Groźny polski haker schwytany. Rozsyłał fałszywe faktury z Play, DPD, mBanku, PKO

Robert Kędzierski
Thomas, autor wielu ataków na polskich internautów, schwytany

Thomas, autor wielu ataków na polskich internautów, schwytany (Fot. Niebezpiecznik/Zaufana Trzecia Strona/ Redakcja)

Policja schwytała jednego z najgroźniejszych polskich cyberprzestępców, który od lat infekował komputery polskich internautów złośliwym oprogramowaniem. Okazuje się, że tożsamość przestępcy mogła zostać odkryta już sześć lat temu.

Tomasz T., znany naszym również i naszym Czytelnikom polski cyberprzestępca używający pseudonimu Thomas został schwytany przez policję - donoszą Niebezpiecznik i Zaufana Trzecia Strona. Do udanej akcji śledczych doszło w środę, w Belgii

Tysiące ofiar, wiele zarzutów

Zaufana Trzecia Strona dotarła do szczegółów dotyczących śledztwa. Tomasz T. ma 181 zarzutów - w tym pranie brudnych pieniędzy, oszustwa komputerowe, niezgodne z prawem korzystanie z e-maili. Śledczy zidentyfikowali już kilka tysięcy ofiar. Jak wyjaśnia portal, prokuratura prowadząca śledztwo wystąpiła do strony belgijskiej z  Europejskim Nakaz Dochodzeniowym. Ma on pozwolić na zebranie dodatkowych dowodów pochodzących od tamtejszych firm telekomunikacyjnych. 

Mężczyzna stoi za kilkudziesięcioma cyberatakami - to on rozsyłał większość fałszywych faktur Play, powiadomień od firm kurierskich czy Poczty Polskiej, PKO, mBanku, DPD, Netii, DHL, DotPay i wielu innych. Schemat jego działania zawsze był zbliżony: przekonywał ofiarę, że ważne informacje zawarte są w załączniku. Po jego otwarciu dochodziło do infekcji złośliwym oprogramowaniem, blokującym dostęp do komputera, tzw. ransomware (oprogramowanie szantażujące).

Ransomware, kradzieże z konta, komputery-zombie

Skutki bywały różne: pechowcy tracili dostęp do danych i byli zmuszani do płacenia "okupu". W najlepszym razie komputer ofiary stawał się "zombie" - zdalną maszyną zarządzaną przez przestępców, używaną do ataków na inne komputery.

Thomas jest też autorem wirusa VBKlip, który podmieniał numery kont bankowych podczas ich kopiowania. Ofiara takiego ataku mogła nie zauważyć, że numer konta wklejony do formularza różni się od oryginalnego. Tylko nieliczne banki zabezpieczają się przed wklejaniem całego numeru. Bank Pocztowy, dla przykładu, cztery ostatnie cyfry nakazuje wpisać ręcznie. 

17-latek zostaje cyberprzestępcą

Niebezpiecznik zauważa, że Thomas po raz pierwszy uderzył sześć lat temu. Miał wtedy 17 lat. Jedną z pierwszych kampanii, jaką przeprowadził, były fałszywe powiadomienia o blokadzie o przejęciu konta.

Thomas działał nieco inaczej niż większość przestępców. Nie stosował phishingu, tj. nie przejmował kont ofiar. Od początku interesowało go infekowanie maszyn. Twierdził, że lepszym "źródłem dochodu" jest wykopywanie kryptowalut. Komputery ofiar były też używane do mylenia tropów.

Tożsamość Thomasa znana od sześciu lat? 

Eksperci oceniają, że właśnie na początku popełnił spore błędy, które teraz przyczyniły się do jego schwytania. W jednym z pierwszych e-maili, wysłanych do redakcji Niebezpiecznika Thomas nie zakrył bowiem wyświetlanej na jego ekranie rozmowy z użytkownikiem Skype. Na poniższym zdjęciu widać zrzut ekranu przedstawiający skuteczność kampanii - liczbę osób, które dały się nabrać na fałszywy e-mail. Widać też okno Skype'a. 

Czytaj też: Zrobią z ciebie niewolnika i "cybergórnika". Nie będziesz mógł korzystać ze smartfona. 

Jedna z kampanii cyberprzestępcy posługującego się pseudonimem ThomasJedna z kampanii cyberprzestępcy posługującego się pseudonimem Thomas Fot. Niebezpicznik.pl (Publikacja za pisemną zgodą)

Policja już sześć lat temu mogła zatem w dość prosty sposób poznać tożsamość hakera - rozmawiał bowiem ze swoim bratem. Błędy, jakie popełnił haker w nieco późniejszym okresie, głównie podczas komentowania własnych dokonań, również zdradzały jego tożsamość: imię, nazwisko i adres e-mail. Przestępca ukrywał się jednak bardzo skutecznie - zdobycie jego adresu zajęło zespołowi śledczych i ekspertów sześć lat. 

