Pamiętacie czasy, gdy telefon służył do rozmów z innymi ludźmi? Wiem, że tzw. „dzisiejsza młodzież” może czuć się tym zaskoczona :). Tak samo jak tym, że było to urządzenie, ograniczone kablem. I nie było na nie gier! Dobra, żarty żartami, ale sami przyznacie, że coraz częściej posługujemy się po prostu komunikatorami. W dużych firmach, jak choćby Orange Polska, nasz wewnętrzny komunikator służy też do rozmów głosowych, również na numery telefoniczne. Komu przydają się najczęściej konwersacyjne możliwości telefonu? Marketingowcom, cwaniakom i złym ludziom, stosującym vishing. Nie zrozumcie mnie źle, mam na myśli trzy rozłączne grupy 🙂

(pół)Automat zawsze świeży i rześki

W każdym z testowanych przeze mnie smartfonów używam dwóch kart SIM. Mój podstawowy numer służbowy oraz prywatny, zaszłość dawnych czasów. Ten drugi utrzymuję w zasadzie za darmo (Nju Po Wieki, polecam!). Wrzucam go np. do ofert sprzedaży w różnych serwisach (dlatego nie dostaję scamu na OLX, bo pod tym nr nie mam WhatsAppa 🙂 ), czasami dzwonią nań dawno niesłyszani znajomi. A kto najczęściej? Scamerzy oczywiście!

Wczoraj w przypływie dobrego humoru odebrałem rozmowę z takiego numeru i po prostu milczałem. Co się działo?

– Dzień dobry!
[ok. 1,5 sekundy przerwy]
– Dzień dobry!
[ok. 1,5 sekundy przerwy]
– Dzień dobry!

Po trzecim razie rozłączyłem 🙂 Za każdym razem słyszałem ten sam głos. Co to oznacza? Ano to, że w sporej części tego typu przedsięwzięć nie rozmawia z nami wcale żywy człowiek! Tzn. po części rozmawia – on/a siedzi przed komputerem ze słuchawkami na uszach. W zależności od naszych odpowiedzi, klika odpowiedni punkt ze skryptu, a my słyszymy odpowiadającą mu wypowiedź. Z punktu widzenia „drugiej strony” – świetne, prawda? Nagrany głos nigdy nie będzie zirytowany, nie będzie w nim słychać zmęczenia, zawsze będzie świeży i rześki. Ale czy tylko dla mnie jest to sytuacja mroczna i co najmniej dziwna?

Vishing, czy prawdziwy bank?

Dlaczego w ogóle o tym piszę? Bo w ostatnim czasie znacząco rośnie tzw. vishing (voice phishing), czyli próby phishingu głosowego. O ile takie sytuacje jak ta, którą opisałem na początku, można traktować jako – hmmm – ciekawostkę, groźnie się robi, gdy odbierzemy rozmowę z ostrzeżeniem lub ofertą inwestycji. Niestety o ile np. adresów e-mail, z których przychodzą do Was nasze faktury nie da się podrobić (zespoofować) to z numerami telefonów nie jest już tak dobrze. Rozwój technologii VoIP i aplikacji do dzwonienia oraz fakt, iż tworząc podstawowe funkcjonalności telefonii nikt nie spodziewał się, że trzeba ją będzie zabezpieczyć przed cyberzagrożeniami, spowodowały iż bardzo łatwo możemy zadzwonić do kolegi przy biurku obok, a jemu na ekranie telefonu pokaże się numer banku. A to już pierwszy krok do uzyskania zaufania ofiary i sprawienia by ta „łyknęła” vishing!

A co można z nami zrobić, gdy na pierwszy rzut mózgu zaufamy rozmówcy? W zasadzie wszystko. Z drugiej strony słuchawki siedzą naprawdę sprawni socjotechnicy, a ci potrafią tak – wybaczcie kolokwializm – nawinąć makaron na uszy, że nawet świadomi internauci uwierzą im naprawdę w wiele. Na co zatem trzeba w takiej sytuacji uważać? Przede wszystkim na:

• prośby o login i/lub hasło
• próby „potwierdzenia” danych pozornie niegroźnych
• sugestię instalacji zewnętrznej aplikacji (głównie na komputerze, zazwyczaj jest to AnyDesk)

Pierwsza kwestia jest oczywista. W drugiej może to być np. nazwisko panieńskie matki, niezbędne w przynajmniej jednym banku do aktywacji aplikacji mobilnej. Trzecia – to aplikacja zdalnego pulpitu, dająca pełny dostęp do naszego komputera.

