[AKTUALIZACJA] Ataki spoofingowe na znane osoby. Zatrzymano jednego z hakerów, ale to nie koniec

Zdaniem RMF FM za atakami spoofingowymi (czyli polegającymi na podszywaniu się pod daną osobę i grożeniu np. śmiercią, atakiem bombowym itp.) stała „nieformalna grupa luźno powiązanych ze sobą hakerów - działających w darknecie”. Śledztwo miało dotyczyć kilkudziesięciu osób. Zakończono postępowanie wobec jednej osoby i Prokuratura Regionalna w Warszawie przygotowała akt oskarżenia.

W sprawie zatrzymano tylko Krzysztofa J., programistę z 20-letnim stażem, który w sieci TOR działał jako Diabolo de Vilious, gdzie umieścił m.in. instrukcję do przeprowadzenia ataków spoofingowych. Ma nie być „bezpośrednim sprawcą ataków”. O sprawie pisała także „Rzeczpospolita”.

Krytyka walki ze spoofingiem

Krzysztof J. miał spędzić w areszcie kilka miesięcy, jednak na jednym z forów „Cebulka” w darknecie ma działać cała grupa odpowiedzialna za spoofing na znane osoby. Obecnie zatem namierzono jedynie osobę, która zainspirowała innych do ataku, a nie bezpośrednich sprawców.

Były szef CBA Paweł Wojtunik i jedna z ofiar spoofingu (atak dotyczyły groźb m.in. wobec członków jego rodziny) odniósł się do publikacji słowami: „Uwaga! Prokuratora ewidentnie manipuluje informacjami w sprawie ataków na moją rodzinę. Do dzisiaj nie ustalono, kto stał za telefonem o mojej śmierci do mojej córki. A z zatrzymania jednej płotki,co jest porażką, kreowany jest sukces. Nieładna zabawa znowu kosztem moich dzieci…”.

Z kolei Janusz Cieszyński, sekretarz stanu ds. cyfryzacji, odpowiedział na to: „Robią politykę na wszystkim, także na spoofingu. Pan Wojtunik nawet nie odpowiedział na propozycję wsparcia, także zapewne doskonale zdawał sobie sprawę z tego, że to hucpa. Kiedy panowie z PO przeproszą za swoje insynuacje wymierzone w rząd?”.

O dotychczasowej skuteczności namierzania sprawców spoofingu niech świadczy przykład posła Pawła Szramki, który w czasie organizowanej przez nas konferencji Cyber24 Day poinformował w czasie jednej z debat, że jego sprawa została umorzona ze względu na niemożność wskazania sprawcy.

Areszt od kwietnia, ataki w wakacje

Eksperci „Niebezpiecznika” publikację RMF FM skomentowali słowami: „Typ siedzi od kwietnia a spoofer atakował w wakacje...”. Z kolei w kilku miejscach w sieci - jeden z użytkowników – na wiele różnych sposobów zasugerował w weekend, że to on miałby stać za atakami, a służby zatrzymały niewłaściwą osobę.

Z naszych nieoficjalnych informacji wynika, że Krzysztof J. miał zostać zatrzymany w kwietniu br. przez Wydział ds. Cyberprzestępczości Komendy Stołecznej Policji. Od lipca br. Centralne Biuro Zwalczania Cyberprzestępczości miało przejąć tę sprawę.

Zdaniem naszego źródła, informacje upublicznione przez prokuraturę mogą spowodować kolejną falę spoofingu: maili i telefonów. Szczególnie, że – jak podano – sprawcom miało zależeć na medialnym rozgłosie.

Potwierdza to choćby przykład Radosława Sikorskiego, który w dniu medialnych doniesień – w sobotę – pokazał na Twitterze wiadomość mailową o charakterze spoofingu, zawierającą groźbę podłożenia ładunku pod jego biuro.

Pochwalenie się jednym przypadkiem zatrzymania cyberprzestępcy może raczej nie pomóc w schwytaniu „nieformalnej grupy luźno powiązanych ze sobą hakerów”.

W niedzielę wysłaliśmy oficjalne pytania do Prokuratury Regionalnej w Warszawie z prośbą o odniesienie się do powyższych kwestii. Stanowisko opublikujemy, jak tylko je otrzymamy.

AKTUALIZACJA (7.11, 16:02)

Natomiast w poniedziałek otrzymaliśmy odpowiedzi od Centralnego Biura Zwalczania Cyberprzestępczości na zadane przez nas pytania.

Asp. Krzysztof Wrześniowski z Zespołu Prasowego Centralnego Biura Zwalczania Cyberprzestępczości potwierdził, że w kwietniu br. policjanci z ówczesnego Wydziału do Walki z Cyberprzestępczością Komendy Stołecznej Policji na polecenie Prokuratury Regionalnej w Warszawie dokonali zatrzymania Krzysztofa J. - podejrzanego o pomoc w popełnieniu przestępstwa spoofingu telefonicznego.

