Groźny polski haker schwytany. Rozsyłał fałszywe faktury z Play, DPD, mBanku, PKO

Policja schwytała jednego z najgroźniejszych polskich cyberprzestępców, który od lat infekował komputery polskich internautów złośliwym oprogramowaniem. Okazuje się, że tożsamość przestępcy mogła zostać odkryta już sześć lat temu.

Tomasz T., znany naszym również i naszym Czytelnikom polski cyberprzestępca używający pseudonimu Thomas został schwytany przez policję - donoszą Niebezpiecznik i Zaufana Trzecia Strona. Do udanej akcji śledczych doszło w środę, w Belgii. 

Tysiące ofiar, wiele zarzutów

Zaufana Trzecia Strona dotarła do szczegółów dotyczących śledztwa. Tomasz T. ma 181 zarzutów - w tym pranie brudnych pieniędzy, oszustwa komputerowe, niezgodne z prawem korzystanie z e-maili. Śledczy zidentyfikowali już kilka tysięcy ofiar. Jak wyjaśnia portal, prokuratura prowadząca śledztwo wystąpiła do strony belgijskiej z  Europejskim Nakaz Dochodzeniowym. Ma on pozwolić na zebranie dodatkowych dowodów pochodzących od tamtejszych firm telekomunikacyjnych. 

Mężczyzna stoi za kilkudziesięcioma cyberatakami - to on rozsyłał większość fałszywych faktur Play, powiadomień od firm kurierskich czy Poczty Polskiej, PKO, mBanku, DPD, Netii, DHL, DotPay i wielu innych. Schemat jego działania zawsze był zbliżony: przekonywał ofiarę, że ważne informacje zawarte są w załączniku. Po jego otwarciu dochodziło do infekcji złośliwym oprogramowaniem, blokującym dostęp do komputera, tzw. ransomware (oprogramowanie szantażujące).

Ransomware, kradzieże z konta, komputery-zombie

Skutki bywały różne: pechowcy tracili dostęp do danych i byli zmuszani do płacenia "okupu". W najlepszym razie komputer ofiary stawał się "zombie" - zdalną maszyną zarządzaną przez przestępców, używaną do ataków na inne komputery.

Thomas jest też autorem wirusa VBKlip, który podmieniał numery kont bankowych podczas ich kopiowania. Ofiara takiego ataku mogła nie zauważyć, że numer konta wklejony do formularza różni się od oryginalnego. Tylko nieliczne banki zabezpieczają się przed wklejaniem całego numeru. Bank Pocztowy, dla przykładu, cztery ostatnie cyfry nakazuje wpisać ręcznie. 

17-latek zostaje cyberprzestępcą

Niebezpiecznik zauważa, że Thomas po raz pierwszy uderzył sześć lat temu. Miał wtedy 17 lat. Jedną z pierwszych kampanii, jaką przeprowadził, były fałszywe powiadomienia o blokadzie o przejęciu konta.

Thomas działał nieco inaczej niż większość przestępców. Nie stosował phishingu, tj. nie przejmował kont ofiar. Od początku interesowało go infekowanie maszyn. Twierdził, że lepszym "źródłem dochodu" jest wykopywanie kryptowalut. Komputery ofiar były też używane do mylenia tropów.

Tożsamość Thomasa znana od sześciu lat? 

Eksperci oceniają, że właśnie na początku popełnił spore błędy, które teraz przyczyniły się do jego schwytania. W jednym z pierwszych e-maili, wysłanych do redakcji Niebezpiecznika Thomas nie zakrył bowiem wyświetlanej na jego ekranie rozmowy z użytkownikiem Skype. Na poniższym zdjęciu widać zrzut ekranu przedstawiający skuteczność kampanii - liczbę osób, które dały się nabrać na fałszywy e-mail. Widać też okno Skype'a. 

Czytaj też: Zrobią z ciebie niewolnika i "cybergórnika". Nie będziesz mógł korzystać ze smartfona. 

Jedna z kampanii cyberprzestępcy posługującego się pseudonimem Thomas Fot. Niebezpicznik.pl (Publikacja za pisemną zgodą)

Policja już sześć lat temu mogła zatem w dość prosty sposób poznać tożsamość hakera - rozmawiał bowiem ze swoim bratem. Błędy, jakie popełnił haker w nieco późniejszym okresie, głównie podczas komentowania własnych dokonań, również zdradzały jego tożsamość: imię, nazwisko i adres e-mail. Przestępca ukrywał się jednak bardzo skutecznie - zdobycie jego adresu zajęło zespołowi śledczych i ekspertów sześć lat. 

Tomasz T. przyznał się do stawianych mu zarzutów. Czeka na rozpatrzenie wniosku o trzymiesięczny areszt tymczasowy. Może grozić mu nawet do dziesięciu lat więzienia. 

***

Anna Skórzyńska z firmy Szumisie: Człowiek bardziej żałuje tego, czego nie zrobił, niż tego, co zrobił źle [NEXT TIME]