Dodatkowo, słuchajcie komunikatów, gdy dzwoni do Was bank. Ten prawdziwy. Wiem, są długie i nudne, ale bywają bardzo ważne. Coraz częściej na automatycznych infoliniach, gdy generowane jest dla nas hasło, jesteśmy informowani o tym fakcie i jego celu. Po to, by komunikat: „Nie podawaj tego kodu nikomu!” przekonał nas, że to vishing. A nasz rozmówca tylko podaje się za pracownika banku.

Nie musisz (jeszcze) niczego przelewać

Wiem, miało być o inwestycjach. Czy raczej „inwestycjach”, bo jedyny zysk mają na nich oszuści. Do niedawna ich aktywności ograniczały się do stron/reklam na Facebooku, obiecujących ogromne zyski ze złóż ropy, gazu, czy Bitcoinów. Ostatnio trafiłem na sprytny phishing hybrydowy. Zaczęło się od strony, sugerującej oddanie inwestycji w „ręce” automatu. Co więcej, nie musimy przelewać naszych pieniędzy! Tzn. musimy, ale – o dziwo – nie od razu. Najpierw poczytajmy stronę, opinie innych, zapiszmy się (oddając nasze personalia, mail i telefon oszustom) i… czekajmy na telefon! Tutaj oszuści w sprytniejszy sposób wzbudzają nasze zaufanie, podsuwając marchewkę i niczego (w pierwszym kroku) nie żądając. Stawiam ich wszystkie BTC, że dzwoniąc wezmą się za przekonywanie do instalacji AnyDeska albo czegoś podobnego.

Ten przykład to jednak wyjątek, scam „na bitcoiny” to wciąż nachalne reklamy w social mediach, czy – coraz częściej – rozmowy telefoniczne. W ostatnich dniach kilkakrotnie do CERT Orange Polska trafiły informacje o rozmówcach telefonicznych, próbujących przekonać, że „na naszej platformie czekają na pana bitcoiny do wypłaty”, zgodnie ze schematem, który opisywałem jakiś czas temu. Zdarza się, że rozmówcy przypadkowo się rozłączają, a gdy niedoszła ofiara oddzwania, słyszy kogoś innego! Właściciel numeru twierdzi, że nie ma pojęcia o żadnych bitcoinach, zdarza się, iż mówi, że to nie pierwszy taki telefon, który danego dnia odebrał. Nie wiadomo na jakiej zasadzie oszuści wybierają numery – nikomu z moich znajomych nie zdarzyło się jeszcze, by podszywali się pod niego.

A co robić w przypadku takiej rozmowy? To akurat proste. „Proszę pana/i, nie mam u was żadnych bitcoinów, żegnam”. Nie zaszkodzi z poziomu telefonu zablokować numeru, by nie próbowali nas przekonać, że jednak tak. Nikt nie rozdaje bitcoinów za darmo, a jeśli gdzieś zainwestowaliśmy nasze oszczędności w kryptowaluty, to przecież sami dobrze o tym wiemy!

Bitcoiny! Wielkie bogactwo, najlepiej bez przesadnie dużego wkładu czasu i energii. Taka perspektywa wielu kusi. Szczególnie w czasach pandemii, gdy wielu traci pracę, bądź staje przed innymi problemami. W takiej sytuacji danie nadziei na błyskawiczny zysk z kryptowalut jest… Cóż, jest przede wszystkim podłe, ale pada na podatny grunt

Bitcoiny dla każdego?

Kiedyś celebryci, a w ostatnich czasach zwykli ludzie. Kasjerka w Biedronce, wielodzietna rodzina, zdarzył się nawet przykład prostytutki. Oni wszyscy potrafili wyjść z życiowych tarapatów, gdy dowiedzieli się o genialnym pomyśle na zainwestowanie niewielkich pieniędzy i milionowych zyskach. Zainwestowanie w bitcoiny, rzecz jasna.

