale informacja była ściśle tajna.
W identyfikacji, kto został zrekrutowany przydała się aplikacja dla biegaczy, w której grupa osób tego samego dnia, rano i wieczorem chwaliła się osiągami, biegając wokół budynku, który wcześniej został zidentyfikowany jako miejsce szkolenia. I tak bardzo szybko udało się ustalić, kto tworzy tę grupkę biegaczy.
To były osoby, które teoretycznie powinny mieć świadomość ryzyk związanych z upublicznieniem informacji o sobie, ale często właśnie takie informacje z pozoru nieistotne, które nam się wydają błahe, mogą de facto w połączeniu z innymi elementami stworzyć pełen obraz układanki.
Czyli agenci zamiast siedzieć godzinami w krzakach z lornetką, żeby ustalić tożsamość weszli na aplikację dla biegaczy i tak rozwikłali tę zagadkę? Mało to romantyczne.
Nie ma co się narażać, kiedy można w ciepłym biurze skorzystać z danych, które ktoś sam dobrowolnie udostępnia i jednym kliknięciem przechwycić potrzebne nam informacje. Świat się zmienia i zdecydowanie idziemy w stronę agenta-informatyka, ale tych na motorach i ze spadochronami wciąż chcemy.
