Przez kilka ostatnich tygodni w wiadomościach aż roiło się od doniesień o przypadkach złośliwego oprogramowania, w tym ransomware. Jako że wiele osób jest obecnie zainteresowanych tym tematem, oszuści starają się to w naturalny sposób wykorzystać. Jeden z pracowników G DATA odegrał rolę potencjalnej ofiary.
Dla tych, którzy na bieżąco śledzą aktualności z zakresu bezpieczeństwa, oszustwa telefoniczne nie będą niczym nadzwyczajnym. Zaskoczyć może co innego ? oszuści, zamiast dzwonić i przedstawiać swoje oferty, zaczęli sami prosić o kontakt. Nie spodziewali się jednak, że napotkają kogoś, kto jest obeznany w kwestii zabezpieczeń IT. Szczęśliwym zbiegiem okoliczności do Eddy?ego Willemsa (specjalisty ds. bezpieczeństwa w G DATA Software) zadzwonił jeden z oszustów. Nie udało mu się jednak oszukać Eddy?ego, jak to zwykle bywa w takim wypadku, a co ciekawe, zaproponowano mu pracę!
Jedną z metod nawiązywania kontaktu jest wysłanie e-maila lub wiadomości w oknie przeglądarki. Inne metody to złośliwe reklamy lub inne złośliwe oprogramowanie. W tym konkretnym przypadku użytkownik zobaczył na swoim monitorze wiadomość podającą kod błędu ?DW6VB36? oraz numer infolinii, na którą powinien zadzwonić. Dodatkowo nagrano wiadomość głosową ostrzegającą go, by nie zignorował powiadomienia, gdyż w przeciwnym razie komputer ?będzie musiał zostać dezaktywowany? , a do ?jednostki zarządzającej bezpieczeństwem sieci przesłana zostanie kopia raportu, by zatrzymać rozprzestrzenianie się szkód? .
Każde oszustwo zaczyna się od nawiązania kontaktu. Przy nękających połączeniach ma to miejsce w momencie, gdy telefon dzwoni, a ty go odbierasz. Ostatnimi czasy oszuści próbują jednak działać w inny sposób z uwagi na fakt, że coraz więcej osób jest obeznanych w temacie oszustw telefonicznych. Doświadczenie pokazuje, że dzwoniący nie marnują czasu i przechodzą prosto do sedna sprawy. Podają się za przedstawicieli Microsoftu (lub, jak sami mają w zwyczaju się przedstawiać, ?Windowsa?), czy innej poważnej firmy. Następnie wymieniają (w różnych kombinacjach), problemy, jakie stwarza komputer użytkownika i mówią, że pomogą w ich rozwiązaniu. W tym celu ?pilnie? potrzebują uzyskać dostęp na odległość do komputera ofiary. Często podkreślają, że to oni (i tylko oni) są w stanie zapobiec kolejnym problemom.
Gdy rozmówca nie współpracuje, straszą, mniej lub bardziej bezpośrednio, postępowaniem karnym, zamrożeniem kont bankowych, kart kredytowych lub innych zasobów online. Są też przypadki, gdy oszuści po prostu blokują użytkownikowi dostęp do systemu.
Gdy tylko ofiara zostanie przekonana, że powinna powierzyć ?zaufanej osobie? dostęp do systemu, oszustom otwiera się droga między innymi do:
Sedno sprawy tkwi w tym, że wszelkie ?usługi ? oferowane przez oszustów kosztują. Popularna strategia działania polega na zawarciu ?umowy o wsparcie i konserwację? , która oczywiście również kosztuje. W niektórych przypadkach oszuści instalują na urządzeniu darmowe programy i utrzymują, że są one częścią ich ?produktu? ? mogą także zainstalować oprogramowanie, które pociągnie za sobą kolejne szkody. Gdy ofiara kategorycznie odmawia dokonania jakichkolwiek płatności, niektórzy oszuści usuwają kluczowe pliki lub doprowadzają system do bezużytecznego stanu. W przypadku, gdy użytkownikowi zablokowano dostęp do systemu (np. poprzez zablokowanie bazy danych konta użytkownika), oszustwo przeradza się w bezpośredni szantaż, a ofiara może odzyskać dostęp do swojego komputera wyłącznie po wpłaceniu pieniędzy (o ile w ogóle dostęp ten odzyska).
