Jak haker zdobywa pieniądze, nie włamując się do banku?

cyberataki
DDoS
social media
Krzysztof Surgut
06.07.2015 Krzysztof Surgut

Nie każdy cyberatak ma na celu włamanie się do mocno strzeżonego systemu bankowego i dokonanie kradzieży elektronicznych pieniędzy. Są takie scenariusze działań cyberprzestępców, których efektem końcowym jest zdobycie pieniędzy – jednak sam scenariusz ataku nie dotyczy włamania do elektronicznego skarbca banku, lecz…


Włamanie na konto … Twitter


Poniższa historia pokazuje, że hakerzy opanowali do perfekcji mechanizmy rządzące nie tylko sieciami komputerowymi, ale także mediami społecznościowymi oraz rynkami finansów. Bohaterem tej opowieści, o efekcie cyberataku, jest serwis Twitter.

Zastanawiasz się,

Jak można zdobyć pieniądze włamując się do Twitter’a?

Przecież Twitter to serwis, gdzie umieszcza się krótkie wpisy. Nikt w tym serwisie nie obraca pieniędzmi, za nic nikomu nie płaci, nie przelewa gotówki, nie dokonuje żadnych transakcji. Gdzie jest haczyk?

Twitter może dysponować niezwykłą “siłą rażenia” w zakresie medialnym. Historia pewnego cyberataku jest nieskomplikowana. Włamywacze przejęli konto agencji prasowej Associated Press, gdzie umieścili news z informacją o wybuchach w Białym Domu – wraz ze wzmianką o tym, że prezydent Obama jest ranny.

News, lotem błyskawicy, został przekazany przez kolejne agencje – na co zareagowała natychmiast nowojorska giełda. Wskaźnik Dow Jones “obsłunął się” o 143 punkty, pomimo tego że agencja AP zamieściła bardzo szybko sprostowanie, o włamaniu i nieautoryzowanym wpisie.

Ten prosty przykład pokazuje, że przejęcie kontroli nad “medialnym kontem” na platformie Twitter’a może mieć wymierne konsekwencje na rynkach finansowych.


Przecież Twitter ma ochronę!


Czytając powyższe fakty, w pierwszym odruchu wydaje się, że to przede wszystkim zmartwienie Twitter’a, aby chronić konta przed nieautoryzowanym dostępem. Niestety, analiza przypadków “niechcianych publikacji” na platformach społecznościowych udowodniła, że często problem krył się … w sieciach komputerowych przedsiębiorców. Skąd taki wniosek?

Scenariusz umieszczenia fałszywej wiadomości bywa bardzo prosty. Wystarczyło włamać się do sieci komputerowej firmy, dostać się do komputera osoby, która wpisuje komunikaty na platformie społecznościowej i w ten sposób opublikować dowolną informację. Wiele analiz sposobu umieszczania nieprawdziwych news’ów wykazywały, że umieszczenie fałszywej informacji odbyło się z firmowego komputera, który zalogował się poprawnymi danymi do platformy społecznościowej. W takim przypadku, żadne zabezpieczenie platform społecznościowych nie jest w stanie ochronić przed publikacją fałszywych wiadomości.

Niestety, wiele osób korzysta z udogodnień przeglądarek i pozwala na zapisanie loginu oraz hasła w przeglądarce internetowej. Wówczas wystarczy, że haker włamie się do sieci komputerowej, przejmie odpowiedni komputer, uruchomi na tym komputerze przeglądarkę i wpisze adres portalu społecznościowego – a specjalny skrypt przeglądarki zaloguje go automatycznie do takiej platformy społecznościowej (wykorzysta prawdziwe dane do logowania i hasło zapisane przez właściciela komputera). Umieszczenie fałszywego news’a jest już dziecinnie proste.

PAMIĘTAJ!

Nie pozwalaj na automatyczne logowanie się do platform społecznościowych z Twojej przeglądarki !


Scenariusz w polskim wydaniu


A teraz wyobraźmy sobie, że podobne zdarzenie ma miejsce w przypadku którejś z polskich spółek giełdowych. Haker włamuje się do sieci komputerowej przedsiębiorstwa, przejmuje odpowiedni komputer w firmowej sieci (np. pracownika odpowiedzialnego za PR), dostaje się do firmowego konta na portalu społecznościowym i wystawia tam informację o podpisaniu bardzo intratnego kontraktu.

W internecie takie informacje natychmiast się rozprzestrzeniają, a osoby najbardziej zainteresowane, np. zarząd spółki, dowiadują się o tym najczęściej na samym końcu – po wielu godzinach. Samo przygotowanie, przez spółkę, oficjalnej notki prasowej informującej, że to fałszywa informacja, zazwyczaj trwa kolejne parę godzin – a czas rozesłania tej notatki po różnych serwisach zajmuje kolejne godziny, a nawet dni.