Na czym to polega? Oczywiście mamy do czynienia z klasyczną socjotechniką, która w dzisiejszych czasach szczególnie ma szansę paść na podatny grunt. Najpierw świecimy w oczy będącym na wyciągnięcie ręki bogactwem na tyle, bo ofiary pewnym krokiem podążyły za latarnią. Następnie pokazujemy już konkretne potencjalne zarobki. Najlepiej wysokie, ale nie ekstremalnie wysokie, tak żeby ostatkiem możliwości poznawczych uwierzyli, że to samo może się zdarzyć również im. A na koniec pokażmy, że wystarczy zainwestować zaledwie kilkaset złotych, by efektywnie pomnożyć je co najmniej w dziesiątki tysięcy.

Chociaż nie, to nie na koniec. Na koniec orientujemy się, że strona zniknęła, firma przestała istnieć, a nasze pieniądze… cóż, jakie pieniądze? A potem firma pojawia się kolejny raz, na stronie z nieco zmienionym adresem. Zdarza się nawet, że „firma” nie zmieniła jeszcze nazwy! Pisałem o tym szerzej jakiś czas temu.

Prowizja za bitcoiny, których nie było?

Opisywanych wyżej stron z fake newsami o metodach na szybkie wzbogacenie widziałem setki, a przez nasze systemy przez miniony rok przewinęły się ich – tak myślę – tysiące, może nawet pięciocyfrowe liczby. W ostatnich dniach dzięki jednemu z internautów trafił do nas jednak jeszcze bardziej wyrafinowany pomysł.

No bo w zasadzie radzenia sobie z fake newsami można się nauczyć. Niektórym przychodzi to wyjątkowo trudno, są tacy, którzy wciąż się łapią nawet na najbardziej prostackie tricki. A co byście powiedzieli na sytuację, gdy oszust do Was… zadzwoni?

Taka sytuacja zdarzyła się jednemu z internautów, który skontaktował się z nami. Do niego po prostu zadzwonił rzekomy „konsultant działu finansów”, przedstawiając się polskim imieniem i nazwiskiem, ale mówiąc z wyraźnym, wschodnim akcentem. Z nie byle powodu – dzwonił ze wspaniałą informacją, jakoby potrzebował tylko numeru konta, by przelać „prowizję za obrót pańskimi kryptowalutami” w wysokości 0,93 BTC. Ktoś z Was by wzgardził? Wg. kursu na dzisiaj to przeszło 135 tysięcy złotych!

Na swoje nieszczęście oszust trafił na programistę. Człowieka, który był świadom, że nie ma żadnego konta w firmie Bitcoin IG, a już na pewno wiedział, że zlecenie przelewu wymaga po prostu adresu konta BTC, a nie… instalacji aplikacji AnyDesk. Aplikacji, która daje atakującemu pełen dostęp do komputera ofiary, włącznie z widokiem tego, co zaatakowany aktualnie robi. Może więc albo namawiać nieświadomego użytkownika do aktywności, związanych z finansami, bądź też po prostu zainstalować złośliwe oprogramowanie pod pozorem rzekomo niegroźnego pliku.

Co zrobić?

Przede wszystkim jeśli chcecie inwestować w bitcoiny, róbcie to samemu. Z własnej woli, sami poczytajcie poradniki lub spytajcie ekspertów (ja się nie na tym np. totalnie nie znam…). Jeśli ktoś usiłuje Wam wcisnąć, że w jego firmie czeka specjalnie dla Was 135 tysięcy… No kurczę, naprawdę byście uwierzyli? No i pamiętajcie, jak przy każdym phishingu – nie łapcie się na prostą socjotechnikę.

I zaglądajcie regularnie na stronę CERT Orange Polska (tam w piątek bardziej szczegółowo opiszę drugą z powyższych historii), a także na naszego CERTowego Twittera. Tam piszę o bezpieczeństwie częściej, niż co czwartek :), a jeśli coś złego się dzieje – ostrzegam na bieżąco.

Bądźcie bezpieczni.