- Oto co zrobiłem: uruchomiłem urządzenie w środowisku laboratoryjnym i podłączyłem je do rejestratora ekranu -mówi Eddy z G DATA. Adres IP, z jakiego komputer łączył się z Internetem nie znajduje się na czarnej liście hackerów ? przestępcy nie są głupi i doskonale wiedzą, które adresy IP należy wiązać z firmami działającymi w sektorze zabezpieczeń. Zastosowano sprzęt natywny, to znaczy ?prawdziwy komputer?, a nie maszynę wirtualną, ponieważ niektórzy oszuści upewniają się, czy nie zostali zwabieni do maszyny wirtualnej. Funkcja identyfikacji rozmówcy została wyłączona i zainicjowano połączenie z numerem wyświetlającym się we wiadomości na monitorze. Telefon odebrała kobieta o sympatycznym głosie z wyraźnym akcentem. Wytłumaczyła mi, co się ?stało? i dlaczego należało zadzwonić pod ten numer. Następnie poprosiła mnie o podanie numeru telefonu, na który mogłaby oddzwonić. Podałem jej numer komórkowy, a ona niezwłocznie oddzwoniła. Następnie poinstruowała mnie, żebym wszedł na stronę oferującą wsparcie na odległość (w tym wypadku ?helpme.net?; jest to legalna strona ze wsparciem) i opisała, jak uruchomić połączenie na odległość, a następnie przekazała rozmowę ?jednemu ze swoich wykwalifikowanych inżynierów? - dodaje.
- Inżynier przedstawił się jako ?Peter?. On też mówił z silnym akcentem, ale był bardzo miły. Mniej miły okazał się fakt, że gdy tylko się zalogował, od razu zablokował bazę danych konta użytkownika. Łatwo było śledzić jego poszczególne ruchy. Gdybym na tym etapie odłożył słuchawkę i przerwał połączenie, mój komputer byłby bezużyteczny. Peter tłumaczył, że w ten sposób ?zabezpiecza? komputer przed dostępem niepowołanych osób. Było to nawet zgodne z prawdą, ja oczywiście nie otrzymałbym jednak dostępu do mojego własnego komputera. - tłumaczy.
Następnie ?Peter? otworzył dziennik operacji i pokazał wirusy, których pełno było na komputerze. Wszystkie błędy i ostrzeżenia, które się tam pojawiły, miały świadczyć o obecności wirusa. Towarzysząca im data i godzina miały przedstawiać moment, w którym zostały ?ściągnięte?. To jeszcze nie wszystko: Peter otworzył okno wiersza polecenia i wpisał komendę ?netstat?. Po jej wpisaniu wyświetla się lista połączeń z urządzeniem. W większości przypadków nie ma w niej nic godnego uwagi, ale Peter zapewniał, że za wszystkimi przedstawionymi tam połączeniami stali hackerzy mający w każdej chwili dostęp do komputera. - W tym kontekście zastanowił mnie typ lokalnego adresu IP ? nigdy nie widziałem do tej pory domowej sieci, której adres IP zaczynałby się od ?10.x.x.x?. Peter oczywiście pomieszał także prywatne i publiczne adresy IP, ale to tylko szczegół. W każdym razie czasem było mi ciężko zachować spokój i pewność siebie i było mi bardzo na rękę, że nie prowadziliśmy video rozmowy - mówi Eddy.
W tym momencie zaczęło się robić ciekawie: Peter zaczął opowiadać o ?Koobface? ? złośliwym oprogramowaniu, które zbierało żniwo w 2010 roku. Twierdził, że komputer został zainfekowany tym właśnie wirusem. Niezgrabnie odczytał kilka pierwszych linijek artykułu o Koobface na Wikipedii (najpierw zrobił szybki research w Google?ach), a potem przekonywał, że należy działać, by zaradzić temu problemowi. W tym celu, powiedział, że jeden z jego ?Ekspertów Trzeciego Stopnia? z zakresu wsparcia przeprowadzi skan systemu, który zajmie 60 do 90 minut. Do tego potrzebne jest wykupienie specjalistycznego oprogramowania. I tu zrobiło się jeszcze ciekawiej. Peter otworzył plik tekstowy i zapisał ceny (patrz: zrzut ekranu). Za jednorazowe czyszczenie brał 150 euro. Roczna umowa kosztowała 349 euro, i tak dalej. Była nawet ?umowa na czas nieokreślony? za 888 euro plus VAT. Przeszliśmy do metod płatności. Eddy od razu zaznaczył, że nie ma karty kredytowej, a Peter powiedział, że to żaden problem, ponieważ przyjmowali także płatności przelewem lub kartą Apple iTunes. Eddy chciał wyciągnąć od niego numer konta ? był nawet gotowy podać mu swój, tak, by mógł pobrać pieniądze z konta, ale tu ze skruchą przyznał, że tej metody płatności nie obsługują i że bardzo przeprasza. Po raz kolejny chciał uzyskać numer konta, ale Peter nagle zaczął nalegać na kartę iTunes. Zaczął pytać, jak daleko miał do najbliższego supermarketu i w jakim czasie mógłby do niego dotrzeć. Powiedział mu, że w najbliższej okolicy mam stację benzynową, a on zapytał, ile mi to zajmie. Zaczęło robić się dziwnie? Eddy wciąż naciskam na płatność przelewem, ale on mówi mi, że to będzie kosztowało 29 euro więcej. Totalnie zafiksował się na karty iTunes, mimo że zapewniałem go, że dodatkowa opłata nie stanowi dla problemu.