Gdzie korzyść hakera z włamania do sieci komputerowej firmy i publikacji nieprawdziwej informacji? Wraz z ukazaniem się fałszywego news’a, haker ustawia odpowiednie zlecenie kupna akcji spółki giełdowej w systemie transakcyjnym biura maklerskiego. Przy odrobinie szczęścia, włamywacz komputerowy ma szansę zabrać się “kursową windą giełdową” – wystarczy wyczekać na reakcję rynku na fałszywego news’a – a potem sprzedać z zyskiem zakupione akcje po wyższej cenie.

Udowodnienie takiego scenariusza manipulacji przy kursie akcji danej spółki – konkretnej osobie –  bywa bardzo trudne.

Poza tym, nie zawsze haker musi umieszczać pozytywnie brzmiącą, fałszywą informację. Giełda papierów wartościowych pozwala zarabiać na spadkach kursu akcji. Tym samym „złe informacje” – z oficjalnego źródła spółki – mogą spowodować paniczną wyprzedaż takiego waloru giełdowego. Zatrzymanie takiej wyprzedaży może trwać nawet parę dni i spowodować spadki kursu akcji nawet o paręnaście procent. Zmiana kursu poniżej pewnej wartości może uruchomić lawinę zleceń sprzedaży akcji, z powodu zadziałania automatycznych, komputerowych systemów transakcyjnych (tzw. stop loss). Wtedy „obsunięcie się” kursu akcji może nie być chwilowym incydentem, ale zamienić się w krótkotrwały trend.

Pewnie ktoś powie, że w Polsce news’y na platformach społecznościowych nie są takie nośne jak dla spółek amerykańskich.

A co w przypadku, gdy fałszywa wiadomość e-mail zostanie wysłana do serwisów internetowych z konta pocztowego biura prasowego firmy lub konta e-mail członka zarządu? Jak to zrobić?

Wystarczy włamać się do sieci komputerowej firmy, podszyć się pod odpowiednie konto pocztowe, przygotować odpowiednią notatkę prasową i wyekspediować ją do wszystkich mediów biznesowych. Co ciekawe, wiele programów pocztowych pozwala na wysyłkę e-maila z opóźnieniem. Może się wydarzyć, że np. nieświadomy prezes zarządu spółki włączy komputer i spowoduje automatyczne wysłanie oczekującej, fałszywej wiadomości ze swojego konta pocztowego. Reakcja drobnych inwestorów giełdowych – gwarantowana! 

W dodatku prezes takiej giełdowej spółki może usłyszeć zarzut o działanie na niekorzyść spółki giełdowej lub rozsyłanie nieprawdziwych wiadomości, aby sztucznie zawyżyć kurs akcji. Jak taki prezes zarządu ma udowodnić, że nie przygotował fałszywej informacji własnoręcznie oraz że jest ofiarą hakera? Co przedstawi jako dowód swojej niewinności pracownikom KNF czy prokuratorowi?

A przecież, w przypadku programów poczty elektronicznej, większość osób nie stosuje wpisywania hasła dla wysyłki wiadomości e-mail. Tym samym włamanie się hakera do komputera, np. prezesa spółki, pozwala mu na uruchomienie programu do wysyłania wiadomości e-mail i wysłanie dowolnej wiadomości z realnego konta poczty elektronicznej.

PAMIĘTAJ!

Szczególnie chroń dostęp do kanałów komunikacji elektronicznej, które używane są wysyłania ważnych informacji dotyczących przedsiębiorstwa !

Wszelkie ułatwienia – ułatwiają także pracę hakerom!


A to nie jedyny scenariusz na hakerskie “zarabianie pieniędzy”, bez potrzeby włamywania się do banku internetowego.


SKYPE & FACEBOOK


Gdybym zapytać w jaki sposób można wzbogacić się przejmując konto na SKYPE lub FACEBOOK’u to większość uśmiechnęłaby się tylko.

Jednak istnieje scenariusz, którego efektem są przykre konsekwencje finansowe dla ofiary takiego działania.

Jaki jest scenariusz takiego ataku?

Wyobraź sobie, że ktoś na chwilę przejmuje kontrolę nad Twoim kontem SKYPE lub Facebook, gdzie masz kontakty do swoich znajomych i przyjaciół.

 

Na razie, brzmi niegroźnie….

