INTERWENCJA. Jak stracić 15 tys. zł w godzinę?

2020-11-05 6:58:14

Powszechna komputeryzacja i cyfryzacja bardzo ułatwia codzienne życie, bo dzięki niej możemy np. zrobić zakupy nie wychodząc z domu za pomocą swojego internetowego konta. Jednak historia pani Małgorzaty pokazuje, że nie tylko my musimy chronić się przed wirusem, ale również nasze dane osobowe i pieniądze, które posiadamy w wirtualnym świecie mogą zostać “zainfekowane”
Pani Małgosia to młoda matka, która na co dzień w pracy ma styczność z cyfryzacją i sama również biegle korzysta z możliwości, jakie daje internet. Miesiąc temu boleśnie przekonała się o tym, że tak jak wirusy szybko atakują organizm człowieka, tak samo tzw. wirus internetowy może wyrządzić poważne szkody na naszym komputerze czy smartfonie. Może zainfekować go, dobrać się do naszych danych, a następnie je wykorzystać. Walka z wirtualnym wrogiem okazuje się wręcz walką z wiatrakami…Popołudniem 15 września br., pani Małgosia chciała sprawdzić stan swoich środków na koncie w banku PKO BP, w aplikacji IKO zainstalowanej w jej telefonie. Wyświetlił się wtedy komunikat, że ktoś nieuprawniony próbował logować się z innego urządzenia, ale logowanie było nieudane. Po zalogowaniu się do serwisu IKO okazało się, że z wszystkich 4 kont, które posiada w tym banku zniknęło w sumie ok. 15 tys. zł. Kobieta niezwłocznie zadzwoniła na infolinię banku i zgłosiła ten fakt konsultantce oraz zablokowała dostęp do bankowości internetowej. Sprawę zgłosiła również na komisariacie policji w Czosnowie. Jak się okazało, pieniądze z kont, których właścicielem lub współwłaścicielem jest pani Małgosia, znikały w kilkuminutowych odstępach. O godzinie 13:35 kwota ok. 5500 zł zniknęła z rachunku oszczędnościowego jej syna, następnie w odstępach kilkuminutowych ktoś trzykrotnie realizował transakcję na kwotę ok. 2200 zł. Następnie taka sama kwota (ok. 2200 zł) zniknęła z rachunku, którego właścicielami są pani Małgosia oraz jej tata. Ponadto, nieautoryzowane przelewy były również dokonywane pomiędzy kontami na łączną kwotę ponad 2200 zł. Bank jednak reklamacji nie uznał tłumacząc, że nie ma podstaw do jej uznania, ponieważ transakcje w serwisie internetowym zatwierdzane były wiadomościami SMS wysyłanymi na numer pani Małgosi. Sęk w tym, że kobieta żadnych wiadomości nie otrzymała i nie autoryzowała. Najdziwniejsze w tym wszystkim jest to, że kwota 5500 zł, wróciła z powrotem na rachunek oszczędnościowy syna pani Małgosi, z którego dzień wcześniej dziwnym sposobem zniknęła. To jednak nie koniec historii.Kobieta nie miała zamiaru czekać z założonymi rękami, aż jakimś cudem pieniądze wrócą na jej konto. Nadal w końcu była to niemała kwota 10 000 zł oraz istniało ryzyko ponownej próby wyprowadzenia pieniędzy z kont przez osoby nieuprawnione. Pani Małgosia poprosiła więc bank o udostępnienie numeru IP, z którego dokonane były owe przelewy. Okazało się, że numer IP z którego rzekomo doszło do kradzieży należy prawdopodobnie do sieci P4 Play. Jednak w momencie kradzieży, telefon pani Małgosi, która wtedy była w pracy, podłączony był z firmową, bezprzewodową siecią Orangę ze zmiennym numerem IP. Nie mogła zatem to ona autoryzować przelewów, ani tym bardziej ich dokonywać. Czy sprawa znajdzie swoje rozwiązanie? Kobieta tym bardziej wzięła sprawy w swoje ręce i próbowała szukać rozwiązania w internecie na forach komputerowych. Naprowadziło ją to na trop pewnej aplikacji do ćwiczeń…

Kilka dni przed kradzieżą pieniędzy, pani Małgosia pobrała na telefon aplikację “Fitness Trainer”, która była zsynchronizowana z jej opaską elektroniczną do ćwiczeń, jednak w czasie instalacji aplikacja zażądała dostępu do danych, na co kobieta się nie zgodziła i odinstalowała aplikację. Jednak te kilka chwil mogło wystarczyć, aby za jej pośrednictwem do telefonu pani Małgosi przedostało się złośliwe oprogramowanie.