Jak mówi Eddy: Do niczego nas ta dyskusja nie doprowadziła, więc zapytałem go, czy nie mógłbym po prostu zainstalować systemu od nowa ? i tak nie miałem na nim zbyt dużo danych, a to, co miałem, zdążyłem wcześniej zbackupować. Peter odpowiedział wtedy dużo ostrzejszym tonem, że przeinstalowanie systemu nie pomoże pozbyć się ?wirusów?, które mi pokazał ? bo ?mój adres IP został zainfekowany?. Powiedziałem wtedy, że mogę poprosić kolegę, który ?zna się dobrze na komputerach? o pomoc i jeśli on nic nie wskóra, skontaktuję się z Peterem ponownie. Nagle ktoś inny przejął rozmowę. Osoba ta w bardzo narzucający się sposób pytała, czemu w ogóle do nich dzwoniłem, skoro miałem kolegę, który mógł naprawić komputer. Odpowiedziałem uczciwie (no, nie do końca?), że ?Tak kazano mi w wiadomości, która pojawiła się na ekranie?. Wydawało się, że chciał wzbudzić we mnie poczucie winy, że zmarnowałem ich cenny czas (szczerze mówiąc tak właśnie było ? rozmowa trwała w tym momencie już około 45 minut). Wymieniliśmy jeszcze kilka zdań, a on cały czas podkreślał, że rozmawiałem ze ?Srebrnymi Partnerami Windowsa?. Po raz kolejny zasugerowałem, że mogę poprosić kolegę o pomoc, a on podsumował rozmowę krótkim ?Dziękujemy za telefon ? Miłego dnia!?.
Po ponownym uruchomieniu komputera okazało się oczywiście, że mam podać hasło, a jego przecież nie miałem. Gdybym oddzwonił, przedstawiliby mi pewnie jeszcze droższy sposób na ?naprawę? tego problemu.
Mimo że mój ostatni rozmówca życzył mi miłego dnia, mój dzień z pewnością nie byłby miły, gdybym naprawdę musiał stawić czoła tym problemom.
Gdy o jakimś zdarzeniu jest przez dłuższy czas głośno w mediach, oszuści mogą chcieć się na tym dorobić. Doskonały pretekst stanowią tu najnowsze doniesienia o przypadkach złośliwego oprogramowania. Wiele osób słyszało już o ?hackerach? lub czymś, co nazywa się ?złośliwym oprogramowaniem?, a ich wiedza ogranicza się do tego, że są to złe rzeczy. Taka sytuacja daje oszustom doskonałe pole do popisu. Wystarczy teraz w odpowiednio przekonujący i nachalny sposób przeprowadzić rozmowę.
By nie paść łupem oszustów, wystarczy podjąć kilka dość prostych kroków. Najważniejsze, by nie zapomnieć o nich, gdy przyjdzie nam zmierzyć się z oszustem lub podejrzanym rozmówcą.
Należy zauważyć, że żadne z kroków podejmowanych przez oszustów nie wiążą się z zastosowaniem złośliwego oprogramowania, przynajmniej na początkowym etapie. Narzędzia do naprawy na odległość są całkowicie legalne i wykorzystywane na szeroką skalę, a wprowadzane komendy to część systemu operacyjnego samego w sobie, w nich także nie ma niczego niedozwolonego. Dlatego też przed atakami tego typu nie obroni nas nawet oprogramowanie G DATA. Oszuści to osoby z ogromnym doświadczeniem w wywieraniu wpływu na innych, by robili to, co (rzekomo) sami uznali za słuszne.
Najlepszymi przyjaciółmi oszusta są szybkość, zaskoczenie i agresja. Ludzie, którzy odbierają połączenia (lub sami dzwonią) czują się przytłoczeni ogromem zagrożeń i gróźb przedstawianych w niby-technicznym slangu. Użytkownik w wierszu poleceń na własne oczy zobaczy ślad działalności ?hackerów?. Oszust musi jedynie wyłączyć racjonalne myślenie u rozmówcy na czas, który wystarczy do dokonania przelewu. Na tej sprawdzonej metodzie opierają się także ataki złośliwego oprogramowania. By uniknąć sankcji, grzywny czy utraty ważnych danych ludzie są w stanie zrobić wszystko, dzięki czemu w ich mniemaniu uda się takiej sytuacji zapobiec, nawet jeśli będzie się to wiązało z podaniem szczegółów karty kredytowej za pośrednictwem telefonu czy szemranej strony internetowej. Szybkość jest kluczowa dla każdego oszusta ? nie może on dać swojej ofierze ani chwili do namysłu, stąd też bierze się ich wyjątkowa nachalność. Jeśli rozmówcy da się czas na zastanowienie, sprawa jest już z reguły przegrana.