 

Następnie włamywacz, poprzez przejęte konto na serwisie społecznościowym, rozsyła do wszystkich Twoich znajomych prośbę o szybką pożyczkę, np. 250 zł. (tłumacząc na przykład, że jesteś na krótkim wyjeździe zagranicznym i właśnie zabrakło Ci pieniędzy na powrót).

Jako szybki sposób realizacji takiej pomocy umieszcza link do serwisu płatności on-line, gdzie można dokonać błyskawicznej płatności.

 

Ile bliskich przyjaciół czy znajomych zareaguje natychmiast i dokona przelewu pożyczki?

 

Im więcej masz zaufanych osób, skojarzonych ze swoim kontem na portalu społecznościowym, tym większe straty możesz ponieść.

Łańcuszek pomocowy…

A to nie wszystkie straty, co z wizerunkiem właściciela konta? Chce pożyczyć pieniądze, a to oznacza że ma kłopoty finansowe.

W sieci natychmiast roznosi się plotka o kłopotach finansowych, która może spowodować “pomoc znajomych-znajomych”. Wystarczy ustawić odpowiednio niedużą kwotę, aby znalazło się na tyle dużo chętnych, dla których potencjalna utrata tej kwoty nie stanowi problemu.

Pewnie zaraz jakiś bankowiec powie, że takie pieniądze w końcu trzeba przelać na konto bankowe. Tym samym sprawca takiego moneyspam’u zostanie natychmiast namierzony. Nic bardziej mylnego.

Tak zgromadzone środki można wymienić na kryptowalutę, a dopiero wtedy wymienić ją w jakimkolwiek serwisie – w Warszawie jest nawet bankomat/kantor, który wypłaca realne pieniądze w zamian za kryptowalutę.

Ściganie takiego przestępstwa jest dość kłopotliwe. Każda z osób pożyczających pieniądze powinna złożyć osobne zawiadomienie o przestępstwie lub „obdarowany” osobiście zawiadomi organy ścigania – ale wtedy czeka na niego kolejna „niespodzianka”.


To nie wszystkie straty!


Na tym nie koniec kłopotów. W polskich realiach, taka forma pożyczki podpada pod podatek od czynności cywilnoprawnych, tzw. PCC (2% od pożyczonej sumy). W efekcie nie tylko nie mamy pieniędzy jakie pożyczyli nam znajomi i inni życzliwi, za to realnie powstaje nam podatek do zapłaty. Jeżeli sprawa rozniesie się po Internecie to na 100% urzędnicy skarbowi zapukają do drzwi z urzędową intencją o “zaległą składkę”. A na zapłacenie 2%-owego podatku masz tylko 14 dni, potem „penalizacja” zaległego podatku urasta do 20% wartości pożyczki. Nie liczyłbym na łaskawość fiskusa w tym zakresie.

Scenariuszy “życzliwej przysługi”, z wykorzystaniem konta na portalu społecznościowym, może być zdecydowanie więcej, a zamiana takiej “niechcianej pożyczki” w realną kwotę gotówki dla hakera to jedynie wyzwanie socjotechniczne.

A na początku wydawało się, że przejęcie konta na portalu społecznościowym – to co najwyżej jakieś głupoty z tego będą. A tu proszę – realna pożyczka, z kwotą do oddania i … zobowiązanie podatkowe.

Pewnie pocieszasz się tym, że znane portale społecznościowe posiadają profesjonalne zabezpieczenia. Masz rację, ale do większości profili można się dostać przez komputery/smartphone ich użytkowników, którzy wykorzystują ustawienia przeglądarki w taki sposób, aby pamiętała ich login i hasło.

A w takim przypadku wystarczy włamać sie do sieci komputerowej, do której podłączony jest komputer, przejąć konto na komputerze i najnormalniej otworzyć przeglądarkę – potem wpisać wiadomość i klinąć “Wyślij”. Reszta to tylko kwestia czasu.


Przykład z realu…


Pewnie myślisz, ze to tylko teoretyczny scenariusz. O tym jak wygląda on w realnym życiu przekonała się jedna z rosyjskich blogerek – rachunek do zapłacenia przekroczył 5.000 USD.

W Polsce 2% podatku PCC od powyższej sumy to kwota 100 USD. Jednak, jeżeli nie rozliczy się fiskusem w przeciągu 14 dni, to podatek urasta do 20% kwoty pożyczki (+ ewentualna kara), a to daje sumę co najmniej 1.000 USD podatku do zapłacenia. Poniżej link do opisu prawdziwej historii.