Jak to fajnie, jak w momencie szukania pomysłu na tekst, ten przychodzi do mnie sam. Słyszeliście pewnie o problemach, jakie minionej nocy miał Twitter, czy raczej jedni z jego najbardziej opiniotwórczych użytkowników. Jeśli nie korzystacie z serwisu społecznościowego spod znaku niebieskiego ptaka: wg. opisu Twittera, charakterystycznym niebieskim znakiem oznaczane są konta firm/osób publicznych zweryfikowane jako autentyczne.

Dokładnie tych samych osób, które w nocy ze środy na czwartek chciały wszystkim zainteresowanym pomnażać bitcoiny. Czy raczej – tak to miało wyglądać.

Przelej mi bitcoiny, dam Ci drugie tyle

Były prezydent USA rozdający bitcoiny, tak po prostu? Nie tylko on – jeszcze Elon Musk, Bill Gates, Jeff Bezos, Apple, firmy powiązane z kryptowalutami… Zbyt piękne, żeby było prawdziwe? No jasne, ciekawe, czy ktokolwiek się na to nabrał. Jak to się stało? Po dłuższy, wyjaśniający sytuację artykuł, pozwolę sobie odesłać Was do The Verge, gdzie świetnie to opisano. Dla niecierpliwych: przestępcy przy użyciu socjotechnicznego tricku przejęli kontrolę nad komputerem jednego z pracowników Twittera. Tam wykorzystali wewnętrzne narzędzie firmy po to, by… zresetować hasła celebrytów (i mieć dostęp do nowych, rzecz jasna). Efekt – początkowo „zweryfikowani” nie mogli pisać żadnych tweetów, a później Twitter wprowadził (nieidealny) mechanizm uniemożliwiający wrzucanie adresów portfeli Bitcoinowych.

Drugi składnik Cię (zazwyczaj) uratuje

Skoro po wyjaśnienia odsyłam Was na zewnątrz, to po co w ogóle o tym piszę? Ano po to, że taka sytuacja to wyjątkowa okazja do tego, by przypomnieć o tym, że uwierzytelnianie dwuskładnikowe… Dobra, tutaj akurat by pewnie nie pomogło (zakładam, że przynajmniej jeden z zaatakowanych używa 2FA), ale akurat tego typu spektakularne ataki zdarzają się ekstremalnie rzadko. Dodatkowo, nikt z nas nie jest HVT (high value target, cel wysokiej wartości) na tyle, by – cóż, by wypłacać innym bitcoiny 😉 Dlatego, by uchronić zwykłego internautę przed atakiem nieco niższym poziomie wyrafinowania, 2 Factor Authentication wystarczy (o czym zresztą pisałem na blogu jakiś czas temu).

O co chodzi z tym 2FA? Jeśli już wiecie, to: po pierwsze – bardzo dobrze; po drugie zaś – wiecie, dlaczego warto to wytłumaczyć tym, którzy tą wiedzą jeszcze nie dysponują. O ile główne hasło możemy określić mianem „czegoś, co wiem”, 2FA to „coś, co mam”. I o ile ten pierwszy składnik możemy na różne sposoby stracić, z drugim tak łatwo nie będzie. I wtedy, jeśli przestępca/oszust wpisze nasz login i wykradzione hasło, zamiast uśmiechać się od ucha i zacierać ręce, zobaczy informację: „Podaj drugi składnik”. Whoopsie.

Zazwyczaj wystarczy aplikacja

Dla zastosowań służbowych warto, by 2FA był fizycznym urządzeniem (np. w przypadku pracowników Orange Polska w celu nawiązania połączenia VPN z siecią firmową niezbędny jest przypominający pendrive’a token kryptograficzny). W życiu codziennym wystarcza aplikacja, zmieniająca co 60 sekund losowy ciąg sześciu cyfr. Ja np. w ten sposób zabezpieczam 8 kont/serwisów, w tym Google, Microsoft, Twitter rzecz jasna, czy Amazon. Początkowo używałem aplikacji mobilnej Google Authenticator. Od pewnego czasu, z racji na to, iż często zmieniam testowane telefony, przerzuciłem się na Authy. Podstawową różnicą między nimi jest fakt, iż Authy trzyma moje klucze w formie zaszyfrowanej na swoich serwerach, a w momencie instalacji jej na kolejnym telefonie wymaga wpisania klucza deszyfrującego bazę, ściągniętą na urządzenie docelowe.