W artykule pt. “Google Sklep Play: usunięto kolejne aplikacje. Zawierały trojana bankowego Cerberus” z 30 września 2020 r. na portalu dobreprogramy.pl możemy przeczytać: “Bitdefender informuje o zagrożeniu określonym jako Android.Trojan.Downloader.UT. Zostało wykryte dzięki wykorzystaniu algorytmów uczenia maszynowego. (…) Aplikacje różnią się popularnością i przeznaczeniem. Te najbardziej popularne zostały pobrane powyżej 10 tysięcy razy. Złośliwe oprogramowanie kryło się głównie w aplikacjach typu fitness, ale też w innych typowo użytkowych programach. Same w sobie nie stanowiły zagrożenia, natomiast zmuszały użytkownika do pobrania złośliwego trojana z rodziny Cerberus. To złośliwe oprogramowanie skupia się głównie na pozyskaniu danych bankowości internetowej i przechwytywaniu wiadomości SMS. Aby to zrobić, najpierw musi uzyskać odpowiednie uprawnienia, czyli “ułatwienia dostępu” Androida. Od tego momentu, aplikacja ma już całkowitą kontrolę nad systemem smartfona. Próba zalogowania się do banku z zainfekowanego urządzenia skończy się utratą pieniędzy.”

Według badaczy z Avasta, trojan czeka, aż ofiara uruchomi aplikację bankową, po czym imituje ekran logowania do owej aplikacji, przechwytując login oraz hasło. W następnej kolejności może odczytać kod weryfikacji dwuetapowej przesyłany przez SMS, co daje mu całkowity dostęp do konta ofiary.

Po zainfekowaniu Cerberus najpierw ukrywa swoją ikonę w szufladzie aplikacji, a następnie prosi o zezwolenie na dostęp, podszywając się pod znaną i zaufaną usługę. W USA jest to zazwyczaj Flash Player, w Polsce najczęściej spotykana opcja to aplikacja kurierska InPost. Jeśli dostęp zostanie przyznany, złośliwe oprogramowanie automatycznie rejestruje zaatakowane urządzenie na swoim serwerze Command & Control, umożliwiając atakującemu zdalne sterowanie smartfonem i wykonywanie takich akcji jak: robienie zrzutów ekranu, nagrywanie dźwięku, wysyłanie, odbieranie i usuwanie SMS-ów, kradzież list kontaktów, przekierowanie połączeń, śledzenie lokalizacji, wysyłanie powiadomień czy blokowanie ekranu.

Nie wiadomo jednak czy to ten złośliwy wirus zaatakował telefon pani Małgosi, jednak w obecnej sytuacji jest to bardzo możliwe. Sprawę prowadzi obecnie prokuratura w Nowym Dworze Maz. Poczynione zostały już nawet pewne kroki. Prokurator Rejonowy postanowił zwolnić sieć P4 sp. z o.o. (operatora sieci Play) z obowiązku zachowania tajemnicy zawodowej – telekomunikacyjnej. Operator do postanowienia musi się odnieść najpóźniej w ciągu 14 dni, tj. przekazać dane osoby, która ukrywa się pod konkretnym adresem IP, z którego dokonano autoryzacji przelewów bankowych z konta pani Małgosi.

Jak czytamy na portalu niebezpiecznik.pl: “Jeśli dojdzie do kradzieży z konta bankowego to ukradzione środki powinny być zwrócone przez bank w ciągu jednego (!) dnia roboczego. Tak stanowi prawo, choć wciąż nie jest to powszechna wiedza. W praktyce banki omijają przepisy zarzucając klientom “niedbalstwo” lub odwrotnie — twierdząc iż staranność klienta nie miała znaczenia!”. Właśnie to “niedbalstwo” jest najczęściej podnoszonym argumentem przez banki, jako swoją obronę. Powstaje pytanie, czy banki należycie chronią oszczędności swoich klientów, skoro tak łatwo można za pomocą nieautoryzowanych przelewów, ukraść z konta pieniądze?

Chociaż sprawa jest w toku, niepewność co do odzyskania pieniędzy jest ogromna. Przykład pani Małgosi pokazuje jednak, że telefonu używamy do coraz liczniejszych czynności tj. płatność, przelew, korzystamy z gier, z licznych aplikacji, również przez telefon robimy zakupy… Chwila nieuwagi i złudne poczucie bezpieczeństwa w sieci powoduje, że nasze dane bardzo szybko mogą trafić w niepowołane ręce, zanim zdążymy się zorientować. Konsekwencje mogą być jednak dużo bardziej tragiczne w skutkach, niż w przytoczonym przykładzie młodej kobiety. Do sprawy będziemy jeszcze wracać.

Ewa Gruszka