Wnioski


Opisane scenariusze pokazują, że nie trzeba włamywać się do banku, aby zarobić pieniądze i to w dodatku w prawie legalny sposób. Włamanie się do sieci komputerowej przedsiębiorstw notowanych na giełdzie może skutkować bardzo poważnymi konsekwencjami takich hakerskich działań – zarówno dla wizerunku firmy, jak również dla osób zarządzających spółką. O czym warto pomyśleć?

Scenariusz kryzysowy

Przygotuj w firmie scenariusz działań w przypadkach kryzysowych (fałszywa informacja). Warto opracować parę szablonów informacji dementujących fałszywe informacje (email, notatka prasowa, strona WWW firmy). Przygotuj listę mediów, które należy powiadomić o takim wydarzeniu i zastanów się jak najszybciej wysłać/opublikować dementi. Ustal kto w firmie zaakceptuje treść wiadomości dementującej fałszywą informację oraz kto ma prawo i dostęp do kanałów, którymi taka informacja zostanie opublikowana.

Chroń dostęp

Przeanalizuj sposób publikowania ważnych wiadomości dotyczących działalności przedsiębiorstwa. Unikaj narzędzi ułatwiających lub automatyzujących logowanie się do platform społecznościowych, platform wspierających pracę działów PR, itp. Zmieniaj regularnie hasła do logowania.

Używaj zawsze do publikacji informacji tego samego komputera, do którego ma dostęp wyłącznie wąskie grono użytkowników. Nie zapomnij zainstalować na takim komputerze programu antywirusowego, który będzie się on-line aktualizował w zakresie bazy wirusów i innych hakerskich narzędzi. Aktualizuj regularnie system operacyjny tego komputera – nie podłączaj do niego żadnych nośników danych (dyski zewnętrzne, pendrive, płyty CD/DVD, itp.), które mogą przenosić wirusy i programy hakerskie.

Sieć komputerowa

Powyższy scenariusz prezentuje jak ważne jest monitorowanie i ochrona firmowej sieci komputerowej.

PAMIĘTAJ!

Nie lekceważ ataków cybernetycznych oraz ich ewentualnych konsekwencji !

Włamanie do sieci komputerowej przedsiębiorstwa notowanego na giełdzie papierów wartościowych może pozwolić nielegalnie zarobić pieniądze hakerom, a jednocześnie mocno nadszarpnąć reputację firmy oraz ściągnąć na kadrę zarządzającą sporo kłopotów. Oszczędzanie na ochronie zasobów komputerowych przedsiębiorstwa, bardzo szybko może przynieść wymierne straty, zarówno finansowe jak i wizerunkowe.

Która spółka giełdowa przyzna się publicznie, że zabezpieczenia firmowej sieci komputerowej są dziurawe jak sito, a dział informatyczny nie ma pojęcia o polityce bezpieczeństwa?

Jak członek zarządu spółki giełdowej ma udowodnić, że jest ofiarą działania hakera?

A może zamiast inwestować w drogie systemy, szkolić firmowych informatyków na drogich, specjalistycznych kursach, warto wykupić ochronę swojej sieci. Sieć komputerowa będzie wówczas monitorowana i strzeżona 24h na dobę, zamiast powierzania tego zadania firmowym informatykom, którzy swoje zadanie są w stanie realizować tylko w dni robocze, w godzinach pracy działu informatycznego.

Data Space posiada specjalistyczny, wyrafinowany, światowej klasy, system ochrony przed cyberatakami, który nie tylko odpiera ataki DDoS, ale także chroni przed całą gamą prób ataków hakerskich i włamań do sieci komputerowych.

System cyberochrony Data Space non-stop monitoruje i analizuje ruch internetowy i wykrywa każdy znany atak cybernetyczny na zasoby informatyczne Klientów (każdy atak wykrywany jest nie dłużej niż w 18 sekund) oraz analizuje każdą anomalię, za którą może kryć się potencjalny atak hakerski.

Dla nas nie ma znaczenia, gdzie geograficznie znajduje się chroniona sieć komputerowa (w Polsce czy poza nią) – nie ma też znaczenia kto dostarcza Internet danej firmie (nie trzeba zmieniać dostawcy Internetu). Na dodatek utrzymywany jest 24h, ciągły dyżur naszych oficerów bezpieczeństwa, którzy są w stanie natychmiast zareagować na każdy incydent komputerowy, który może być efektem próby ataku hakerskiego.

Bilans korzyści i strat jest bardzo prosty do policzenia  😀

https://blog.kaspersky.com/skype-fraud-story/

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Bezpieczeństwo IT
Rośnie liczba cyberataków
Bezpieczeństwo IT
Ataki DDoS a odpowiedzialność karna
   /   Bezpieczeństwo IT   /   Jak haker zdobywa pieniądze, nie włamując się do banku?