Jak znaleźć serwisy, wspierające 2FA? Na tej stronie znajdziecie te najpopularniejsze, a dodatkowo szczegółowy opis włączania w nich tej właśnie funkcjonalności. Największą chyba listę witryn i aplikacji obsługujących uwierzytelnianie dwuskładnikowe znajdziecie natomiast tutaj.

Włączcie 2FA. Po prostu. Nie warto dawać szansy złym ludziom.

yak się czujecie w trzecim miesiącu dobrowolnej izolacji? Bo przestępcy chyba całkiem nieźle. Obserwując wpadające do nas zgłoszenia od internautów, no i rzecz jasna efekty pracy naszych automatycznych „strażników” odnoszę wrażenie, że koronawirus jako nośnik phishingu przestał już „grzać”. Źli ludzie internetu zorientowali się chyba, że ich scam jest szyte nićmi tak grubymi, że naprawdę bardzo niewielu dawało się na to nabierać.

Całe zło siedzi na Facebooku?

Oczywiście nie w rozumieniu „całego zła wszechświata”, tylko tego, co dociera do naszej CyberTarczy. Tydzień w tydzień, przeglądając statystyki wejść na strony informujące o phishingu, odnotowuję od przeszło 60 do 70-kilku procent internautów wchodzących na nie właśnie ze społecznościowego serwisu spod znaku wielkiego F. O co chodzi? Przykład możecie zobaczyć poniżej. Przykład mocno przewrotny, bowiem scam z Robertem Lewandowskim pojawił się jednemu z nas w treści… artykułu z Bezprawnika o podszywaniu się pod Orange Polska!

No to teraz – ręka w górę, kto widział coś takiego na Facebooku, ewentualnie na Youtubie? Postawiłbym bitcoiny (najlepiej te, które według scammerów zebrał „Lewy” 🙂 ), że co najmniej połowa z Was rękę podniosła. Celebryci, „zwykli ludzie”, policjanci – głównie takie osoby mają uwiarygodnić oszustwo, zazwyczaj polegające na tym, że skuszeni perspektywą zarobku wpłacamy „opłatę wstępną”, której potem oczywiście nie zobaczymy na oczy.

Strony o porwaniach to oszustwo (scam)!

Wciąż popularny jest niestety scam „na porwanie”. Toż cierpienie dzieci zawsze emocje wzbudzało zawsze, a liczba trafiających do nas domen dowodzi, że przestępcom kreowanie kolejnych zwyczajnie się opłaca. Czasami udaje nam się wejść na taki serwis zanim pokażą się na nim treści, dzięki czemu po nazwach katalogów widzimy na jakie „rynki” źli ludzie szykują oszustwo.

C0 potem? Zazwyczaj ofiara w emocjach albo udostępnia treść „na Facebooku” (de facto wpisując login i hasło na stronie przestępców), bądź instaluje „wtyczkę” niezbędną do oglądania rzekomego filmu. Rzecz jasna z „wkładką” w postaci trojana, czy nawet ransomware’u. Staramy się oczywiście być o pół kroku za przestępcami (czasami jak widać nawet przed) i w większości przypadków jeśli macie internet w sieci Orange Polska to nawet po infekcji Wasz komputer nie połączy się z serwerami botnetu, bowiem przeszkodzi mu CyberTarcza. Dlatego warto raz na jakiś czas (ja sam robię to kilka razy w tygodniu) wejść na stronę CyberTarczy i sprawdzić, czy nie zdarzyła się Wam chwila niefrasobliwości.

Wygląda więc na to, że przestępcy wracają do źródeł. Uważajcie i nie dajcie się oszukać. I pamiętajcie – jeśli wpadnie do Was coś ciekawego, wyślijcie to nam. Możecie pomóc innym internautom, jak Pan Zbigniew, do przeczytania historii którego zaproszę Was „po sąsiedzku” na stronę CERT Orange Polska.

Bądźcie zdrowi.