Dodał, że 12 lipca br. postępowanie zostało przejęte do dalszego prowadzenia przez Centralne Biuro Zwalczania Cyberprzestępczości pod nadzorem Prokuratury Regionalnej w Warszawie.

"Centralne Biuro Zwalczania Cyberprzestępczości nie będzie komentowało doniesień medialnych oraz komentarzy pojawiających się w przestrzeni publicznej, na temat powyższego postępowania" - usłyszeliśmy.

Ataki spoofingowe na znane osoby

Warto jednak w tym miejscu przypomnieć, że w czerwcu br. w wywiadzie z CyberDefence24.pl Komendant CBZC nadinsp. Adam Cieślak oceniał: „Charakterystyczne było to, że ofiarami spoofingu były osoby wypowiadające się w mediach społecznościowych na tematy wrażliwe społecznie, kontrowersyjne albo uczestniczyły w zwalczaniu cyberprzestępczości (np. prokuratorzy czy policjanci). Czy dotyka to zwykłych obywateli? Myślę, że w dużo mniejszym stopniu. Moim zdaniem wspomniana kampania była przygotowana pod znane osoby i spersonalizowana – dotyczyła bieżących problemów Polski”.

Pytaliśmy wtedy również czy lepiej informować opinię publiczną o tego typu sprawach czy zachować milczenie. Nadinsp. Adam Cieślak mówił, że „nie ma jednoznacznej odpowiedzi na to pytanie”, ponieważ z jednej strony trzeba uświadamiać obywateli o problemie, a z drugiej ci, którzy dokonują tego rodzaju przestępstw obserwują, jaka jest reakcja - zarówno pokrzywdzonego, jak i organów ścigania.

Czym jest spoofing?

Przypomnijmy, że atak spoofingowy polega na podszyciu się pod inną osobę/instytucję/bank/urząd/inne i może mieć formę mailową lub telefoniczną. Często spooferzy mogą podszywać się pod adres mailowy lub numer telefonu innej osoby (w zasadzie dowolnie wybrany numer).

Głośna kampania spoofingowa wycelowana w znane osoby (ofiarą padł także m.in. Jakub Banaś – syn prezesa NIK, Radosław Sikorski, córka mecenasa Romana Giertycha, Dorota Brejza, Władysław Kosiniak Kamysz, posłanka Paulina Matysiak), która miała miejsce na początku tego roku, polegała często na straszeniu ofiar np. śmiercią bliskiej jej osoby, podaniu informacji o ataku bombowym czy groźbom do adresata.

Jak wygląda schemat ataku? Ofiara na swoim telefonie widziała nieznany numer, bądź numer osoby z jej książki adresowej, a po odebraniu głos z syntezatora kierował wobec niej lub jej rodziny groźby karalne.

Można to omówić na przykładzie ataku na Dorotę Brejzę - podszywając się pod numer telefonu żony senatora Krzysztofa Brejzy (jednej z ofiar Pegasusa w naszym kraju - red.), ktoś rozsyłał alarmy bombowe. Ładunki wybuchowe miały „znajdować się w szpitalach” w ramach zemsty za obowiązek szczepień. Był to oczywiście fałszywy alarm.

Istotne, aby sprawy każdorazowo zgłaszać na policję. Przykłady maili można także wysyłać do CSIRT NASK, który może ostrzec innych użytkowników przed trwającą właśnie kampanią i poinformować o działaniach, jakie powinno się podjąć w danej sytuacji.

Nie zalecamy także, aby publikować maile od spooferów, które zawierają nadawcę. Jeśli jest to prawdziwa osoba, to prawdopodobnie nie ona wysłała tę wiadomość, a podszywający się pod nią sprawca, więc dodatkowo narażamy rzekomego „nadawcę” na nieprzyjemności.

Co robi z tym rząd?

Przypomnijmy, że po głośnej kampanii spoofingowej w czerwcu br. pojawił się projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Ma on dawać operatorom telekomunikacyjnym nowy wachlarz możliwości związanych ze zwalczaniem nadużyć w sieci. Rosłaby także ich odpowiedzialność w tym zakresie. Celem projektu byłoby m.in. umożliwienie blokowania połączeń i wiadomości, które są nadawane, by podszyć się pod daną osobę lub instytucję (więcej o założeniach projektu piszemy tutaj).

Jak informowaliśmy w połowie października br., projekt ustawy mającej na celu walkę z phishingiem i spoofingiem trafił pod obrady Komitetu Rady Ministrów do Spraw Cyfryzacji. Nie zgłoszono do niego uwag.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].