Tomasz T., znany naszym również i naszym Czytelnikom polski cyberprzestępca używający pseudonimu Thomas został schwytany przez policję - donoszą Niebezpiecznik i Zaufana Trzecia Strona. Do udanej akcji śledczych doszło w środę, w Belgii.
Zaufana Trzecia Strona dotarła do szczegółów dotyczących śledztwa. Tomasz T. ma 181 zarzutów - w tym pranie brudnych pieniędzy, oszustwa komputerowe, niezgodne z prawem korzystanie z e-maili. Śledczy zidentyfikowali już kilka tysięcy ofiar. Jak wyjaśnia portal, prokuratura prowadząca śledztwo wystąpiła do strony belgijskiej z Europejskim Nakaz Dochodzeniowym. Ma on pozwolić na zebranie dodatkowych dowodów pochodzących od tamtejszych firm telekomunikacyjnych.
Mężczyzna stoi za kilkudziesięcioma cyberatakami - to on rozsyłał większość fałszywych faktur Play, powiadomień od firm kurierskich czy Poczty Polskiej, PKO, mBanku, DPD, Netii, DHL, DotPay i wielu innych. Schemat jego działania zawsze był zbliżony: przekonywał ofiarę, że ważne informacje zawarte są w załączniku. Po jego otwarciu dochodziło do infekcji złośliwym oprogramowaniem, blokującym dostęp do komputera, tzw. ransomware (oprogramowanie szantażujące).
Skutki bywały różne: pechowcy tracili dostęp do danych i byli zmuszani do płacenia "okupu". W najlepszym razie komputer ofiary stawał się "zombie" - zdalną maszyną zarządzaną przez przestępców, używaną do ataków na inne komputery.
Thomas jest też autorem wirusa VBKlip, który podmieniał numery kont bankowych podczas ich kopiowania. Ofiara takiego ataku mogła nie zauważyć, że numer konta wklejony do formularza różni się od oryginalnego. Tylko nieliczne banki zabezpieczają się przed wklejaniem całego numeru. Bank Pocztowy, dla przykładu, cztery ostatnie cyfry nakazuje wpisać ręcznie.
Niebezpiecznik zauważa, że Thomas po raz pierwszy uderzył sześć lat temu. Miał wtedy 17 lat. Jedną z pierwszych kampanii, jaką przeprowadził, były fałszywe powiadomienia o blokadzie o przejęciu konta.
Thomas działał nieco inaczej niż większość przestępców. Nie stosował phishingu, tj. nie przejmował kont ofiar. Od początku interesowało go infekowanie maszyn. Twierdził, że lepszym "źródłem dochodu" jest wykopywanie kryptowalut. Komputery ofiar były też używane do mylenia tropów.
Eksperci oceniają, że właśnie na początku popełnił spore błędy, które teraz przyczyniły się do jego schwytania. W jednym z pierwszych e-maili, wysłanych do redakcji Niebezpiecznika Thomas nie zakrył bowiem wyświetlanej na jego ekranie rozmowy z użytkownikiem Skype. Na poniższym zdjęciu widać zrzut ekranu przedstawiający skuteczność kampanii - liczbę osób, które dały się nabrać na fałszywy e-mail. Widać też okno Skype'a.
Czytaj też: Zrobią z ciebie niewolnika i "cybergórnika". Nie będziesz mógł korzystać ze smartfona.
Jedna z kampanii cyberprzestępcy posługującego się pseudonimem Thomas Fot. Niebezpicznik.pl (Publikacja za pisemną zgodą)
Policja już sześć lat temu mogła zatem w dość prosty sposób poznać tożsamość hakera - rozmawiał bowiem ze swoim bratem. Błędy, jakie popełnił haker w nieco późniejszym okresie, głównie podczas komentowania własnych dokonań, również zdradzały jego tożsamość: imię, nazwisko i adres e-mail. Przestępca ukrywał się jednak bardzo skutecznie - zdobycie jego adresu zajęło zespołowi śledczych i ekspertów sześć lat.
Tomasz T. przyznał się do stawianych mu zarzutów. Czeka na rozpatrzenie wniosku o trzymiesięczny areszt tymczasowy. Może grozić mu nawet do dziesięciu lat więzienia.
***