Tomasz T. przyznał się do stawianych mu zarzutów. Czeka na rozpatrzenie wniosku o trzymiesięczny areszt tymczasowy. Może grozić mu nawet do dziesięciu lat więzienia. 

***

Anna Skórzyńska z firmy Szumisie: Człowiek bardziej żałuje tego, czego nie zrobił, niż tego, co zrobił źle [NEXT TIME]

Zobacz także
  • Ransomware - groźne złośliwe oprogramowanie Fala fałszywych faktur. Ktoś podszywa się pod znany, polski sklep internetowy
  • Trwa atak na klientów Play. Ktoś rozsyła fałszywe faktury Uwaga na fałszywe faktury. Klienci Play mogą mieć gigantyczne kłopoty
  • Uwaga na fałszywe faktury. Uwaga na ten przekręt. Podrzucają do skrzynek podrobione faktury za prąd
Komentarze (44)
Groźny polski haker schwytany. Rozsyłał fałszywe faktury z Play, DPD, mBanku, PKO. Od 6 lat jego nazwisko było znane
Zaloguj się
  • nie_bierz_jarka_na_serio

    Oceniono 10 razy 10

    w kontekście ostatniego wyroku o ekstradycje w Irlandii, pewnie nawet nie przyjedzie do Polski...

  • monoekann

    Oceniono 8 razy 8

    no proszę, a gdyby pobrał film drogówka, to policje miał by po trzech dniach w domu ;-)

    'Tomasz T. przyznał się do stawianych mu zarzutów.' - osłupieni policjanci na wszelki wypadek przylali mu trzy razy i ponowili pytanie.

  • kataryniarski

    Oceniono 8 razy 4

    Z Thomasa był taki hakier, jak z kozie d... trąba!

    Koles po prostu używał skutecznie dostępnych w DN narzędzi i tyle. Do przeprowadzenia niektórych ataków, poziom wiedzy jaki jest wymagany, jest minimalny - wszystko zależny od niekompetencji i nieuwagi użytkowników, których maszyny chcemy przejąc. I tyle.

  • ksobier

    Oceniono 3 razy 3

    BACKUP to podstawa w walce z ransomware. Ja nie trzymam, zadnych waznych danych na swoim laptopie a cotygodniowy backup zapewnia bezpieczenstwo danych jakie mi wystarcza. W dzisiejszych czasach gdy duzy dysk twardy kosztuje 200-300 zl, a miejsce w chmurze jest tanie lub nawet darmowe nie posiadanie backupu przynajmniej najwazniejszych danych to grzech za, ktory sie placi zlodziejom takim jak Thomas.

  • rademenes666

    Oceniono 3 razy 3

    Jaki z niego haker? To generalnie amator był tylko szeroko działał z gracją słonia w składzie porcelany. A tożsamość była znana od dawna. Tylko myślał, że jak siedzi w Belgii to jest nie do ruszenia.

  • Dariusz Kowalski

    Oceniono 2 razy 2

    Z tego co widzę to hackerem on nie był, tylko zwykłym oszustem internetowym, cyberprzestępca też pasuje. Używał X-peka :), nie widzę żeby to był jakiś linux, ściągał z torrentów za pomocą uTorrenta i komunikując się z osobami postronnymi nie używał zabezpieczeń sieciowych ukrywających jego, chociażby firewalla. Uzywał bazy danych do zapisywania statystyki i używał do tego znanego programu cPanel zamiast napisać swój własny, widać tez port przez który wchodził na hyperhosts.com oraz inne identyfikatory po których można by było go namierzyć i skazać na podstawie screenu. Jakaś "laska" amatorka szybko go rozszyfrowała w 2012 roku o czym świadczy ten post:
    forumogrodniczeoaza.pl/index.php/forum/42-allegro-sklepy-centra-ogrodnicze-moje-zakupy/72455-wyludzanie-kont-z-allegro , mało tego "laska" amatorka namierzyła gnojka itp. Fuszerka, szopenfeldziarz jak to mawiał Duńczyk z Vabanku, cienias...

  • czonek22

    Oceniono 4 razy 2

    nawet nie pójdzie siedzieć, poslkie słuzby go zatrudnią za odstąpienie od oskarżenia

  • kasan-der

    Oceniono 1 raz 1

    Kary powinny być odstraszające. Na przykład amputacja klejnotów. Zobaczylibyśmy ilu by byo odważnych

Aby ocenić zaloguj się lub zarejestrujX

Najnowsze informacje